Zum Hauptinhalt springen

Authentifizierung

Alle API-Zugriffe verwenden OAuth2 Client Credentials.

  • Token-Endpoint: https://test.sign.swisscom.ch/realms/swisscom-public/protocol/openid-connect/token
  • Wichtigste Scopes: sswp:process:create, sswp:process:read, sswp:process:read:all
  • Contract-Endpoint: https://test.sign.swisscom.ch/system/api-docs

Beispiel-Token-Anfrage:

curl --request POST \
--url https://test.sign.swisscom.ch/realms/swisscom-public/protocol/openid-connect/token \
--header 'content-type: application/x-www-form-urlencoded' \
--data 'grant_type=client_credentials&client_id=YOUR_CLIENT_ID&client_secret=YOUR_CLIENT_SECRET'

Verwenden Sie den resultierenden Bearer-Token beim Aufruf der Prozess-Endpoints.

Sicherheitshinweis

Der API Explorer ist als schnelles Testwerkzeug für Integratoren gedacht. Wenn Sie den eingebauten Authentifizierungsablauf im Browser verwenden:

  • werden client_id und client_secret clientseitig eingegeben
  • können Browser-Erweiterungen, eingeschleuste Skripte oder ein geteilter Browser-Status die Angriffsfläche vergrössern
  • ist dies für kontrolliertes Testen akzeptabel, jedoch nicht das empfohlene produktive Integrationsmuster

Für produktive Integrationen sollte Swisscom Sign aus Ihrem eigenen Backend aufgerufen werden, damit Client-Credentials serverseitig verarbeitet werden.