Ir para o conteúdo

Transforme as suas conexões em um bônus de fim de ano com o nosso novo Programa de Indicação de Clientes! Saiba mais

Esta documentação é para a versão 4 e posterior do App Builder, o novo nome do Vinyl. Acesse a documentação do Vinyl aqui.

Provisionamento de usuários e grupos no Jitterbit App Builder

O App Builder oferece suporte ao provisionamento automatizado de usuários e grupos. O provisionamento reduz a carga administrativa ao minimizar a criação manual de usuários e grupos no App Builder.

Estratégias de provisionamento

As estratégias de provisionamento se enquadram em uma de duas categorias:

  1. Just-In-Time (JIT) - As contas de usuário são criadas sob demanda durante o processo de login.
  2. APIs do Provedor de Serviços (SP) - Os Provedores de Identidade (IdPs) gerenciam usuários e grupos por meio de APIs fornecidas pelo SP.

Cada abordagem tem vantagens e desvantagens.

As desvantagens do provisionamento JIT incluem:

  • Os usuários não podem ser desprovisionados.
  • O SP não tem uma lista completa de usuários e grupos.
  • Usuários e grupos podem ficar fora de sincronia se não tiverem um identificador imutável (como um GUID ou SID).

As desvantagens das APIs SP incluem:

  • A maioria das APIs de SP são proprietárias (Salesforce, Azure, Google, etc.). Padrões emergentes, como o System for Cross-Domain Identity Management (SCIM), não são comumente implantados.
  • Uma API SP é mais complicada de configurar, geralmente exigindo codificação personalizada.
  • Todos os usuários precisam ser registrados no SP. Contas de usuários existentes precisam ser registradas em massa durante a configuração inicial.

Estratégia de provisionamento do App Builder

O App Builder implementa o provisionamento JIT no nível do provedor de segurança. Quando habilitado, o App Builder cria contas de usuário após validar com sucesso tokens de segurança (como uma asserção SAML ou código de autorização OAuth 2.0).

Ao configurar o provisionamento de usuários, os administradores podem indicar se o token de segurança inclui associação de grupo. Nesse caso, o App Builder extrairá os grupos do token de segurança, registrando-os no App Builder e associando o usuário a esses grupos. Observe que nem todos os esquemas de autenticação oferecem suporte a essa opção. Revise a documentação do provedor de segurança para obter mais informações.

Conforme observado acima, a estratégia JIT não suporta desprovisionamento de usuários. O App Builder atenua essa limitação ao proibir login local. Especificamente, se a conta de usuário não tiver recebido uma senha, o usuário não poderá fazer login no App Builder diretamente. Independentemente disso, os administradores de segurança precisarão fazer login no App Builder e excluir quaisquer contas de usuário órfãs.

Habilitando o provisionamento

O provisionamento de usuários pressupõe que a autenticação seja delegada a um Provedor de Identidade (IdP). Como tal, o provisionamento de usuários requer um provedor de segurança de autenticação, como um provedor de segurança Single Sign-On (SSO). Exemplos incluem SAML SSO (como Okta), WS-Federation (Microsoft Entra ID ou Active Directory Federation Services) ou outros provedores de autenticação externos (por exemplo, Salesforce).

O provisionamento de usuários é desabilitado por padrão e deve ser habilitado por um administrador de segurança. Para habilitar o provisionamento de usuários:

  1. Navegue até o IDE.
  2. Clique em Provedores de segurança.
  3. Clique duas vezes no Provedor de Segurança aplicável no painel Autenticação do Usuário.
  4. Clique em Editar no painel Provedor.
  5. Marque a opção Provisionamento de Usuário.
  6. Clique no botão Salvar.

Mapeando identidades para usuários existentes

Por padrão, o processo de provisionamento de usuário criará novas contas de usuário, mas não mapeará uma identidade para uma conta existente. O provisionamento falhará se existir um usuário com o nome fornecido.

Se o IdP for uma fonte única e confiável de autoridade, considere habilitar a opção Match Existing User. Esta opção permite que o processo de provisionamento mapeie uma identidade para um usuário existente com o mesmo nome. O mapeamento só ocorre se a conta de usuário ainda não tiver uma identidade associada ao provedor de segurança.

A opção Match Existing User fica disponível após habilitar User Provisioning.

Configurando autorização

O provisionamento de usuários é apenas uma parte do quebra-cabeça. Por padrão, novas contas de usuário não terão acesso a nenhum aplicativo. Para automatizar completamente o processo de provisionamento, os administradores vão querer garantir que novos usuários recebam privilégios apropriados ao fazer login. Há 4 abordagens que podem ser tomadas:

  • Por padrão, novos usuários são adicionados ao grupo de segurança Usuários. Os administradores podem conceder ao grupo Usuários acesso a um ou mais aplicativos. Isso geralmente não é recomendado. O grupo de segurança Usuários é destinado a todos os usuários autenticados. Como resultado, todos os usuários autenticados terão acesso aos aplicativos concedidos, o que pode não ser o resultado desejado. Além disso, o App Builder é dono do grupo de segurança Usuários e pode modificar o grupo durante uma atualização.
  • Crie um novo grupo de segurança e habilite a opção Conceder na criação de usuário. Quando Conceder na criação de usuário está habilitado, os usuários recém-criados são adicionados ao grupo automaticamente. Isso é preferível à opção nº 1 porque usa um grupo de segurança personalizado em vez do grupo Usuários integrado. No entanto, a opção Conceder na criação de usuário se aplica a todos os usuários, independentemente de serem criados manualmente por meio da interface do usuário ou provisionados automaticamente por um provedor de segurança.
  • Crie um novo grupo de provedores de segurança e habilite a opção Conceder na criação de identidade. Ao contrário de um grupo de segurança, um grupo de provedores de segurança é específico para um provedor de segurança. Como na opção nº 2, os administradores precisarão criar um grupo de segurança e conceder a ele acesso a um ou mais aplicativos. No entanto, não habilite a opção Conceder na criação de usuário. Em vez disso, crie um grupo de provedores de segurança, mapeie-o para o grupo de segurança interno e habilite a opção Conceder na criação de identidade. Usando essa técnica, apenas usuários provisionados pelo provedor de segurança receberão privilégios automaticamente.
  • Se o provedor de segurança fornecer associação de grupo, a autorização pode ser transferida do Provedor de Identidade (IdP) para o App Builder. O App Builder extrairá as declarações de associação de grupo do token de segurança e registrará esses grupos como grupos de provedores de segurança. Os administradores devem mapear um ou mais grupos de provedores de segurança para grupos de segurança internos. Essa opção leva mais tempo para ser configurada e pode exigir configuração adicional no Provedor de Identidade (IdP). No entanto, uma vez configurada, o App Builder honrará a associação de grupo fornecida pelo IdP.

As opções 3 e 4 são mutuamente exclusivas: o App Builder ou o provedor de segurança podem gerenciar grupos de provedores de segurança, mas não ambos. No entanto, ambos podem ser combinados com a opção Grant On User Create.