Descrizione: Strumento essenziale per la creazione, la visualizzazione e la gestione dei token di accesso (API Key) utilizzati per connettere Framework360 con servizi e applicazioni esterne.
A cosa serve? (Esempi pratici)
Questo strumento è fondamentale quando si necessita di far interagire Framework360 con sistemi esterni in modo controllato e sicuro.
- Integrazione con Software di Terze Parti: Usalo per generare una chiave dedicata che consenta a un software di contabilità o a un connettore dati (ETL) di accedere solo alle funzioni necessarie (es. lettura degli ordini).
- Sviluppo di App Mobile/Web Custom: Utile per creare un token che permetta a un'applicazione mobile sviluppata ad hoc di eseguire chiamate specifiche (es. registrazione di un nuovo utente) all'interno del sistema.
- Controllo degli Accessi: Permette di limitare esattamente quali operazioni (es. modifica, creazione, lettura) possono essere eseguite da ogni singola integrazione, aumentando la sicurezza del sistema.
Funzionalità principali
1. Gestione delle Chiavi
- Creazione Semplice: È possibile generare una nuova chiave API con un solo clic, fornendo un nome descrittivo. Il sistema genera automaticamente un Token univoco di 40 caratteri.
- Monitoraggio: La lista principale mostra l'ultima data di utilizzo di ciascuna chiave, permettendo di identificare rapidamente le chiavi inattive o quelle utilizzate di frequente.
- Eliminazione: Consente di revocare immediatamente l'accesso eliminando la chiave.
2. Configurazione dei Permessi (Granularità)
L'aspetto più importante è la possibilità di definire con precisione cosa può fare ogni chiave.
- Definizione delle Funzioni: Attraverso una struttura a schede e checkbox, l'utente può selezionare quali funzioni API specifiche (es.
creacliente,eliminaprodotto,leggi_campagna) sono abilitate per quel Token. - Selezione Multipla: È disponibile un pulsante "Seleziona tutto" per abilitare rapidamente tutte le funzioni.
Come si configura
Quando si modifica una chiave API, si accede alla schermata di configurazione divisa in due sezioni principali: Impostazioni Generali e Permessi.
Impostazioni Generali
| Opzione | Descrizione |
|---|---|
| Api Key | Il Token univoco generato dal sistema. Deve essere fornito all'applicazione esterna. |
| Data creazione | Data in cui la chiave è stata generata. |
| Richiedi autenticazione utente | Se questa opzione è attiva, la chiave API non sarà sufficiente da sola. Ogni chiamata API dovrà includere anche un Token di sessione utente valido (tramite l'header X-Fw360-UserToken). |
Gestione Permessi per Ruolo
Il sistema di gestione dei permessi è organizzato per Ruoli Utente. Questo permette di definire set di permessi diversi a seconda del contesto in cui la chiave viene utilizzata.
1. Navigazione a Schede: Le schede (o "step") nella sezione Permessi corrispondono ai diversi Ruoli Utente configurati nel sistema (es. Amministratore, Cliente, Agente).
2. Assegnazione delle Funzioni: All'interno di ciascuna scheda, è possibile selezionare le funzioni API da abilitare.
3. Limitazione per Ruolo: Per i ruoli diversi dall'Amministratore, il sistema avvisa che le chiamate effettuate con quella chiave rispetteranno anche le limitazioni di accesso già impostate per quel Ruolo nel modulo di Gestione Ruoli.
4. Sicurezza Aggiuntiva (Icona Lucchetto): Accanto ad alcune funzioni API, può comparire un'icona a forma di lucchetto. Se selezionata, significa che quella specifica funzione, anche se abilitata dalla chiave API, richiederà obbligatoriamente che la chiamata sia accompagnata da un'autenticazione utente valida (anche se l'opzione generale "Richiedi autenticazione utente" non è attiva).
Integrazioni automatiche
Questo modulo è il punto di accesso per tutte le integrazioni esterne. La sua configurazione influenza direttamente la capacità di sistemi esterni di interagire con i dati e le funzionalità di Framework360.
Controllo dell'Accesso Utente: Se si abilita l'opzione "Richiedi autenticazione utente", la chiave API non solo autentica l'applicazione, ma lega anche la chiamata ai permessi specifici dell'utente che sta utilizzando l'applicazione esterna. Questo garantisce che, ad esempio, un cliente possa leggere solo i propri dati, anche se la chiave API è configurata per l'accesso generico.
