Saltar al contenido principal
Procore

¿Cómo se gestiona la seguridad con aplicaciones de terceros?

Seguridad de la API de Procore

Los clientes de Procore pueden preguntar cómo se gestiona la seguridad de aplicaciones e integraciones creadas por desarrolladores externos que utilizan la API de Procore. Procore emplea lo que muchos consideran el estándar del sector para la autenticación de API: OAuth 2.0. El marco de autenticación de OAuth 2.0 es un medio seguro para autorizar y autenticar el acceso a los datos del usuario para aplicaciones de terceros. OAuth 2.0 se basa en SSL (Secure Sockets Layer/Capa de sockets segura) para garantizar que la transferencia de datos entre el servidor web y los navegadores se mantenga privada y segura. OAuth 2.0 protege los datos del usuario de Procore al proporcionar acceso sin revelar la identidad del usuario. Las aplicaciones de terceros realizan solicitudes en nombre del usuario sin obtener acceso a las contraseñas o a otra información confidencial.

Los programadores que crean soluciones con la API de Procore implementan uno de varios tipos de concesión de autorización de OAuth 2.0 según el caso de uso de la aplicación en particular. Los tipos de concesión de OAuth 2.0 admitidos por la API de Procore se basan en el uso de tokens cifrados, que son valores de cadena que representan la autorización y autenticación de una aplicación específica para obtener acceso a los datos en Procore en nombre de un usuario de Procore. 

Consideraciones adicionales

Gestión de aplicaciones

Los administradores de la empresa también pueden desempeñar un papel en el fomento de las prácticas recomendadas de seguridad por medio de una gestión de aplicaciones adecuada. Los administradores de la empresa utilizan la función de gestión de aplicaciones de la herramienta Administrador de nivel de empresa para realizar varias tareas relacionadas con la instalación y gestión de aplicaciones, así como para configurarlas para usarlas en proyectos. Los administradores de la empresa tienen un control total sobre las aplicaciones que se instalan en una empresa y supervisan el uso de las aplicaciones en los proyectos. La instalación de la aplicación se puede delegar habilitando la opción Permitir instalaciones de usuario.

Cuentas de servicio

Varias integraciones creadas para funcionar con Procore utilizan cuentas de servicio para gestionar la autorización y la autenticación. Las cuentas de servicio le permiten admitir integraciones que requieren el flujo de concesión de credenciales de cliente, como se define en la especificación de OAuth 2.0. En este escenario, las aplicaciones necesitan una forma de recuperar un token de acceso de OAuth 2.0 fuera del contexto de cualquier usuario de Procore específico. OAuth 2.0 proporciona el tipo de concesión de credenciales de cliente para este propósito. Se generan client_id y client_secret únicos cuando un administrador de la empresa crea una nueva cuenta de servicio. Una vez que se haya creado la cuenta de servicio, el administrador de la empresa puede configurar los permisos de la cuenta de servicio para definir específicamente cómo obtendrá acceso la integración a los datos de Procore y qué acciones estarán permitidas.

 Nota
La aplicación y las credenciales de usuario en Procore están protegidas contra cualquier actor malintencionado de la misma manera que todos nuestros demás datos lo están. Aunque todos los desarrolladores externos están de acuerdo con los términos de uso del portal para desarrolladores de Procore, no sabemos en concreto cuáles son sus propias prácticas de seguridad en todos los casos.