Visão geral de segurança do Jitterbit App Builder
Visão geral
O App Builder promove o rápido desenvolvimento de aplicativos seguros, juntamente com sua capacidade de serem rapidamente implantados em um ambiente seguro. Recursos de segurança nativos e opções de configuração disponíveis na plataforma App Builder permitem que os desenvolvedores configurem e protejam seus aplicativos.
O App Builder oferece suporte às seguintes opções de segurança:
HTTPS
O App Builder exige HTTPS. Quando HTTPS está habilitado, os cookies são definidos com o sinalizador Secure. Isso impede que o navegador transmita o cookie por um canal não seguro (HTTP). Os cookies são definidos com o sinalizador HttpOnly por padrão. O sinalizador HttpOnly atenua ataques Cross-Site Scripting (XSS).
Provedor de logon único (SSO)
O App Builder recomenda delegar autenticação a um provedor de Single Sign-On (SSO). O App Builder oferece suporte a vários padrões do setor, incluindo SAML SSO e WS-Federation. Eles usam a especificação de assinatura digital PKCS #1 com resumos SHA-256.
Autenticação baseada em declarações
Os provedores de autenticação de usuário passam as declarações para o App Builder. Os administradores de segurança mapeiam as declarações para atributos do usuário, incluindo associação ao grupo. Documentação:
Autenticação local e configuração de senha
O App Builder também oferece suporte a um mecanismo de autenticação local baseado em senha. O armazenamento de senhas é documentado na página a seguir:
Resumindo, as senhas são armazenadas usando a função de derivação de chave PBKDF2 com o algoritmo de hash SHA-256, um comprimento de chave de 16 bytes, um comprimento de salt de 16 bytes e 10.000 iterações.
O provedor de Autenticação Local oferece suporte aos seguintes recursos de segurança:
Tokens de segurança e criptografia de dados
O App Builder criptografa e valida tokens de segurança, como cookies de sessão. Além disso, o App Builder criptografa credenciais de servidor e provedor de segurança (senhas). A criptografia fornece confidencialidade; validação, autenticidade (também conhecida como proteção contra adulteração). O App Builder criptografa dados usando AES-256 no modo de cifra de bloco CBC com preenchimento PKCS #7. O App Builder garante a integridade dos dados criptografados usando HMAC-SHA256.
A mesma criptografia e validação podem ser usadas para proteger dados em nível de aplicativo em repouso.
O App Builder oferece suporte à criptografia de dados em repouso por meio da implementação nativa do fornecedor de Criptografia Transparente de Dados.
O App Builder agora usa implementações e algoritmos criptográficos validados pelo FIPS.
Sessões
O App Builder fornece políticas de armazenamento de sessão configuráveis. Por padrão, o App Builder persiste as informações da sessão no banco de dados. Os administradores podem visualizar sessões e forçar o logout de sessões de usuários. O rastreamento de sessões protege contra certas vulnerabilidades, como ataques de cookie-replay.
Segurança baseada em funções
O acesso aos dados pode ser controlado usando segurança baseada em funções. A associação de grupo de um usuário determina as funções do usuário. As funções do usuário determinam a permissão para dados comerciais. Grupos organizam usuários; funções organizam permissões.
No App Builder, os realms permitem que os administradores deleguem tarefas administrativas, como provisionamento de usuários e associação a grupos. Essas operações são restritas ao realm.
Links relacionados
Tópicos de segurança
- Acesso anônimo
- Reivindicações
- Expiração da senha
- Políticas de senha
- Redefinição de senha
- Privilégios e permissões
- Provedores e identidades
- Reinos
- Self-service
- Sessões
- Usuários e grupos
- Provisionamento de usuários e grupos
- Autenticação do cliente