Übersicht der OAuth-Bereiche für Anwendungen

Die Plattform-API von Genesys Cloud implementiert den OAuth 2-Standard und hält sich an diesen. OAuth ermöglicht es Organisationen, Informationen auszutauschen, ohne Benutzeranmeldedaten weiterzugeben. Genesys Clouds OAuth Scopes für Anwendungen autorisiert eine Anwendung, auf Informationen in Genesys Cloud zuzugreifen, ohne der Anwendung Anmeldedaten zu geben oder ihr zu erlauben, auf jede Ressource zuzugreifen, zu der ihre Benutzer berechtigt sind. Weitere Hintergrundinformationen finden Sie unter: Autorisierung und Vertiefung im Developer Center.

Eine benutzerdefinierte Anwendung, die für Genesys Cloud entwickelt wurde, wird den Zugriff auf Genesys Cloud-Ressourcen anfordern und dann Platform API-Aufrufe tätigen. Eine App kann den Zugriff auf Informationen in Genesys Cloud anfordern, auf die ihr Benutzer zugreifen kann, aber sie sollte nicht jede Operation ausführen dürfen, die die Berechtigungen ihres aktuellen Benutzers zulassen könnten.

Vor der Implementierung von OAuth-Scopes für Anwendungen definierten alle dem Benutzer zugewiesenen Berechtigungen die Ressourcen, die eine Anwendung aufrufen konnte.

So könnte beispielsweise eine Anwendung, deren aktueller Benutzer die Berechtigung Verzeichnis > Benutzer > Hinzufügen hat, die API auffordern, einen neuen Benutzer zu erstellen, da ihr Benutzer dies tun kann.

Um diese Schwachstelle zu beseitigen, weisen Administratoren einer Anwendung Bereiche zu und schränken so ihren Zugriff auf Vorgänge und Daten ein.

Bereiche definieren, was eine Anwendung tun kann, und verhindern, dass sie etwas Unbeabsichtigtes tut (außerhalb des Bereichs). Um innerhalb einer Organisation zu funktionieren, muss eine App von einem Administrator autorisiert werden, um bestimmte Bereiche zu haben Darüber hinaus müssen die Benutzer der App über die Berechtigungen für den Zugriff auf die entsprechenden Ressourcen in der Genesys Cloud verfügen.

Bei der Verwendung von OAuth-Bereichen könnte eine Anwendung, deren Benutzer die Berechtigung hat, Benutzer zu erstellen, dies nicht tun, es sei denn, ein Bereich, der diese Aktion erlaubt, wird der Anwendung speziell von einer Person mit der Berechtigung Oauth > Client > Authorize gewährt.

Die Person, die Bereiche autorisiert, ist in der Regel ein Genesys Cloud-Administrator, der die Auswirkungen des Datenzugriffs versteht. Da Geltungsbereiche org-spezifisch sind, können Administratoren die Möglichkeiten der einzelnen Anwendungen in ihrer Organisation einschränken.

Bei OAuth-Bereichen muss die Anwendung jeden API-Aufruf autorisieren:

  • Der Benutzer muss die Berechtigung haben, um auf Genesys Cloud zuzugreifen und/oder es zu aktualisieren - in diesem Beispiel die Berechtigung Verzeichnis > Benutzer .
  • Der Anwendung muss ein Bereich zugewiesen werden, damit sie den API-Aufruf tätigen kann In diesem Beispiel würde der Bereich users der Anwendung erlauben, Benutzer zu lesen und zu schreiben

Mit den entsprechenden Berechtigungen und Geltungsbereichen kann die Anwendung Benutzer anlegen. In diesem Fall könnte die Anwendung POST an den Endpunkt /api/v2/users senden. Ohne die erforderliche Benutzerberechtigung und den erforderlichen Geltungsbereich wäre der Aufruf der API nicht erfolgreich. Eine App wird durch die Überschneidung ihrer Benutzerrechte und Bereiche bestimmt. Sie kann nichts tun, wozu ihr Benutzer keine Erlaubnis hat, und sie kann auch keine API-Aufrufe tätigen, die außerhalb des Anwendungsbereichs der Organisation liegen.