Zuweisen von API-Rollen an Aufrufer
Wie API-Rollen einem Aufrufer zugewiesen werden, hängt vom Aufrufertyp ab.
Zuweisen von API-Rollen an interne Benutzer
Ein interner Benutzer ist eine Person, die in der PolicyCenter-Betriebsdatenbank als Benutzer aufgeführt ist. Beispielsweise ist Alice Applegate, ein Underwriter in PolicyCenter, ein interner Benutzer.
Wenn ein interner Benutzer einen System-API-Aufruf durchführt (entweder über die Standardauthentifizierung oder Bearer-Token-Authentifizierung), fragt PolicyCenter die Betriebsdatenbank nach den Benutzerrollen dieses internen Benutzers ab. Der Benutzer erhält Endpunktzugriff auf alle API-Rollen, deren Namen den Namen der Benutzerrollen des Benutzers entsprechen.
Als Beispiel folgende Annahme: Alice Applegate ist eine interne Benutzerin mit zwei Benutzerrollen: Underwriter und Rückversicherungsmanager. Alice Applegate löst einen System-API-Aufruf aus. Wenn der API-Aufruf empfangen wird, fragt PolicyCenter die Datenbank nach den Benutzerrollen von Alice ab. Es werden zwei Benutzerrollen zurückgegeben: Underwriter und Rückversicherungsmanager. PolicyCenter gewährt dann Alice den in den API-Rollen „Underwriter“ und „Rückversicherungsmanager“ definierten Endpunktzugriff.
API-Rollen und PolicyCenter-Benutzerrollen
Für interne Benutzer gibt es zwei Sets von Rollen, die zum Aktivieren des Endpunktzugriffs verwendet werden. Für jede logische Rolle gibt es eine PolicyCenter-Benutzerrolle und eine API-Rolle mit demselben Namen. Die API-Rolle bietet Endpunktzugriff, der mit der Benutzerrolle vergleichbar ist.
In der folgenden Tabelle werden die beiden Rollentypen miteinander verglichen.
| Rollentyp | Was wird mit der Rolle angegeben? | Für interne Benutzer, die sich direkt bei PolicyCenter anmelden... | Für interne Benutzer, die einen System-API-Aufruf auslösen... | Wo wird die Rolle konfiguriert? |
|---|---|---|---|---|
|
InsuranceSuite-Benutzerrolle |
eine Set von Systemberechtigungen | Gibt an, was der Benutzer über die PolicyCenter-Benutzeroberfläche tun kann | Damit wird bestimmt, welche API-Rollen dem Benutzer zugewiesen werden sollen | Das Fenster Rollen auf der PolicyCenter-Registerkarte Verwaltung |
| API-Rolle | Eine Liste zugänglicher Endpunkte, Operationen und Felder | Nicht zutreffend | Gibt den Endpunktzugriff an, der dem Benutzer gewährt wird | Ein Set von YAML-Dateien in Studio |
Zuweisen von API-Rollen an externe Benutzer und Services
Ein externer Benutzer ist eine Person, die dem Versicherer bekannt, aber nicht als Benutzer in der PolicyCenter-Betriebsdatenbank aufgeführt ist. Ein Service ist eine Service-to-Service-Anwendung.
Wenn externe Benutzer oder Services API-Aufrufe durchführen, enthält der Aufruf ein JWT (JSON Web Token). Dieses JWT enthält Authentifizierungsinformationen über den Aufrufer, einschließlich der API-Rollen, die dem Aufrufer zugewiesen werden sollen.
Analysieren von API-Rolleninformationen in einem JWT
Wenn PolicyCenter ein JWT empfängt, sucht es nach den API-Rollen, die gewährt werden sollen. Diese Informationen befinden sich entweder im groups-Token-Claim (für externe Benutzer) oder im scp-Token-Claim (für Services). Jeder Wert im entsprechenden Token-Claim wird als API-Rolle angenommen, wenn er mit „gwa.<planetclass>.<xc>.“ beginnt, wobei <planetclass> entweder auf "prod", „preprod“ oder „lower“ gesetzt ist und wobei <xc> der Anwendungscode ist (z. B. „cc“ oder „pc“). Für jeden Wert führt PolicyCenter Folgendes aus:
- Es entfernt die Präfix-Teilzeichenfolge „
gwa.<planetclass>.<xc>.“. - Es wandelt alle Leerzeichen in der verbleibenden Zeichenkette in Unterstriche um.
- Anschließend sucht es nach einer API-Rollendatei mit demselben Namen.
Als Beispiel folgende Annahme: Es gibt einen externen JWT-Benutzer mit einem groups-Token-Claim, der die folgende Zeichenfolge enthält: "gwa.prod.pc.Customer Service Representative". PolicyCenter entfernt das einleitende „gwa.prod.pc.“ und wandelt die Leerzeichen in Unterstriche um, was zu der Zeichenfolge „Customer_Service_Representative“ führt. Anschließend sucht es nach einer API-Rolle mit dem Dateinamen „Customer_Service_Representative.role.yaml“.
Wenn zwischen den resultierenden Zeichenfolgen und den API-Rollennamen keine Übereinstimmungen bestehen, erhält der Aufrufer keinen Endpunktzugriff.
Wenn es mehrere Übereinstimmungen zwischen den resultierenden Teilzeichenfolgen und API-Rollennamen gibt, erhält der Aufrufer den Zugriff, der in allen übereinstimmenden Rollen angegeben ist. Mit anderen Worten, die API-Rollen werden mit AND verknüpft.
Zuweisen von API-Rollen zu anderen Aufrufertypen
Ein nicht authentifizierter Aufrufer ist ein Benutzer oder ein Service, der keine Authentifizierungsinformationen angibt. Nicht authentifizierte Aufrufer können nur auf Metadatenendpunkte und die Endpunkte zum Erstellen eines Kontos zugreifen. Nicht authentifizierte Aufrufer erhalten automatisch die API-Rolle Unauthenticated.
Ein anonymer Benutzer ist eine Person, die dem Versicherer noch nicht bekannt ist, aber eine Geschäftsbeziehung mit dem Versicherer eingehen kann. In der Regel kann ein anonymer Benutzer nur ein Konto (und die zugehörigen Objekte) erstellen, ein Angebot für einen Antrag erstellen und einen Antrag verbindlich machen. Sobald ein anonymer Benutzer einen Antrag verbindlich macht, wird er logisch von einem anonymen Benutzer zu einem externen Benutzer.
Jeder anonyme Benutzer beginnt als nicht authentifizierter Benutzer. Nachdem der Benutzer ein Konto erstellt hat, generiert PolicyCenter ein selbstsigniertes JWT. Dieses JWT gewährt dem Benutzer Zugriff auf die API-Rolle mit dem Namen anonymous.