Pour télécharger l'exemple complet de code, consultez notre site Partage de code.

Grâce à la fonction Rôles et autorisations, les administrateurs peuvent mieux contrôler les autorisations d'accès de leurs expéditeurs. En créant un rôle de compte personnalisé avec un ensemble de autorisations et en attribuant ce rôle à un expéditeur, on détermine les actions disponibles pour l'expéditeur et on facilite la gestion des droits d'accès d'un grand nombre d'expéditeurs sans avoir à modifier leurs autorisations respectives.

Sans activer la fonction Rôles et autorisations, les administrateurs ne peuvent spécifier que deux types de rôles statiques : « Expéditeur » et « Gestionnaire ». Cela peut s'avérer insuffisant lorsque le nombre d'expéditeurs augmente et qu'ils doivent accéder à différents éléments du compte. L'attribution de rôles et de autorisations à vos expéditeurs vous permet de contrôler cela.

Activation des rôles et des autorisations

Par défaut, la fonction Rôles et autorisations est désactivée. Les administrateurs doivent donc communiquer avec notre équipe de soutien pour organiser cette configuration dans le compte. Une fois activée, l'option permettant de configurer les rôles apparaîtra dans le menu Admin de OneSpan Sign. Pour obtenir plus d'informations, voir Gestion des rôles.

Lorsque vous effectuez des appels API avec une clé API, OneSpan Sign crée une session Clé API si elle n'est pas déjà utilisée. Si une session Clé API a déjà été créée, OneSpan Sign elle utilisera la session existante. Cependant, si les rôles et les autorisations ont été mis en cache dans cette session, les modifications apportées n'apparaîtront pas avant l'expiration de la session. Par défaut, les sessions Clé API expirent au bout de 15 minutes.

Autorisations disponibles

Avec un modèle d'accès basé sur les rôles, vous pouvez regrouper les expéditeurs ayant des besoins similaires dans un même rôle. Vous accordez ensuite des autorisations au rôle qui déterminent les pages et les actions auxquelles les expéditeurs peuvent accéder. Le tableau suivant décrit toutes les autorisations dans OneSpan Sign. Notez que chaque autorisation possède un ID d'autorisation que vous utiliserez lors de la configuration des rôles et des autorisations pour votre organisation.

Si une fonction spécifique n'est pas activée pour un compte, l'autorisation associée à cette fonction n'est pas disponible. En outre, les autorisations disponibles peuvent changer lorsque de nouvelles fonctionnalités et versions sont déployées sur un compte.

Lorsque vous créez des rôles personnalisés via l'intégration, vous devez vous assurer d'inclure également l'autorisation de modèle et de ne pas dépendre de l'autorisation de "transaction" existante pour déterminer si les modèles sont autorisés à être créés/mises à jour/supprimés.

Autorisation ID de autorisation Description
Trust Vault Autorisations
Pas d'accès   Cette autorisation refuse l'accès au Trust Vault.
Afficher ses propres transactions   Cette autorisation permet à un expéditeur d'afficher n'importe quelle transaction archivée dans le Trust Vault.
Afficher et supprimer ses propres transactions   Cette autorisation permet à un expéditeur d'afficher et de supprimer n'importe quelle transaction archivée dans le Trust Vault.
Afficher toutes les transactions   Cette autorisation permet à un expéditeur d'afficher toutes les transactions archivées dans le Trust Vault.
Afficher et supprimer toutes les transactions   Cette autorisation permet à un expéditeur d'afficher et de supprimer toutes les transactions archivées dans le Trust Vault.
Autorisations admin de l'expéditeur
Champs personnalisés sender_admin.custom_fields Cette autorisation permet à un expéditeur de créer et de gérer des Champs personnalisés.
Gestion des utilisateurs sender_admin.users Cette autorisation permet à un expéditeur de gérer les utilisateurs associés à son compte.
Détails de facturation du compte d'abonnement sender_admin.subscription

Cette autorisation permet à un expéditeur de consulter la page Abonnement, qui contient les détails de facturation de son compte.

Accès à l'API sender_admin.api_access Cette autorisation permet à un expéditeur de permettre aux clients de communiquer avec OneSpan Sign depuis leur propre système via des appels d'API REST.
Notification d'événement sender_admin.event_notification Cette autorisation permet à un expéditeur de visualiser l'interface des notifications d'événements de son compte. Les intégrateurs peuvent utiliser cette interface pour demander une notification automatique des événements qui concernent le compte.
Gestion des données sender_admin.data_management

Cette autorisation permet à un expéditeur de spécifier combien de temps les transactions dans différents états seront conservées sur un serveur OneSpan Sign.

Personnalisation de la signature sender_admin.customization

Cette autorisation permet à un expéditeur de donner une nouvelle image de marque à l'entreprise Signer Experience de plusieurs manières puissantes.

