Wij zijn Iris intranet aan het opzetten en ik heb een vraag over de veiligheid van de API koppeling.
In tegenstelling tot het Adminstrator account hebben gebruikers in de groep ‘Applicatiebeheer iProva’ toegang tot de API. Na een paar interne tests valt mij op dat de rechten van deze groep meegaan in de API. (gebruikers aanmaken e.d.)
Ik zou graag deze rechten willen beperken zonder de gebruikers uit te sluiten.
Welke oplossingen zijn hiervoor te bedenken?
Hallo
Het is niet mogelijk deze rechten te onderscheiden, wat je in Zenya kan doen kan je ook doen middels een API-call.
Waarom zou je deze gebruikers hieruit buiten willen sluiten? Alvorens een gebruiker een van deze acties kan ondernemen middels de API moeten de gebruikers of ingelogd zijn in Zenya of een authenticatie token aanmaken middels een api-sleutel.
Verder is het ook nodig dat er een API-sleutel aangemaakt is die door hun gebruikersaccount gebruikt kan worden.
Het enige wat nodig is, is de api sleutel en de username van de applicatiebeheerder om een authenticatie token te krijgen.
In het geval van een security breach op de server die wij toegang verlenen zou de indringer met deze sleutel en username (uit de groep 'Applicatiebeheer iProva’) een account kunnen aanmaken en inloggen op de backend. Met alle gevolgen van dien.
Dat vind ik een risico en de enige oplossing die ik me kan bedenken is om de api-sleutel te beperken tot een service account. Maar dat beperkt mogelijk ook de functionaliteit van het Iris intranet.
Vandaar mijn vraag of er andere mogelijkheden zijn.
De API sleutel is een secret. Het is dan ook aan te bevelen om die sleutel op een veilige plek in Iris te bewaren en om een IP-restrictie op de API-sleutel te zetten, zodat alleen de Iris server een token mag maken met die sleutel.
Heb je al een account? Log in
Nog geen lid van de community? Maak hier een account aan
Enter your username or e-mail address. We'll send you an e-mail with instructions to reset your password.
