Foundry 第三方应用程序和 API 指南

Foundry 的第三方应用程序身份验证和授权功能使非 Foundry 应用程序和脚本能够安全地与 Foundry 的 API 交互。这些功能的核心是对外部应用程序的 OAuth2 支持。 本文档提供了 Palantir 推荐使用这些功能的指导，以及潜在不当使用的示例。

适当使用

• 替换服务用户账户
  • OAuth2 授权码流程允许外部应用程序代表个人 Foundry 用户操作。这确保了权限的正确性，并提供了清晰的审计路径。使用 OAuth2 流程还确保用户明确授予应用程序代表其执行操作的权限，再次提供了清晰的审计路径。
  • 我们强烈建议使用服务账户在 Foundry 中执行操作的现有应用程序尽可能迁移到 OAuth2 授权流程。
• 与外部系统的接口
  • 示例：一个应用程序监控内部客户系统中的更改并在 Foundry Ontology 中执行操作。
• 特定用户工作流程的自定义应用程序
  • 示例：一个移动电话应用程序与 Foundry 的 Ontology 和 操作 API 交互，以提供关键工作流程的简化用户体验。
• Foundry 流程或工作流的监控或控制
  • 示例：一个应用程序连接到 Foundry 的监控和数据健康 API 以评估关键流程的状态，并允许其用户在需要时触发搭建。

不当使用

集成第三方应用程序和使用 Foundry API 存在数据安全风险，只有在清楚了解技术和合同考虑的情况下才应进行。在规划访问数据或代表用户执行操作的开发项目时，请联系您的系统管理员以确定您的计划是否合适、安全，并符合 Foundry 的适当使用条款。

以下示例概述了在不当使用 API 访问数据或执行操作时可能会损害 Foundry 管理的数据完整性或安全性的代表性场景。

• 规避数据控制
  • 示例：使用一个用户的词元读取数据并使用另一个用户写入。
  • Foundry 拥有高级和细粒度的用户授权功能。在您的应用程序中共享用户账户之间的数据可能会规避这些控制。
  • 保持使用单个 Foundry 账户的完全隔离非常重要。您不得使用一个用户的词元访问数据并允许另一个用户读取、发现、写入或以任何方式与该数据交互。如果您希望允许用户共享数据，应在 Foundry 中完成，而不是在第三方应用程序中。
• 在用户不了解和未同意的情况下执行操作。
  • 您的应用程序不得欺骗用户。您的应用程序必须清晰准确地描述在使用 Foundry 用户账户时执行的操作。
  • 您的应用程序必须请求执行其功能所需的最小角色和权限集合，不得多请求。还必须向用户明确何时将在 Foundry 中执行操作，以及这些操作将做什么。
  • 任何不清晰、意外、恶意或破坏性的应用程序行为都是被禁止的。
• 在未经访问控制考虑的情况下在 Foundry 之外检索或存储数据。
  • Foundry 的客户依赖 Foundry 安全存储关键数据；您的应用程序必须尊重这些数据的敏感性和价值，并检索其执行功能所需的最小数据集合。
  • 您的应用程序还应尽量避免存储或缓存从 Foundry 检索的数据。一个潜在的例外情况可能是离线缓存，但应谨慎处理并获得用户明确同意。
  • 如果 Foundry 数据被移动到另一个数据存储系统中，请确认它将不再根据您组织在 Foundry 内的数据保护配置进行访问控制或审计。