Notaire sender_admin.notary

Cette autorisation permet à un expéditeur d'activer la fonction IPEN sur le compte d'un notaire. Cette fonction permet au notaire de signer électroniquement et d'authentifier des documents dans le cadre d'une « transaction notariée ».

Paramètres de sécurité sender_admin.security_settings

Cette autorisation permet à un expéditeur de spécifier une politique de mot de passe pour son compte.

Configuration du compte sender_admin.self_serve_account_settings Cette autorisation permet à un expéditeur d'accéder à la page Configuration du compte.
Rapports sender_admin.reports Cette autorisation permet à un expéditeur d'afficher le menu Rapports dans la barre de navigation, et donc d'accéder aux rapports concernant son compte.
Rôles sender_admin.role Cette autorisation permet à un expéditeur de gérer les rôles associés à son compte.
Autorisations de groupe
Gestion des signatures de groupe groups.group_signing_management Cette autorisation permet à un propriétaire ou à un gestionnaire de compte de gérer les groupes sur son compte (groupes de courriels de l'interface utilisateur de l'expéditeur).
Autorisations relatives aux modèles et aux mises en page
Modèle templates_layouts.templates Cette autorisation permet aux administrateurs d'ajouter des autorisations d'accès aux modèles à un rôle. Par exemple, à partir de l'interface utilisateur OneSpan Sign, les administrateurs peuvent désormais configurer un rôle pour qu'un utilisateur puisse voir le menu Modèles et, à partir de là, créer, mettre à jour et supprimer des modèles. Les intégrateurs utilisant nos API peuvent définir si un utilisateur peut créer, modifier ou supprimer des modèles.
Modèle de partage templates_layouts.share_templates Cette autorisation permet à un expéditeur de mettre ses modèles à la disposition des autres utilisateurs de son compte.
Sauvegarder la mise en page  

Cette autorisation permet à un expéditeur ayant cette autorisation activée pour son rôle, de créer une mise en page à partir d'une transaction qu'il crée.

Notez que cette autorisation remplacera toutes les configurations effectuées dans le Concepteur, ce qui signifie que si, par exemple, un utilisateur n'a pas l'autorisation Enregistrer la mise en page activée pour son rôle, il ne pourra pas enregistrer les mises en page, même si le Concepteur a été configuré pour l'autoriser.

Mise en page de partage templates_layouts.share_layouts Cette autorisation permet à un expéditeur de mettre ses mises en page à la disposition des autres utilisateurs de son compte.
Appliquer la mise en page  

Cette autorisation permet à un expéditeur ayant cette autorisation activée pour son rôle, d'appliquer une mise en page à partir d'une transaction qu'il crée.

Notez que cette autorisation remplacera toutes les configurations effectuées dans le Concepteur, ce qui signifie que si, par exemple, un utilisateur n'a pas l'autorisation Appliquer la mise en page activée pour son rôle, il ne pourra pas appliquer les mises en page, même si le Concepteur a été configuré pour l'autoriser.

Autorisations de transaction
Transaction transaction.transaction Cette autorisation permet à l'expéditeur de créer, afficher et modifier des transactions.
Signature en personne transaction.in_person Cette autorisation permet à un expéditeur d'utiliser la fonction de signature en personne pour une transaction.
Option de changement de signataire transaction.change_signer Cette autorisation permet à un signataire de déléguer ses responsabilités de signature à une autre personne.
Visibilité de la transaction dans la délégation transaction.delegation_visibility

Cette autorisation permet à un délégué de voir toutes les transactions sur le compte qu'il a été chargé de gérer.

Gestion des rôles des comptes

Par défaut, OneSpan Sign propose les rôles suivants, chacun avec ses propres jeux d'autorisations par défaut :

  • Administrateur : A un accès complet à l'application et à ses configurations
  • Manager : A un accès complet à l'application

    Si Administration d'entreprise a été activée pour votre compte, un gestionnaire ne pourra pas affecter de délégué à l'un de ses expéditeurs.

  • Expéditeur : A un accès limité à l'application
  • Notaire : A un accès limité à l'application, avec des fonctions notariales supplémentaires.
  • Ces rôles par défaut ne sont pas personnalisables, et ils ne peuvent pas être supprimés. Les administrateurs de comptes peuvent néanmoins : (1) création de rôles personnalisés avec affectation d'un jeu personnalisé d'autorisations à chacun d'eux ; (2) mise en disponibilité d'un rôle personnalisé dans des comptes spécifiques.

Si vous devez créer des rôles personnalisés supplémentaires, vous pouvez le faire en utilisant le SDK Java.

Assurez-vous que votre SDK est la version 11.35 ou supérieure.

