Gestion des rôles et des autorisations

Java SDK

Pour télécharger l'exemple complet de code, consultez notre site de partage de code .

Avec la fonction Rôles et Permissions, les administrateurs ont plus de contrôle sur les permissions d'accès de leurs expéditeurs. En créant un Rôle de Compte personnalisé avec un ensemble d'autorisations et en attribuant ce rôle à un expéditeur, il détermine les actions disponibles pour l'expéditeur et facilite la gestion des droits d'accès d'un grand nombre d'expéditeurs sans avoir à modifier leurs permissions respectives.

Sans activer la fonction Rôles et Permissions, les administrateurs ne peuvent spécifier que deux types de rôles statiques : « Expéditeur » et « Gestionnaire ». Cela peut s'avérer insuffisant lorsque le nombre d'expéditeurs augmente et qu'ils ont besoin d'accéder à différents éléments du compte. Attribuer des rôles et des permissions à vos expéditeurs vous permet de contrôler cela.

Si les rôles et permissions sont désactivés, les gestionnaires pourront utiliser des API pour accéder aux transactions d'autres expéditeurs dans le même compte.

Activez les rôles et les permissions

Par défaut, la fonction Rôles et Permissions est désactivée, donc les administrateurs doivent contacter notre équipe Support pour organiser cette configuration dans le compte. Une fois activée, l'option de configuration des rôles apparaîtra dans le menu Admin de la Signature OneSpan. Pour plus d'informations, voir Gestion des rôles.

Lors d'appels API avec une clé API, OneSpan Sign crée une session de clé API si celle-ci n'est pas déjà utilisée. Si une session de clé API a déjà été créée, alors OneSpan Sign utilisera la session existante. Cependant, si les rôles et permissions ont été mis en cache dans cette session, alors les modifications effectuées n'apparaîtront qu'à l'expiration de la session. Par défaut, les sessions API Key expirent après 15 minutes.

Autorisations disponibles

Avec un modèle d'accès basé sur les rôles, vous pouvez regrouper des expéditeurs ayant des besoins similaires en un même rôle. Vous accordez ensuite des permissions au rôle qui déterminent les pages et les actions auxquelles les expéditeurs peuvent accéder. Le tableau suivant décrit toutes les permissions dans OneSpan Sign. Notez que chaque autorisation possède un identifiant d'autorisation que vous utiliserez lors de la configuration des rôles et permissions pour votre organisation.

Si une fonctionnalité spécifique n'est pas activée pour un compte, alors l'autorisation associée à cette fonctionnalité n'est pas disponible. De plus, les permissions disponibles peuvent changer lorsque de nouvelles fonctionnalités et versions sont déployées sur un compte.

Lors de la création de rôles personnalisés via l'intégration, vous devez également inclure l'autorisation du modèle et ne pas dépendre de l'autorisation existante de « Transaction » pour déterminer si les modèles peuvent être créés, mis à jour/supprimés.

Gérer les rôles de compte

Par défaut, OneSpan Sign propose les rôles suivants, chacun avec son propre ensemble de permissions par défaut :

• Administrateur : Accès complet à l'application et à ses configurations

• Entraîneur : Accès complet à l'application

  Si l'Administration d'entreprise a été activée pour votre compte, un gestionnaire ne pourra pas attribuer de délégué pour aucun de ses expéditeurs.

• Expéditeur : Accès limité à l'application

• Notaire : Accès limité à l'application, avec des fonctions notaires supplémentaires.

• Ces rôles par défaut ne sont pas personnalisables et ne peuvent pas être supprimés. Les administrateurs de compte peuvent néanmoins : (1) créer des rôles personnalisés, en attribuant un ensemble de permissions personnalisées à chacun ; (2) rendre un rôle personnalisé disponible au sein de comptes spécifiés.

Si vous devez créer des rôles personnalisés supplémentaires, vous pouvez le faire en utilisant le SDK Java.

Assurez-vous que votre SDK est la version 11.35 ou supérieure.

Pour créer un rôle de compte :

AccountRole accountRole = AccountRoleBuilder.newAccountRole()
        .withName("Regional Manager")
        .withPermissions(Arrays.asList("transaction.transaction", "transaction.in_person"))
        .withDescription("Customized Role for Regional Manager")
        .withEnabled(true)
        .build();
        eslClient.getAccountService().addAccountRole(accountRole);

En réponse, un ID de rôle de compte formaté en UUID sera retourné. Stockez cet ID dans un fichier local car vous devrez le référencer pour des procédures supplémentaires.

