Sicherheit bei der Nutzung von API-Authentifizierungsdaten in Synesty

Hallo zusammen,

bei der Nutzung einer bestimmten API unseres PIM-Systems, die über Basic Auth zugänglich ist, gibt es in Synesty zwei Möglichkeiten zur Authentifizierung:
1.Hinterlegung eines HTTP-Accounts mit Benutzername und Passwort:
Aktuell sehe ich hier folgendes Problem:
Jeder, der diesen Account als Variable in einem Flow definiert, kann über die Variable auf mein Passwort im Klartext zugreifen.
Dies ist möglich, indem beispielsweise ${basicAuth_password@PIMAPI!} im TextHTMLWriter verwendet wird.

2.Direkte Eingabe von Benutzername und Passwort im Step:
Hier wird das Passwort zwar standardmäßig als Sternchen angezeigt und somit verborgen.
Allerdings besteht dennoch die Möglichkeit, das Passwort sichtbar zu machen, indem man das Feld in HTML Quelltext untersucht und dessen Typ von „password“ auf „text“ ändert. Dadurch wird das Passwort im Klartext angezeigt.

Ich wollte in diesem Zusammenhang fragen, ob es eine Lösung gibt, um zu verhindern, dass andere Benutzer Zugriff auf mein Passwort erhalten.
Wäre es beispielsweise möglich, Zugriffsbeschränkungen für HTTP-Accounts zu verwalten, sodass nur bestimmte Benutzer den Account sehen können? Oder gibt es alternative Ansätze, um dieses Problem zu lösen?

Vielen Dank im Voraus für eure Unterstützung!

Viele Grüße,
Omar Taktak

1 Like

Hallo Omar,

Im Bereich Workspace - Rollen und Berechtigungen stehen ein paar Möglichkeiten zur Verfügung, den Zugriff für bestimmte Nutzer einzuschränken.

Die Account-Berechtigungen verhindern allerdings nicht, dass bei der Ausführung eines Flows (bzw. Vorschau eines Steps) auf das Passwort aus dem Account zugegriffen werden kann. D.h. wie du schon richtig geschrieben hast, können wir bei den HTTP Accounts (-> Variante 1) nicht verhindern, dass Benutzer sich die Daten ausgeben lassen.

Ich sehe aktuell folgende zwei Möglichkeiten:

  1. Du verwendest das Passwort direkt im Flow/Step (-> Variante 2) und schränkst den Zugriff auf den Flow ein.

  2. Noch etwas sicherer wäre ein extra Workspace, auf den der User kein Zugriff hat. Dann könntest du auch eine HTTP Verbindung verwenden.

VG Torsten