Authentifizierungsarchitektur

Die Authentifizierungsarchitektur für System-APIs besteht aus:

  • Der InsuranceSuite-Anwendung (z. B. PolicyCenter)
  • Guidewire Identity Federation Hub
  • Dem Identitätsanbieter (IdP) des Versicherers
  • Einem Satz oder mehrerer Sätze aufrufender Anwendungen

Beachten Sie, dass einige Teile der Architektur für alle System-API-Aufrufe relevant sind, unabhängig vom Aufrufertyp. Andere Teile der Architektur sind dagegen nur für bestimmte Arten von Aufrufern relevant.

Guidewire Hub

Guidewire Identity Federation Hub (Guidewire Hub) ist der vertrauenswürdige Authentifizierungsserver für alle Guidewire-Cloud-Anwendungen, einschließlich aufrufender Anwendungen, die Versicherer für den Zugriff auf Guidewire-Cloud-Ressourcen erstellen. Guidewire Hub verwendet OAuth 2.0 und SAML für Identitätsverwaltungsdienste.

Guidewire Hub hat die folgenden Hauptaufgaben:

  • Für interne und externe Benutzer:
    • Empfangen von Authentifizierungsanforderungen von InsuranceSuite-Anwendungen und aufrufenden Anwendungen
    • Verknüpfen dieser Authentifizierungsanforderungen mit dem richtigen IdP
    • Erstellen von JWTs, die Benutzer verifizieren und deren Autorisierung ermitteln
  • Für Services:
    • Authentifizieren der Services
    • Erstellen von JWTs, die Dienste überprüfen und deren Autorisierung ermitteln

Identitätsanbieter des Versicherers

Ein Identitätsanbieter (IdP) ist eine Anwendung oder ein Dienst, die/der Identitätsinformationen für interne und externe Benutzer erstellt, fortschreibt und verwaltet. Jeder Versicherer, der Guidewire-Cloud-Anwendungen verwendet, muss einen Identitätsanbieter (IdP) bereitstellen.

Der IdP hat die folgenden Hauptaufgaben:

  • Für interne und externe Benutzer:
    • Verwalten der Benutzernamen und Kennwörter
    • Verwalten der Angaben zur Autorisierung jedes Benutzers
    • Authentifizieren der Benutzer und Angabe ihrer Autorisierungsinformationen, wenn eine Anforderung vom Guidewire Hub eingeht

Der IdP spielt bei der Dienstauthentifizierung oder -autorisierung keine Rolle.

Die aufrufenden Anwendungen

Jede aufrufende Anwendung, die System-APIs verwendet, muss bei jedem API-Aufruf (mit Ausnahme nicht authentifizierter Aufrufe) Authentifizierungsinformationen bereitstellen.

Im Hinblick auf die Authentifizierung sind die Hauptaufgaben jeder aufrufenden Anwendung:

  • Für interne und externe Benutzer:
    • Senden der Authentifizierungsanforderungen an Guidewire Hub (der diese Anforderungen dann an den entsprechenden IdP übermittelt)
  • Für anonyme Benutzer:
    • Senden nicht authentifizierter Anforderungen zum Erstellen von Konten (die Antwort auf diese Anforderungen enthält auch ein von PolicyCenter erstelltes selbstsigniertes JWT)
  • Für Services:
    • Senden von Authentifizierungsanforderungen an den Guidewire Hub (die vom Guidewire Hub ohne Beteiligung des IdP ausgeführt werden)
  • Für alle Aufrufer:
    • Vorübergehendes Speichern der vom Guidewire Hub erstellten JWTs, sodass sie in die System-API-Aufrufe für die jeweiligen Aufrufer einbezogen werden können
    • Vorübergehendes Speichern selbstsignierter JWTs, die von PolicyCenter für anonyme Benutzer erstellt wurden, so dass sie in die System-API-Aufrufe für diese anonymen Benutzer einbezogen werden können

Die InsuranceSuite-System-APIs

Im Hinblick auf die Authentifizierung sind die Hauptaufgaben der System-APIs:

  • Für authentifizierte Aufrufer:
    • Überprüfen, ob jeder API-Aufruf eine gültige Authentifizierung enthält
    • Beschränken des Zugriffs jedes API-Aufrufs auf nur die Endpunkte, Operationen, Felder und spezifischen Ressourcen, zu deren Verwendung der Benutzer berechtigt ist
  • Für nicht authentifizierte Aufrufer:
    • Beschränken des Zugriffs jedes API-Aufrufs auf die entsprechenden Endpunkte, Operationen, Felder und Ressourcen
      • In der Regel ist dieser Zugriff auf API-Metadaten oder die Kontoerstellung für Aufrufer beschränkt, die anonyme Benutzer werden