Pour interroger un rôle de compte spécifique par son ID :

AccountRole accountRole = eslClient
        .getAccountService()
        .getAccountRole("account_role_id");

Pour récupérer la liste de tous les rôles existants des comptes :

List<AccountRole> accountRoles = eslClient
        .getAccountService()
        .getAccountRoles();

Pour mettre à jour le nom du rôle, la description ou les permissions associées d'un compte :

Un utilisateur ne peut pas mettre à jour son propre rôle.

AccountRole accountRole = eslClient
        .getAccountService()
        .getAccountRole("account_role_id");

accountRole.setDescription("Updated Description");

// Add permissions
accountRole.getPermissions().addAll(
        Arrays.asList(
                "sender_admin.security_settings",
                "sender_admin.reports"
        )
);

// Persist the update
eslClient.getAccountService().updateAccountRole("account_role_id", accountRole);

Pour désactiver un rôle de compte :

Au lieu de supprimer directement un rôle, vous pouvez choisir de le désactiver en premier. Désactiver le rôle de compte fonctionne comme l'opération de suppression mais vous laisse la possibilité de réactiver le rôle si besoin.

AccountRole accountRole = eslClient
        .getAccountService()
        .getAccountRole("account_role_id");

// Disable the role
accountRole.setEnabled(false);

// Update the role
eslClient.getAccountService().updateAccountRole("account_role_id", accountRole);

Pour supprimer un rôle de compte :

Si vous décidez de ne pas garder un rôle de compte désactivé, vous pouvez supprimer ce poste.

Cette action n'est pas réversible.

eslClient
        .getAccountService()
        .deleteAccountRole("account_role_id");

Pour récupérer une liste des identifiants d'expéditeur attribués à un rôle :

List<String> accountRoleUsers = client
        .getAccountService()
        .getAccountRoleUsers("account_role_id");

Résultats

Voici un exemple de ce à quoi vous pouvez vous attendre une fois votre code exécuté.

Après avoir exécuté le code d'exemple, vous pouvez trouver les rôles de vos nouveaux comptes créés dans votre compte OneSpan Sign. Naviguez dans Admin > Rôles pour voir les rôles de compte originaux et personnalisés.

Attribuer un rôle de compte à un expéditeur

Avec les rôles de compte configurés dans votre compte, l'étape suivante consiste à associer les rôles à votre expéditeur actuel.

Pour attribuer un rôle de compte à un expéditeur :

import java.util.ArrayList;
import java.util.List;

List<AccountRole> accountRoles = new ArrayList<>();
accountRoles.add(AccountRoleBuilder.newAccountRole().withId("your_account_role_id1").build());
accountRoles.add(AccountRoleBuilder.newAccountRole().withId("your_account_role_id2").build());
accountRoles.add(AccountRoleBuilder.newAccountRole().withId("your_account_role_id3").build());

UserAccountRole userAccountRole = new UserAccountRole("sender_id", "accountId", accountRoles);

userAccountRole = client
        .getAccountService()
        .assignAccountRoleToUser(userAccountRole.getUserId(), userAccountRole);

.NET SDK

Pour télécharger l'exemple complet de code, consultez notre site de partage de code .

Avec la fonction Rôles et Permissions, les administrateurs ont plus de contrôle sur les permissions d'accès de leurs expéditeurs. En créant un Rôle de Compte personnalisé avec un ensemble d'autorisations et en attribuant ce rôle à un expéditeur, il détermine les actions disponibles pour l'expéditeur et facilite la gestion des droits d'accès d'un grand nombre d'expéditeurs sans avoir à modifier leurs permissions respectives.

Sans activer la fonction Rôles et Permissions, les administrateurs ne peuvent spécifier que deux types de rôles statiques : « Expéditeur » et « Gestionnaire ». Cela peut s'avérer insuffisant lorsque le nombre d'expéditeurs augmente et qu'ils ont besoin d'accéder à différents éléments du compte. Attribuer des rôles et des permissions à vos expéditeurs vous permet de contrôler cela.

Si les rôles et permissions sont désactivés, les gestionnaires pourront utiliser des API pour accéder aux transactions d'autres expéditeurs dans le même compte.

Activez les rôles et les permissions

Par défaut, la fonction Rôles et Permissions est désactivée, donc les administrateurs doivent contacter notre équipe Support pour organiser cette configuration dans le compte. Une fois activée, l'option de configuration des rôles apparaîtra dans le menu Admin de la Signature OneSpan. Pour plus d'informations, voir Gestion des rôles.

