Was ist ein entwicklerverwaltetes Servicekonto?

Entwicklern, die Anwendungen unter Verwendung von Datenverbindungskomponenten erstellen, empfehlen wir, die neue Funktion Entwicklerverwaltete Servicekonten (DMSA) zu nutzen, um Procore-Administratoren die Möglichkeit zu geben, Datenverbindungsanwendungen in ihren Unternehmenskonten einfach zu installieren und bereitzustellen. Die DMSA-Funktion ermöglicht es Entwicklern, die genauen Tool-Berechtigungen auf Unternehmens- und Projektebene festzulegen, die erforderlich sind, damit ihre Anwendung auf der Procore-Plattform ordnungsgemäß läuft. Unternehmensadministratoren legen fest, auf welche Projekte die Anwendung mit diesen Berechtigungen zugreifen kann. Entwickler nutzen DMSAs, um eine bequemere und sicherere Alternative zu herkömmlichen Servicekonten anzubieten. Unternehmensadministratoren profitieren von DMSAs durch ein verbessertes Anwendungsmanagement und einen besseren Einblick in die Anwendungsnutzung.

 Auslaufen traditioneller Servicekonten

Alle traditionellen Servicekonten werden am 31. Dezember 2024auslaufen.

Traditionelle Servicekonten wurden am 9. Dezember 2021 eingestellt. Ab dem 1. Oktober 2024 werden wir die Erstellung neuer Konten für traditionelle Dienstleistungen nicht mehr zulassen. Bestehende traditionelle Servicekonten sind bis zum 31. Dezember 2024 weiterhin funktionsfähig.

In Übereinstimmung mit diesem Zeitplan müssen Entwickler von Datenverbindungsanwendungen, die derzeit herkömmliche Dienstkonten verwenden, ihre Anwendungen aktualisieren,um Dateiname="">Entwicklerverwaltete Dienstkonten zu verwenden<a target="_blank" title=" " href.path="//faq/what-is-developer-managed-service-account" href., und die Kunden müssen diese aktualisierten Anwendungen vor dem Ablaufdatum installieren. Alle Datenverbindungsanwendungen, die bis zum Ablaufdatum nicht migriert wurden, funktionieren nicht mehr. Alle auf dem Procore-App Marketplace aufgeführten Anwendungen, die keine unterstützte Methode für den Zugriff auf die Procore API verwenden, werden bis zum Ablaufdatum entfernt. Siehe Migration von Datenverbindungsanwendungen zur Verwendung von DMSAs für zusätzliche Informationen.

Benefits of Using Developer Managed Service Accounts (DMSAs)

There are a number of benefits to be gained by using DMSAs over traditional service accounts:

Risks Associated with Traditional Service Accounts

Installing and using applications that utilize traditional service accounts comes with the following risks:

Wie unterscheidet sich ein DMSA von einem herkömmlichen Servicekonto?

Hier sind einige der Hauptunterschiede zwischen DMSAs und traditionellen Servicekonten.

  Entwicklerverwaltete Servicekonten Traditionelles Servicekonto
Kontoerstellung
  • Ein mit der DMSA verbundener Adressbuchnutzer wird automatisch im Unternehmens- und/oder Projektadressbuch erstellt.
  • Ein herkömmliches Servicekonto muss manuell von einem Unternehmensadministrator erstellt und verwaltet werden.
Autorisierung
  • Ein einziger Satz von Anmeldedaten (client_id, client_secret) wird für den Zugang zu allen Unternehmen verwendet, in denen die Anwendung installiert ist.
  • Jedes Servicekonto, das in einem Unternehmen von einem Administrator erstellt wird, verfügt über eindeutige Anmeldedaten, die für eine erfolgreiche Integration eine manuelle Abstimmung mit dem Entwickler erfordern.
Berechtigungen
  • Die erforderlichen Berechtigungen werden vom Entwickler im Anwendungsmanifest festgelegt und bei der Installation automatisch angewendet.
  • Die Berechtigungen für jedes Servicekonto müssen manuell von einem Unternehmensadministrator konfiguriert werden.
Projektkonfiguration
  • Während der Installation können Sie auswählen, in welchen Projekten die DMSA-Anwendung laufen darf. Sobald die Anwendung installiert ist, können Sie nach Bedarf zulässige Projekte hinzufügen oder entfernen.
  • Der Projektzugang muss vom Unternehmensadministrator manuell konfiguriert und verwaltet werden.
App-Verwaltung
  • DMSA-fähige Anwendungen lassen sich problemlos über den App Marketplace oder als benutzerdefinierte Installation installieren. Unternehmensadministrator-Tool (App Management) für die Deinstallation/Neuinstallation verwendet.
  • Alle Aspekte der herkömmlichen Einrichtung und Verwaltung von Servicekonten müssen manuell von einem Unternehmensadministrator durchgeführt werden.