Pour créer un rôle de compte :

AccountRole accountRole = AccountRoleBuilder.newAccountRole()
	.withName("Regional Manager")
	.withPermissions(Arrays.asList("transaction.transaction", "transaction.in_person"))
	.withDescription("Customized Role for Regional Manager")
	.withEnabled(true)
	.build();
eslClient.getAccountService().addAccountRole(accountRole);

En réponse, un ID de rôle de compte formaté en UUID sera renvoyé. Conservez cet identifiant dans un fichier local car vous devrez y faire référence pour des procédures supplémentaires.

Pour interroger un rôle de compte spécifique par son ID :

AccountRole accountRole = eslClient.getAccountService().getAccountRole("account_role_id");

Pour récupérer une liste de tous les rôles de compte existants

List<AccountRole> accountRoles = eslClient.getAccountService().getAccountRoles();

Pour mettre à jour le nom du rôle d'un compte, sa description ou les autorisations associées :

Un utilisateur ne peut pas mettre à jour son propre rôle.

AccountRole accountRole = eslClient.getAccountService().getAccountRole("account_role_id");
accountRole.setDescription("Updated Description");
accountRole.getPermissions().addAll(Arrays.asList("sender_admin.security_settings","sender_admin.reports"));
eslClient.getAccountService().updateAccountRole("account_role_id", accountRole);

Pour désactiver un rôle de compte :

Au lieu de supprimer directement un rôle, vous pouvez choisir de le désactiver d'abord. La désactivation du rôle de compte fonctionne de la même manière que l'opération de suppression mais vous laisse la possibilité de réactiver le rôle, si nécessaire.

AccountRole accountRole = eslClient.getAccountService().getAccountRole("account_role_id");
accountRole.setEnabled(false);
eslClient.getAccountService().updateAccountRole("account_role_id", accountRole);

Pour supprimer un rôle de compte :

Si vous décidez de ne pas conserver un rôle de compte désactivé, vous pouvez supprimer ce rôle.

Cette action n'est pas réversible.

eslClient.getAccountService().deleteAccountRole("account_role_id");

Pour récupérer une liste d'identifiants d'expéditeur assignés à un rôle :

List<String> accountRoleUsers = client.getAccountService().getAccountRoleUsers("account_role_id");

Résultats

Voici un exemple de ce que vous pouvez vous attendre à voir une fois que vous aurez exécuté votre code.

Après avoir exécuté l'exemple de code, vous pouvez trouver vos rôles de compte nouvellement créés dans votre compte OneSpan Sign. Naviguez vers Admin > Rôles pour voir les rôles de compte originaux et personnalisés.

Attribuer un rôle de compte à un expéditeur

Une fois les rôles configurés dans votre compte, l'étape suivante consiste à associer les rôles à votre expéditeur existant.

Pour attribuer un rôle de compte à un expéditeur :

List<AccountRole> acountRoles = new ArrayList<>();
acountRoles.add(AccountRoleBuilder.newAccountRole().withId("your_account_role_id1").build());
acountRoles.add(AccountRoleBuilder.newAccountRole().withId("your_account_role_id2").build());
acountRoles.add(AccountRoleBuilder.newAccountRole().withId("your_account_role_id3").build());
UserAccountRole userAccountRole = new UserAccountRole("sender_id","accountId",acountRoles);
userAccountRole = client.getAccountService().assignAccountRoleToUser(userAccountRole.getUserId(),
userAccountRole);

Pour télécharger l'exemple complet de code, consultez notre site Partage de code.

Grâce à la fonction Rôles et autorisations, les administrateurs peuvent mieux contrôler les autorisations d'accès de leurs expéditeurs. En créant un rôle de compte personnalisé avec un ensemble de autorisations et en attribuant ce rôle à un expéditeur, on détermine les actions disponibles pour l'expéditeur et on facilite la gestion des droits d'accès d'un grand nombre d'expéditeurs sans avoir à modifier leurs autorisations respectives.

Sans activer la fonction Rôles et autorisations, les administrateurs ne peuvent spécifier que deux types de rôles statiques : « Expéditeur » et « Gestionnaire ». Cela peut s'avérer insuffisant lorsque le nombre d'expéditeurs augmente et qu'ils doivent accéder à différents éléments du compte. L'attribution de rôles et de autorisations à vos expéditeurs vous permet de contrôler cela.

Activation des rôles et des autorisations

Par défaut, la fonction Rôles et autorisations est désactivée. Les administrateurs doivent donc communiquer avec notre équipe de soutien pour organiser cette configuration dans le compte. Une fois activée, l'option permettant de configurer les rôles apparaîtra dans le menu Admin de OneSpan Sign. Pour obtenir plus d'informations, voir Gestion des rôles.

Lorsque vous effectuez des appels API avec une clé API, OneSpan Sign crée une session Clé API si elle n'est pas déjà utilisée. Si une session Clé API a déjà été créée, OneSpan Sign elle utilisera la session existante. Cependant, si les rôles et les autorisations ont été mis en cache dans cette session, les modifications apportées n'apparaîtront pas avant l'expiration de la session. Par défaut, les sessions Clé API expirent au bout de 15 minutes.