Lors d'appels API avec une clé API, OneSpan Sign crée une session de clé API si celle-ci n'est pas déjà utilisée. Si une session de clé API a déjà été créée, alors OneSpan Sign utilisera la session existante. Cependant, si les rôles et permissions ont été mis en cache dans cette session, alors les modifications effectuées n'apparaîtront qu'à l'expiration de la session. Par défaut, les sessions API Key expirent après 15 minutes.

Autorisations disponibles

Avec un modèle d'accès basé sur les rôles, vous pouvez regrouper des expéditeurs ayant des besoins similaires en un même rôle. Vous accordez ensuite des permissions au rôle qui déterminent les pages et les actions auxquelles les expéditeurs peuvent accéder. Le tableau suivant décrit toutes les permissions dans OneSpan Sign. Notez que chaque autorisation possède un identifiant d'autorisation que vous utiliserez lors de la configuration des rôles et permissions pour votre organisation.

Si une fonctionnalité spécifique n'est pas activée pour un compte, alors l'autorisation associée à cette fonctionnalité n'est pas disponible. De plus, les permissions disponibles peuvent changer lorsque de nouvelles fonctionnalités et versions sont déployées sur un compte.

Lors de la création de rôles personnalisés via l'intégration, vous devez également inclure l'autorisation du modèle et ne pas dépendre de l'autorisation existante de « Transaction » pour déterminer si les modèles peuvent être créés, mis à jour/supprimés.

Gérer les rôles de compte

Par défaut, OneSpan Sign propose les rôles suivants, chacun avec son propre ensemble de permissions par défaut :

• Administrateur : Accès complet à l'application et à ses configurations

• Entraîneur : Accès complet à l'application

  Si l'Administration d'entreprise a été activée pour votre compte, un gestionnaire ne pourra pas attribuer de délégué pour aucun de ses expéditeurs.

• Expéditeur : Accès limité à l'application

• Notaire : Accès limité à l'application, avec des fonctions notaires supplémentaires.

• Ces rôles par défaut ne sont pas personnalisables et ne peuvent pas être supprimés. Les administrateurs de compte peuvent néanmoins : (1) créer des rôles personnalisés, en attribuant un ensemble de permissions personnalisées à chacun ; (2) rendre un rôle personnalisé disponible au sein de comptes spécifiés.

Si vous devez créer des rôles personnalisés supplémentaires, vous pouvez le faire en utilisant le SDK Java.

Assurez-vous que votre SDK est la version 11.35 ou supérieure.

Pour créer un rôle de compte :

// Create a new account role
var accountRole = AccountRoleBuilder.NewAccountRole()
    .WithName("Sales Manager")
    .WithPermissions(new List<string>
    {
        "transaction.transaction",
        "transaction.in_person"
    })
    .WithDescription("Customized Role for Regional Manager")
    .WithEnabled(true)
    .Build();

// Add the role to the account
ossClient.AccountService.AddAccountRole(accountRole);

En réponse, un ID de rôle de compte formaté en UUID sera retourné. Stockez cet ID dans un fichier local car vous devrez le référencer pour des procédures supplémentaires.

Pour interroger un rôle de compte spécifique par son ID :

AccountRole accountRole1 = ossClient
    .AccountService
    .GetAccountRole("account_role_id");

Pour récupérer la liste de tous les rôles existants des comptes :

List<AccountRole> accountRoles = ossClient
    .AccountService
    .GetAccountRoles();

Pour mettre à jour le nom du rôle, la description ou les permissions associées d'un compte :

AccountRole accountRole2 = ossClient
    .AccountService
    .GetAccountRole("account_role_id");

// Update fields
accountRole2.Description = "Updated Description";

accountRole2.Permissions.AddRange(new List<string>
{
    "sender_admin.security_settings",
    "sender_admin.reports"
});

// Save the updated role
ossClient.AccountService.UpdateAccountRole("account_role_id", accountRole2);

Pour désactiver un rôle de compte :

Au lieu de supprimer directement un rôle, vous pouvez choisir de le désactiver en premier. Désactiver le rôle de compte fonctionne comme l'opération de suppression mais vous laisse la possibilité de réactiver le rôle si besoin.

AccountRole accountRole3 = ossClient
    .AccountService
    .GetAccountRole("account_role_id");

// Disable the role
accountRole3.Enabled = false;

// Save the update
ossClient.AccountService.UpdateAccountRole("account_role_id", accountRole3);

Pour supprimer un rôle de compte :

Si vous décidez de ne pas garder un rôle de compte désactivé, vous pouvez supprimer ce poste.

