Verwalten von API-Schlüsseln
Um API-Sicherheitslücken zu minimieren, können Adobe Workfront-Administratoren die API-Schlüssel verwalten, mit denen Anwendungen im Auftrag eines Benutzers auf Workfront zugreifen können.
Sie können Ihren aktuellen Administrator-API-Schlüssel zurücksetzen oder entfernen, die API-Schlüssel so konfigurieren, dass sie ablaufen, und die API-Schlüssel für alle Benutzer entfernen.
Beispiele für Anwendungen, die die Workfront-API nutzen:
- Dokumentenintegrationen wie Dropbox, Google Drive und Workfront DAM
- Mobile Apps für Workfront
Zugriffsanforderungen
Sie müssen über folgenden Zugriff verfügen, um die Schritte in diesem Artikel ausführen zu können:
Workfront-API-Schlüssel
Jeder Benutzer in Workfront verfügt über einen eindeutigen API-Schlüssel. Dieser Schlüssel wird pro Benutzer generiert, wenn der Benutzer auf eine Integration zugreift, die die Workfront-API nutzt (z. B. die mobile Workfront-App oder eine Dokumentintegration).
Workfront-Administratoren verfügen auch über einen eindeutigen API-Schlüssel. Wenn eine Anwendung einen Administrator-API-Schlüssel für den Zugriff auf Workfront verwendet, hat die Anwendung Administratorzugriff auf Workfront.
Verwalten eines API-Schlüssels für Administratoren
Sie können den API-Schlüssel für Ihr Administratorbenutzerkonto generieren, zurücksetzen oder entfernen.
-
Klicken Sie auf Hauptmenü icon
-
Klicks System > Kundeninformationen.
-
(Bedingt) Führen Sie einen der folgenden Schritte aus:
So generieren Sie einen API-Schlüssel: Im API-Schlüsseleinstellungen Abschnitt, klicken Sie auf API-Schlüssel generieren.
Oder
Zurücksetzen eines API-Schlüssels: In der API-Schlüsseleinstellungen Abschnitt, klicken Sie auf Zurücksetzen, dann Zurücksetzen.Oder
So entfernen Sie den API-Schlüssel: Im API-Schlüsseleinstellungen Abschnitt, klicken Sie auf Entfernen, dann Entfernen.
API-Schlüssel für Benutzer ohne Administratorrechte generieren
Sie können API-Schlüssel für Benutzer in anderen Rollen als dem Workfront-Administrator generieren und verwalten.
-
(Bedingt) Wenn Ihr Unternehmen die SSO-Zugriffsverwaltung (Single Sign-On) verwendet, deaktivieren Sie vorübergehend die Option, für die eine SSO-Authentifizierung erforderlich ist.
-
Klicken Sie auf Hauptmenü icon
-
Erweitern System Klicken Sie auf Single Sign-on (SSO).
-
Im Typ auswählen, wählen Sie den SSO-Typ aus, den Ihr Unternehmen verwendet.
-
Scrollen Sie mit dem ausgewählten Typ nach unten und löschen Sie die Aktivieren aktivieren.
-
Klicken Sie auf Speichern.
-
-
Geben Sie in der Adressleiste eines Browsers den folgenden API-Aufruf ein:
<domain>
.my.workfront.com/attask/api/v7.0/user?action=generateApiKey&username= Benutzername &password= password**&method=PUTErsetzen
<domain>
mit Ihrem Workfront-Domänennamen sowie Benutzernamen und Kennwort mit den Workfront-Anmeldedaten des Benutzers. -
(Bedingt) Aktivieren Sie die Option, für die eine SSO-Authentifizierung erforderlich ist, wenn Sie sie in Schritt 1 deaktiviert haben.
-
Klicken Sie auf Hauptmenü icon
-
Erweitern System Klicken Sie auf Single Sign-on (SSO).
-
Wählen Sie Ihre SSO-Methode im Typ aus.
-
Aktivieren Sie das Kontrollkästchen, für das eine SSO-Authentifizierung erforderlich ist.
-
Konfigurieren, wann API-Schlüssel ablaufen
Sie können API-Schlüssel so konfigurieren, dass sie für alle Benutzer in Ihrem System ablaufen. Wenn der API-Schlüssel eines Benutzers abläuft, muss der Benutzer sich erneut bei allen Anwendungen authentifizieren, die die Workfront-API für den Zugriff auf Workfront verwenden. Sie können die Häufigkeit ändern, mit der die API-Schlüssel ablaufen. Sie können auch konfigurieren, ob API-Schlüssel ablaufen, wenn das Kennwort eines Benutzers abläuft.
-
Klicken Sie auf Hauptmenü icon
-
Klicks System > Kundeninformationen.