Autorisations disponibles

Avec un modèle d'accès basé sur les rôles, vous pouvez regrouper les expéditeurs ayant des besoins similaires dans un même rôle. Vous accordez ensuite des autorisations au rôle qui déterminent les pages et les actions auxquelles les expéditeurs peuvent accéder. Le tableau suivant décrit toutes les autorisations dans OneSpan Sign. Notez que chaque autorisation possède un ID d'autorisation que vous utiliserez lors de la configuration des rôles et des autorisations pour votre organisation.

Si une fonction spécifique n'est pas activée pour un compte, l'autorisation associée à cette fonction n'est pas disponible. En outre, les autorisations disponibles peuvent changer lorsque de nouvelles fonctionnalités et versions sont déployées sur un compte.

Lorsque vous créez des rôles personnalisés via l'intégration, vous devez vous assurer d'inclure également l'autorisation de modèle et de ne pas dépendre de l'autorisation de "transaction" existante pour déterminer si les modèles sont autorisés à être créés/mises à jour/supprimés.

Autorisation ID de autorisation Description
Trust Vault Autorisations
Pas d'accès   Cette autorisation refuse l'accès au Trust Vault.
Afficher ses propres transactions   Cette autorisation permet à un expéditeur d'afficher n'importe quelle transaction archivée dans le Trust Vault.
Afficher et supprimer ses propres transactions   Cette autorisation permet à un expéditeur d'afficher et de supprimer n'importe quelle transaction archivée dans le Trust Vault.
Afficher toutes les transactions   Cette autorisation permet à un expéditeur d'afficher toutes les transactions archivées dans le Trust Vault.
Afficher et supprimer toutes les transactions   Cette autorisation permet à un expéditeur d'afficher et de supprimer toutes les transactions archivées dans le Trust Vault.
Autorisations admin de l'expéditeur
Champs personnalisés sender_admin.custom_fields Cette autorisation permet à un expéditeur de créer et de gérer des Champs personnalisés.
Gestion des utilisateurs sender_admin.users Cette autorisation permet à un expéditeur de gérer les utilisateurs associés à son compte.
Détails de facturation du compte d'abonnement sender_admin.subscription

Cette autorisation permet à un expéditeur de consulter la page Abonnement, qui contient les détails de facturation de son compte.

Accès à l'API sender_admin.api_access Cette autorisation permet à un expéditeur de permettre aux clients de communiquer avec OneSpan Sign depuis leur propre système via des appels d'API REST.
Notification d'événement sender_admin.event_notification Cette autorisation permet à un expéditeur de visualiser l'interface des notifications d'événements de son compte. Les intégrateurs peuvent utiliser cette interface pour demander une notification automatique des événements qui concernent le compte.
Gestion des données sender_admin.data_management

Cette autorisation permet à un expéditeur de spécifier combien de temps les transactions dans différents états seront conservées sur un serveur OneSpan Sign.

Personnalisation de la signature sender_admin.customization

Cette autorisation permet à un expéditeur de donner une nouvelle image de marque à l'entreprise Signer Experience de plusieurs manières puissantes.

Notaire sender_admin.notary

Cette autorisation permet à un expéditeur d'activer la fonction IPEN sur le compte d'un notaire. Cette fonction permet au notaire de signer électroniquement et d'authentifier des documents dans le cadre d'une « transaction notariée ».

Paramètres de sécurité sender_admin.security_settings

Cette autorisation permet à un expéditeur de spécifier une politique de mot de passe pour son compte.

Configuration du compte sender_admin.self_serve_account_settings Cette autorisation permet à un expéditeur d'accéder à la page Configuration du compte.
Rapports sender_admin.reports Cette autorisation permet à un expéditeur d'afficher le menu Rapports dans la barre de navigation, et donc d'accéder aux rapports concernant son compte.
Rôles sender_admin.role Cette autorisation permet à un expéditeur de gérer les rôles associés à son compte.
Autorisations de groupe
Gestion des signatures de groupe groups.group_signing_management Cette autorisation permet à un propriétaire ou à un gestionnaire de compte de gérer les groupes sur son compte (groupes de courriels de l'interface utilisateur de l'expéditeur).
Autorisations relatives aux modèles et aux mises en page
Modèle templates_layouts.templates Cette autorisation permet aux administrateurs d'ajouter des autorisations d'accès aux modèles à un rôle. Par exemple, à partir de l'interface utilisateur OneSpan Sign, les administrateurs peuvent désormais configurer un rôle pour qu'un utilisateur puisse voir le menu Modèles et, à partir de là, créer, mettre à jour et supprimer des modèles. Les intégrateurs utilisant nos API peuvent définir si un utilisateur peut créer, modifier ou supprimer des modèles.
Modèle de partage templates_layouts.share_templates Cette autorisation permet à un expéditeur de mettre ses modèles à la disposition des autres utilisateurs de son compte.
Sauvegarder la mise en page  

Cette autorisation permet à un expéditeur ayant cette autorisation activée pour son rôle, de créer une mise en page à partir d'une transaction qu'il crée.

