Passer au contenu principal
Procore

Comment la sécurité est-elle gérée avec les applications tierces?

Sécurité de l'API Procore

Les clients de Procore peuvent demander comment la sécurité est gérée pour les applications et les intégrations créées par des développeurs tiers utilisant l'API Procore. Procore utilise ce que beaucoup considèrent comme la norme de l'industrie pour l'authentification API - OAuth 2.0. Le cadre d'authentification OAuth 2.0 fournit un moyen sécurisé d'autoriser et d'authentifier l'accès aux données utilisateur pour des applications tierces. OAuth 2.0 s'appuie sur SSL (Secure Sockets Layer) pour garantir que le transfert de données entre le serveur Web et les navigateurs reste privé et sécurisé. OAuth 2.0 protège les données utilisateur de Procore en fournissant un accès sans révéler l'identité de l'utilisateur. Les applications tierces effectuent des demandes au nom de l'utilisateur sans accéder aux mots de passe et autres informations sensibles.

Les développeurs qui créent des solutions avec l'API Procore implémentent l'un des nombreux types d'octroi d'autorisation OAuth 2.0 en fonction de leur cas d'utilisation d'application particulière. Les types d'octroi OAuth 2.0 pris en charge par l'API Procore reposent sur l'utilisation de jetons chiffrés qui sont des valeurs de chaîne qui représentent l'autorisation et l'authentification d'une application spécifique pour accéder aux données dans Procore au nom d'un utilisateur Procore.

Considérations supplémentaires

Gestion des applications

Les administrateurs de la compagnie peuvent également jouer un rôle dans la promotion de bonnes pratiques de sécurité par une gestion des applications appropriée. Les administrateurs de la compagnie utilisent la fonctionnalité de gestion des applications de l'outil Admin au niveau de la compagnie pour effectuer diverses tâches liées à l'installation et à la gestion des applications, ainsi que pour les configurer en vue de leur utilisation dans des projets. Les administrateurs de la compagnie ont un contrôle complet sur les applications installées dans une compagnie et supervisent l'utilisation des applications dans les projets. L'installation de l'application peut être déléguée en activant l'option Autoriser les installations d'utilisateur.

Compte de service

Un certain nombre d'intégrations conçues pour fonctionner avec Procore utilisent des comptes de service pour gérer l'autorisation et l'authentification. Les comptes de services vous permettent de prendre en charge les intégrations qui nécessitent le flux d'octroi d'informations d'identification client tel que défini dans la spécification OAuth 2.0. Dans ce scénario, les applications ont besoin d'un moyen de récupérer un jeton d'accès OAuth 2.0 en dehors du contexte d'un utilisateur Procore spécifique. OAuth 2.0 fournit le type d'octroi d'informations d'identification du client à cet effet. Un client_id et client_secret uniques sont générés lorsqu'un nouveau compte de service est créé par un administrateur de l'entreprise. Une fois le compte de service créé, un administrateur de l'entreprise peut configurer les autorisations du compte de service pour définir spécifiquement comment l'intégration accédera aux données dans Procore et quelles actions sont autorisées.

 Remarque
Les informations d'identification des applications et des utilisateurs dans Procore sont protégées contre tout acteur malveillant de la même manière que toutes nos autres données sont protégées. Bien que tous les développeurs tiers acceptent les conditions d'utilisation du portail des développeurs Procore, leurs propres pratiques de sécurité ne nous sont pas spécifiquement connues dans tous les cas.