Was wird in meinem Konto angezeigt, nachdem ich eine Anwendung installiert habe, die eine DMSA verwendet?

During the installation process, a new user record may be created in the Company and/or Project Directory tool that represents the DMSA. The DMSA contact name follows a distinct format with the application name converted to lower case and separated by dashes followed by an eight-character randomly generated id. For example, installing the application My DMSA Test App would create the user my-dmsa-test-app-469b1f7f in the Company Directory. It is important that you do not  edit or delete directory users created by DMSA application installations as this may cause problems with the operation of the application.

Bewährte Praktiken für das DMSA-Berechtigungsmanagement

Die Verwaltung von Berechtigungen für ein Developer Managed Service Account (DMSA) erfordert sorgfältige Überlegungen, um die Anwendungsfunktionalität und die Kontosicherheit zu gewährleisten. Im Folgenden finden Sie bewährte Praktiken und wichtige Überlegungen für eine effektive Verwaltung von Berechtigungen.

  1. Verwenden der Registerkarte "Berechtigungen" für die Projektmitgliedschaft - Um den DMSA-Projektzugriff zu verwalten, einschließlich des Hinzufügens oder Entfernens von Projektmitgliedschaften, verwenden Sie die Registerkarte Berechtigungen in der App unter App-Verwaltung. Diese Option steht Unternehmensadministratoren zur Verfügung.

  2. Neukonfiguration von Berechtigungen bei App-Update oder Neuinstallation - Jedes Mal, wenn eine App aktualisiert oder neu installiert wird, müssen Unternehmensadministratoren die Liste der zulässigen Projekte neu konfigurieren. Zukünftige Projekte, die einen DMSA-Zugang erfordern, müssen ebenfalls manuell in die zulässige Liste aufgenommen werden.

  3. Verwenden des Adressbuch-Tools für Berechtigungsvorlagen - Einige Administratoren verwenden das Adressbuch-Tool mit einer Berechtigungsvorlage, um die DMSA-Verwaltung zu optimieren:

    • Wenn Sie das Kontrollkästchen "[DMSA-Benutzer] zu allen neuen Projekten hinzufügen" aktivieren, können Berechtigungen vereinfacht werden, indem der DMSA-Benutzer automatisch zu zukünftigen Projekten hinzugefügt wird.
    • Wichtiger Hinweis: Wenn eine App aktualisiert oder neu installiert wird, werden die im Manifest der App definierten Berechtigungen nicht automatisch in die Berechtigungsvorlage im Adressbuchtool übertragen, was sich möglicherweise auf die Funktionalität der App auswirkt. Diese Fehlausrichtung sollte manuell abgeglichen werden.
  4. Vermeiden Sie manuelle Aktualisierungen von DMSA-Berechtigungen - Von der manuellen Anpassung der DMSA-Berechtigungen innerhalb des Adressbuch-Tools wird im Allgemeinen abgeraten, da dies zu Inkonsistenzen führen und die Kontoverwaltung erschweren kann.

  5. Beschränken Sie den DMSA-Zugriff auf das Adressbuch-Tool auf Unternehmensebene- Vermeiden Sie es, dem DMSA-Benutzer Admin-Zugriff auf das Adressbuch-Tool auf Unternehmensebene zu gewähren. Diese Zugriffsebene ermöglicht Änderungen über mehrere Projekte und Tools in Ihrem Procore-Konto hinweg, was sich auf die Arbeitsabläufe Ihres Unternehmens auswirken kann. Erlauben Sie diese Zugriffsebene nur, wenn dies für die Integration unbedingt erforderlich ist, und stellen Sie sicher, dass Sie die Auswirkungen gründlich verstehen.

Understanding Procore API Authentication

Applications built on the Procore platform use the industry standard OAuth 2.0 Authorization Framework for authentication with the API. The Procore API supports the following two authorization grant types, or authentication flows:

Procore company administrators are ultimately responsible for managing the permissions of their directory users regardless of the authorization grant type used by an integration - authorization_code (logged in user's permissions) or client_credentials (service account/DMSA permissions).

Shared Responsibility Security Model

As a Software as a Service (SaaS) provider, Procore follows a shared responsibility model in the context of platform security.

Siehe auch