Gérer les clés API
Afin de minimiser les vulnérabilités de sécurité de l’API, les administrateurs et administratrices d’Adobe Workfront peuvent gérer les clés API utilisées pour permettre aux applications d’accéder à Workfront pour le compte d’un utilisateur ou d’une utilisatrice.
Vous pouvez réinitialiser ou supprimer votre clé API d’administrateur ou d’administratrice actuelle, configurer l’expiration des clés API et supprimer les clés API pour tous les utilisateurs et utilisatrices.
Voici quelques exemples d’applications qui utilisent l’API Workfront :
- Intégrations de documents telles que Dropbox, Google Drive et Workfront DAM
- Applications mobiles Workfront
Conditions d’accès
Vous devez disposer des accès suivants pour effectuer les étapes de cet article :
Clés API Workfront
Chaque utilisateur et utilisatrice de Workfront dispose d’une clé API unique. Cette clé est générée par utilisateur ou utilisatrice au moment où la personne accède à une intégration qui utilise l’API Workfront (telle que l’application mobile Workfront ou une intégration de document).
Les administrateurs et administratrices Workfront disposent également d’une clé API unique. Lorsqu’une application utilise une clé API d’administrateur ou d’administratrice pour accéder à Workfront, elle dispose d’un accès administrateur ou administratrice à Workfront.
Gérer une clé API d’administrateur ou d’administratrice
Vous pouvez générer, réinitialiser ou supprimer la clé API de votre compte d’utilisateur ou d’utilisatrice d’administration.
-
Cliquez sur l’icône Menu principal dans le coin supérieur droit d’Adobe Workfront, puis cliquez sur Configuration .
-
Cliquez sur Système > Infos client.
-
(Le cas échéant) Effectuez l’une des actions suivantes :
Pour générer une clé API : dans la section Paramètres de la clé API, cliquez sur Générer la clé API.
Ou
Pour réinitialiser une clé API : dans la section Paramètres de la clé API, cliquez sur Réinitialiser, puis sur Réinitialiser.Ou
Pour supprimer la clé API : dans la section Paramètres de la clé API, cliquez sur Supprimer, puis sur Supprimer.
Générer une clé API pour les utilisateurs et utilisatrices non administrateurs et non administratrices
Vous pouvez générer et gérer des clés API pour les utilisateurs et utilisatrices ayant des rôles autres que l’administrateur ou l’administratrice Workfront.
-
(Le cas échéant) Si votre entreprise utilise la gestion des accès par authentification unique (SSO), désactivez temporairement l’option exigeant l’authentification SSO.
-
Cliquez sur l’icône Menu principal dans le coin supérieur droit d’Adobe Workfront, puis sur Configuration .
-
Développez Système, puis cliquez sur Authentification unique (SSO).
-
Dans le champ Type, sélectionnez le type de SSO utilisé par votre entreprise.
-
Avec le type sélectionné, faites défiler l’écran vers le bas et décochez la case Activer.
-
Cliquer sur Enregistrer.
-
-
Dans la barre d’adresse d’un navigateur, saisissez l’appel API suivant :
<domain>
**.my.workfront.com/attask/api/v7.0/user?action=generateApiKey&username=username&password=password&method=PUTRemplacez
<domain>
avec votre nom de domaine Workfront, et votre nom d’utilisateur ou d’utilisatrice et votre mot de passe par les informations d’identification Workfront de l’utilisateur ou l’utilisatrice. -
(Le cas échéant) Activez l’option exigeant l’authentification SSO si vous l’avez désactivée à l’étape 1.
-
Cliquez sur l’icône Menu principal dans le coin supérieur droit d’Adobe Workfront, puis cliquez sur Configuration .
-
Développez Système, puis cliquez sur Authentification unique (SSO).
-
Sélectionnez votre méthode d’authentification unique dans le menu déroulant Type.
-
Cochez la case exigeant une authentification SSO.
-
Configurer l’expiration des clés API
Vous pouvez configurer l’expiration des clés API pour tous les utilisateurs et toutes les utilisatrices de votre système. À l’expiration de la clé API d’un utilisateur ou d’une utilisatrice, celui-ci ou celle-ci doit se reconnecter à toutes les applications qui utilisent l’API Workfront pour accéder à Workfront. Vous pouvez modifier la fréquence d’expiration des clés API. Vous pouvez également configurer l’expiration des clés API à l’expiration du mot de passe d’un utilisateur ou d’une utilisatrice.
