Hallo,
Wir möchten unsere Kundenbenutzer Zugriff auf Ihre Tickets über eine Anwendung "Kundenportal" auf unserem System erlauben. Dafür werden die Kundenbenutzer in eine Rolle "Kundenportal Zugriff" hinzugefügt.
Wir haben festgestellt, dass Kundenbenutzer die kompletten Benutzerdatensätze in Matrix42 sowie alle Tickets, Requests und Incidents per API auslesen können. Somit kann der Benutzer alle hinterlegten Daten unserer Mitarbeiter sowie der Kunden auslesen, auf die der Benutzer keinen Zugriff haben sollte.
Für die Nutzung des Kundenportals sind (wenn richtig verstanden) die Berechtigung dieser APIs notwendig.
Wir haben versucht die Rolle "Kundenportal Zugriff" auf eine OU einzuschränken, mit der Hoffnung, dass die Kundenbenutzer nur Daten dieser OU per API abrufen können. Dies hat leider nichts gebracht.
Weiß jemand welche Einstellungen notwendig sind, damit die Sicherheit der Daten gewährleistet werden kann?
Vielen Dank im Voraus
API Sicherheit
Moderator: hdroege
-
Hendrik_Ambrosius
- Moderator
- Posts: 8096
- Joined: 13. Dec 2004, 23:10
- Location: Adendorf/Lüneburg
Re: API Sicherheit
Welche Rechte hat der Anwender, der zur Erstellung des Tokens verwendet wurde?
Siehe https://help.matrix42.com/030_EAP/030_I ... _API_Token
ggf. Token für API-Zugriff mit einem User mit weniger Rechten wiederholen, dann sollte es gehen.
Sonst Ticket dazu eröffnen beim Support.
Siehe https://help.matrix42.com/030_EAP/030_I ... _API_Token
ggf. Token für API-Zugriff mit einem User mit weniger Rechten wiederholen, dann sollte es gehen.
Sonst Ticket dazu eröffnen beim Support.
Hendrik Ambrosius / Senior Presales Consultant
Mobile: +49 172 408 4447 | hendrik.ambrosius@matrix42.com
Matrix42 GmbH | Elbinger Straße 7 | 60487 Frankfurt am Main | Germany | www.matrix42.com
Disclaimer: I participate in this forum on a voluntary basis. Views expressed are not necessarily those of Matrix42 or of the support team.
Mobile: +49 172 408 4447 | hendrik.ambrosius@matrix42.com
Matrix42 GmbH | Elbinger Straße 7 | 60487 Frankfurt am Main | Germany | www.matrix42.com
Disclaimer: I participate in this forum on a voluntary basis. Views expressed are not necessarily those of Matrix42 or of the support team.
Re: API Sicherheit
Ich weiß nicht ob wir uns verstehen.
Wir haben keinen API Token für den Zugriff der Anwendung erstellt.
Noch mal zur Klärung. Die Anwendung ist eine Matrix42 Anwendung wie "Self Service Portal". Nur ist sie für die Ansicht der Tickets unserer Kunden gedacht. Der Kundenbenutzer log sich also in unser Matrix42 System ein und hat über eine Rolle "Kundenportal Zugriff" nur Zugriff auf die Anwendung "Kundenportal" und kann die eigene Tickets sehen und erstellen. Damit das Portal funktioniert, haben wir über die Rolle "Kundenportal Zugriff" allen Benutzern in der Rolle die Berechtigung für die notwendigen APIs erteilt.
Wir haben keinen API Token für den Zugriff der Anwendung erstellt.
Noch mal zur Klärung. Die Anwendung ist eine Matrix42 Anwendung wie "Self Service Portal". Nur ist sie für die Ansicht der Tickets unserer Kunden gedacht. Der Kundenbenutzer log sich also in unser Matrix42 System ein und hat über eine Rolle "Kundenportal Zugriff" nur Zugriff auf die Anwendung "Kundenportal" und kann die eigene Tickets sehen und erstellen. Damit das Portal funktioniert, haben wir über die Rolle "Kundenportal Zugriff" allen Benutzern in der Rolle die Berechtigung für die notwendigen APIs erteilt.
-
Hendrik_Ambrosius
- Moderator
- Posts: 8096
- Joined: 13. Dec 2004, 23:10
- Location: Adendorf/Lüneburg
Re: API Sicherheit
Ach so - ich war anhand der Beschreibung davon ausgegangen, dass es sich bei dem Kundenportal um eine externe Anwendung handelt, die über einen einzelnen Token auf die API zugreift.
Dann habe ich dazu keine Idee. Am besten eröffnen Sie dazu ein Ticket beim Support wenn hier nichts mehr kommt.
Dann habe ich dazu keine Idee. Am besten eröffnen Sie dazu ein Ticket beim Support wenn hier nichts mehr kommt.
Hendrik Ambrosius / Senior Presales Consultant
Mobile: +49 172 408 4447 | hendrik.ambrosius@matrix42.com
Matrix42 GmbH | Elbinger Straße 7 | 60487 Frankfurt am Main | Germany | www.matrix42.com
Disclaimer: I participate in this forum on a voluntary basis. Views expressed are not necessarily those of Matrix42 or of the support team.
Mobile: +49 172 408 4447 | hendrik.ambrosius@matrix42.com
Matrix42 GmbH | Elbinger Straße 7 | 60487 Frankfurt am Main | Germany | www.matrix42.com
Disclaimer: I participate in this forum on a voluntary basis. Views expressed are not necessarily those of Matrix42 or of the support team.
Who is online
Users browsing this forum: No registered users and 14 guests