Übersicht über die Authentifizierung für anonyme Benutzer

Lebenszyklus eines anonymen Benutzers

Aus technischer Sicht ist ein anonymer Benutzer erst ein nicht authentifizierter Benutzer, der ein Konto mit dem POST /accounts-Endpunkt erstellt. PolicyCenter hat ein selbstsigniertes JWT erstellt, das mit der Antwort auf den API-Aufruf gesendet wird. Die aufrufende Anwendung kann diese JWT speichern und für spätere Aufrufe in derselben Sitzung verwenden. Bei diesen späteren Aufrufen gilt der Benutzer als anonymer Benutzer. Wenn der Benutzer eine Police verbindlich macht, werden die Informationen des Benutzers voraussichtlich an den IdP gesendet. Bei nachfolgenden Besuchen ist der Benutzer ein externer Benutzer. (Beachten Sie, dass die meisten JWTs, die bei der Authentifizierung über Bearer-Token verwendet werden, vom Guidewire Hub stammen. Der anonyme Benutzerablauf ist der einzige Ablauf, der JWTs verwendet, die von einem anderen Ort als Guidewire Hub stammen.)

Anmeldeinformationen

Per Definition hat ein anonymer Benutzer zunächst keine Anmeldeinformationen. Wenn der Benutzer eine Police verbindlich macht, wird er logisch zu einem externen Benutzer. An dieser Stelle würden der Benutzername und das Kennwort des Benutzers im IdP gespeichert.

Weitere Informationen zur Konfiguration des IdP finden Sie unter IdP konfigurieren.

Autorisierung

Endpunktzugriff für anonyme Benutzer

Der Endpunktzugriff definiert die Verhaltensweisen eines Endpunkts, die für einen Aufrufer verfügbar sind, genauer. Dazu gehören:

  • Welche Endpunkte und Ressourcentypen stehen dem Aufrufer zur Verfügung?
  • Welche Operationen kann ein Aufrufer am verfügbaren Endpunkt aufrufen?
  • Welche Felder kann der Aufrufer in den Anforderungs-Nutzdaten angeben oder in den Antwort-Nutzdaten abrufen?

Der Endpunktzugriff wird durch API-Rollen gesteuert. Eine API-Rolle ist eine Liste von Endpunkten, Operationen und Feldern, die für eine Reihe von Aufrufern über API-Aufrufe verfügbar sind. API-Rollen fungieren als Allowlists. Standardmäßig hat ein Aufrufer keinen Endpunktzugriff. Wenn der Aufrufer mit einer oder mehreren API-Rollen verknüpft ist, erhält er Zugriff auf die in jeder dieser API-Rollen aufgeführten Endpunkte, Operationen und Felder.

Wenn ein anonymer Aufrufer einen System-API-Aufruf ausführt, weisen die System-APIs diese automatisch der Rolle „Anonym“ zu.

Weitere Informationen zur Konfiguration von API-Rollen finden Sie unter Endpunktzugriff.

Ressourcenzugriff für anonyme Benutzer

Der Ressourcenzugriff definiert für einen bestimmten Ressourcentyp, auf welche Instanzen dieses Ressourcentyps der Aufrufer zugreifen kann. Als Beispiel folgende Annahme: Es gibt einen GET /claims-Endpunkt, der für Versicherungsnehmer, Underwriter, Schadenregulierer und Serviceanbieter verfügbar ist. Alle diese Aufrufer können mit dem Endpunkt auf Ressourcen zugreifen, deren Typ claim ist. Keiner der Aufrufer kann jedoch auf alle Schadenfälle zugreifen. Zum Beispiel:

  • Einem Versicherungsnehmer werden möglicherweise nur die Schadenfälle angezeigt, die den von ihm gehaltenen Policen zugeordnet sind.
  • Einem Underwriter werden möglicherweise nur die Schadenfälle für die ihm zugewiesenen Policen angezeigt.
  • Einem Schadenregulierer werden möglicherweise nur die ihm zugewiesenen Schadenfälle angezeigt.
  • Einem Serviceanbieter werden möglicherweise nur die Schadenfälle angezeigt, denen eine Serviceanfrage zugewiesen ist.

