Hallo @l.henny
Het is niet mogelijk deze rechten te onderscheiden, wat je in Zenya kan doen kan je ook doen middels een API-call.
Waarom zou je deze gebruikers hieruit buiten willen sluiten? Alvorens een gebruiker een van deze acties kan ondernemen middels de API moeten de gebruikers of ingelogd zijn in Zenya of een authenticatie token aanmaken middels een api-sleutel.
Verder is het ook nodig dat er een API-sleutel aangemaakt is die door hun gebruikersaccount gebruikt kan worden.
Het enige wat nodig is, is de api sleutel en de username van de applicatiebeheerder om een authenticatie token te krijgen.
In het geval van een security breach op de server die wij toegang verlenen zou de indringer met deze sleutel en username (uit de groep 'Applicatiebeheer iProva’) een account kunnen aanmaken en inloggen op de backend. Met alle gevolgen van dien.
Dat vind ik een risico en de enige oplossing die ik me kan bedenken is om de api-sleutel te beperken tot een service account. Maar dat beperkt mogelijk ook de functionaliteit van het Iris intranet.
Vandaar mijn vraag of er andere mogelijkheden zijn.
De API sleutel is een secret. Het is dan ook aan te bevelen om die sleutel op een veilige plek in Iris te bewaren en om een IP-restrictie op de API-sleutel te zetten, zodat alleen de Iris server een token mag maken met die sleutel.