ProcessMaker I/O libère Secure Vault pour un stockage sécurisé, centralisé et abstrait des justificatifs de sécurité

Matt McClintock 15 mars 2018 Automatisation des processus d'entreprise (BPA)

ProcessMaker I/O, un nouveau produit de ProcessMaker Inc, est le leader du marché des WorkflowAPI-as-a-Microservice. ProcessMaker I/O est une solution conçue pour les ISV et les développeurs qui souhaitent étendre leur offre de produits avec les meilleures fonctionnalités de flux de travail et de connectivité sous un modèle OEM en marque blanche (API-as-a-Service). Les clients cibles comprennent les systèmes CRM, ERP, iPaaS, BPM, MDM, les systèmes de facturation, les produits de formulaires, les plateformes mobiles et d'autres ISV d'entreprise.  

ProcessMaker I/O vient de lancer la première itération d'une nouvelle fonction appelée Voûte sécurisée. Secure Vault fournit un stockage sécurisé et centralisé dans un environnement ProcessMaker I/O pour stocker des informations de sécurité abstraites qui seront utilisées dans les connecteurs, les flux de travail, les actions et les processus dans ProcessMaker I/O.

Utilisez Secure Vault pour stocker des valeurs qui devraient être protégées, comme des mots de passe, des jetons d'accès, des clés sécurisées, etc. En fait, nous recommandons même que les noms d'hôtes de connexion aux bases de données et les canaux Slack soient stockés dans votre coffre-fort sécurisé.

Raisons de l'obtention d'un justificatif de sécurité

Il y a deux raisons principales à l'utilisation abstraite de vos clés, jetons et adresses de service identifiables comme les noms d'hôtes :

  1. Sécurité - Vous ne devez pas coder en dur ces valeurs dans des parties de votre processus qui devront être partagées avec plusieurs parties. Les bribes de processus qui contiennent des clés et des noms référençables ont tendance à être copiées et partagées ; il s'agit d'un risque sûr pour votre entreprise. C'est un risque sécuritaire pour votre entreprise. Pire encore, certains services et scripts requièrent une autorisation de la part de l'administrateur (root/admin) pour leur mise en œuvre. Sans moyen de stocker des valeurs protégées, cela poserait un problème car vos développeurs auraient besoin d'un accès complet à ces combinaisons racine/administrateur. Du point de vue de la sécurité, cela devient un problème de conformité. Une fonctionnalité à l'intérieur de Secure Vault, appelée Secure Secrets, élimine ce problème en extrayant la valeur protégée avec une clé qui sert de référence pour la paire clé-valeur.
  2. Maintenance - Voulez-vous vraiment devoir parcourir les connecteurs, les déclencheurs et le code xml pour modifier les références des dizaines de fournisseurs SaaS avec lesquels vous travaillez quand/si ces références changent ? La réponse est "non" - il faut les conserver dans un seul référentiel qui peut être mis à jour par la personne responsable de la sécurité de votre système.

Comment cela fonctionne-t-il ?

  • Ouvrir la zone de travail de la voûte - Ouvrez la zone de travail de la voûte sécurisée à l'intérieur d'un espace de travail en cliquant sur le menu de la voûte sécurisée.
  • Ajouter une valeur sûre et secrète - Cliquez sur Ajouter un secret de sécurité pour ajouter une nouvelle clé que vous souhaitez stocker dans votre coffre-fort sécurisé.
  • Donnez un nom à votre clé - Lorsque vous ajoutez un Secure Secret, indiquez le nom que vous souhaitez utiliser comme "clé". Utilisez ce nom pour appeler votre clé lorsque vous voulez l'utiliser dans un processus (cela se ferait dans un connecteur à l'intérieur d'une tâche de service ou à l'intérieur d'une tâche de script).
  • Ajouter la valeur émise par le fournisseur pour la clé - Enfin, ajoutez la valeur de sécurité : c'est la valeur de la clé qui vous est fournie par le fournisseur qui vous a délivré la clé et c'est ce qui est stocké de manière sécurisée dans la chambre forte.

Utilisation de vos coffres-forts via les API

Comme toutes les autres parties de ProcessMaker I/O, nous avons des API CRUD pour que vous puissiez utiliser votre chambre forte sécurisée directement depuis votre logiciel (le logiciel ISV).  

  • listSecrets - obtient une liste de tous les secrets qui ont été ajoutés à la zone de stockage de la chambre forte sécurisée
  • addSecret - ajoute un nouveau secret à votre coffre-fort
  • findSecretById - trouver un secret en utilisant son identifiant ou sa clé
  • updateSecret - met à jour une valeur secrète existante. Vous ne pouvez pas mettre à jour la clé du secret, mais seulement la valeur associée.
  • supprimerSecret - supprime un secret en utilisant l'ID ou la clé secrète.

Comment travailler avec Secure Vault

Si vous ne disposez pas d'un environnement d'entrée/sortie ProcessMaker, procédez comme suit :

  1. Créer un nouveau compte si vous n'en avez pas encore.
  2. Cliquez sur l'onglet Environnements.
  3. Cliquez sur Créer un environnement et suivez les instructions fournies.

Si vous disposez déjà d'un environnement d'entrée/sortie ProcessMaker, procédez comme suit :

  1. Exécutez un environnement d'E/S ProcessMaker à partir de l'onglet Environnement onglet.
  2. Cliquez sur le bouton Voûte sécurisée onglet.
  3. Cliquez sur le bouton "Nouveau secret".
  1. Saisissez la clé, la valeur, le nom et la description.
  2. Cliquez sur le bouton "Ajouter".
  3. Utiliser la clé secrète dans le schéma du processus lorsque vous configurez les paramètres d'entrée pour le connecteur.

Par exemple, la valeur des paramètres devrait être :

{pmio.vault.[SECRET_KEY]}

Par exemple, pour le paramètre d'entrée du Adobe Sign Connector, il sera

{pmio.vault.adobe_sign_client_id}

ou dans le xml :

 

     

       

         

                 {pmio.vault.adobe_sign_client_id}

         

        

     

Prochaine phase

Comme vous pouvez l'imaginer, pour que notre zone de stockage en chambre forte soit vraiment sécurisée, nous devons la crypter. Nous ajouterons le cryptage dans notre prochaine version. En attendant, regardez ce que nous avons créé et donnez-nous votre avis !  

Solutions pour les plates-formes

Voyez par vous-même ! Essayez gratuitement les dernières fonctionnalités de ProcessMaker Platform.

Essai gratuit

Catégories

Automatisation des processus d'entreprise (BPA) Gestion des processus d'entreprise (BPM) Hyperautomatisation Automatisation intelligente Traitement intelligent des documents (IDP) Cartographie des processus Automatisation des procédés robotisés (RPA) Automatisation des flux de travail

S'abonner à la Newsletter Hyper-Productivity™ de ProcessMaker

    Consentement à la politique de confidentialité En cochant cette case, vous consentez à Déclaration de confidentialité du fabricant de processus.

    Découvrez comment des entreprises de premier plan utilisent ProcessMaker pour rationaliser leurs opérations grâce à l'automatisation des processus.

    Contactez-nous

    Mise à jour sur la protection de la vie privée
    Nous utilisons des cookies pour rendre les interactions avec notre site web et nos services faciles et significatives. Les cookies nous aident à mieux comprendre comment notre site web est utilisé et à adapter la publicité en conséquence.

    Accepter