注: 以下の翻訳の正確性は検証されていません。AIPを利用して英語版の原文から機械的に翻訳されたものです。

Foundry 第三者アプリケーション & API ガイダンス

Foundry の第三者アプリケーション認証および認可機能は、非 Foundry アプリケーションおよびスクリプトが Foundry の API と安全に対話できるようにします。これらの機能のコアは、外部アプリケーションの OAuth2 サポートです。 このドキュメントでは、Palantir がこれらの機能をどのように使用することを推奨するか、および不適切な使用の可能性についての例を提供します。

第三者アプリケーションや API を認可することで、ユーザーは Palantir と顧客間で書面により相互に合意された適切な利用条件に従うことに同意します。予定している使用について質問がある場合、または計画が適切で安全かどうか不確かな場合は、Palantir の担当者に連絡してください。

適切な使用

  • サービスユーザーアカウントの置き換え
    • OAuth2 認可コードフローにより、外部アプリケーションが個々の Foundry ユーザーの代わりに行動することができます。これにより、権限が正しく、明確な監査パスが確保されます。OAuth2 フローを使用すると、ユーザーが明示的にアプリケーションにアクセスを許可し、そのユーザーの代わりに行動することも確保されます。
    • ユーザーが Foundry で行動を実行するためにサービスアカウントを使用する既存のアプリケーションは、可能な場合は OAuth2 認可フローに移行することを強く推奨します。
  • 外部システムとのインターフェース
    • 例: 内部顧客システムの変更を監視し、Foundry のオントロジーで行動を実行するアプリケーション。
  • 特定のユーザーのワークフロー向けのカスタムアプリケーション
    • 例: Foundry のオントロジーと Actions API と対話するモバイルフォンアプリケーションが、重要なワークフローの UX を最適化します。
  • Foundry のパイプラインやワークフローの監視または制御
    • 例: Foundry の監視とデータヘルス API に接続し、重要なパイプラインの状態を評価し、必要に応じてユーザーにビルドをトリガーすることを許可するアプリケーション。

不適切な使用

第三者アプリケーションの統合と Foundry API の使用は、データセキュリティにリスクをもたらし、技術的および契約上の考慮事項を明確に理解した上でのみ行うべきです。データへのアクセスやユーザーを代表して行動を起こす開発プロジェクトの範囲を定める際は、システム管理者に連絡して、計画が適切で安全かつ安全であり、Foundry の適切な利用条件に遵守しているかを確認してください。

以下の例は、API の不適切な使用が Foundry で管理されているデータの完全性やセキュリティを損なう可能性のある代表的なシナリオを概説しています。

  • データコントロールの回避
    • 例: 1 つのユーザーのトークンでデータを読み取り、別のユーザーのトークンで書き戻す。
    • Foundry には高度で細かいユーザー認可機能があります。アプリケーションでユーザーアカウント間でデータを共有すると、これらのコントロールを回避する可能性があります。
    • 個々の Foundry アカウントの使用を完全に分離しておくことが重要です。あるユーザーのトークンを使用してデータにアクセスし、別のユーザーがそのデータを読み取ったり、発見したり、書き込んだり、または何らかの形で操作したりすることはできません。ユーザーにデータを共有させたい場合は、Foundry で行うべきです。第三者アプリケーションでは行わないでください。
  • ユーザーの理解と同意なしに行動を実行する。
    • アプリケーションはユーザーを欺いてはなりません。アプリケーションは、Foundry ユーザーのアカウントを使用して実行している行動を明確かつ正確に説明する必要があります。
    • アプリケーションは、その機能を実行するために必要な最小限のロールと権限のみを要求する必要があります。また、Foundry で行動が実行されるタイミングと、それらの行動が何をするのかをユーザーに明確に示す必要があります。
    • あいまい、予期せぬ、悪意のある、または損害を与えるアプリケーションの動作は禁止されています。
  • アクセス制御を考慮せずに Foundry 外部でデータを取得または保存する。
    • Foundry の顧客は、Foundry が重要なデータを安全に保存することを信頼しています。アプリケーションは、このデータの機密性と価値を尊重し、その機能を実行するために必要な最小限のデータセットのみを取得する必要があります。
    • 可能な限り、アプリケーションは Foundry から取得したデータを保存またはキャッシュすることを避けるべきです。これにはオフラインキャッシングが可能な例外となるかもしれませんが、注意を払い、明確なユーザーの同意を得るべきです。
    • Foundry のデータが別のデータストレージシステムに移動される場合、それはもはやあなたの組織が Foundry 内でデータ保護の設定に従ってアクセス制御されたり、監査されたりすることはなくなることを認識してください。