Ir para o conteúdo

Provisionamento de usuários e grupos no Jitterbit App Builder

O App Builder suporta o provisionamento automatizado de usuários e grupos. O provisionamento reduz a carga administrativa ao minimizar a criação manual de usuários e grupos dentro do App Builder.

Estratégias de provisionamento

As estratégias de provisionamento se enquadram em uma das duas categorias:

  1. Just-In-Time (JIT) - As contas de usuário são criadas sob demanda durante o processo de login.
  2. APIs de Provedor de Serviço (SP) - Provedores de Identidade (IdPs) gerenciam usuários e grupos por meio de APIs fornecidas pelo SP.

Cada abordagem tem vantagens e desvantagens.

As desvantagens do provisionamento JIT incluem:

  • Usuários não podem ser desprovisionados.
  • O SP não possui uma lista completa de usuários e grupos.
  • Usuários e grupos podem ficar fora de sincronia se não tiverem um identificador imutável (como um GUID ou SID).

As desvantagens das APIs SP incluem:

  • A maioria das APIs SP são proprietárias (Salesforce, Azure, Google, etc.). Padrões emergentes, como o Sistema para Gerenciamento de Identidade entre Domínios (SCIM), não são comumente implementados.
  • Uma API SP é mais complicada de configurar, frequentemente exigindo codificação personalizada.
  • Todos os usuários precisam estar registrados no SP. Contas de usuário existentes precisam ser registradas em massa durante a configuração inicial.

A estratégia de provisionamento do App Builder

O App Builder implementa o provisionamento JIT no nível do provedor de segurança. Quando ativado, o App Builder cria contas de usuário após validar com sucesso os tokens de segurança (como uma asserção SAML ou um código de autorização OAuth 2.0).

Ao configurar o provisionamento de usuários, os administradores podem indicar se o token de segurança inclui a associação a grupos. Nesse caso, o App Builder extrairá os grupos do token de segurança, registrando-os dentro do App Builder e associando o usuário a esses grupos. Observe que nem todos os esquemas de autenticação suportam essa opção. Consulte a documentação do provedor de segurança para mais informações.

Como mencionado acima, a estratégia JIT não suporta o desprovisionamento de usuários. O App Builder mitiga essa limitação desabilitando o login local. Especificamente, se a conta de usuário não tiver sido atribuída a uma senha, o usuário não poderá fazer login diretamente no App Builder. Independentemente disso, os administradores de segurança precisarão fazer login no App Builder e excluir quaisquer contas de usuário órfãs.

Habilitando o provisionamento

O provisionamento de usuários pressupõe que a autenticação seja delegada a um Provedor de Identidade (IdP). Assim, o provisionamento de usuários requer um provedor de segurança de autenticação, como um provedor de Segurança de Login Único (SSO). Exemplos incluem SAML SSO (como Okta), WS-Federation (Microsoft Entra ID ou Active Directory Federation Services) ou outros provedores de autenticação externos (por exemplo, Salesforce).

O provisionamento de usuários está desativado por padrão e deve ser habilitado por um administrador de segurança. Para habilitar o provisionamento de usuários:

  1. Navegue até o IDE.
  2. Clique em Provedores de Segurança.
  3. Clique duas vezes no Provedor de Segurança aplicável no painel Autenticação de Usuário.
  4. Clique em Editar no painel Provedor.
  5. Marque a opção Provisionamento de Usuário.
  6. Clique no botão Salvar.

Mapeando identidades para usuários existentes

Por padrão, o processo de provisionamento de usuários criará novas contas de usuário, mas não mapeará uma identidade para uma conta existente. O provisionamento falhará se um usuário existir com o nome fornecido.

Se o IdP for uma fonte única de autoridade confiável, considere habilitar a opção Combinar Usuário Existente. Esta opção permite que o processo de provisionamento mapeie uma identidade para um usuário existente com o mesmo nome. O mapeamento só ocorre se a conta de usuário não tiver uma identidade associada ao provedor de segurança.

A opção Combinar Usuário Existente está disponível após habilitar o Provisionamento de Usuário.

Configurando autorização

Provisionar usuários é apenas uma parte do quebra-cabeça. Por padrão, novas contas de usuário não terão acesso a nenhum aplicativo. Para automatizar completamente o processo de provisionamento, os administradores devem garantir que novos usuários recebam privilégios apropriados ao fazer login. Existem 4 abordagens que podem ser adotadas:

  • Por padrão, novos usuários são adicionados ao grupo de segurança Usuários. Os administradores podem conceder ao grupo Usuários acesso a um ou mais aplicativos. Isso geralmente não é recomendado. O grupo de segurança Usuários é destinado a todos os usuários autenticados. Como resultado, todos os usuários autenticados terão acesso aos aplicativos concedidos, o que pode não ser o resultado desejado. Além disso, o App Builder possui o grupo de segurança Usuários e pode modificar o grupo durante uma atualização.
  • Crie um novo grupo de segurança e habilite a opção Conceder na Criação de Usuário. Quando Conceder na Criação de Usuário está habilitado, os usuários recém-criados são adicionados ao grupo automaticamente. Isso é preferível à opção #1 porque utiliza um grupo de segurança personalizado em vez do grupo de Usuários embutido. No entanto, a opção Conceder na Criação de Usuário se aplica a todos os usuários, independentemente de serem criados manualmente por meio da interface do usuário ou provisionados automaticamente por um provedor de segurança.
  • Crie um novo grupo de provedor de segurança e habilite a opção Conceder na Criação de Identidade. Ao contrário de um grupo de segurança, um grupo de provedor de segurança é específico para um provedor de segurança. Assim como na opção #2, os administradores precisarão criar um grupo de segurança e conceder acesso a um ou mais aplicativos. No entanto, não habilite a opção Conceder na Criação de Usuário. Em vez disso, crie um grupo de provedor de segurança, mapeie-o para o grupo de segurança interno e habilite a opção Conceder na Criação de Identidade. Usando essa técnica, apenas os usuários provisionados pelo provedor de segurança receberão privilégios automaticamente.
  • Se o provedor de segurança fornecer a associação a grupos, a autorização pode ser transferida do Provedor de Identidade (IdP) para o App Builder. O App Builder extrairá as reivindicações de associação a grupos do token de segurança e registrará esses grupos como grupos de provedor de segurança. Os administradores devem mapear um ou mais grupos de provedor de segurança para grupos de segurança internos. Esta opção leva mais tempo para ser configurada e pode exigir configuração adicional no Provedor de Identidade (IdP). No entanto, uma vez configurado, o App Builder respeitará a associação a grupos fornecida pelo IdP.

As opções 3 e 4 são mutuamente exclusivas: ou o App Builder ou o provedor de segurança pode gerenciar grupos de provedores de segurança – não ambos. No entanto, ambos podem ser combinados com a opção Conceder na Criação do Usuário.