Cette page a été traduite par l'API Cloud Translation.

Rôles de compte de service

Les rôles des comptes de service constituent un outil essentiel de gestion de la sécurité et des identités pour votre et vous permet d'adapter différentes opérations et d'afficher des données différentes pour les chauffeurs, les consommateurs et les opérateurs de flotte.

Qu'est-ce qu'un compte de service ?

Pour gérer l'accès à vos données pour les applications clientes dans Fleet Engine, des comptes de service, qui authentifient l'activité logicielle un rôle prédéterminé plutôt que de les authentifier via une mécanisme d'identité. Les utilisateurs qui accèdent aux données de votre système le font qui utilise ce rôle de compte, ce qui limite l'autorisation aux seules personnes parties de votre système jugées appropriées à un objectif spécifique. Ce type de de la portée est fondé sur le principe du moins droit.

Pour une explication complète des rôles de compte de service, consultez Comprendre les rôles IAM dans la documentation Google Cloud

Comment les rôles des comptes de service fonctionnent-ils avec Fleet Engine ?

Les rôles IAM définissent un ensemble d'autorisations sur les ressources autorisées pour une principal. Par exemple, les rôles Administrateur sont autorisés à tout faire avec Identifiants par défaut de l'application, tandis que le rôle Conducteur non approuvé est uniquement est autorisé à mettre à jour la position du véhicule et n'est pas autorisé à utiliser des jetons JWT pour l'authentification et l'autorisation.
Pour les environnements non approuvés, tels que les téléphones mobiles et les navigateurs Web, les jetons JWT des revendications fournissent des restrictions supplémentaires aux entités pour lesquelles sur lequel l'appelant peut effectuer une opération. Il peut s'agir de véhicules, de trajets ou de tâches spécifiques.
Votre code exécuté dans un environnement à faible confiance doit d'abord appeler votre code s'exécutant dans un environnement approuvé, qui émet le jeton JWT.
Fleet Engine effectue les contrôles de sécurité suivants sur les appels d'API pour un ressource:
1. Le compte principal appelant dispose des autorisations appropriées (via le rôle ) pour l'action sur la ressource.
2. Pour les rôles autres que ceux d'administrateur, les revendications JWT transmises dans la requête fournissent l'autorisation nécessaire pour la ressource.

Pour en savoir plus, consultez la page Jetons Web JSON.

Rôles de compte de service Fleet Engine

Selon le service de mobilité que vous choisissez, votre installation Fleet Engine utilise les rôles et autorisations décrits ci-dessous.

Trajets à la demande

Rôle Autorisation

Rôle	Autorisation
Administrateur Fleet Engine On-demand `roles/fleetengine.ondemandAdmin`	Accorde une autorisation en lecture et en écriture pour tous les véhicules et trajets ressources. Les comptes principaux dotés de ce rôle n'ont pas besoin d'utiliser de jetons JWT. doit utiliser les identifiants par défaut de l'application. Ignore la valeur personnalisée Revendications JWT. Ce rôle doit être limité aux environnements approuvés comme votre propre serveur. Certains utilisateurs de Fleet Engine verront peut-être encore super-utilisateur du service Fleet Engine, mais ce rôle est désormais obsolète.
Utilisateur du SDK pilote Fleet Engine `roles/fleetengine.driverSdkUser`	Modifiez la position et l'itinéraire des véhicules, et récupérez des infos sur les véhicules et les trajets. Les jetons sont généralement utilisés pour le partage de course ou de livreurs.
Utilisateur du SDK client Fleet Engine `roles/fleetengine.consumerSdkUser`	Recherchez des véhicules et obtenez des informations sur ceux-ci et les trajets. Les jetons sont généralement utilisés pour le partage de course ou la livraison applications grand public.

Administrateur Fleet Engine On-demand

roles/fleetengine.ondemandAdmin

Accorde une autorisation en lecture et en écriture pour tous les véhicules et trajets ressources. Les comptes principaux dotés de ce rôle n'ont pas besoin d'utiliser de jetons JWT. doit utiliser les identifiants par défaut de l'application. Ignore la valeur personnalisée Revendications JWT. Ce rôle doit être limité aux environnements approuvés comme votre propre serveur.

Certains utilisateurs de Fleet Engine verront peut-être encore super-utilisateur du service Fleet Engine, mais ce rôle est désormais obsolète.

Utilisateur du SDK pilote Fleet Engine

roles/fleetengine.driverSdkUser

Modifiez la position et l'itinéraire des véhicules, et récupérez des infos sur les véhicules et les trajets. Les jetons sont généralement utilisés pour le partage de course ou de livreurs.

Utilisateur du SDK client Fleet Engine

roles/fleetengine.consumerSdkUser

Recherchez des véhicules et obtenez des informations sur ceux-ci et les trajets. Les jetons sont généralement utilisés pour le partage de course ou la livraison applications grand public.

