未認証呼び出し元に対する認証の概要

未認証呼び出し元に対するエンドポイントアクセス権

エンドポイントのアクセス権では、呼び出し元で使用できるエンドポイントの動作のさまざまな側面を定義します。これには、以下が含まれます。

• 呼び出し元が使用できるエンドポイントとリソースの種類。
• 呼び出し元が使用可能なエンドポイントで呼び出せる操作。
• 呼び出し元が要求ペイロードで指定できたり応答ペイロードで取得できるフィールド。

エンドポイントアクセス権は API 役割によって制御されます。API 役割は、エンドポイント、操作、およびフィールドのリストであり、API 呼び出しで一連の呼び出し元が使用できます。API 役割は、許可リストとして機能します。デフォルトでは、呼び出し元はエンドポイントのアクセス権を持っていません。呼び出し元が 1 つ以上の API 役割と関連付けられている場合、それらの API 役割それぞれの許可リストに含まれているエンドポイント、操作、およびフィールドへのアクセス権を取得します。

未認証呼び出し元がシステム API 呼び出しを行うと、システム API によって未認証の役割が自動的に割り当てられます。ベースコンフィギュレーションでは、この役割は openapi.json エンドポイントのみへのアクセス権を提供します。

API 役割のコンフィギュレーション方法の詳細については、エンドポイントアクセス権を参照してください。

未認証呼び出し元に対するリソースアクセス権

リソースのアクセス権では、特定の種類のリソースに対して呼び出し元がアクセスできるインスタンスを定義します。例えば、保険契約者、引受担当者、担当者、およびサービス業者が使用できる GET /claims エンドポイントがあるとします。これらの呼び出し元はすべて、種類が claim のリソースにアクセスするためにエンドポイントを使用できますが、呼び出し元のいずれもすべてのクレームにはアクセスできません。次に例を示します。

• 保険契約者は、保持する保険契約と関連するクレームのみを表示できます。
• 引受担当者は、割り当てられた保険契約のクレームのみを表示できます。
• 担当者は、割り当てられたクレームのみを表示できます。
• サービス業者は、サービス要求が割り当てられたクレームのみを表示できます。

リソースアクセス戦略は一連のロジックであり、リソースアクセス ID の意味を特定します。未認証呼び出し元には、default リソースアクセス戦略が自動的に割り当てられます。この戦略は、どのビジネスリソースへのアクセス権も提供しません。システム API メタデータへのアクセス権のみを提供します。

リソースアクセスの動作方法の詳細については、リソースアクセス権を参照してください。

未認証ユーザーのプロキシユーザーアクセス権

呼び出し元がシステム API 呼び出しを行うと、エンドポイントやリソースのアクセス権に無関係であるチェックが、内部 ClaimCenter ロジックによってトリガされる場合があります。次に例を示します。

• 呼び出し元が、自分自身へのアクティビティの割り当てを試みることがあります。 ClaimCenter で必要なチェックでは、アクティビティを所有するのに十分な権限を呼び出し元が持っているかどうかを調べます。
• 呼び出し元が、2000 ドルの支払を試みる場合があります。ClaimCenter では、支払額が呼び出し元の権限制限を超えていないかどうかをチェックする必要があります。

未認証ユーザーは ClaimCenter 運用データベースにリストされていないため、結び付けられたシステム権限や権限制限を持っていません。未認証ユーザーによって内部チェックがトリガされるケースはまれなので、システム API によってプロキシユーザーが利用されます。プロキシユーザーは、API 呼び出し実行時に外部ユーザーやサービスに割り当てられる内部ユーザーです。呼び出し元が十分なアクセス権を持っているかどうかを調べるチェックを、内部の ClaimCenter ロジックが行う必要が生じるたびに、プロキシユーザーが確認されます。

プロキシユーザーのアクセス権の動作方法の詳細については、プロキシユーザーアクセスを参照してください。