Notez que cette autorisation remplacera toutes les configurations effectuées dans le Concepteur, ce qui signifie que si, par exemple, un utilisateur n'a pas l'autorisation Enregistrer la mise en page activée pour son rôle, il ne pourra pas enregistrer les mises en page, même si le Concepteur a été configuré pour l'autoriser.

Mise en page de partage templates_layouts.share_layouts Cette autorisation permet à un expéditeur de mettre ses mises en page à la disposition des autres utilisateurs de son compte.
Appliquer la mise en page  

Cette autorisation permet à un expéditeur ayant cette autorisation activée pour son rôle, d'appliquer une mise en page à partir d'une transaction qu'il crée.

Notez que cette autorisation remplacera toutes les configurations effectuées dans le Concepteur, ce qui signifie que si, par exemple, un utilisateur n'a pas l'autorisation Appliquer la mise en page activée pour son rôle, il ne pourra pas appliquer les mises en page, même si le Concepteur a été configuré pour l'autoriser.

Autorisations de transaction
Transaction transaction.transaction Cette autorisation permet à l'expéditeur de créer, afficher et modifier des transactions.
Signature en personne transaction.in_person Cette autorisation permet à un expéditeur d'utiliser la fonction de signature en personne pour une transaction.
Option de changement de signataire transaction.change_signer Cette autorisation permet à un signataire de déléguer ses responsabilités de signature à une autre personne.
Visibilité de la transaction dans la délégation transaction.delegation_visibility

Cette autorisation permet à un délégué de voir toutes les transactions sur le compte qu'il a été chargé de gérer.

Gestion des rôles des comptes

Par défaut, OneSpan Sign propose les rôles suivants, chacun avec ses propres jeux d'autorisations par défaut :

  • Administrateur : A un accès complet à l'application et à ses configurations
  • Manager : A un accès complet à l'application

    Si Administration d'entreprise a été activée pour votre compte, un gestionnaire ne pourra pas affecter de délégué à l'un de ses expéditeurs.

  • Expéditeur : A un accès limité à l'application
  • Notaire : A un accès limité à l'application, avec des fonctions notariales supplémentaires.
  • Ces rôles par défaut ne sont pas personnalisables, et ils ne peuvent pas être supprimés. Les administrateurs de comptes peuvent néanmoins : (1) création de rôles personnalisés avec affectation d'un jeu personnalisé d'autorisations à chacun d'eux ; (2) mise en disponibilité d'un rôle personnalisé dans des comptes spécifiques.

Si vous devez créer des rôles personnalisés supplémentaires, vous pouvez le faire en utilisant le SDK Java.

Assurez-vous que votre SDK est la version 11.35 ou supérieure.

Pour créer un rôle de compte :

	
				//create
				AccountRole accountRole = AccountRoleBuilder.NewAccountRole()
				.WithName("Sales Manager")
				.WithPermissions(new List<String> { "transaction.transaction", "transaction.in_person" })
					.WithDescription("Customized Role for Regional Manager")
					.WithEnabled(true)
					.Build();
					ossClient.AccountService.addAccountRole(accountRole);
					//			
				

En réponse, un ID de rôle de compte formaté en UUID sera renvoyé. Conservez cet identifiant dans un fichier local car vous devrez y faire référence pour des procédures supplémentaires.

Pour interroger un rôle de compte spécifique par son ID :

AccountRole accountRole1 = ossClient.AccountService.getAccountRole("account_role_id");
			

Pour récupérer une liste de tous les rôles de compte existants

List<AccountRole> accountRoles = ossClient.AccountService.getAccountRoles();

Pour mettre à jour le nom du rôle d'un compte, sa description ou les autorisations associées :

 AccountRole accountRole2 = ossClient.AccountService.getAccountRole("account_role_id");
				accountRole2.Description = "Updated Description";
				accountRole2.Permissions.AddRange(new List<String> { "sender_admin.security_settings", "sender_admin.reports" });
			ossClient.AccountService.updateAccountRole("account_role_id", accountRole2);

Pour désactiver un rôle de compte :

Au lieu de supprimer directement un rôle, vous pouvez choisir de le désactiver d'abord. La désactivation du rôle de compte fonctionne de la même manière que l'opération de suppression mais vous laisse la possibilité de réactiver le rôle, si nécessaire.

AccountRole accountRole3 = ossClient.AccountService.getAccountRole("account_role_id");
				accountRole3.Enabled = false;
			ossClient.AccountService.updateAccountRole("account_role_id", accountRole3);

Pour supprimer un rôle de compte :

Si vous décidez de ne pas conserver un rôle de compte désactivé, vous pouvez supprimer ce rôle.

