Ir para o conteúdo

Transforme as suas conexões em um bônus de fim de ano com o nosso novo Programa de Indicação de Clientes! Saiba mais

Esta documentação é para a versão 4 e posterior do App Builder, o novo nome do Vinyl. Acesse a documentação do Vinyl aqui.

Visão geral de segurança do Jitterbit App Builder

Visão geral

O App Builder promove o rápido desenvolvimento de aplicativos seguros, juntamente com sua capacidade de serem rapidamente implantados em um ambiente seguro. Recursos de segurança nativos e opções de configuração disponíveis na plataforma App Builder permitem que os desenvolvedores configurem e protejam seus aplicativos.

O App Builder oferece suporte às seguintes opções de segurança:

HTTPS

O App Builder exige HTTPS. Quando HTTPS está habilitado, os cookies são definidos com o sinalizador Secure. Isso impede que o navegador transmita o cookie por um canal não seguro (HTTP). Os cookies são definidos com o sinalizador HttpOnly por padrão. O sinalizador HttpOnly atenua ataques Cross-Site Scripting (XSS).

Provedor de logon único (SSO)

O App Builder recomenda delegar autenticação a um provedor de Single Sign-On (SSO). O App Builder oferece suporte a vários padrões do setor, incluindo SAML SSO e WS-Federation. Eles usam a especificação de assinatura digital PKCS #1 com resumos SHA-256.

Autenticação baseada em declarações

Os provedores de autenticação de usuário passam as declarações para o App Builder. Os administradores de segurança mapeiam as declarações para atributos do usuário, incluindo associação ao grupo. Documentação:

Autenticação local e configuração de senha

O App Builder também oferece suporte a um mecanismo de autenticação local baseado em senha. O armazenamento de senhas é documentado na página a seguir:

Resumindo, as senhas são armazenadas usando a função de derivação de chave PBKDF2 com o algoritmo de hash SHA-256, um comprimento de chave de 16 bytes, um comprimento de salt de 16 bytes e 10.000 iterações.

O provedor de Autenticação Local oferece suporte aos seguintes recursos de segurança:

Tokens de segurança e criptografia de dados

O App Builder criptografa e valida tokens de segurança, como cookies de sessão. Além disso, o App Builder criptografa credenciais de servidor e provedor de segurança (senhas). A criptografia fornece confidencialidade; validação, autenticidade (também conhecida como proteção contra adulteração). O App Builder criptografa dados usando AES-256 no modo de cifra de bloco CBC com preenchimento PKCS #7. O App Builder garante a integridade dos dados criptografados usando HMAC-SHA256.

A mesma criptografia e validação podem ser usadas para proteger dados em nível de aplicativo em repouso.

O App Builder oferece suporte à criptografia de dados em repouso por meio da implementação nativa do fornecedor de Criptografia Transparente de Dados.

O App Builder agora usa implementações e algoritmos criptográficos validados pelo FIPS.

Sessões

O App Builder fornece políticas de armazenamento de sessão configuráveis. Por padrão, o App Builder persiste as informações da sessão no banco de dados. Os administradores podem visualizar sessões e forçar o logout de sessões de usuários. O rastreamento de sessões protege contra certas vulnerabilidades, como ataques de cookie-replay.

Segurança baseada em funções

O acesso aos dados pode ser controlado usando segurança baseada em funções. A associação de grupo de um usuário determina as funções do usuário. As funções do usuário determinam a permissão para dados comerciais. Grupos organizam usuários; funções organizam permissões.

No App Builder, os realms permitem que os administradores deleguem tarefas administrativas, como provisionamento de usuários e associação a grupos. Essas operações são restritas ao realm.

Tópicos de segurança

Como Tutoriais

Recursos