Saltar al contenido principal
Procore

¿Cómo se maneja la seguridad con aplicaciones de terceros?

Seguridad API de Procore

Los clientes de Procore pueden preguntar cómo se maneja la seguridad para aplicaciones e integraciones creadas por desarrolladores externos que utilizan la API de Procore. Procore emplea lo que muchos consideran el estándar de la industria para la autenticación de API: OAuth 2.0. El marco de autenticación de OAuth 2.0 proporciona un medio seguro para autorizar y autenticar el acceso a los datos del usuario para aplicaciones de terceros. OAuth 2.0 se basa en SSL (Secure Sockets Layer/Capa de sockets segura) para garantizar que la transferencia de datos entre el servidor web y los navegadores se mantenga privada y segura. OAuth 2.0 protege los datos del usuario de Procore al proporcionar acceso sin revelar la identidad del usuario. Las aplicaciones de terceros realizan solicitudes en nombre del usuario sin acceder a las contraseñas o a otra información confidencial.

Soluciones de construcción de desarrolladores con la API de Procore implementar una de varias OAuth 2.0 tipos de autorización según su caso de uso de aplicación en particular. Los tipos de concesión de OAuth 2.0 compatibles con la API Procore dependen del uso de tokens cifrados que representan la autorización y autenticación de una aplicación específica para acceder a datos en Procore en nombre de un usuario de Procore.

Consideraciones adicionales

Administración de aplicaciones

Los administradores de la compañía también pueden desempeñar un papel en la promoción de buenas prácticas de seguridad a través de una gestión de aplicaciones adecuada. Los administradores de la compañía utilizan la función de administración de aplicaciones en la herramienta Administración de nivel compañía para realizar varias tareas relacionadas con la instalación y administración de aplicaciones, así como para configurarlas para su uso en proyectos. Los administradores de la compañía tienen control total sobre las aplicaciones que se instalan en una compañía y supervisan el uso de las aplicaciones en los proyectos. La instalación de la aplicación se puede delegar habilitando la opción Permitir instalaciones de usuario.

Cuentas de servicio

Varias integraciones creadas para trabajar con Procore utilizan cuentas de Service para manejar la autorización y la autenticación.Las cuentas de servicios le permiten admitir integraciones que requieren que las credenciales del cliente otorguen flujo según se define en la especificación OAuth 2.0.En este escenario, las aplicaciones necesitan una forma de recuperar un token de acceso de OAuth 2.0 fuera del contexto de cualquier usuario específico de Procore. OAuth 2.0 proporciona el tipo de concesión de credenciales de cliente para este propósito. Se genera una client_id y client_secret única cuando un administrador de la compañía crea una nueva cuenta de servicio. Una vez creada la cuenta de servicio, un administrador de la compañía puede configurar los permisos de la cuenta de servicio para definir específicamente cómo la integración accederá a datos en Procore y qué acciones están permitidos.

 Nota:
La aplicación y las credenciales de usuario en Procore están protegidas de cualquier actor malintencionado de la misma manera que todos nuestros demás datos están protegidos. Aunque todos los desarrolladores externos están de acuerdo con los Términos de uso del portal para programadores de Procore, no conocemos específicamente sus propias prácticas de seguridad en todos los casos.