Cette action n'est pas réversible.

ossClient
    .AccountService
    .DeleteAccountRole("account_role_id");To retrieve a list of sender IDs assigned to a role:

List<String> accountRoleUsers = ossClient.AccountService.getAccountRoleUsers("account_role_id");
        Collap

Résultats

Voici un exemple de ce à quoi vous pouvez vous attendre une fois votre code exécuté.

Après avoir exécuté le code d'exemple, vous pouvez trouver les rôles de vos nouveaux comptes créés dans votre compte OneSpan Sign. Naviguez dans Admin > Rôles pour voir les rôles de compte originaux et personnalisés.

Attribuer un rôle de compte à un expéditeur

Avec les rôles de compte configurés dans votre compte, l'étape suivante consiste à associer les rôles à votre expéditeur actuel.

Pour attribuer un rôle de compte à un expéditeur :

import java.util.ArrayList;
import java.util.List;

List<AccountRole> accountRoles = new ArrayList<>();
accountRoles.add(AccountRoleBuilder.newAccountRole().withId("your_account_role_id1").build());
accountRoles.add(AccountRoleBuilder.newAccountRole().withId("your_account_role_id2").build());
accountRoles.add(AccountRoleBuilder.newAccountRole().withId("your_account_role_id3").build());

UserAccountRole userAccountRole = new UserAccountRole("sender_id", "accountId", accountRoles);

userAccountRole = client
    .getAccountService()
    .assignAccountRoleToUser(userAccountRole.getUserId(), userAccountRole);

REST API

Pour télécharger l'exemple complet de code, consultez notre site de partage de code .

Avec la fonction Rôles et Permissions, les administrateurs ont plus de contrôle sur les permissions d'accès de leurs expéditeurs. En créant un Rôle de Compte personnalisé avec un ensemble d'autorisations et en attribuant ce rôle à un expéditeur, il détermine les actions disponibles pour l'expéditeur et facilite la gestion des droits d'accès d'un grand nombre d'expéditeurs sans avoir à modifier leurs permissions respectives.

Sans activer la fonction Rôles et Permissions, les administrateurs ne peuvent spécifier que deux types de rôles statiques : « Expéditeur » et « Gestionnaire ». Cela peut s'avérer insuffisant lorsque le nombre d'expéditeurs augmente et qu'ils ont besoin d'accéder à différents éléments du compte. Attribuer des rôles et des permissions à vos expéditeurs vous permet de contrôler cela.

Si les rôles et permissions sont désactivés, les gestionnaires pourront utiliser des API pour accéder aux transactions d'autres expéditeurs dans le même compte.

Activez les rôles et les permissions

Par défaut, la fonction Rôles et Permissions est désactivée, donc les administrateurs doivent contacter notre équipe Support pour organiser cette configuration dans le compte. Une fois activée, l'option de configuration des rôles apparaîtra dans le menu Admin de la Signature OneSpan. Pour plus d'informations, voir Gestion des rôles.

Lors d'appels API avec une clé API, OneSpan Sign crée une session de clé API si celle-ci n'est pas déjà utilisée. Si une session de clé API a déjà été créée, alors OneSpan Sign utilisera la session existante. Cependant, si les rôles et permissions ont été mis en cache dans cette session, alors les modifications effectuées n'apparaîtront qu'à l'expiration de la session. Par défaut, les sessions API Key expirent après 15 minutes.

Autorisations disponibles

Avec un modèle d'accès basé sur les rôles, vous pouvez regrouper des expéditeurs ayant des besoins similaires en un même rôle. Vous accordez ensuite des permissions au rôle qui déterminent les pages et les actions auxquelles les expéditeurs peuvent accéder. Le tableau suivant décrit toutes les permissions dans OneSpan Sign. Notez que chaque autorisation possède un identifiant d'autorisation que vous utiliserez lors de la configuration des rôles et permissions pour votre organisation.

Si une fonctionnalité spécifique n'est pas activée pour un compte, alors l'autorisation associée à cette fonctionnalité n'est pas disponible. De plus, les permissions disponibles peuvent changer lorsque de nouvelles fonctionnalités et versions sont déployées sur un compte.

Lors de la création de rôles personnalisés via l'intégration, vous devez également inclure l'autorisation du modèle et ne pas dépendre de l'autorisation existante de « Transaction » pour déterminer si les modèles peuvent être créés, mis à jour/supprimés.

