ContactManager の認証

ContactManager の Cloud API での認証は、ClaimCenter の Cloud API での認証とほぼ同じです。このトピックは、この 2 つの違いについて説明します。トピックが明示的にここで説明されていない場合、これらの 2 つのアプリケーションは同様に動作すると想定できます。

サポートされる呼び出し元の種類

ContactManager の Cloud API は以下の呼び出し元の種類をサポートしています。

  • 基本認証
  • 内部ユーザー(ベアラートークン認証を使用)
  • スタンドアロン型サービス
  • ユーザーコンテキスト付きサービス(ユーザーコンテキストが内部ユーザーを参照する)
  • サービスアカウントマッピング付きサービス
  • 未認証呼び出し元

ContactManager の Cloud API には、リソースアクセスファイルがありません。したがって、ContactManager の Cloud API は、以下のものをサポートしません。

  • 外部ユーザー
  • ユーザーコンテキスト付きサービス(コンテキストで指定されるユーザーが外部ユーザーの場合)

PolicyCenter で対応するビジネスニーズにより、保険会社にとって既知でないユーザーがアカウントを作成して保険契約の見積を作成できます。したがって、PolicyCenter の Cloud API では匿名ユーザーがサポートされています。ContactManager に対しては、似たようなビジネスニーズはありません。したがって、ContactManager の Cloud API は、匿名ユーザーをサポートしません。

ContactManager のリソースアクセス権

ContactManager に対する Cloud API でのベースコンフィギュレーションには、リソースアクセスファイルがありません。その結果、呼び出し元はリソースアクセス権による制限を受けません。

タグに基づいた連絡先アクセス

ContactManager の連絡先には連絡先タグがあります。連絡先タグは、1 つ以上の広範な関係を特定するタグであり、保険会社との当該関係を連絡先が持っています。

基本アプリケーションには、以下の 3 つのタグが含まれています。

  • クライアント(保険契約者)
  • クレーム関係者(クレームに含まれている連絡先)
  • 業者(クレームに関するサービスを提供する連絡先)

特定の種類のタグが付いた連絡先を表示または編集するには、ユーザーは、アクションに対する権限とタグに対する権限を持っている必要があります。次に例を示します。

  • クライアントのタグが付いた連絡先を表示するには、ユーザーは「クライアントの表示」権限を持っている必要があります。
  • 業者のタグが付いた連絡先を編集するには、ユーザーは「業者の編集」権限を持っている必要があります。

また、viewanytageditanytag という 2 つのシステム権限もあります。これにより、関連するユーザーが任意の連絡先を、連絡先のタグに関係なく表示または編集できます。

タグに基づいた権限のベースコンフィギュレーション動作

ContactManager のベースコンフィギュレーションでは、すべてのユーザーが viewanytag、または editanytag、あるいはその両方を持っています。これは、ベースコンフィギュレーションですべてのユーザーが、タグに基づく権限を回避できることを意味します。

Cloud API のアクセス権とタグに基づく権限

タグに基づく権限は、Cloud API で連絡先にアクセスする呼び出し元に適用されます。特定の種類のタグを持つ連絡先を表示または編集するには、以下に該当する必要があります。

  • 内部ユーザーおよびサービスアカウントマッピング付きサービスの場合:
    • 呼び出し元が適切な view <tag> 権限または適切な edit <tag> 権限(または両方の権限)を持っている、または
    • 呼び出し元は viewanytag 権限または editanytag 権限(または両方の権限)を持っている
  • スタンドアロン型サービスおよびユーザーコンテキスト付きサービスの場合:
    • プロキシユーザーが適切な view <tag> 権限または適切な edit <tag> 権限(または両方の権限)を持っている、または
    • プロキシユーザーが viewanytag 権限または editanytag 権限(または両方の権限)を持っている

内部ユーザーおよびサービスアカウントマッピング付きサービスの場合、権限チェックが呼び出し元ごとに個別に実行されることに注意してください。これは、特定の view <tag> または edit <tag> のシナリオでは、連絡先へのアクセス権が付与される呼び出し元と付与されない呼び出し元があることを意味します。

ただし、スタンドアロン型サービスおよびユーザーコンテキスト付きサービスの場合、権限チェックは、プロキシサービスユーザーとして指定された 1 人のユーザーに対してのみ行われます。これは、特定の view <tag> または edit <tag> のシナリオでは、呼び出し元の当該種類ですべての呼び出し元に連絡先へのアクセス権が付与されるか、そのいずれにも付与されないかのいずれかであることを意味します。