Authentifizierung
Alle API-Zugriffe verwenden OAuth2 Client Credentials.
- Token-Endpoint:
https://test.sign.swisscom.ch/realms/swisscom-public/protocol/openid-connect/token - Wichtigste Scopes:
sswp:process:create,sswp:process:read,sswp:process:read:all - Contract-Endpoint:
https://test.sign.swisscom.ch/system/api-docs
Beispiel-Token-Anfrage:
curl --request POST \
--url https://test.sign.swisscom.ch/realms/swisscom-public/protocol/openid-connect/token \
--header 'content-type: application/x-www-form-urlencoded' \
--data 'grant_type=client_credentials&client_id=YOUR_CLIENT_ID&client_secret=YOUR_CLIENT_SECRET'
Verwenden Sie den resultierenden Bearer-Token beim Aufruf der Prozess-Endpoints.
Sicherheitshinweis
Der API Explorer ist als schnelles Testwerkzeug für Integratoren gedacht. Wenn Sie den eingebauten Authentifizierungsablauf im Browser verwenden:
- werden
client_idundclient_secretclientseitig eingegeben - können Browser-Erweiterungen, eingeschleuste Skripte oder ein geteilter Browser-Status die Angriffsfläche vergrössern
- ist dies für kontrolliertes Testen akzeptabel, jedoch nicht das empfohlene produktive Integrationsmuster
Für produktive Integrationen sollte Swisscom Sign aus Ihrem eigenen Backend aufgerufen werden, damit Client-Credentials serverseitig verarbeitet werden.