Zu Hauptinhalten wechseln
Procore

Wie wird die Sicherheit bei Anwendungen von Drittanbietern gehandhabt?

API-Sicherheit bei Procore

Procore-Kunden fragen sich vielleicht, wie die Sicherheit für Anwendungen und Integrationen gehandhabt wird, die von Drittentwicklern unter Verwendung der Procore-API erstellt werden. Procore verwendet das, was viele als den Industriestandard für die API-Authentifizierung anzeigen: OAuth 2.0. Das OAuth 2.0-Authentifizierungs-Framework bietet ein sicheres Mittel zur Autorisierung und Authentifizierung des Zugriffs auf Benutzerdaten für Anwendungen Dritter. OAuth 2.0 verwendet SSL (Secure Sockets Layer), um sicherzustellen, dass die Datenübertragung zwischen dem Webserver und den Browsern privat bleibt und sicher ist. OAuth 2.0 schützt die Daten der Procore-Benutzer, indem es Zugriff gewährt, ohne die Identität des Benutzers preiszugeben. Anwendungen von Drittanbietern stellen Anfragen im Namen des Benutzers, ohne auf Passwörter und andere sensible Informationen zuzugreifen.

Entwickler, die Lösungen mit der Procore-API entwickeln, implementieren je nach Anwendungsfall einen von mehreren OAuth 2.0-Berechtigungstypen. Die von der Procore-API unterstützten OAuth 2.0-Berechtigungstypen basieren auf der Verwendung von verschlüsselten Token, bei denen es sich um String-Werte handelt, die die Autorisierung und Authentifizierung einer bestimmten Anwendung für den Zugriff auf Daten in Procore im Namen eines Procore-Benutzers darstellen. 

Weitere Überlegungen

App-Verwaltung

Unternehmensadministratoren können auch eine Rolle bei der Umsetzung guter Sicherheitspraktiken durch ein angemessenes App-Management spielen. Unternehmensadministratoren verwenden die App-Verwaltungsfunktion im Administrations-Tool auf Unternehmensebene, um eine Vielzahl von Aufgaben im Zusammenhang mit der Installation und Verwaltung von Apps sowie deren Konfiguration für die Verwendung in Projekten durchzuführen. Unternehmensadministratoren haben die vollständige Kontrolle darüber, welche Apps in einem Unternehmen installiert werden und überwachen die App-Nutzung in Projekten. Die Installation von Apps kann delegiert werden, indem die Option Benutzerinstallationen zulassen aktiviert wird.

Servicekonten

Eine Reihe von Integrationen, die für die Zusammenarbeit mit Procore entwickelt wurden, verwenden Servicekonten für die Autorisierung und Authentifizierung. Servicekonten ermöglichen Ihnen die Unterstützung von Integrationen, die den in der OAuth 2.0-Spezifikation definierten Berechtigungsablauf für Client Credentials erfordern. In diesem Szenario benötigen Anwendungen eine Möglichkeit, ein OAuth 2.0-Zugangs-Token außerhalb des Kontexts eines bestimmten Procore-Benutzers abzurufen. OAuth 2.0 bietet für diesen Zweck den Berechtigungstyp Client Credentials. Es werden eine eindeutige client_id und ein eindeutiger client_secret generiert, wenn ein neues Servicekonto von einem Unternehmensadministrator erstellt wird. Nachdem das Servicekonto erstellt wurde, kann ein Unternehmensadministrator die Servicekontoberechtigungen konfigurieren, um genau festzulegen, wie die Integration auf Daten in Procore zugreift und welche Aktionen erlaubt sind.

 Hinweis
Anwendungs- und Benutzeranmeldedaten in Procore werden auf dieselbe Weise vor böswilligen Akteuren geschützt wie alle unsere anderen Daten. Obwohl alle Drittentwickler den Nutzungsbedingungen des Procore-Entwicklerportals zustimmen, sind uns ihre eigenen Sicherheitspraktiken nicht in allen Fällen bekannt.