Gestion des rôles et des autorisations

Pour télécharger l'exemple complet de code, consultez notre site Partage de code.

Grâce à la fonction Rôles et autorisations, les administrateurs peuvent mieux contrôler les autorisations d'accès de leurs expéditeurs. En créant un rôle de compte personnalisé avec un ensemble de autorisations et en attribuant ce rôle à un expéditeur, on détermine les actions disponibles pour l'expéditeur et on facilite la gestion des droits d'accès d'un grand nombre d'expéditeurs sans avoir à modifier leurs autorisations respectives.

Sans activer la fonction Rôles et autorisations, les administrateurs ne peuvent spécifier que deux types de rôles statiques : « Expéditeur » et « Gestionnaire ». Cela peut s'avérer insuffisant lorsque le nombre d'expéditeurs augmente et qu'ils doivent accéder à différents éléments du compte. L'attribution de rôles et de autorisations à vos expéditeurs vous permet de contrôler cela.

Activation des rôles et des autorisations

Par défaut, la fonction Rôles et autorisations est désactivée. Les administrateurs doivent donc communiquer avec notre équipe de soutien pour organiser cette configuration dans le compte. Une fois activée, l'option permettant de configurer les rôles apparaîtra dans le menu Admin de OneSpan Sign. Pour obtenir plus d'informations, voir Gestion des rôles.

Lorsque vous effectuez des appels API avec une clé API, OneSpan Sign crée une session Clé API si elle n'est pas déjà utilisée. Si une session Clé API a déjà été créée, OneSpan Sign elle utilisera la session existante. Cependant, si les rôles et les autorisations ont été mis en cache dans cette session, les modifications apportées n'apparaîtront pas avant l'expiration de la session. Par défaut, les sessions Clé API expirent au bout de 15 minutes.

Autorisations disponibles

Avec un modèle d'accès basé sur les rôles, vous pouvez regrouper les expéditeurs ayant des besoins similaires dans un même rôle. Vous accordez ensuite des autorisations au rôle qui déterminent les pages et les actions auxquelles les expéditeurs peuvent accéder. Le tableau suivant décrit toutes les autorisations dans OneSpan Sign. Notez que chaque autorisation possède un ID d'autorisation que vous utiliserez lors de la configuration des rôles et des autorisations pour votre organisation.

Si une fonction spécifique n'est pas activée pour un compte, l'autorisation associée à cette fonction n'est pas disponible. En outre, les autorisations disponibles peuvent changer lorsque de nouvelles fonctionnalités et versions sont déployées sur un compte.

Lorsque vous créez des rôles personnalisés via l'intégration, vous devez vous assurer d'inclure également l'autorisation de modèle et de ne pas dépendre de l'autorisation de "transaction" existante pour déterminer si les modèles sont autorisés à être créés/mises à jour/supprimés.

Gestion des rôles des comptes

Par défaut, OneSpan Sign propose les rôles suivants, chacun avec ses propres jeux d'autorisations par défaut :

• Administrateur : A un accès complet à l'application et à ses configurations

• Manager : A un accès complet à l'application

  Si Administration d'entreprise a été activée pour votre compte, un gestionnaire ne pourra pas affecter de délégué à l'un de ses expéditeurs.

• Expéditeur : A un accès limité à l'application

• Notaire : A un accès limité à l'application, avec des fonctions notariales supplémentaires.

• Ces rôles par défaut ne sont pas personnalisables, et ils ne peuvent pas être supprimés. Les administrateurs de comptes peuvent néanmoins : (1) création de rôles personnalisés avec affectation d'un jeu personnalisé d'autorisations à chacun d'eux ; (2) mise en disponibilité d'un rôle personnalisé dans des comptes spécifiques.

Si vous devez créer des rôles personnalisés supplémentaires, vous pouvez le faire en utilisant le SDK Java.

Assurez-vous que votre SDK est la version 11.35 ou supérieure.

Pour créer un rôle de compte :

AccountRole accountRole = AccountRoleBuilder.newAccountRole()
	.withName("Regional Manager")
	.withPermissions(Arrays.asList("transaction.transaction", "transaction.in_person"))
	.withDescription("Customized Role for Regional Manager")
	.withEnabled(true)
	.build();
eslClient.getAccountService().addAccountRole(accountRole);

En réponse, un ID de rôle de compte formaté en UUID sera renvoyé. Conservez cet identifiant dans un fichier local car vous devrez y faire référence pour des procédures supplémentaires.