Cette action n'est pas réversible.

ossClient.AccountService.deleteAccountRole("account_role_id");

Pour récupérer une liste d'identifiants d'expéditeur assignés à un rôle :

List<String> accountRoleUsers = ossClient.AccountService.getAccountRoleUsers("account_role_id");
			Collap

Résultats

Voici un exemple de ce que vous pouvez vous attendre à voir une fois que vous aurez exécuté votre code.

Après avoir exécuté l'exemple de code, vous pouvez trouver vos rôles de compte nouvellement créés dans votre compte OneSpan Sign. Naviguez vers Admin > Rôles pour voir les rôles de compte originaux et personnalisés.

Attribuer un rôle de compte à un expéditeur

Une fois les rôles configurés dans votre compte, l'étape suivante consiste à associer les rôles à votre expéditeur existant.

Pour attribuer un rôle de compte à un expéditeur :

List<AccountRole> acountRoles = new ArrayList<>();
acountRoles.add(AccountRoleBuilder.newAccountRole().withId("your_account_role_id1").build());
acountRoles.add(AccountRoleBuilder.newAccountRole().withId("your_account_role_id2").build());
acountRoles.add(AccountRoleBuilder.newAccountRole().withId("your_account_role_id3").build());
UserAccountRole userAccountRole = new UserAccountRole("sender_id","accountId",acountRoles);
userAccountRole = client.getAccountService().assignAccountRoleToUser(userAccountRole.getUserId(),
userAccountRole);

Pour télécharger l'exemple complet de code, consultez notre site Partage de code.

Grâce à la fonction Rôles et autorisations, les administrateurs peuvent mieux contrôler les autorisations d'accès de leurs expéditeurs. En créant un rôle de compte personnalisé avec un ensemble de autorisations et en attribuant ce rôle à un expéditeur, on détermine les actions disponibles pour l'expéditeur et on facilite la gestion des droits d'accès d'un grand nombre d'expéditeurs sans avoir à modifier leurs autorisations respectives.

Sans activer la fonction Rôles et autorisations, les administrateurs ne peuvent spécifier que deux types de rôles statiques : « Expéditeur » et « Gestionnaire ». Cela peut s'avérer insuffisant lorsque le nombre d'expéditeurs augmente et qu'ils doivent accéder à différents éléments du compte. L'attribution de rôles et de autorisations à vos expéditeurs vous permet de contrôler cela.

Activation des rôles et des autorisations

Par défaut, la fonction Rôles et autorisations est désactivée. Les administrateurs doivent donc communiquer avec notre équipe de soutien pour organiser cette configuration dans le compte. Une fois activée, l'option permettant de configurer les rôles apparaîtra dans le menu Admin de OneSpan Sign. Pour obtenir plus d'informations, voir Gestion des rôles.

Lorsque vous effectuez des appels API avec une clé API, OneSpan Sign crée une session Clé API si elle n'est pas déjà utilisée. Si une session Clé API a déjà été créée, OneSpan Sign elle utilisera la session existante. Cependant, si les rôles et les autorisations ont été mis en cache dans cette session, les modifications apportées n'apparaîtront pas avant l'expiration de la session. Par défaut, les sessions Clé API expirent au bout de 15 minutes.

Autorisations disponibles

Avec un modèle d'accès basé sur les rôles, vous pouvez regrouper les expéditeurs ayant des besoins similaires dans un même rôle. Vous accordez ensuite des autorisations au rôle qui déterminent les pages et les actions auxquelles les expéditeurs peuvent accéder. Le tableau suivant décrit toutes les autorisations dans OneSpan Sign. Notez que chaque autorisation possède un ID d'autorisation que vous utiliserez lors de la configuration des rôles et des autorisations pour votre organisation.

Si une fonction spécifique n'est pas activée pour un compte, l'autorisation associée à cette fonction n'est pas disponible. En outre, les autorisations disponibles peuvent changer lorsque de nouvelles fonctionnalités et versions sont déployées sur un compte.

Lorsque vous créez des rôles personnalisés via l'intégration, vous devez vous assurer d'inclure également l'autorisation de modèle et de ne pas dépendre de l'autorisation de "transaction" existante pour déterminer si les modèles sont autorisés à être créés/mises à jour/supprimés.

Autorisation ID de autorisation Description
Trust Vault Autorisations
Pas d'accès   Cette autorisation refuse l'accès au Trust Vault.
Afficher ses propres transactions   Cette autorisation permet à un expéditeur d'afficher n'importe quelle transaction archivée dans le Trust Vault.
Afficher et supprimer ses propres transactions   Cette autorisation permet à un expéditeur d'afficher et de supprimer n'importe quelle transaction archivée dans le Trust Vault.
Afficher toutes les transactions   Cette autorisation permet à un expéditeur d'afficher toutes les transactions archivées dans le Trust Vault.
Afficher et supprimer toutes les transactions   Cette autorisation permet à un expéditeur d'afficher et de supprimer toutes les transactions archivées dans le Trust Vault.
Autorisations admin de l'expéditeur
Champs personnalisés sender_admin.custom_fields Cette autorisation permet à un expéditeur de créer et de gérer des Champs personnalisés.
Gestion des utilisateurs sender_admin.users Cette autorisation permet à un expéditeur de gérer les utilisateurs associés à son compte.
Détails de facturation du compte d'abonnement sender_admin.subscription

Cette autorisation permet à un expéditeur de consulter la page Abonnement, qui contient les détails de facturation de son compte.

