适用于应用程序的 OAuth 作用域概述

Genesys Cloud 的平台 API 实施并遵守 OAuth 2 标准。 OAuth 允许组织在不共享用户凭据的情况下共享信息。 Genesys Cloud 的 OAuth 应用程序范围功能授权应用访问 Genesys Cloud 中的信息,而无需提供应用程序登录凭据或允许其访问其用户有权访问的所有资源。 有关其他背景信息,请参阅: 在开发人员中心进行授权 和深入 挖掘。

为 Genesys Cloud 开发的自定义应用程序将请求访问 Genesys Cloud 资源,然后进行平台 API 调用。 应用可以请求访问 Genesys Cloud 中用户可以访问的信息,但不应允许其执行当前用户可能允许的所有操作。

在为应用程序实施 OAuth 作用域之前,分配给用户的任何权限都定义了应用程序可以调用的资源。

例如,当前用户拥有 “ 目录” > “ 用户 > “ 添加” 权限的应用可能会要求 API 创建新用户,因为其用户可以这样做。

为了克服此漏洞,管理员为应用程序分配了作用域,从而限制其对操作和数据的访问。

范围定义了应用程序可以执行的操作,并防止它执行意想不到的事情(超出范围)。 要在组织中运行,应用程序必须 获得管理员 的授权才能拥有特定的作用域。 此外,该应用程序的用户必须具有访问 Genesys Cloud 中相应资源的权限。

使用 OAuth 范围时,用户有权创建用户的应用程序无法创建用户,除非拥有 Oauth > C lient > Authorize 权 限的人专门授予允许该操作的范围。

授权范围的人通常是 Genesys Cloud 管理员,他了解数据访问的含义。 由于作用域是特定于组织的,因此管理员可以限制每个应用在组织中可以执行的操作

OAuth 作用域要求应用程序对每个 API 调用进行授权:

  • 用户必须具有 访 问和/或更新 Genesys Cloud的权限-本示例中的 “ 目录” > “ 用户” 权限。
  • The app must be assigned a scope allowing it to make the API call. For this example, the users scope would allow the app to read and write users.

使用这些相应的权限和范围,应用程序可以创建用户。 在这种情况下,应用程序可以 POST 到 /api/v2/users 端点。 如果没有所需的用户权限和范围,该 api 调用将不会成功。 应用程序受其用户权限和作用域的交叉点的控制。 它不能执行其用户无权执行的任何操作,也不能进行任何超出组织范围的 API 调用。