Eine Ressourcenzugriffsstrategie ist ein Logiksatz, der die Bedeutung einer Ressourcenzugriffs-ID identifiziert. Anonyme Benutzer verwenden dieselbe Ressourcenzugriffsstrategie wie externe Benutzer. Die Basiskonfiguration umfasst die folgenden Ressourcenzugriffsstrategien für externe Benutzer:

Name der Strategie Rolle, die diese Strategie verwendet Für die Ressourcenzugriffs-ID wird angenommen... Gewährt Zugriff auf...
pc_accountNumbers Kontoinhaber (einschließlich anonymer Benutzer, die ein Konto erstellt haben) Ein Array von Kontonummern Mit dem Konto verknüpfte Informationen

Für anonyme Benutzer wird automatisch die Strategie pc_accountNumbers verwendet. Jede Ressourcenzugriffs-ID wird als Liste mit Kontonummern behandelt. Der Benutzer erhält Zugriff auf alle Konten mit diesen Nummern.

Weitere Informationen zum Verhalten des Ressourcenzugriffs finden Sie unter Ressourcenzugriff.

Proxy-Benutzerzugriff für anonyme Benutzer

Wenn ein Aufrufer einen System-API-Aufruf durchführt, kann die interne Logik von PolicyCenter Prüfungen auslösen, die in keinem Zusammenhang mit dem Endpunkt- oder Ressourcenzugriff stehen. Zum Beispiel:

  • Ein Aufrufer kann versuchen, sich selbst eine Aktivität zuzuweisen. PolicyCenter muss prüfen, ob der Aufrufer über ausreichende Berechtigungen zum Besitz einer Aktivität verfügt.
  • Beispielsweise kann ein Aufrufer versuchen, eine Unfalldeckung mit einem Selbstbehalt von weniger als 1000 $ zu erstellen. PolicyCenter muss prüfen, ob der Betrag der Deckungsbedingung innerhalb des Vollmachtsrahmens des Aufrufers liegt.

Anonyme Benutzer sind nicht in der PolicyCenter-Betriebsdatenbank aufgeführt und haben daher keine Systemberechtigungen oder Vollmachtsrahmen. Um diese Prüfungen auszuführen, verwenden die System-APIs Proxy-Benutzer. Ein Proxy-Benutzer ist ein interner Benutzer, der einem externen Benutzer oder Service zugewiesen wird, wenn ein externer Benutzer oder Service einen API-Aufruf auslöst. Wenn die interne Logik von PolicyCenter prüfen muss, ob der Aufrufer über ausreichenden Zugriff verfügt, wird der Proxy-Benutzer überprüft. Anonymen Benutzern wird der Proxy-Benutzerzugriff zugewiesen, als ob sie externe Benutzer wären.

Weitere Informationen zum Verhalten des Proxy-Benutzerzugriffs finden Sie unter Proxy-Benutzerzugriff.

JWTs für anonyme Benutzer

JSON-Webtoken (JWTs) enthalten Token-Claims. (Im JWT-Jargon werden diese einfach als „Claims“ bezeichnet. Um Verwechslungen mit Schadenfällen (engl. „claims“) im Sinne der Sach- und Unfallversicherung zu vermeiden, werden JWT Claims in dieser Dokumentation immer als „Token-Claims“ bezeichnet.) Ein Token-Claim ist eine zum Inhaber des Tokens bereitgestellte Information, z. B. der Name des Inhabers. Für die Bearer-Token-Authentifizierung werden Authentifizierungsinformationen in Token-Claims gespeichert.

JWTs für anonyme Benutzer können die folgenden Token-Claims enthalten:

  • groups: Die API-Rollen, die dem anonymen Benutzer zugewiesen werden
  • scp: Die Ressourcenzugriffs-IDs (die als Kontonummern behandelt werden) ~WIRKLICH?
  • pc_accountNumbers: Die Ressourcenzugriffs-IDs (die als Kontonummern behandelt werden)

Das folgende JWT gilt beispielsweise für einen anonymen Benutzer, der das Konto C000999111 erstellt hat. (Informationen, die für die System-API-Autorisierung nicht relevant sind, wurden ausgelassen.)

{
    "groups" : [
        "pc.anonymous"
    ],
    "scp": [
        "pc_accountNumbers"
    ],
    "pc_accountNumbers": [
        "C000999111"
    ]
}

Beachten Sie die folgenden Punkte:

  • Basierend auf dem groups-Token-Claiml erhält dieser Aufrufer Endpunktzugriff, wie in der Rolle „Anonym“ definiert.
  • Basierend auf dem scp-Token-Claim werden die Ressourcenzugriffs-IDs dieses Aufrufers als Kontonummern interpretiert.
  • Basierend auf dem pc_accountNumbers-Token-Claim hat dieser Aufrufer Zugriff auf Informationen zum Konto C000999111.