¿Cómo se gestiona la seguridad con aplicaciones de terceros?
Seguridad de la API de Procore
Los clientes de Procore pueden preguntar cómo se gestiona la seguridad de aplicaciones e integraciones creadas por desarrolladores externos que utilizan la API de Procore. Procore emplea lo que muchos consideran el estándar del sector para la autenticación de API: OAuth 2.0. El marco de autenticación de OAuth 2.0 es un medio seguro para autorizar y autenticar el acceso a los datos del usuario para aplicaciones de terceros. OAuth 2.0 se basa en SSL (Secure Sockets Layer/Capa de sockets segura) para garantizar que la transferencia de datos entre el servidor web y los navegadores se mantenga privada y segura. OAuth 2.0 protege los datos del usuario de Procore al proporcionar acceso sin revelar la identidad del usuario. Las aplicaciones de terceros realizan solicitudes en nombre del usuario sin obtener acceso a las contraseñas o a otra información confidencial.
Los desarrolladores que construyen soluciones con la API de Procore implementan uno de los varios tipos de concesión de autorización OAuth 2.0 [1] dependiendo de su caso de uso particular de la aplicación. Los tipos de concesión OAuth 2.0 soportados por la API de Procore se basan en el uso de tokens encriptados que son valores de cadena que representan la autorización y autenticación de una aplicación específica para acceder a los datos en Procore en nombre de un usuario de Procore.
Consideraciones adicionales
Gestión de aplicaciones
Los administradores de la empresa también pueden desempeñar un papel en el fomento de las prácticas recomendadas de seguridad por medio de una gestión de aplicaciones adecuada. Los administradores de la empresa utilizan la función de gestión de aplicaciones de la herramienta Administrador de nivel de empresa para realizar varias tareas relacionadas con la instalación y gestión de aplicaciones, así como para configurarlas para usarlas en proyectos. Los administradores de la empresa tienen un control total sobre las aplicaciones que se instalan en una empresa y supervisan el uso de las aplicaciones en los proyectos. La instalación de la aplicación se puede delegar habilitando la opción Permitir instalaciones de usuario.
Cuentas de servicio
Varias integraciones creadas para trabajar con Procore utilizan Service Accounts para gestionar la autorización y la autenticación. Las cuentas de servicios le permiten admitir integraciones que requieren el flujo de concesión de credenciales de cliente, tal como se define en la especificación OAuth 2.0. En este escenario, las aplicaciones necesitan una forma de recuperar un token de acceso OAuth 2.0 fuera del contexto de cualquier usuario específico de Procore. OAuth 2.0 proporciona el tipo de concesión Credenciales de cliente para este propósito. Un único client_id y client_secret se genera cuando un administrador de la empresa crea una nueva Cuenta de Servicio. Una vez creada la cuenta de servicio, el administrador de la empresa puede Configurar los permisos de la cuenta de servicio para definir específicamente cómo accederá la integración a los datos de Procore y qué acciones están permitidas.