¿Qué es una cuenta de servicio administrada para programadores?

Para los desarrolladores que crean aplicaciones de construcción de aplicaciones de conexión de datos, recomendamos aprovechar la nueva función de cuentas de servicio administradas para programadores (DMSA) como un enfoque simplificado para proporcionar a los administradores de Procore la habilidad para instalar y proporcionar fácilmente aplicaciones de conexión de datos en sus cuentas de compañía. La función DMSA permite a los desarrolladores especificar los permisos exactos de la herramienta a nivel compañía y proyecto que son necesarios para que su aplicación se ejecute correctamente en la plataforma Procore. Los administradores de la compañía definen a qué proyectos la aplicación puede acceder utilizando esos permisos. Los desarrolladores utilizan DMSAs para proporcionar una alternativa más conveniente y segura a los cuentas de servicio tradicional. Los administradores de la compañía se benefician de las DMSAs mediante la administración de aplicaciones mejorada y una mejor visibilidad del uso de aplicaciones.

 Puesta de sol de cuentas de servicio tradicionales

Todas las cuentas de servicio tradicionales se puestas en sol el 31 de diciembre de 2024.

Las Cuentas de Servicio Tradicionales quedaron obsoletas el 9 de diciembre de 2021. A partir del 1 de octubre de 2024, ya no permitiremos la creación de nuevas cuentas de servicio tradicionales. Las Cuentas de Servicio Tradicionales Existentes continuarán funcionando hasta el 31 de diciembre de 2024.

De acuerdo con esta línea de tiempo, los desarrolladores de aplicaciones de conexión de datos que actualmente utilizan Cuentas de servicio tradicionales deben actualizar sus aplicaciones para usar Developer Managed Service Accounts y los clientes deberán instalar estas aplicaciones actualizadas antes de la fecha de puesta de sol. Todas las aplicaciones de conexión de datos no migradas por la fecha de puesta de sol dejará de funcionar. Cualquier aplicación enumerada en la App Marketplace de Procore que no utiliza un método compatible para acceder a la Procore API se eliminará en la fecha de puesta de sol. Consulte Aplicaciones de conexión de datosmigrantes para usar DMSAs para obtener información adicional.

Beneficios de utilizar cuentas de servicio administradas para programadores (DMSAs)

Hay una serie de beneficios para obtener mediante el uso de las DMSAs sobre los cuentas de servicio tradicional:

Riesgos asociados con cuentas de servicio tradicionales

La instalación y el uso de aplicaciones que utilizan cuentas de servicio tradicional viene con los siguientes riesgos:

¿Cómo difiere un DMSA de un servicio tradicional cuenta?

Aquí hay algunas de las diferencias principales entre las DMSAs y los cuentas de servicio tradicional.

  Cuenta de servicio administrada para programadores Cuenta de servicio tradicional
Creación de cuenta
  • Un usuario del directorio asociado con el DMSA se crea automáticamente en la herramienta Directorio de compañía o proyecto.
  • Un administrador de la compañía debe crear y administrar manualmente un administrador de la compañía una cuenta de servicio tradicional.
Autorización
  • Se utiliza un único conjunto de credenciales (client_id, client_secret) para acceder a todas las compañías donde se instala la aplicación.
  • Cada servicio cuenta creado en una compañía por un administrador tiene un conjunto único de credenciales, requiriendo una coordinación manual con el desarrollador para una integración exitosa.
Permisos
  • Los permisos requeridos se definen por el desarrollador en el manifiesto de la aplicación y se aplican automáticamente durante la instalación.
  • Los permisos para cada cuenta de servicio deben configurarse manualmente por un administrador de la compañía.
Configuración del proyecto
  • Durante la instalación, puede seleccionar en qué proyectos se permite ejecutar la aplicación DMSA. Una vez instalada la aplicación, puede agregar o quitar proyectos permitidos según sea necesario.
  • El administrador de la compañía debe configurar y administrar manualmente el acceso al proyecto.
Administración de aplicaciones
  • Las aplicaciones habilitadas por DMSA se instalan fácilmente desde App Marketplace o como una instalación personalizada. Herramienta administrador de la compañía (Administración de aplicaciones) utilizada para desinstalar/reinstalar.
  • Todos los aspectos de la cuenta instalación y administración de servicios tradicionales deben ser manipulados manualmente por el administrador de la compañía.