Accès à l'API sender_admin.api_access Cette autorisation permet à un expéditeur de permettre aux clients de communiquer avec OneSpan Sign depuis leur propre système via des appels d'API REST.
Notification d'événement sender_admin.event_notification Cette autorisation permet à un expéditeur de visualiser l'interface des notifications d'événements de son compte. Les intégrateurs peuvent utiliser cette interface pour demander une notification automatique des événements qui concernent le compte.
Gestion des données sender_admin.data_management

Cette autorisation permet à un expéditeur de spécifier combien de temps les transactions dans différents états seront conservées sur un serveur OneSpan Sign.

Personnalisation de la signature sender_admin.customization

Cette autorisation permet à un expéditeur de donner une nouvelle image de marque à l'entreprise Signer Experience de plusieurs manières puissantes.

Notaire sender_admin.notary

Cette autorisation permet à un expéditeur d'activer la fonction IPEN sur le compte d'un notaire. Cette fonction permet au notaire de signer électroniquement et d'authentifier des documents dans le cadre d'une « transaction notariée ».

Paramètres de sécurité sender_admin.security_settings

Cette autorisation permet à un expéditeur de spécifier une politique de mot de passe pour son compte.

Configuration du compte sender_admin.self_serve_account_settings Cette autorisation permet à un expéditeur d'accéder à la page Configuration du compte.
Rapports sender_admin.reports Cette autorisation permet à un expéditeur d'afficher le menu Rapports dans la barre de navigation, et donc d'accéder aux rapports concernant son compte.
Rôles sender_admin.role Cette autorisation permet à un expéditeur de gérer les rôles associés à son compte.
Autorisations de groupe
Gestion des signatures de groupe groups.group_signing_management Cette autorisation permet à un propriétaire ou à un gestionnaire de compte de gérer les groupes sur son compte (groupes de courriels de l'interface utilisateur de l'expéditeur).
Autorisations relatives aux modèles et aux mises en page
Modèle templates_layouts.templates Cette autorisation permet aux administrateurs d'ajouter des autorisations d'accès aux modèles à un rôle. Par exemple, à partir de l'interface utilisateur OneSpan Sign, les administrateurs peuvent désormais configurer un rôle pour qu'un utilisateur puisse voir le menu Modèles et, à partir de là, créer, mettre à jour et supprimer des modèles. Les intégrateurs utilisant nos API peuvent définir si un utilisateur peut créer, modifier ou supprimer des modèles.
Modèle de partage templates_layouts.share_templates Cette autorisation permet à un expéditeur de mettre ses modèles à la disposition des autres utilisateurs de son compte.
Sauvegarder la mise en page  

Cette autorisation permet à un expéditeur ayant cette autorisation activée pour son rôle, de créer une mise en page à partir d'une transaction qu'il crée.

Notez que cette autorisation remplacera toutes les configurations effectuées dans le Concepteur, ce qui signifie que si, par exemple, un utilisateur n'a pas l'autorisation Enregistrer la mise en page activée pour son rôle, il ne pourra pas enregistrer les mises en page, même si le Concepteur a été configuré pour l'autoriser.

Mise en page de partage templates_layouts.share_layouts Cette autorisation permet à un expéditeur de mettre ses mises en page à la disposition des autres utilisateurs de son compte.
Appliquer la mise en page  

Cette autorisation permet à un expéditeur ayant cette autorisation activée pour son rôle, d'appliquer une mise en page à partir d'une transaction qu'il crée.

Notez que cette autorisation remplacera toutes les configurations effectuées dans le Concepteur, ce qui signifie que si, par exemple, un utilisateur n'a pas l'autorisation Appliquer la mise en page activée pour son rôle, il ne pourra pas appliquer les mises en page, même si le Concepteur a été configuré pour l'autoriser.

Autorisations de transaction
Transaction transaction.transaction Cette autorisation permet à l'expéditeur de créer, afficher et modifier des transactions.
Signature en personne transaction.in_person Cette autorisation permet à un expéditeur d'utiliser la fonction de signature en personne pour une transaction.
Option de changement de signataire transaction.change_signer Cette autorisation permet à un signataire de déléguer ses responsabilités de signature à une autre personne.
Visibilité de la transaction dans la délégation transaction.delegation_visibility

Cette autorisation permet à un délégué de voir toutes les transactions sur le compte qu'il a été chargé de gérer.

