IdP konfigurieren

Für interne Benutzer muss der IdP Folgendes speichern:

  • Die Anmeldeinformationen des Benutzers (z. B. Benutzername und Kennwort)

Für externe Benutzer muss der IdP Folgendes speichern:

  • Die Anmeldeinformationen des Benutzers (z. B. Benutzername und Kennwort)
  • Die Liste der API-Rollen, die dem Benutzer gewährt werden sollen
  • Die Ressourcenzugriffs-ID des Benutzers

Der IdP muss diese Informationen bei der Bestätigung der Identität des Benutzers an Guidewire Hub bereitstellen. Diese Informationen werden verwendet, um die Identität des Benutzers zu überprüfen und den Endpunkt- und Ressourcenzugriff des Benutzers zu bestimmen.

Konfigurieren des IdP für die Bearer-Token-Authentifizierung

Prozedur

  1. Konfigurieren Sie Ihren IdP so, dass er alle API-Rollen kennt, die externen Benutzern zugewiesen sind.
    • In der Regel erfolgt dies mit IdP-Gruppen.
    • Jedem Gruppennamen muss das Präfix „gwa.<planetclass>.pc.“ vorangestellt werden, wobei <planetclass> entweder auf „prod“, „preprod“ oder „lower“ gesetzt ist.
    • Nach diesem Präfix muss jeder Gruppenname mit einem System-API-Rollennamen identisch sein.
    • Um beispielsweise Benutzer einer API-Rolle mit der Bezeichnung „Account_Holders“ für einen Produktionsplaneten zuzuweisen, muss die IdP-Gruppe „gwa.prod.pc.Account_Holders“ heißen.
  2. Konfigurieren Sie Ihren IdP so, dass jeder Benutzer mit seinen Anmeldeinformationen (z. B. Benutzername und Kennwort) verknüpft ist.
  3. Konfigurieren Sie Ihren IdP so, dass jeder externe Benutzer mit seinen API-Rollen verknüpft ist.
  4. Konfigurieren Sie Ihren IdP so, dass jeder externe Benutzer mit den richtigen Ressourcenzugriffs-IDs verknüpft ist:
    • Für Kontoinhaber ist dies ein Array aus einer oder mehreren Kontonummern.
  5. Konfigurieren Sie Ihren IdP so, dass bei der Überprüfung eines Benutzers die Autorisierungsinformationen unter Verwendung der folgenden Attributnamen bestätigt werden:
    • Der Benutzername wird als pc_username bestätigt.
    • API-Rollen werden als Array mit der Bezeichnung groups bestätigt.
    • Ressourcenzugriffs-IDs für Kontoinhaber werden als Array mit der Bezeichnung pc_accountNumbers bestätigt.