Zuweisen von API-Rollen an Aufrufer
Wie API-Rollen einem Aufrufer zugewiesen werden, hängt vom Aufrufertyp ab.
Zuweisen von API-Rollen an interne Benutzer
Ein interner Benutzer ist eine Person, die in der ClaimCenter-Betriebsdatenbank als Benutzer aufgeführt ist. Zum Beispiel: Andy Applegate, Schadenregulierer in ClaimCenter, ist ein interner Benutzer.
Wenn ein interner Benutzer einen System-API-Aufruf durchführt (entweder über die Standardauthentifizierung oder Bearer-Token-Authentifizierung), fragt ClaimCenter die Betriebsdatenbank nach den Benutzerrollen dieses internen Benutzers ab. Der Benutzer erhält Endpunktzugriff auf alle API-Rollen, deren Namen den Namen der Benutzerrollen des Benutzers entsprechen.
Als Beispiel folgende Annahme: Andy Applegate ist ein interner Benutzer mit zwei Benutzerrollen: Schadenregulierer und Rückversicherungsmanager. Andy Applegate löst einen System-API-Aufruf aus. Wenn der API-Aufruf empfangen wird, fragt ClaimCenter die Datenbank nach Andys Benutzerrollen ab. Es werden zwei Benutzerrollen zurückgegeben: Schadenregulierer und Rückversicherungsmanager. ClaimCenter gewährt dann Andy den in den API-Rollen „Schadenregulierer“ und „Rückversicherungsmanager“ definierten Endpunktzugriff.
API-Rollen und ClaimCenter-Benutzerrollen
Für interne Benutzer gibt es zwei Sets von Rollen, die zum Aktivieren des Endpunktzugriffs verwendet werden. Für jede logische Rolle gibt es eine ClaimCenter-Benutzerrolle und eine API-Rolle mit demselben Namen. Die API-Rolle bietet Endpunktzugriff, der mit der Benutzerrolle vergleichbar ist.
In der folgenden Tabelle werden die beiden Rollentypen miteinander verglichen.
| Rollentyp | Was wird mit der Rolle angegeben? | Für interne Benutzer, die sich direkt bei ClaimCenter anmelden... | Für interne Benutzer, die einen System-API-Aufruf auslösen... | Wo wird die Rolle konfiguriert? |
|---|---|---|---|---|
|
InsuranceSuite-Benutzerrolle |
eine Set von Systemberechtigungen | Gibt an, was der Benutzer über die ClaimCenter-Benutzeroberfläche tun kann | Damit wird bestimmt, welche API-Rollen dem Benutzer zugewiesen werden sollen | Das Fenster Rollen auf der ClaimCenter-Registerkarte Verwaltung |
| API-Rolle | Eine Liste zugänglicher Endpunkte, Operationen und Felder | Nicht zutreffend | Gibt den Endpunktzugriff an, der dem Benutzer gewährt wird | Ein Set von YAML-Dateien in Studio |
Zuweisen von API-Rollen an externe Benutzer und Services
Ein externer Benutzer ist eine Person, die dem Versicherer bekannt, aber nicht als Benutzer in der ClaimCenter-Betriebsdatenbank aufgeführt ist. Ein Service ist eine Service-to-Service-Anwendung.
Wenn externe Benutzer oder Services API-Aufrufe durchführen, enthält der Aufruf ein JWT (JSON Web Token). Dieses JWT enthält Authentifizierungsinformationen über den Aufrufer, einschließlich der API-Rollen, die dem Aufrufer zugewiesen werden sollen.
Analysieren von API-Rolleninformationen in einem JWT
Wenn ClaimCenter ein JWT empfängt, sucht es nach den API-Rollen, die gewährt werden sollen. Diese Informationen befinden sich entweder im groups-Token-Claim (für externe Benutzer) oder im scp-Token-Claim (für Services). Jeder Wert im entsprechenden Token-Claim wird als API-Rolle angenommen, wenn er mit „gwa.<planetclass>.<xc>.“ beginnt, wobei <planetclass> entweder auf "prod", „preprod“ oder „lower“ gesetzt ist und wobei <xc> der Anwendungscode ist (z. B. „cc“ oder „pc“). Für jeden Wert führt ClaimCenter Folgendes aus:
- Es entfernt die Präfix-Teilzeichenfolge „
gwa.<planetclass>.<xc>.“. - Es wandelt alle Leerzeichen in der verbleibenden Zeichenkette in Unterstriche um.
- Anschließend sucht es nach einer API-Rollendatei mit demselben Namen.
Als Beispiel folgende Annahme: Es gibt einen externen JWT-Benutzer mit einem groups-Token-Claim, der die folgende Zeichenfolge enthält: "gwa.prod.cc.Customer Service Representative". ClaimCenter entfernt das einleitende „gwa.prod.cc.“ und wandelt die Leerzeichen in Unterstriche um, was zu der Zeichenfolge „Customer_Service_Representative“ führt. Anschließend sucht es nach einer API-Rolle mit dem Dateinamen „Customer_Service_Representative.role.yaml“.
Wenn zwischen den resultierenden Zeichenfolgen und den API-Rollennamen keine Übereinstimmungen bestehen, erhält der Aufrufer keinen Endpunktzugriff.
Wenn es mehrere Übereinstimmungen zwischen den resultierenden Teilzeichenfolgen und API-Rollennamen gibt, erhält der Aufrufer den Zugriff, der in allen übereinstimmenden Rollen angegeben ist. Mit anderen Worten, die API-Rollen werden mit AND verknüpft.
Zuweisen von API-Rollen zu anderen Aufrufertypen
Ein nicht authentifizierter Aufrufer ist ein Benutzer oder ein Service, der keine Authentifizierungsinformationen angibt. Nicht authentifizierte Aufrufer können nur auf Metadatenendpunkte zugreifen. Nicht authentifizierte Aufrufer erhalten automatisch die API-Rolle Unauthenticated.