Pour interroger un rôle de compte spécifique par son ID :

AccountRole accountRole = eslClient.getAccountService().getAccountRole("account_role_id");

Pour récupérer une liste de tous les rôles de compte existants

List<AccountRole> accountRoles = eslClient.getAccountService().getAccountRoles();

Pour mettre à jour le nom du rôle d'un compte, sa description ou les autorisations associées :

Un utilisateur ne peut pas mettre à jour son propre rôle.

AccountRole accountRole = eslClient.getAccountService().getAccountRole("account_role_id");
accountRole.setDescription("Updated Description");
accountRole.getPermissions().addAll(Arrays.asList("sender_admin.security_settings","sender_admin.reports"));
eslClient.getAccountService().updateAccountRole("account_role_id", accountRole);

Pour désactiver un rôle de compte :

Au lieu de supprimer directement un rôle, vous pouvez choisir de le désactiver d'abord. La désactivation du rôle de compte fonctionne de la même manière que l'opération de suppression mais vous laisse la possibilité de réactiver le rôle, si nécessaire.

AccountRole accountRole = eslClient.getAccountService().getAccountRole("account_role_id");
accountRole.setEnabled(false);
eslClient.getAccountService().updateAccountRole("account_role_id", accountRole);

Pour supprimer un rôle de compte :

Si vous décidez de ne pas conserver un rôle de compte désactivé, vous pouvez supprimer ce rôle.

Cette action n'est pas réversible.

eslClient.getAccountService().deleteAccountRole("account_role_id");

Pour récupérer une liste d'identifiants d'expéditeur assignés à un rôle :

List<String> accountRoleUsers = client.getAccountService().getAccountRoleUsers("account_role_id");

Résultats

Voici un exemple de ce que vous pouvez vous attendre à voir une fois que vous aurez exécuté votre code.

Après avoir exécuté l'exemple de code, vous pouvez trouver vos rôles de compte nouvellement créés dans votre compte OneSpan Sign. Naviguez vers Admin > Rôles pour voir les rôles de compte originaux et personnalisés.

Attribuer un rôle de compte à un expéditeur

Une fois les rôles configurés dans votre compte, l'étape suivante consiste à associer les rôles à votre expéditeur existant.

Pour attribuer un rôle de compte à un expéditeur :

List<AccountRole> acountRoles = new ArrayList<>();
acountRoles.add(AccountRoleBuilder.newAccountRole().withId("your_account_role_id1").build());
acountRoles.add(AccountRoleBuilder.newAccountRole().withId("your_account_role_id2").build());
acountRoles.add(AccountRoleBuilder.newAccountRole().withId("your_account_role_id3").build());
UserAccountRole userAccountRole = new UserAccountRole("sender_id","accountId",acountRoles);
userAccountRole = client.getAccountService().assignAccountRoleToUser(userAccountRole.getUserId(),
userAccountRole);

.NET SDK

Pour télécharger l'exemple complet de code, consultez notre site Partage de code.

Grâce à la fonction Rôles et autorisations, les administrateurs peuvent mieux contrôler les autorisations d'accès de leurs expéditeurs. En créant un rôle de compte personnalisé avec un ensemble de autorisations et en attribuant ce rôle à un expéditeur, on détermine les actions disponibles pour l'expéditeur et on facilite la gestion des droits d'accès d'un grand nombre d'expéditeurs sans avoir à modifier leurs autorisations respectives.

Sans activer la fonction Rôles et autorisations, les administrateurs ne peuvent spécifier que deux types de rôles statiques : « Expéditeur » et « Gestionnaire ». Cela peut s'avérer insuffisant lorsque le nombre d'expéditeurs augmente et qu'ils doivent accéder à différents éléments du compte. L'attribution de rôles et de autorisations à vos expéditeurs vous permet de contrôler cela.

Activation des rôles et des autorisations

Par défaut, la fonction Rôles et autorisations est désactivée. Les administrateurs doivent donc communiquer avec notre équipe de soutien pour organiser cette configuration dans le compte. Une fois activée, l'option permettant de configurer les rôles apparaîtra dans le menu Admin de OneSpan Sign. Pour obtenir plus d'informations, voir Gestion des rôles.

Lorsque vous effectuez des appels API avec une clé API, OneSpan Sign crée une session Clé API si elle n'est pas déjà utilisée. Si une session Clé API a déjà été créée, OneSpan Sign elle utilisera la session existante. Cependant, si les rôles et les autorisations ont été mis en cache dans cette session, les modifications apportées n'apparaîtront pas avant l'expiration de la session. Par défaut, les sessions Clé API expirent au bout de 15 minutes.