Gestion des rôles des comptes

Par défaut, OneSpan Sign propose les rôles suivants, chacun avec ses propres jeux d'autorisations par défaut :

  • Administrateur : A un accès complet à l'application et à ses configurations
  • Manager : A un accès complet à l'application

    Si Administration d'entreprise a été activée pour votre compte, un gestionnaire ne pourra pas affecter de délégué à l'un de ses expéditeurs.

  • Expéditeur : A un accès limité à l'application
  • Notaire : A un accès limité à l'application, avec des fonctions notariales supplémentaires.
  • Ces rôles par défaut ne sont pas personnalisables, et ils ne peuvent pas être supprimés. Les administrateurs de comptes peuvent néanmoins : (1) création de rôles personnalisés avec affectation d'un jeu personnalisé d'autorisations à chacun d'eux ; (2) mise en disponibilité d'un rôle personnalisé dans des comptes spécifiques.

Si vous devez créer des rôles personnalisés supplémentaires, vous pouvez le faire en utilisant l'API RESTful.

Pour créer un rôle de compte :

Requête HTTP

POST /api/account/roles

En-têtes HTTP

Authorization: Basic {your_api_key} 
Content-Type: application/json 
Accept: application/json 

Exemple de données utiles

 {
	"name": "Regional Manager", 
	"enabled": true, 
	"description": "Customized Role for Regional Manager",
	"permissions": 
		["transaction.transaction",
		 "transaction.in_person",
		  ......]
 }

En réponse, un ID de rôle de compte formaté en UUID sera renvoyé. Conservez cet identifiant dans un fichier local car vous devrez y faire référence pour des procédures supplémentaires.

Pour interroger un rôle de compte spécifique par son ID, ou pour récupérer une liste de tous les rôles de compte existants :

Requête HTTP

GET /api/account/roles 
GET /api/account/roles/{accountRoleId} 

En-têtes HTTP

Authorization: Basic {your_api_key}			
Accept: application/json 

Pour mettre à jour le nom du rôle d'un compte, sa description ou les autorisations associées :

Requête HTTP

PUT /api/account/roles/{accountRoleId} 

En-têtes HTTP

Authorization: Basic {your_api_key} 
Content-Type: application/json 
Accept: application/json 

Exemple de données utiles

 {
	"name": "Updated Account Role Name",  
	"enabled": true, 
"description": "Updated Description",
"permissions": ["sender_admin.security_settings", "sender_admin.reports" ...... ] }

Pour désactiver un rôle de compte :

Au lieu de supprimer directement un rôle, vous pouvez choisir de le désactiver d'abord. La désactivation du rôle de compte fonctionne de la même manière que l'opération de suppression mais vous laisse la possibilité de réactiver le rôle, si nécessaire.

Requête HTTP

PUT /api/account/roles/{accountRoleId} 

En-têtes HTTP

Authorization: Basic {your_api_key}			
Content-Type: application/json			
Accept: application/json 

Exemple de données utiles

{"enabled":false} 

Pour supprimer un rôle de compte :

Si vous décidez de ne pas conserver un rôle de compte désactivé, vous pouvez supprimer ce rôle.

Cette action n'est pas réversible.

Requête HTTP

DELETE /api/account/roles/{accountRoleId} 

En-têtes HTTP

Authorization: Basic {your_api_key} 
Assign Role to Sender 

Attribuer un rôle de compte à un expéditeur

Une fois les rôles configurés dans votre compte, l'étape suivante consiste à associer les rôles à votre expéditeur existant avec cette API.

Pour attribuer un rôle de compte à un expéditeur :

Requête HTTP

POST /api/account/senders/{senderId}/roles 

En-têtes HTTP

Authorization: Basic {your_api_key} 
Content-Type: application/json 
Accept: application/json 

Exemple de données utiles

 {
	"accountId" : "Us1VqQw3r3kN",
	"accountRoles": [ {"id": "owner"}, {"id": "member"}]
 }

 

  • Pour un tableau « accountRoles », vous devez fournir l'ID du rôle de compte pour chaque nœud.

Pour récupérer une liste d'identifiants d'expéditeur assignés à un rôle :

Requête HTTP

GET /api/account/roles/{accountRoleId}/users 

En-têtes HTTP

Authorization: Basic {your_api_key} 
Accept: application/json 

Résultats

Voici un exemple de ce que vous pouvez vous attendre à voir une fois que vous aurez exécuté votre code.

Après avoir exécuté l'exemple de code, vous pouvez trouver vos rôles de compte nouvellement créés dans votre compte OneSpan Sign. Naviguez vers Admin > Rôles pour voir les rôles de compte originaux et personnalisés.

Vous pouvez confirmer que l'expéditeur est associé au rôle de compte en naviguant sur Admin > Utilisateurs pour localiser le profil de l'expéditeur.