-
Im API-Schlüsseleinstellungen im Nach Erstellung, API-Schlüssel laufen in ab in der Dropdown-Liste den Zeitrahmen auswählen, in dem die API-Schlüssel ablaufen sollen.
Wenn Sie diese Option ändern, beginnt der neue Zeitrahmen mit dem Zeitpunkt, zu dem Sie die Änderung vorgenommen haben. Wenn Sie diese Option beispielsweise von 1 Monat nach 6 Monate festgelegt ist, laufen die API-Schlüssel 6 Monate nach der Änderung ab.
Standardmäßig laufen API-Schlüssel jeden Monat ab.
-
Um API-Schlüssel zu konfigurieren, die zum Zeitpunkt des Ablaufs der Passwörter der Benutzer ablaufen, wählen Sie Entfernen Sie den API-Schlüssel, wenn das Kennwort eines Benutzers abläuft.
Standardmäßig ist diese Option nicht ausgewählt.
Informationen zum Konfigurieren von ablaufenden Benutzerkennwörtern finden Sie unter Systemsicherheitsvoreinstellungen konfigurieren.
-
Klicken Sie auf Speichern.
Entfernen Sie die API-Schlüssel für alle Benutzer
Wenn Sie wegen einer bestimmten Sicherheitsverletzung in Bezug auf Ihr Workfront-System besorgt sind, können Sie API-Schlüssel gleichzeitig für alle Benutzer entfernen.
-
Klicken Sie auf Hauptmenü icon
-
Erweitern System Klicken Sie auf Kundeninformationen.
-
Im API-Schlüsseleinstellungen Bereich, klicken Sie Entfernen aller API-Schlüssel Klicken Sie auf Entfernen Alle.
Einschränken von API-Anmeldungen mit einem X.509-Zertifikat
Drittanbieteranwendungen können über die API mit Workfront kommunizieren. Um die Sicherheit Ihrer Workfront-Site zu erhöhen, können Sie Workfront so konfigurieren, dass API-Anmeldeanfragen eingeschränkt werden, indem Sie ein X.509-Zertifikat in Workfront hochladen. Nach der Aktivierung müssen alle Anmeldeanfragen über die API ein Client-Zertifikat zusätzlich zu Benutzername und Kennwort enthalten.
Abrufen des X.509-Zertifikats obtain-the-x-509-certificate
Besorgen Sie sich ein gültiges X.509-Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle (z. B. Verisign) und platzieren Sie es an einem temporären Speicherort auf Ihrer Workstation.
Hochladen des Zertifikats in Workfront upload-the-certificate-to-workfront
Nachdem Sie das X.509-Zertifikat von Ihrer Zertifizierungsstelle erhalten haben, müssen Sie es in Workfront hochladen.
-
Klicken Sie auf Hauptmenü icon
-
Erweitern System Klicken Sie auf Kundeninformationen.
-
Im API-Schlüsseleinstellungen Bereich, auswählen X.509-Zertifikat aktivieren.
-
Suchen Sie auf Ihrer Workstation das zuvor heruntergeladene X.509-Zertifikat und wählen Sie es aus.
-
(Optional) Klicken Sie auf Details anzeigen neben dem Zertifikatnamen, um die folgenden Details zum Zertifikat anzuzeigen:
- Allgemeiner Antragstellername
- Organisation des Antragstellenden
- Organisationseinheit des Antragstellenden
- Allgemeiner Ausstellername
- Organisation des Zertifikatausstellers
- Organisationseinheit des Zertifikatausstellers
- Seriennummer
- Ausstellungsdatum
- Ablaufdatum
-
Klicken Sie auf Speichern.
Überprüfen, ob API-Anmeldeaufrufe eingeschränkt sind verify-api-login-calls-are-restricted
Führen Sie vor dem Konfigurieren Ihrer Workfront-Instanz, für die ein X.509-Zertifikat erforderlich ist, eine API-Anfrage an die /login
Endpunkt mit gültigen Benutzernamen- und Kennwortparametern. Sie erhalten eine 200-Antwort, die eine sessionID enthält.
Nachdem Sie das X.509-Zertifikat über die Kundeninformationsseite in Ihrer Workfront-Instanz zur Anforderung gemacht haben, führen Sie einen weiteren Anmeldeversuch durch. Diesmal erhalten Sie eine 500-Fehlerantwort mit der folgenden Meldung: "Nicht vertrauenswürdige Anfrage. Wenden Sie sich an Ihren Systemadministrator und hängen Sie ein Zertifikat an."
Nachdem Sie bestätigt haben, dass das X.509-Zertifikat erforderlich ist, führen Sie dieselbe Anmeldeanfrage mit einem zusätzlichen Parameter für apiCertificate durch, der auf den Wert Ihres Zertifikats festgelegt ist. Wenn dieser Vorgang korrekt ausgeführt wurde, erhalten Sie eine 200-Antwort, die eine gültige sessionID enthält.