Saltar al contenido principal
Procore

¿Cómo se maneja la seguridad con aplicaciones de terceros?

Seguridad de la API de Procore

Los clientes de Procore pueden preguntar cómo se maneja la seguridad para aplicaciones e integraciones creadas por desarrolladores externos que utilizan la API de Procore. Procore emplea lo que muchos consideran el estándar de la industria para la autenticación de API: OAuth 2.0. El marco de autenticación de OAuth 2.0 proporciona un medio seguro para autorizar y autenticar el acceso a los datos del usuario para aplicaciones de terceros. OAuth 2.0 se basa en SSL (Secure Sockets Layer/Capa de sockets segura) para garantizar que la transferencia de datos entre el servidor web y los navegadores se mantenga privada y segura. OAuth 2.0 protege los datos del usuario de Procore al proporcionar acceso sin revelar la identidad del usuario. Las aplicaciones de terceros realizan solicitudes en nombre del usuario sin acceder a las contraseñas o a otra información confidencial.

Los programadores que crean soluciones con la API de Procore implementan uno de varios tipos de concesión de autorización de OAuth 2.0 según el caso de uso de su aplicación particular. Los tipos de concesión de OAuth 2.0 admitidos por la API de Procore se basan en el uso de tokens cifrados, que son valores de cadena que representan la autorización y autenticación de una aplicación específica para acceder a los datos en Procore en nombre de un usuario de Procore. 

Consideraciones adicionales

Administración de aplicaciones

Los administradores de la compañía también pueden desempeñar un papel en la promoción de buenas prácticas de seguridad a través de una gestión de aplicaciones adecuada. Los administradores de la compañía utilizan la función de administración de aplicaciones en la herramienta Administración de nivel compañía para realizar varias tareas relacionadas con la instalación y administración de aplicaciones, así como para configurarlas para su uso en proyectos. Los administradores de la compañía tienen control total sobre las aplicaciones que se instalan en una compañía y supervisan el uso de las aplicaciones en los proyectos. La instalación de la aplicación se puede delegar habilitando la opción Permitir instalaciones de usuario.

Cuentas de servicio

Varias integraciones creadas para funcionar con Procore utilizan cuentas de servicio para gestionar la autorización y la autenticación. Las cuentas de servicio le permiten admitir integraciones que requieren el flujo de concesión de credenciales de cliente, como se define en la especificación de OAuth 2.0. En este escenario, las aplicaciones necesitan una forma de recuperar un token de acceso de OAuth 2.0 fuera del contexto de cualquier usuario de Procore específico. OAuth 2.0 proporciona el tipo de concesión de credenciales de cliente para este propósito. Se generan client_id y client_secret únicos cuando un administrador de la compañía crea una nueva cuenta de servicio. Una vez creada la cuenta de servicio, un administrador de la compañía puede configurar los permisos de la cuenta de servicio para definir específicamente cómo la integración accederá a los datos en Procore y qué acciones estarán permitidas.

 Nota
La aplicación y lass credenciales de usuario en Procore están protegidas de cualquier actor malintencionado de la misma manera que todos nuestros demás datos lo están. Aunque todos los desarrolladores externos están de acuerdo con los términos de uso del portal para desarrolladores de Procore, no conocemos específicamente sus propias prácticas de seguridad en todos los casos.