Autorisations disponibles

Avec un modèle d'accès basé sur les rôles, vous pouvez regrouper les expéditeurs ayant des besoins similaires dans un même rôle. Vous accordez ensuite des autorisations au rôle qui déterminent les pages et les actions auxquelles les expéditeurs peuvent accéder. Le tableau suivant décrit toutes les autorisations dans OneSpan Sign. Notez que chaque autorisation possède un ID d'autorisation que vous utiliserez lors de la configuration des rôles et des autorisations pour votre organisation.

Si une fonction spécifique n'est pas activée pour un compte, l'autorisation associée à cette fonction n'est pas disponible. En outre, les autorisations disponibles peuvent changer lorsque de nouvelles fonctionnalités et versions sont déployées sur un compte.

Lorsque vous créez des rôles personnalisés via l'intégration, vous devez vous assurer d'inclure également l'autorisation de modèle et de ne pas dépendre de l'autorisation de "transaction" existante pour déterminer si les modèles sont autorisés à être créés/mises à jour/supprimés.

Gestion des rôles des comptes

Par défaut, OneSpan Sign propose les rôles suivants, chacun avec ses propres jeux d'autorisations par défaut :

• Administrateur : A un accès complet à l'application et à ses configurations

• Manager : A un accès complet à l'application

  Si Administration d'entreprise a été activée pour votre compte, un gestionnaire ne pourra pas affecter de délégué à l'un de ses expéditeurs.

• Expéditeur : A un accès limité à l'application

• Notaire : A un accès limité à l'application, avec des fonctions notariales supplémentaires.

• Ces rôles par défaut ne sont pas personnalisables, et ils ne peuvent pas être supprimés. Les administrateurs de comptes peuvent néanmoins : (1) création de rôles personnalisés avec affectation d'un jeu personnalisé d'autorisations à chacun d'eux ; (2) mise en disponibilité d'un rôle personnalisé dans des comptes spécifiques.

Si vous devez créer des rôles personnalisés supplémentaires, vous pouvez le faire en utilisant le SDK Java.

Assurez-vous que votre SDK est la version 11.35 ou supérieure.

Pour créer un rôle de compte :

// create
AccountRole accountRole = AccountRoleBuilder.NewAccountRole()
    .WithName("Sales Manager")
    .WithPermissions(new List<string> { "transaction.transaction", "transaction.in_person" })
    .WithDescription("Customized Role for Regional Manager")
    .WithEnabled(true)
    .Build();

ossClient.AccountService.addAccountRole(accountRole);

En réponse, un ID de rôle de compte formaté en UUID sera renvoyé. Conservez cet identifiant dans un fichier local car vous devrez y faire référence pour des procédures supplémentaires.

Pour interroger un rôle de compte spécifique par son ID :

AccountRole accountRole1 = ossClient.AccountService.getAccountRole("account_role_id");

Pour récupérer une liste de tous les rôles de compte existants

List<AccountRole> accountRoles = ossClient.AccountService.getAccountRoles();

Pour mettre à jour le nom du rôle d'un compte, sa description ou les autorisations associées :

 AccountRole accountRole2 = ossClient.AccountService.getAccountRole("account_role_id");
				accountRole2.Description = "Updated Description";
				accountRole2.Permissions.AddRange(new List<String> { "sender_admin.security_settings", "sender_admin.reports" });
			ossClient.AccountService.updateAccountRole("account_role_id", accountRole2);

Pour désactiver un rôle de compte :

Au lieu de supprimer directement un rôle, vous pouvez choisir de le désactiver d'abord. La désactivation du rôle de compte fonctionne de la même manière que l'opération de suppression mais vous laisse la possibilité de réactiver le rôle, si nécessaire.

AccountRole accountRole3 = ossClient.AccountService.getAccountRole("account_role_id");
				accountRole3.Enabled = false;
			ossClient.AccountService.updateAccountRole("account_role_id", accountRole3);

Pour supprimer un rôle de compte :

Si vous décidez de ne pas conserver un rôle de compte désactivé, vous pouvez supprimer ce rôle.

