18 stycznia 2016

Dodaliśmy możliwość ustalania czy dostęp użytkownika jest tylko z panelu czy API

Jeżeli jesteś developerem i chcesz stworzyć użytkownika specjalnie na potrzeby pracy jakiegoś programu, łączącego się przez API, możesz zwiększyć bezpieczeństwo systemu, poprzez ograniczenie mu możliwości logowania się do panelu. Zwykłym pracownikom możesz chcieć przy tym ograniczyć dostęp do API np. aby nie mogli pobrać bazy wszystkich towarów. W zarządzaniu użytkownikami panelu sklepu dodaliśmy możliwość rozgraniczenia czy dany użytkownik ma dostęp tylko do panelu administracyjnego, tylko z API czy oba kanałami jak dotychczas.

Nowa funkcjonalność pozwala Tobie np. na utworzenie dla developera konta użytkownika w panelu i nadanie mu dostępu tylko do API IAI-Shop.com. Dzięki temu firma zewnętrzna, która będzie wykonywała dla Ciebie wdrożenia, będzie miała swobodny dostęp do naszego API ale nie będzie mogła zalogować się do panelu administracyjnego Twojego sklepu internetowego. Także w przypadku korzystania z aplikacji dodatkowych warto w aplikacji wykorzystać konto, które będzie miało wyłącznie dostęp do API.

Aby skorzystać z nowej funkcjonalności przejdź do modułu ADMINISTRACJA / Zarządzanie użytkownikami panelu. W edycji użytkownika panelu znajdziesz nową opcję "Aktywny", dzięki której możesz zarządzać dostępem użytkowników do panelu i API IAI-Shop.com:

Zarządzanie dostępem użytkownika do panelu i do api

Użytkownik z rolą "Szef" zawsze ma włączony dostęp do panelu i API. Natomiast "Kasjer IAI POS" zawsze ma włączony dostęp do API.

Dodatkowo na stronie "Spis użytkowników panelu" pojawiła się dodatkowa kolumna "Aktywny", dzięki której szybko sprawdzisz do czego ma dostęp dany użytkownik:

Spis użytkowników panelu

Porady dotycząca bezpieczeństwa:

Zachęcamy do przejrzenia stworzonych dotychczas kont użytkowników i wyłączenie dostępu do API tym użytkownikom, którzy nie potrzebują go wykorzystywać (także nie korzystają z aplikacji pomocniczych tjnp. IAI Downloader). Zdecydowanie polecamy też ograniczanie dostępu do panelu administracyjnego ilekroć udostępniają Państwo konto użytkownika jakiemuś partnerowi (np. centrum logistycznemu).

Pamiętaj, że firma, której tworzysz konto a przy tym dajesz zbyt dużę uprawnienia, zamiast tylko pobierać informację o przesyłkach, może wykonywać operacje na zamówieniach tak samo, jak każdy pracownik Twojej firmy (np. zaksięgować wpłatę). Łączność API należy stosować tylko w przypadku gdy masz pełne zaufanie do firmy, która będzie się z nim łączyła. W pozostałych przypadkach należy wykorzystywać inne mechanizmy integracji przewidziane specjalnie do tego celu, gwarantujące większy poziom bezpieczeństwa.

Pamiętaj też, aby zawsze usuwać użytkowników panelu, co do których nie masz pewności, kto i w jakim celu je wykorzystuje. Żadne zabezpieczenia nie pomogą, jeżeli użytkownik (np. były pracownik) skorzysta z założonego w panelu administracyjnym konta, do którego ma dostęp. Z tego względu koniecznie zakładaj każdemu użytkownikowi osobne konto. W IAI-Shop.com nie ponosisz dodatkowych opłat za ilość kont użytkowników.