הטוקן (Token) מאפשר לבצע פעולות במערכת בצורה תכנותית דרך ה- API .
מערכת InforUMobile מאפשרת למשתמשיה לנהל את הטוקנים שמקנים גישה לחשבונות שלהם באופן עצמאי ועל פי הצרכים האינדיבידואלים של כל בעל חשבון. זאת באמצעות מסך ניהול הטוקנים. גישה למסך זה נעשית באמצעות התפריט העילי של המערכת> לחיצה על שם המשתמש> פרטי חשבון:
הלחיצה תפתח את חלונית פרטי המשתמש בתוכה נקליק על API Tokens על מנת להגיע למסך ניהול הטוקנים:
עם הלחיצה על הקישור תפתח חלונית אימות דו שלבי (OTP) בה נידרש להזין את הקוד שנשלח לבעל החשבון ב- SMS או אימייל. שלב מקדים זה הכרחי לאבטחת הטוקן ובא למנוע חשיפה שלו לגורמים שאינם מורשים.
(במידה ומסיבה כלשהי לא משוייכים לחשבון פרטי זיהוי שיאפשרו לשלוח את הקוד לבעל החשבון ב- SMS או אימייל אנו נידרש בשלב זה ראשית כל לעדכן את פרטי הזיהוי המורשים בחשבון, לאמת אותם ורק לאחר מכן תתקבל הגישה למסך הייעודי).
ברגע שהקוד אומת, קרי שהמערכת וידאה שמי שמנסה להכנס למסך ניהול הטוקנים מורשה לעשות זאת, נועבר למסך ניהול הטוקנים:
לחצו על התמונה להגדה
המסך יציג לנו את כל הטוקנים המוגדרים בחשבון. לכל חשבון מערכת מוקצה טוקן ייחודי בצורה אוטומטית; במידה ובעל החשבון מעוניין לחולל טוקנים נוספים הוא יוכל לעשות זאת בלחיצה על הכפתור צור טוקן חדש. דבר זה אינו הכרחי, הוא רק נועד לטובת מי שרוצה לפזר סיכונים. על ידי הקצאת טוקן ייעודי לכל פעולה שמתבצעת בחשבון, או לכל מקבץ של פעולות, ניתן למנוע מצב שבו חשיפה לא מכוונת של הטוקן לגורם הלא מתאים מאפשרת לאותו הגורם לבצע קשת רחבה של פעולות בחשבון בניגוד להסכמתנו. בשימוש בריבוי טוקנים אנו למעשה מגדרים את הסיכון. כאמור אבל, זה לחלוטין נתון לשיקול דעתו של המשתמש בחשבון.
עם הלחיצה על כפתור יצירת הטוקן תפתח חלונית הגדרות הטוקן:
במסגרת החלונית:
- נגדיר את שם הטוקן כפי שנרצה לקרוא לו על מנת לאתר אותו בקלות במסך ניהול הטוקנים.
- נוכל להגדיר IP מורשה לשימוש בטוקן (רלוונטי לארגונים שעובדים עם IP קבוע ורוצים למנוע מצב בו הטוקן מושמש מחוץ לגבולות הגזרה של הארגון).
- נוכל להצמיד לכל טוקן הערה שתעזור לנו בניהול – למשל מי הגורם בארגון שהקצנו לו את השימוש בטוקן.
- לצד זה נוכל גם להגדיר את תוקף הטוקן – שימושי כאשר ממניעי אבטחת מידע אנו רוצים לשלוט על אורך החיים של הטוקן והתחלופה שלו.
- במידה ואנו לא מעוניינים להשתמש בטוקן הדיפולטי שהמערכת מעמידה לרשותנו, אלא בטוקן אותו אנו נקבע עבור עצמנו, ניתן לעשות זאת. לצורך כך נלחץ על הגדרות מתקדמות בחלונית:
נסמן את תיבת הסימון הרצויה ונזין בתיבה את ערך הטוקן שנרצה ליצור:
יודגש – טוקן מותאם אישית נועד לשימוש כאשר המערכת בצד הלקוח אינה יודעת להסתמך על טוקן ברירת המחדל של InforUMobile. מטעמי אבטחה מומלץ להשתמש באפשרות מתקדמת זו רק בנסיבות אלו ולא במידה ויש באפשרותכם להשתמש בטוקן הסטנדרטי שמוקצה על ידי InforUMobile.
בסיום ההגדרות נלחץ על כפתור צור טוקן, הטוקן יווצר ותוצג לנו חלונית הפלט:
במסגרת החלונית נוכל לצפות בטוקן החדש שהוקצה לנו. כמו כן נוכל להעתיק אותו בלחיצה על כפתור העתק.
חשוב – זהו המקום היחיד במערכת בו נהיה חשופים חד פעמית לטוקן ושממנו יתאפשר לנו להעתיק אותו. עם סגירת החלונית לא נוכל יותר לראות את הטוקן במלואו או להעתיקו. אין לסגור את החלונית מבלי ללקט ממנה קודם את המידע הרלוונט לנו, שכן גם בטבלת ניהול הטוקנים המידע יהיה זמין לנו בצורה חלקית בלבד על מנת לשמור אותו במצב מאובטח.
לאחר לחיצה על סגור נשוב אל טבלת ניהול הטוקנים שלנו בה נוכל לראות את הטוקן החדש שנוצר בהצלחה לצד הטוקנים הקודמים בחשבון.
במסגרת זאת נוכל לעקוב אחר מתי טוקנים נוצרו ולא פחות חשוב מתי היתה הפעם האחרונה שהם הושמשו לביצוע פעולות בחשבון (מאפשר לעקוב אחר זליגות בשימוש או מועדי שימוש לא סבירים). נוכל לראות אם טוקן נתון פעיל ובתוקף, אם הגבלנו IP שישתמש בו ואת כל יתר המידע שהגדרנו בעת יצירתו. כאמור את מזהה הטוקן המלא לא נוכל לראות בטבלה שכן מוצג ממנו רק מקטע מייצג:
לחצו על התמונה להגדה
במידה ונרצה לערוך פעולות על טוקן קיים נוכל לעשות זאת בריחוף עם העכבר מעל שורת הטוקן ולחיצה על אייקון 3 הנקודות משמאל, דבר אשר יחשוף את אייקוני הפעולות האפשריות לביצוע:
לחצו על התמונה להגדה
לחיצה על עריכה תאפשר לנו לעדכן את שם הטוקן, ה- IP המורשה שלו, ההערות הנלוות לטוקן והתוקף שלו. בעזרת אייקון ההשהיה נוכל להפסיק את הפעלתו במידה ונרצה בכך ונוכל גם למחוק אותו בלחיצה על פח המחיקה.
לסיכום
הטוקנים מאפשרים גישה לחשבון המערכת בצורה תכנותית ומבלי שתהיה נגיעה ישירה לממשק. מערכת InforUMobile מאפשרת לנהל מספר בלתי מוגבל של טוקנים בחשבון על מנת לתמוך בשלל הפעולות הנחוצות לביצוע בו. הטוקנים כרוכים ברגישות לא מבוטלת וחשוב לנהוג בהם במשנה זהירות על פי כללי אבטחת המידע המקובלים. אין לחשוף אותם למי שאינו מורשה או שלא לצורך, אין להפיצם באמצעים שאינם מאובטחים דיו. חשוב לא פחות לשמור על פרטי זיהוי חשבון (מספר טלפון וכתובת אימייל של בעל החשבון) מעודכנים ומאומתים כיוון שבעזרתם מתאפשרת גישה למסך הטוקנים ולאזורים רגישים נוספים במערכת.