Cette action n'est pas réversible.

ossClient.AccountService.deleteAccountRole("account_role_id");

Pour récupérer une liste d'identifiants d'expéditeur assignés à un rôle :

List<String> accountRoleUsers = ossClient.AccountService.getAccountRoleUsers("account_role_id");
Collap

Résultats

Voici un exemple de ce que vous pouvez vous attendre à voir une fois que vous aurez exécuté votre code.

Après avoir exécuté l'exemple de code, vous pouvez trouver vos rôles de compte nouvellement créés dans votre compte OneSpan Sign. Naviguez vers Admin > Rôles pour voir les rôles de compte originaux et personnalisés.

Attribuer un rôle de compte à un expéditeur

Une fois les rôles configurés dans votre compte, l'étape suivante consiste à associer les rôles à votre expéditeur existant.

Pour attribuer un rôle de compte à un expéditeur :

List<AccountRole> acountRoles = new ArrayList<>();
acountRoles.add(AccountRoleBuilder.newAccountRole().withId("your_account_role_id1").build());
acountRoles.add(AccountRoleBuilder.newAccountRole().withId("your_account_role_id2").build());
acountRoles.add(AccountRoleBuilder.newAccountRole().withId("your_account_role_id3").build());
UserAccountRole userAccountRole = new UserAccountRole("sender_id","accountId",acountRoles);
userAccountRole = client.getAccountService().assignAccountRoleToUser(userAccountRole.getUserId(),
userAccountRole);

API REST

Pour télécharger l'exemple complet de code, consultez notre site Partage de code.

Grâce à la fonction Rôles et autorisations, les administrateurs peuvent mieux contrôler les autorisations d'accès de leurs expéditeurs. En créant un rôle de compte personnalisé avec un ensemble de autorisations et en attribuant ce rôle à un expéditeur, on détermine les actions disponibles pour l'expéditeur et on facilite la gestion des droits d'accès d'un grand nombre d'expéditeurs sans avoir à modifier leurs autorisations respectives.

Sans activer la fonction Rôles et autorisations, les administrateurs ne peuvent spécifier que deux types de rôles statiques : « Expéditeur » et « Gestionnaire ». Cela peut s'avérer insuffisant lorsque le nombre d'expéditeurs augmente et qu'ils doivent accéder à différents éléments du compte. L'attribution de rôles et de autorisations à vos expéditeurs vous permet de contrôler cela.

Activation des rôles et des autorisations

Par défaut, la fonction Rôles et autorisations est désactivée. Les administrateurs doivent donc communiquer avec notre équipe de soutien pour organiser cette configuration dans le compte. Une fois activée, l'option permettant de configurer les rôles apparaîtra dans le menu Admin de OneSpan Sign. Pour obtenir plus d'informations, voir Gestion des rôles.

Lorsque vous effectuez des appels API avec une clé API, OneSpan Sign crée une session Clé API si elle n'est pas déjà utilisée. Si une session Clé API a déjà été créée, OneSpan Sign elle utilisera la session existante. Cependant, si les rôles et les autorisations ont été mis en cache dans cette session, les modifications apportées n'apparaîtront pas avant l'expiration de la session. Par défaut, les sessions Clé API expirent au bout de 15 minutes.

Autorisations disponibles

Avec un modèle d'accès basé sur les rôles, vous pouvez regrouper les expéditeurs ayant des besoins similaires dans un même rôle. Vous accordez ensuite des autorisations au rôle qui déterminent les pages et les actions auxquelles les expéditeurs peuvent accéder. Le tableau suivant décrit toutes les autorisations dans OneSpan Sign. Notez que chaque autorisation possède un ID d'autorisation que vous utiliserez lors de la configuration des rôles et des autorisations pour votre organisation.

Si une fonction spécifique n'est pas activée pour un compte, l'autorisation associée à cette fonction n'est pas disponible. En outre, les autorisations disponibles peuvent changer lorsque de nouvelles fonctionnalités et versions sont déployées sur un compte.

Lorsque vous créez des rôles personnalisés via l'intégration, vous devez vous assurer d'inclure également l'autorisation de modèle et de ne pas dépendre de l'autorisation de "transaction" existante pour déterminer si les modèles sont autorisés à être créés/mises à jour/supprimés.

Gestion des rôles des comptes

Par défaut, OneSpan Sign propose les rôles suivants, chacun avec ses propres jeux d'autorisations par défaut :

• Administrateur : A un accès complet à l'application et à ses configurations

• Manager : A un accès complet à l'application

  Si Administration d'entreprise a été activée pour votre compte, un gestionnaire ne pourra pas affecter de délégué à l'un de ses expéditeurs.