¿Qué veré en mi cuenta después de instalar una aplicación que utiliza un DMSA?

Durante el proceso de instalación, se puede crear un nuevo registro de usuario en la herramienta Directorio de compañías o proyectos que representa el DMSA. El nombre de contacto de DMSA sigue un formato diferente con el nombre de la aplicación convertido a minúsculas y separados por guiones seguido de una identificación generada al azar de ocho caracteres. Por ejemplo, la instalación de la aplicación My DMSA Test App crearía el usuario my-dmsa-test-app-469b1f7f en el Directorio de la compañía. Es importante que no edite ni elimine usuarios del directorio creados por instalaciones de aplicaciones DMSA, ya que esto puede causar problemas con la operación de la aplicación.

Prácticas recomendadas para la administración de permisos DMSA

La administración de permisos para una cuenta de servicio administrada para desarrolladores (DMSA) implica una consideración cuidadosa para garantizar la funcionalidad de la aplicación y la seguridad de la cuenta. A continuación, se presentan las mejores prácticas y las consideraciones importantes para administrar los permisos de manera eficaz.

  1. Use la pestaña Permisos para la membresía del proyecto: para administrar el acceso al proyecto DMSA, incluida la adición o eliminación de membresías de proyectos, utilice la pestaña Permisos dentro de la aplicación en Administración de aplicaciones. Esta opción está disponible para los administradores de la compañía.

  2. Reconfiguración de permisos en la actualización o reinstalación de aplicaciones: cada vez que se actualiza o reinstala una aplicación, los administradores de la compañía deben volver a configurar la lista de proyectos permitidos. Los proyectos futuros que requieran acceso a DMSA también deben agregarse manualmente a la lista de permitidos.

  3. Uso de la herramienta Directorio para plantillas de permisos: algunos administradores utilizan la herramienta Directorio con una plantilla de permisos para agilizar la administración de DMSA:

    • Habilitar la casilla de verificación "Agregar [usuario DMSA] a todos los proyectos nuevos" puede simplificar los permisos al agregar automáticamente el usuario DMSA a proyectos futuros.
    • Nota importante: Cuando se actualiza o reinstala una aplicación, los permisos definidos en el manifiesto de la aplicación no se transfieren automáticamente a la plantilla de permisos de la herramienta Directorio, lo que puede afectar la funcionalidad de la aplicación. Esta desalineación debe conciliarse manualmente.
  4. Evite las actualizaciones manuales de los permisos de DMSA: generalmente se desaconseja ajustar manualmente los permisos de DMSA dentro de la herramienta Directorio, ya que puede generar inconsistencias y complicar la administración de cuentas.

  5. Limitar el acceso de DMSA a la herramienta de directorio a nivel compañía: evite otorgar acceso de nivel de administrador a la herramienta Directorio a nivel compañía para el usuario de DMSA. Este nivel de acceso permite cambios en varios proyectos y herramientas en su cuenta de Procore, lo que podría afectar los flujos de trabajo de su organización. Solo permita este nivel de acceso si es absolutamente necesario para la integración y asegúrese de comprender completamente las implicaciones.

Comprender la autenticación API de Procore

Las aplicaciones creadas en la plataforma Procore utilizan el marco de autorización estándar de la industria OAuth 2.0 para la autenticación con la API. La API de Procore admite los siguientes dos tipos de concesión de autorización o flujos de autenticación:

Los administradores de la compañía Procore son finalmente responsables de administrar los permisos de sus usuarios de directorio independientemente del tipo de concesión de autorización utilizado por una integración- authorization_code (permisos de usuario registrado) o client_credentials (permisos de servicio cuenta/DMSA).

Modelo de seguridad de responsabilidad compartida

Como proveedor de software como servicio (SaaS), Procore sigue un modelo de responsabilidad compartido en el contexto de seguridad de la plataforma.

Ver también