Intégration
La section Intégration se compose des pages suivantes :
Accès à l'API
Les clients peuvent communiquer avec OneSpan Sign à partir de leur propre système via des appels API REST. Le système peut authentifier ces appels en utilisant l'une des techniques suivantes :
- Applications clients
- Clé API
Applications clients
Avant que les intégrateurs puissent effectuer des requêtes via les API REST ou les fonctions SDK, OneSpan Sign exige que les utilisateurs enregistrent une application client ou fournissent une clé API sécurisée pour authentifier les appels API.
Pour enregistrer une application client
Vous pouvez authentifier les appels d'API REST à partir du système d'un utilisateur en fournissant à ce dernier un jeton d'API sécurisé mais de courte durée (par exemple, 30 minutes) qui peut être utilisé pour l'authentification. Cette fonctionnalité est appelée Applications clients. Pour l'activer, vous devez communiquer avec notre équipe de soutien. Une fois cette fonctionnalité activée, les intégrateurs tiers pourront se connecter à l'API OneSpan Sign en utilisant ces jetons d'API.
Cette fonction n'est pas prise en charge pour les OneSpan Sign les connecteurs.
Pour créer une application client
- Dans la section Applications clients de la page Accès à l'API, cliquez sur Ajouter. Une barre latérale Créer une application client apparaît.
- Saisissez un nom pour l'application client.
- Cliquez sur Créer.
- Copiez l'ID client et les codes secrets qui apparaissent
- Conservez l'ID client et les codes secrets dans un endroit sûr.
- Cliquez sur Terminé.
Le secret n'apparaîtra plus une fois que vous aurez cliqué sur Terminé. Pour vos dossiers, veuillez copier ce secret dans un endroit sûr. L'ID et le secret du client sont utilisés pour récupérer le jeton temporaire de l'API.
Clés API
Bien que les clés API puissent être utilisées avec OneSpan Sign, nous vous recommandons d'utiliser plutôt les applications clients. Les applications clients sont plus flexibles et contribuent à réduire le nombre de failles de sécurité potentielles.
Les applications clients offrent les avantages suivants par rapport aux clés d'API :
-
Avec les applications client, l'accès peut être créé, renouvelé ou révoqué selon les besoins. Les clés API sont fixes, et donc si vous voulez faire des changements d'accès, vous devrez communiquer avec notre équipe de soutien.
-
Plusieurs applications client peuvent être utilisées si vous avez configuré plusieurs intégrations. Cela permet de limiter la portée de toute attaque frauduleuse sur votre système. À l'inverse, une seule clé API est fournie pour toutes les intégrations.
-
Les applications clientes utilisent des jetons temporaires pour permettre l'accès à l'API, qui ne sont disponibles que pour une brève période de temps. Les clés API n'expirent pas et, par conséquent, toute violation vous obligera à communiquer avec notre équipe de soutien.
La clé API peut ne pas être visible, en fonction de votre environnement et des privilèges de votre compte.
Pour afficher votre clé API
- Dans la section Clé API de la page Accès API, cliquez sur l'icône Afficher.
Par défaut, votre clé API est masquée.
Prévention des pertes de données (PPD)
Les applications client peuvent être configurées pour fonctionner avec un logiciel de prévention des pertes de données (PPD). Si vous utilisez un logiciel PPD dans votre environnement et que vous souhaitez configurer votre logiciel pour surveiller l'ID et le secret du client, communiquez avec notre équipe de soutien.
Notifications d'événements
OneSpan Sign permet aux intégrateurs d'être automatiquement informés des événements qui concernent leur compte. Lors d'événements sélectionnés, le système émet automatiquement des messages vers une destination choisie par l'intégrateur. Avant que OneSpan Sign ne vous informe d'un événement, vous devez vous inscrire pour en être informé.
Pour configurer les notifications d'événements sur votre compte :
- Saisissez une Callback URL. Ce champ est obligatoire.
- En option, saisissez une Callback Key.
- Activez les types d'événements pour lesquels vous souhaitez être notifié. Par défaut, les notifications pour tous les types d'événements sont désactivées.
- Cliquez sur Enregistrer.
Si vous avez changé d'avis et souhaitez désactiver toutes les notifications d'événements, cliquez sur RÉTABLIR.
Si vous souhaitez activer la notification d'événements à l'aide de OAuth Refresh Token Flow, vous devez le faire en utilisant une API. Notez que nous ne prenons actuellement en charge cette méthode que sur Salesforce.
Sélectionner les événements
Événement | Description |
---|---|
Transaction créée | Une transaction a été créée. |
Transaction expirée | Une transaction a dépassé sa date d'expiration. |
Transaction activée | Une transaction a été envoyée. |
Transaction refusée | Un destinataire a refusé de signer la transaction par voie électronique. La notification comprend le motif pour laquelle le destinataire a choisi de se retirer. |
Transaction désactivée | Le statut de la transaction est passé de ENVOYÉ à ÉBAUCHE. |
Pièce jointe de la transaction | Un destinataire a téléversé une pièce jointe. |
Transaction prête à être réalisée | Une transaction a été marquée comme DO_NOT_AUTOCOMPLETE, et a été signée par tous les signataires. L'achèvement de la transaction nécessite une action de l'expéditeur. |
Document signé | Un document est signé, et l'accord de consentement aux divulgations et signatures électroniques a été accepté. |
Transaction complétée | Une transaction a été complétée par tous les signataires, et l'expéditeur a complété la transaction. |
Rôle réassigné | Un destinataire a délégué sa signature à un autre signataire. |
La transaction a été abandonnée | Une transaction a été déplacée vers le dossier Corbeille. |
Signature du destinataire complétée | Un destinataire a terminé de signer tous les documents. |
Transaction archivée | Une transaction a été complétée et est passée au statut Archivé. Les transactions archivées n'apparaissent plus dans la boîte de réception ou le tableau de bord de l'utilisateur. |
Transaction restaurée | Une transaction dans le dossier « Supprimé » a été restaurée à son état précédent. |
Destinataire verrouillé | Un destinataire a été bloqué, en raison d'échecs répétés d'authentification. |
Transaction supprimée | Une transaction a été définitivement supprimée du dossier Corbeille. |
Échec du KBA | Il y a eu un échec d'authentification KBA. |
Transaction refusée | Un destinataire a refusé de signer la transaction. La notification comprend le motif du refus du destinataire. |
Rebond de courriel | Un rebond de courriel s'est produit. |