Gérer les rôles de compte

Par défaut, OneSpan Sign propose les rôles suivants, chacun avec son propre ensemble de permissions par défaut :

• Administrateur : Accès complet à l'application et à ses configurations

• Entraîneur : Accès complet à l'application

  Si l'Administration d'entreprise a été activée pour votre compte, un gestionnaire ne pourra pas attribuer de délégué pour aucun de ses expéditeurs.

• Expéditeur : Accès limité à l'application

• Notaire : Accès limité à l'application, avec des fonctions notaires supplémentaires.

• Ces rôles par défaut ne sont pas personnalisables et ne peuvent pas être supprimés. Les administrateurs de compte peuvent néanmoins : (1) créer des rôles personnalisés, en attribuant un ensemble de permissions personnalisées à chacun ; (2) rendre un rôle personnalisé disponible au sein de comptes spécifiés.

Si vous devez créer des rôles personnalisés supplémentaires, vous pouvez le faire en utilisant l'API RESTful.

Pour créer un rôle de compte :

Requête HTTP

POST /api/account/roles

En-têtes HTTP

Authorization: Basic {your_api_key}
        Content-Type: application/json
        Accept: application/json 

Exemple de charge utile

 {
        "name": "Regional Manager",
        "enabled": true,
        "description": "Customized Role for Regional Manager",
        "permissions":
        ["transaction.transaction",
        "transaction.in_person",
        ......]
        }

En réponse, un ID de rôle de compte formaté en UUID sera retourné. Stockez cet ID dans un fichier local car vous devrez le référencer pour des procédures supplémentaires.

Pour interroger un rôle de compte spécifique par son ID, ou pour récupérer une liste de tous les rôles de compte existants :

Requête HTTP

GET /api/account/roles
GET /api/account/roles/{accountRoleId} 

En-têtes HTTP

Authorization: Basic {your_api_key}
Accept: application/json 

Pour mettre à jour le nom du rôle, la description ou les permissions associées d'un compte :

Requête HTTP

PUT /api/account/roles/{accountRoleId} 

En-têtes HTTP

Authorization: Basic {your_api_key}
Content-Type: application/json
Accept: application/json 

Exemple de charge utile

 {
        "name": "Updated Account Role Name",
        "enabled": true,

        "description": "Updated Description",

        "permissions":
        ["sender_admin.security_settings",
        "sender_admin.reports"
        ...... ]
        }

Pour désactiver un rôle de compte :

Au lieu de supprimer directement un rôle, vous pouvez choisir de le désactiver en premier. Désactiver le rôle de compte fonctionne comme l'opération de suppression mais vous laisse la possibilité de réactiver le rôle si besoin.

Requête HTTP

PUT /api/account/roles/{accountRoleId} 

En-têtes HTTP

Authorization: Basic {your_api_key}
Content-Type: application/json
Accept: application/json 

Exemple de charge utile

{"enabled":false} 

Pour supprimer un rôle de compte :

Si vous décidez de ne pas garder un rôle de compte désactivé, vous pouvez supprimer ce poste.

Cette action n'est pas réversible.

Requête HTTP

DELETE /api/account/roles/{accountRoleId} 

En-têtes HTTP

Authorization: Basic {your_api_key}
        Assign Role to Sender 

Attribuer un rôle de compte à un expéditeur

Avec les rôles de compte configurés dans votre compte, l'étape suivante consiste à associer les rôles à votre expéditeur existant via cette API.

Pour attribuer un rôle de compte à un expéditeur :

Requête HTTP

POST /api/account/senders/{senderId}/roles 

En-têtes HTTP

Authorization: Basic {your_api_key}
Content-Type: application/json
Accept: application/json 

Exemple de charge utile

 {
        "accountId" : "Us1VqQw3r3kN",
        "accountRoles": [ {"id": "owner"}, {"id": "member"}]
        }

Pour un tableau « accountRoles », vous devez fournir l'ID de rôle de compte pour chaque nœud.

Pour récupérer une liste des identifiants d'expéditeur attribués à un rôle :

Requête HTTP

GET /api/account/roles/{accountRoleId}/users 

En-têtes HTTP

Authorization: Basic {your_api_key}
Accept: application/json 

Résultats

Voici un exemple de ce à quoi vous pouvez vous attendre une fois votre code exécuté.

Après avoir exécuté le code d'exemple, vous pouvez trouver les rôles de vos nouveaux comptes créés dans votre compte OneSpan Sign. Naviguez dans Admin > Rôles pour voir les rôles de compte originaux et personnalisés.

Vous pouvez confirmer que l'expéditeur est associé au rôle de compte en naviguant dans Admin > Utilisateurs pour localiser le profil de l'expéditeur.