Tâches planifiées

Rôle Autorisation

Rôle	Autorisation
Administrateur Fleet Engine Delivery `roles/fleetengine.deliveryAdmin`	Accorde une autorisation de lecture et d'écriture pour les ressources de diffusion. Les comptes principaux dotés de ce rôle n'ont pas besoin d'utiliser de jetons JWT et doivent utiliser à la place Identifiants par défaut de l'application. Les revendications JWT personnalisées sont ignorées. Ce doit être limité aux environnements approuvés, tels que vos propres serveurs.
Lecteur Fleet Engine Delivery `roles/fleetengine.deliveryFleetReader`	Accorde l'autorisation de consulter les tâches et véhicules de livraison, ainsi que rechercher des tâches à l'aide d'un ID de suivi. Jetons émis par un compte de service qui ont ce rôle sont généralement utilisés depuis le site Web d'un opérateur navigateur.
Utilisateur non approuvé Fleet Engine Delivery `roles/fleetengine.deliveryUntrustedDriver`	Accorde l'autorisation de mettre à jour la position du véhicule de livraison. Jetons émis par un compte de service doté de ce rôle sont généralement utilisés l'appareil mobile du livreur. Remarque : "Non approuvé" désigne de pilote qui n'est pas géré par le service informatique de l'entreprise, mais fournis par le conducteur et, généralement, sans sécurité informatique appropriée . Les organisations qui appliquent des règles "Bring Your Own Device" doivent choisir pour la sécurité de ce rôle et ne comptez que sur l'application mobile pour envoyer les mises à jour de la position des véhicules vers Fleet Engine ; Toutes les autres interactions doivent provenir de vos serveurs backend.
Consommateur Fleet Engine Delivery `roles/fleetengine.deliveryConsumer`	Accorde l'autorisation de rechercher des tâches à l'aide d'un ID de suivi. de lire les informations sur les tâches, mais pas de les mettre à jour. Jetons émis par un service avec ce rôle sont généralement utilisés depuis le compte navigateur Web.
Utilisateur de confiance Fleet Engine Delivery `roles/fleetengine.deliveryTrustedDriver`	Accorde l'autorisation de créer et de mettre à jour les véhicules de livraison tâches, y compris la mise à jour de l'emplacement du véhicule de livraison et de l'état des tâches ou résultat. Les jetons émis par un compte de service doté de ce rôle sont généralement utilisé sur les appareils mobiles du livreur ou sur vos serveurs backend. Remarque: Le terme "Approuvée" désigne l'appareil du conducteur géré par l’informatique d’une entreprise avec les contrôles de sécurité appropriés. Les entreprises que ces appareils puissent choisir d'intégrer les interactions Fleet Engine dans l'application mobile.

Administrateur Fleet Engine Delivery

roles/fleetengine.deliveryAdmin

Accorde une autorisation de lecture et d'écriture pour les ressources de diffusion. Les comptes principaux dotés de ce rôle n'ont pas besoin d'utiliser de jetons JWT et doivent utiliser à la place Identifiants par défaut de l'application. Les revendications JWT personnalisées sont ignorées. Ce doit être limité aux environnements approuvés, tels que vos propres serveurs.

Lecteur Fleet Engine Delivery

roles/fleetengine.deliveryFleetReader

Accorde l'autorisation de consulter les tâches et véhicules de livraison, ainsi que rechercher des tâches à l'aide d'un ID de suivi. Jetons émis par un compte de service qui ont ce rôle sont généralement utilisés depuis le site Web d'un opérateur navigateur.

Utilisateur non approuvé Fleet Engine Delivery

roles/fleetengine.deliveryUntrustedDriver

Accorde l'autorisation de mettre à jour la position du véhicule de livraison. Jetons émis par un compte de service doté de ce rôle sont généralement utilisés l'appareil mobile du livreur.

Remarque : "Non approuvé" désigne de pilote qui n'est pas géré par le service informatique de l'entreprise, mais fournis par le conducteur et, généralement, sans sécurité informatique appropriée . Les organisations qui appliquent des règles "Bring Your Own Device" doivent choisir pour la sécurité de ce rôle et ne comptez que sur l'application mobile pour envoyer les mises à jour de la position des véhicules vers Fleet Engine ; Toutes les autres interactions doivent provenir de vos serveurs backend.

Consommateur Fleet Engine Delivery

roles/fleetengine.deliveryConsumer

Accorde l'autorisation de rechercher des tâches à l'aide d'un ID de suivi. de lire les informations sur les tâches, mais pas de les mettre à jour. Jetons émis par un service avec ce rôle sont généralement utilisés depuis le compte navigateur Web.

Utilisateur de confiance Fleet Engine Delivery

roles/fleetengine.deliveryTrustedDriver

Accorde l'autorisation de créer et de mettre à jour les véhicules de livraison tâches, y compris la mise à jour de l'emplacement du véhicule de livraison et de l'état des tâches ou résultat. Les jetons émis par un compte de service doté de ce rôle sont généralement utilisé sur les appareils mobiles du livreur ou sur vos serveurs backend.

Remarque: Le terme "Approuvée" désigne l'appareil du conducteur géré par l’informatique d’une entreprise avec les contrôles de sécurité appropriés. Les entreprises que ces appareils puissent choisir d'intégrer les interactions Fleet Engine dans l'application mobile.

Étape suivante

Consultez la documentation sur les jetons Web JSON pour comprendre leur utilisation dans Fleet Engine.