• Expéditeur : A un accès limité à l'application

• Notaire : A un accès limité à l'application, avec des fonctions notariales supplémentaires.

• Ces rôles par défaut ne sont pas personnalisables, et ils ne peuvent pas être supprimés. Les administrateurs de comptes peuvent néanmoins : (1) création de rôles personnalisés avec affectation d'un jeu personnalisé d'autorisations à chacun d'eux ; (2) mise en disponibilité d'un rôle personnalisé dans des comptes spécifiques.

Si vous devez créer des rôles personnalisés supplémentaires, vous pouvez le faire en utilisant l'API RESTful.

Pour créer un rôle de compte :

Requête HTTP

POST /api/account/roles

En-têtes HTTP

Authorization: Basic {your_api_key} 
Content-Type: application/json 
Accept: application/json 

Exemple de données utiles

 {
	"name": "Regional Manager", 
	"enabled": true, 
	"description": "Customized Role for Regional Manager",
	"permissions": 
		["transaction.transaction",
		 "transaction.in_person",
		  ......]
 }

En réponse, un ID de rôle de compte formaté en UUID sera renvoyé. Conservez cet identifiant dans un fichier local car vous devrez y faire référence pour des procédures supplémentaires.

Pour interroger un rôle de compte spécifique par son ID, ou pour récupérer une liste de tous les rôles de compte existants :

Requête HTTP

GET /api/account/roles 
GET /api/account/roles/{accountRoleId} 

En-têtes HTTP

Authorization: Basic {your_api_key}			
Accept: application/json 

Pour mettre à jour le nom du rôle d'un compte, sa description ou les autorisations associées :

Requête HTTP

PUT /api/account/roles/{accountRoleId} 

En-têtes HTTP

Authorization: Basic {your_api_key} 
Content-Type: application/json 
Accept: application/json 

Exemple de données utiles

 {
	"name": "Updated Account Role Name",  
	"enabled": true, 
  
	"description": "Updated Description", 
  
	"permissions": 
		["sender_admin.security_settings",     
	 	 "sender_admin.reports"
	 	 ...... ]
 }

Pour désactiver un rôle de compte :

Au lieu de supprimer directement un rôle, vous pouvez choisir de le désactiver d'abord. La désactivation du rôle de compte fonctionne de la même manière que l'opération de suppression mais vous laisse la possibilité de réactiver le rôle, si nécessaire.

Requête HTTP

PUT /api/account/roles/{accountRoleId} 

En-têtes HTTP

Authorization: Basic {your_api_key}			
Content-Type: application/json			
Accept: application/json 

Exemple de données utiles

{"enabled":false} 

Pour supprimer un rôle de compte :

Si vous décidez de ne pas conserver un rôle de compte désactivé, vous pouvez supprimer ce rôle.

Cette action n'est pas réversible.

Requête HTTP

DELETE /api/account/roles/{accountRoleId} 

En-têtes HTTP

Authorization: Basic {your_api_key} 
Assign Role to Sender 

Attribuer un rôle de compte à un expéditeur

Une fois les rôles configurés dans votre compte, l'étape suivante consiste à associer les rôles à votre expéditeur existant avec cette API.

Pour attribuer un rôle de compte à un expéditeur :

Requête HTTP

POST /api/account/senders/{senderId}/roles 

En-têtes HTTP

Authorization: Basic {your_api_key} 
Content-Type: application/json 
Accept: application/json 

Exemple de données utiles

 {
	"accountId" : "Us1VqQw3r3kN",
	"accountRoles": [ {"id": "owner"}, {"id": "member"}]
 }

• Pour un tableau « accountRoles », vous devez fournir l'ID du rôle de compte pour chaque nœud.

Pour récupérer une liste d'identifiants d'expéditeur assignés à un rôle :

Requête HTTP

GET /api/account/roles/{accountRoleId}/users 

En-têtes HTTP

Authorization: Basic {your_api_key} 
Accept: application/json 

Résultats

Voici un exemple de ce que vous pouvez vous attendre à voir une fois que vous aurez exécuté votre code.

Après avoir exécuté l'exemple de code, vous pouvez trouver vos rôles de compte nouvellement créés dans votre compte OneSpan Sign. Naviguez vers Admin > Rôles pour voir les rôles de compte originaux et personnalisés.

Vous pouvez confirmer que l'expéditeur est associé au rôle de compte en naviguant sur Admin > Utilisateurs pour localiser le profil de l'expéditeur.