Proxy-Benutzer
Wenn ein Aufrufer einen Cloud-API-Aufruf ausführt, prüft die Cloud-API, ob der Aufrufer über ausreichenden Endpunkt- und Ressourcenzugriff verfügt. Sofern dies zutrifft, übergibt die Cloud-API die Verarbeitung an die entsprechende interne ClaimCenter-Logik.
Die interne ClaimCenter-Logik kann Code auslösen, der nur mit einem Benutzerkonto aus der Tabelle cc_user vervollständigt werden kann. Zum Beispiel:
- Der Aufruf kann Daten erstellen oder ändern. In diesem Fall erfasst ClaimCenter den Namen von
CreateUseroderUpdateUser. - Der Aufruf kann eine Berechtigungsprüfung auf der Domänenebene auslösen.
- Der Aufruf kann beispielsweise versuchen, dem Aufrufer eine Aktivität zuzuweisen. Dazu muss ClaimCenter überprüfen, ob der Aufrufer über ausreichende Berechtigungen für eine Aktivität verfügt.)
- Der Aufruf kann eine Prüfung des Vollmachtsrahmens auslösen.
- Der Aufruf kann beispielsweise versuchen, eine Zahlung über 2000 $ zu erstellen. ClaimCenter muss prüfen, ob der Betrag der Zahlung den Vollmachtsrahmen des Aufrufers übersteigt.
Wenn der Aufrufer ein interner Benutzer ist, verwendet ClaimCenter für diese Codetypen das interne Benutzerkonto.
- Der interne Benutzer wird als
CreateUseroderUpdateUsererfasst. - Die Benutzerrollen des internen Benutzers werden nach Bedarf auf Berechtigungen auf der Domänenebene überprüft.
- Die Vollmachtsrahmenprofile des internen Benutzers werden bei Bedarf auf Vollmachtsrahmenprüfungen überprüft.
Externe Benutzer und Services werden jedoch nicht in der Tabelle cc_user aufgeführt. Sie können nicht als CreateUser oder UpdateUser erfasst werden. Ihnen werden auch keine Systemberechtigungen oder Vollmachtsrahmen zugewiesen. Wenn also ein Aufruf von einer Person getätigt wird, die kein interner Benutzer ist, weist ClaimCenter dem Anruf einen Proxy-Benutzer zu.
- Wenn durch den Aufruf Daten erstellt oder geändert werden, wird der Proxy-Benutzer als
CreateUseroderUpdateUseraufgeführt. - Wenn der Aufruf eine Berechtigungsprüfung auf Domänenebene auslöst, werden die Benutzerrollen des Proxy-Benutzers überprüft.
- Wenn der Aufruf eine Prüfung des Vollmachtsprofils auslöst, werden die Vollmachtsprofilrahmen des Proxy-Benutzers überprüft.
Proxy-Benutzertypen
Grundsätzlich gibt es drei Typen von Proxy-Benutzertypen:
- Der externe Proxy-Benutzer ist ein Proxy-Benutzer, der Aufrufen von externen Benutzern und Services mit externem Benutzerkontext zugewiesen wird.
- Der Service-Proxy-Benutzer ist ein Proxy-Benutzer, der Aufrufen von eigenständigen Services zugewiesen wird.
- Der nicht authentifizierte Proxy-Benutzer ist ein Proxy-Benutzer, der Aufrufen von nicht authentifizierten Aufrufern zugewiesen wird.
Beachten Sie, dass es für jeden oben genannten Aufrufertyp nur einen Proxy-Benutzer gibt. Mit anderen Worten: Alle externen Benutzer und Services mit externem Benutzerkontext nutzen nur einen Proxy-Benutzer, den externen Proxy-Benutzer. Alle eigenständigen Services nutzen nur einen Proxy-Benutzer, den Service-Proxy-Benutzer.
Technisch gesehen gibt es einen vierten Proxy-Benutzertyp, den Standard-Proxy-Benutzer. Dieser Benutzer wird in der unwahrscheinlichen Situation verwendet, dass der reguläre Proxy-Benutzer dem Aufruf aus irgendeinem Grund nicht zugewiesen werden kann.
Proxy-Benutzer in der Basiskonfiguration
Die Bootstrap-Daten der Basiskonfiguration umfassen die folgenden Proxy-Benutzer. (Bootstrap-Daten werden geladen, wenn das Produkt installiert ist. Sie sind kein Bestandteil von Beispieldaten.)
| Proxy-Benutzertyp | Basiskonfigurationsbenutzer | Benutzerrolle | Vollmachtsrahmenprofil |
|---|---|---|---|
| Externer Proxy-Benutzer | extuser |
Externer Benutzer | (keine) |
| Service-Proxy-Benutzer | serviceuser |
Service-Benutzer | Service-Benutzer |
| Nicht authentifizierter Proxy-Benutzer | uauser |
Nicht authentifizierter Benutzer | (keine) |
| Standard-Proxy-Benutzer | defaultuser |
Standardbenutzer | (keine) |
Um zu verhindern, dass sich jemand als einer dieser Benutzer anmeldet, wird jeder dieser Benutzer mit einem Kennwort erstellt, das ein Zeichen verwendet, das keine gültige Base64-Codierung ist.
Sie können diese Benutzer nach Bedarf konfigurieren. Sie können auch neue Benutzer erstellen und jeden von ihnen als Proxy-Benutzer festlegen.
Proxy-Benutzerzuweisung
Proxy-Benutzer werden vom RestAuthenticationSourceCreatorPlugin-Plugin zugewiesen. In der folgenden Tabelle sind die Bedingungen aufgeführt, die bestimmen, welcher Proxy-Benutzer einem Aufruf zugewiesen werden soll.
| Proxy-Benutzertyp | Wenn dieser Benutzertyp zugewiesen ist |
|---|---|
| Externer Proxy-Benutzer | Der Aufruf umfasst den Scope cc_policyNumbers oder den Scope cc_gwabuid |
| Service-Proxy-Benutzer | Der Aufruf umfasst den Scope cc.service |
| Nicht authentifizierter Proxy-Benutzer | Der Aufruf hat keinen Authentifizierungsheader |
| Standard-Proxy-Benutzer | Der Aufruf erfordert einen Proxy-Benutzer und aus irgendeinem Grund konnte kein anderer Proxy-Benutzer zugewiesen werden |
Das RestAuthenticationSourceCreatorPlugin-Plugin weist vier Parameter auf, einen für jeden Proxy-Benutzertyp. Jeder Parameter wird auf die ID eines internen Benutzers gesetzt. Wenn das Plugin einen bestimmten Proxy-Benutzertyp zuweisen muss, wird der Benutzer mit der zugehörigen Benutzer-ID als Proxy-Benutzer zugewiesen.
In der folgenden Tabelle sind die Parameter, die Parametereinstellungen in der Basiskonfiguration und die Benutzer aufgeführt, denen die Einstellungen entsprechen.
| Parameter | Basiskonfigurationswert | Entsprechender Basiskonfigurationsbenutzer |
|---|---|---|
externalUserPublicId |
default_data:extuser |
extuser |
servicePublicId |
default_data:serviceuser |
serviceuser |
unathenticatedUserPublicId |
default_data:uauser |
uauser |
defaultPublicId |
default_data:defaultuser |
defaultuser |