メインコンテンツへスキップ
Procore

サード パーティ アプリケーションではセキュリティはどのように処理されますか?

  1. 最後の更新
    2024年6月21日
  2. PDFとして保存

Procore API のセキュリティ

Procore 顧客は、Procore API を使用してサード パーティの開発者によって構築されたアプリケーションと統合のセキュリティがどのように処理されるかについて問い合わせる場合があります。Procore は、多くの人が API 認証の業界標準と考えている OAuth 2.0 を採用しています。OAuth 2.0 認証フレームワークは、サード パーティ アプリケーションのユーザー データへのアクセスを認可、認証する安全な手段を提供します。OAuth 2.0 は SSL (セキュア ソケット レイヤー) を利用して、ウェブ サーバーとブラウザ間のデータ転送が非公開のままで、安全に保たれるようにします。OAuth 2.0 は、ユーザーの身元を明かさずにアクセスを提供することで、Procore ユーザー データを保護します。サード パーティ アプリケーションは、パスワードやその他の機密情報にアクセスすることなく、ユーザーに代わってリクエストを作成します。

Procore API を使用してソリューションを構築する開発者は、特定のアプリケーションのユース ケースに応じて、いくつかのOAuth 2.0 認証付与タイプの1つを実装します。Procore API でサポートされる OAuth 2.0 付与タイプは、Procore ユーザーに代わって特定のアプリケーションが Procore 内のデータにアクセスするための認可と認証を表す文字列値である暗号化トークンの使用に依存します。

追加の検討事項

アプリ管理

会社管理者は、適切なアプリ管理を通じて優れたセキュリティ慣行を促進する役割を演じることもできます。会社管理者は、会社レベルの管理者ツールのアプリ管理機能を使用して、アプリのインストールと管理、およびプロジェクトで使用するための構成に関連するさまざまなタスクを実行します。会社管理者は、どのアプリを会社にインストールするのかを完全に制御し、プロジェクトでのアプリの使用状況を監視します。[ユーザーのインストールを許可する] オプションを有効にすることで、アプリのインストールを委任できます。

サービスアカウント

Procore と連携するように構築された多くの統合では、サービスアカウントを利用して認可と認証を処理します。サービス アカウントを使用すると、OAuth 2.0 仕様で定義されているクライアント認証情報付与フローを必要とする統合をサポートできます。このシナリオでは、アプリケーションには、特定の Procore ユーザーのコンテキストの外で OAuth 2.0 アクセス トークンを取得する方法が必要です。OAuth 2.0 は、この目的のためにクライアント認証情報付与タイプを提供します。会社管理者が新しいサービスアカウントを作成すると、一意の client_idclient_secret が生成されます。サービスアカウントが作成された後、会社管理者はサービスアカウントの権限を構成して、統合が Procore 内のデータにアクセスする方法と、どのアクションが許可されるかを具体的に定義できます。

 
Procore のアプリケーションとユーザーの認証情報は、他のすべてのデータが保護されるのと同じ方法で、悪意のあるアクターから保護されます。すべてのサード パーティ開発者は、Procore 開発者ポータルの利用規約に同意していますが、独自のセキュリティ慣行がすべてのケースにおいて具体的に当社に知られているわけではありません。