Login
    Inhoud x
    API-serviceaccounts
    • 28 Feb 2024
    • 3 Minuten te lezen
    Inhoud

    API-serviceaccounts

    • Bijgewerkt op 28 Feb 2024
    • 3 Minuten te lezen
    Article Summary

    Over serviceaccounts

    Wanneer een client verzoeken doet via de externe API, worden die verzoeken gedaan namens de gebruikersaccount die aan de client is toegewezen via de instelling Serviceaccount.

    • Alle API-clientverzoekgebeurtenissen worden geregistreerd als eigendom van de serviceaccountgebruiker.
    • Toegangscontrole is gebaseerd op de serviceaccountgebruiker. Dit betekent dat je rollen en rechten kunt gebruiken om de acties te controleren die een specifieke client mag uitvoeren via zijn serviceaccountgebruiker.
    • Er worden multitenancy-beperkingen toegepast op serviceaccountgebruikers die toebehoren aan een specifieke tenant.

    Beperkingen voor gebruikers van serviceaccounts

    Om met succes API-aanvragen te kunnen doen, moet de gebruiker van het serviceaccount geldig zijn en een minimumniveau van toegang hebben. Voor tenant API-clients moet de serviceaccountgebruiker tot dezelfde tenant behoren als de API-client.

    De volgende controles worden uitgevoerd om ervoor te zorgen dat de serviceaccountgebruiker aan deze vereisten voldoet:

    • Heeft geen status verwijderd of geblokkeerd
    • Is geen gastgebruiker
    • is geen systeembeheerder
    • De tenant van de serviceaccountgebruiker komt overeen met de tenant van de API-client (bijv. gebruiker op systeemniveau voor systeemclients of behoort tot dezelfde tenant als de client voor clients op tenantniveau)

    Als een of meer van deze controles mislukt, zullen alle verzoeken aan de API van de client falen en wordt de client als ongeldig gemarkeerd. Je moet dan het serviceaccount bijwerken om een nieuwe geldige serviceaccountgebruiker te selecteren.

    Serviceaccountrollen en rechten

    De toegang die een specifieke client binnen het systeem heeft, wordt gecontroleerd door de rollen die zijn toegewezen aan de serviceaccount van de client. Bij het configureren van het serviceaccount is het best practice om het serviceaccount te beperken om alleen de rechten te verlenen die het nodig heeft. Dit betekent dat, als de API-clienttokens zouden worden onderschept, dit zou beperken wat er met hen zou kunnen gebeuren.

    Er is een API-gebruikersrol die je kunt toewijzen aan het serviceaccount, wat brede rechten geeft om taken te voltooien waarvoor er bestaande diensten zijn. Dit kan verder worden beperkt door specifieke rollen te maken voor specifieke taken en deze toe te wijzen aan serviceaccounts in de juiste context.

    Voor clients op systeemniveau kunnen rollen worden toegewezen in de systeemcontext. Tenantspecifieke clients hebben alleen serviceaccounts die tot die tenant behoren, dus moeten ze in een lagere context worden toegewezen - ofwel de tenantcontext (voor mogelijkheden met betrekking tot gebruikers) of de tenantcategoriecontext (voor mogelijkheden met betrekking tot cursussen of andere systeemobjecten). De API-gebruikersrol kan in beide contexten worden toegewezen.

    Aanbevolen service account configuratie

    We raden aan om een speciale serviceaccountgebruiker aan te maken voor elke client die je aanmaakt. Hiermee kun je gedetailleerde toegangscontrole voor de specifieke client specificeren en ervoor zorgen dat het mogelijk is om het API-gebruik op clientniveau te controleren.

    We raden aan om je serviceaccountgebruikers als volgt te configureren:

    • Geef een gebruikersnaam, voornaam en achternaam op die het account duidelijk zullen identificeren als een automatisch account en het doel ervan. Je kunt bijvoorbeeld het account 'HR sync API user' noemen. Dit kan helpen voorkomen dat de account wordt verwijderd door een andere systeembeheerder.
    • Zet de authenticatiemethode op Niet aanmelden om manueel aanmelden te voorkomen.
    • Overweeg om een profielafbeelding in te stellen die de geautomatiseerde aard van het account versterkt, zoals je bedrijfslogo.
    • Gewoonlijk wil je niet dat de serviceaccountgebruiker e-mails ontvangt. Je kunt notificaties voor de gebruiker volledig uitschakelen door naar hun profiel te gaan en vervolgens Voorkeuren Ver>ouderde notificatievoorkeuren. Hier kun je het selectievakje Notificaties uitschakelen aanvinken.
    • Reacties ontvangen van de API worden weergegeven in de tijdzone van de gebruiker van het serviceaccount. Overweeg de beste tijdzone en stel de tijdzone van de gebruiker op de juiste manier in in zijn profiel.
    • Zorg ervoor dat de gebruiker van het serviceaccount de juiste rechten heeft voor de taak die het zal doen. Zie de Service account rol en rechten sectie voor meer informatie.

    © Copyright 2024 Totara Learning Solutions. All rights reserved.

    Was dit artikel nuttig?
    What's Next
    Follow us

    © Copyright 2024 Totara Learning Solutions. All rights reserved. Some content originally obtained via GPLv3 license and continues to be available under GPLv3. All other content is the sole copyright of Totara Learning Solutions.

    Change password!
    Changing your password will log you out immediately. Use the new password to log back in.
    Change profile
    Success!
    First name must have atleast 2 characters. Numbers and special characters are not allowed.
    Last name must have atleast 1 characters. Numbers and special characters are not allowed.
    Enter a valid email
    Enter a valid password
    Your profile has been successfully updated.
    Logout