-
Cliquez sur l’icône Menu principal dans le coin supérieur droit d’Adobe Workfront, puis sur Configuration .
-
Cliquez sur Système > Infos client.
-
Dans la zone Paramètres de la clé API, dans la liste déroulante Après leur création, les clés API expirent dans, sélectionnez le délai d’expiration souhaité des clés API.
Lorsque vous modifiez cette option, le nouveau délai commence à partir du moment où vous avez apporté la modification. Par exemple, si vous modifiez cette option de 1 mois à 6 mois, les clés API expirent 6 mois à partir du moment où vous apportez la modification.
Par défaut, les clés API expirent chaque mois.
-
Pour configurer l’expiration des clés API sur l’expiration des mots de passe des utilisateurs et utilisatrices, sélectionnez Supprimer la clé API lorsque le mot de passe d’un utilisateur ou d’utilisatrice expire.
Par défaut, cette option n’est pas sélectionnée.
Pour plus d’informations sur la configuration de l’expiration des mots de passe des utilisateurs et utilisatrices, voir Configurer les préférences de sécurité système.
-
Cliquer sur Enregistrer.
Supprimer les clés API pour tous l’ensemble des utilisateurs et utilisatrices
Si une violation de sécurité spécifique vous préoccupe concernant votre système Workfront, vous pouvez supprimer les clés API simultanément pour l’ensemble des utilisateurs et utilisatrices.
-
Cliquez sur l’icône Menu principal dans le coin supérieur droit d’Adobe Workfront, puis sur Configuration .
-
Développez Système, puis cliquez sur Infos client.
-
Dans la zone Paramètres de clé API, cliquez sur Supprimer toutes les clés API, puis sur Tout supprimer.
Limiter les connexions à l’API avec un certificat X.509
Les applications tierces peuvent communiquer avec Workfront par le biais de l’API. Pour renforcer la sécurité de votre site Workfront, vous pouvez configurer Workfront afin de limiter les demandes de connexion à l’API en chargeant un certificat X.509 sur Workfront. Une fois activé, toutes les demandes de connexion via l’API doivent inclure un certificat client ou en plus du nom d’utilisateur ou d’utilisatrice et du mot de passe.
Obtenir le certificat X.509 obtain-the-x-509-certificate
Obtenez un certificat X.509 valide auprès d’une autorité de certification approuvée (Verisign, par exemple), puis placez-le dans un emplacement temporaire sur votre poste de travail.
Charger le certificat dans Workfront upload-the-certificate-to-workfront
Après avoir obtenu le certificat X.509 auprès de votre autorité de certification, vous devez le charger dans Workfront.
-
Cliquez sur l’icône Menu principal dans le coin supérieur droit d’Adobe Workfront, puis sur Configuration .
-
Développez Système, puis cliquez sur Infos client.
-
Dans la zone Paramètres de clé API, sélectionnez Activer le certificat X.509.
-
Sur votre poste de travail, recherchez et sélectionnez le certificat X.509 que vous avez précédemment chargé.
-
(Facultatif) Cliquez sur Afficher les détails en regard du nom du certificat pour afficher les détails suivants sur le certificat :
- Nom courant du sujet
- Organisation du sujet
- Unité organisationnelle du sujet
- Nom courant de l'émetteur
- Organisation de l'émetteur
- Unité organisationnelle de l'émetteur
- Numéro de série
- Date de l'événement
- Date d'expiration
-
Cliquer sur Enregistrer.
Vérifier que les appels de connexion à l’API sont limités verify-api-login-calls-are-restricted
Avant de configurer votre instance de Workfront pour qu’elle exige un certificat X.509, effectuez une demande d’API auprès du point d’entrée /login
à l’aide de paramètres de nom d’utilisateur ou d’utilisatrice et de mot de passe valides. Vous recevrez une réponse 200 contenant un ID de session.
Après avoir rendu le certificat X.509 obligatoire via la page d’informations sur le client de votre instance de Workfront, effectuez une autre tentative de connexion. Cette fois, vous recevrez une réponse d’erreur 500 avec le message suivant : « Demande non fiable. Contactez votre administrateur système et joignez un certificat. »
Après avoir confirmé que le certificat X.509 est requis, effectuez la même demande de connexion avec un paramètre supplémentaire pour apiCertificate défini sur la valeur de votre certificat. Si cette opération a été effectuée correctement, vous recevrez une réponse 200 contenant un ID de session valide.