Permissions
En bref
Chaque cle API dispose de scopes qui definissent les operations autorisees. Attribuez uniquement les permissions necessaires a chaque cle pour respecter le principe du moindre privilege.
Prerequis techniques
- Une cle API creee (voir Cles API)
- Acces aux parametres du workspace
Scopes disponibles
Les scopes controlent finement ce qu'une cle API peut faire dans votre workspace.
| Scope | Acces | Description |
|---|---|---|
read:nodes | Lecture | Lister et consulter les entites de l'ontologie. |
write:nodes | Ecriture | Creer, modifier et supprimer des entites. |
read:edges | Lecture | Lister et consulter les relations. |
write:edges | Ecriture | Creer, modifier et supprimer des relations. |
read:livedata | Lecture | Consulter les sources et donnees Live Data. |
write:livedata | Ecriture | Configurer et gerer les sources Live Data. |
read:events | Lecture | Consulter l'historique des evenements. |
admin | Complet | Acces total au workspace (inclut tous les scopes). |
Heritage des scopes
Les scopes suivent une logique d'heritage :
- Un scope
write:*inclut automatiquement le scoperead:*correspondant. Par exemple,write:nodespermet aussi de lire les entites. - Le scope
admininclut tous les autres scopes. Une cle avecadmina un acces complet au workspace.
Vous n'avez donc pas besoin d'ajouter read:nodes si vous attribuez deja write:nodes.
Gestion des quotas
Chaque cle API peut avoir des quotas personnalises (journalier et mensuel)
configurables depuis l'onglet Quotas du panneau de securite. Lorsqu'une
cle depasse son quota, les requetes suivantes recoivent une reponse
429 Too Many Requests.
Les quotas comptent les requetes acceptees. Une requete deja rejetee par le rate limit ne consomme pas de quota.
Depreciation et revocation
Deux mecanismes permettent de desactiver une cle API :
- Depreciation : marque la cle comme obsolete. Elle reste fonctionnelle pendant 30 jours (une banniere affiche la date de desactivation), laissant le temps de migrer vers une nouvelle cle. A l'expiration, la cle est automatiquement desactivee.
- Revocation immediate : en cas de cle compromise, revoquez-la immediatement via l'icone corbeille. L'acces est coupe instantanement, sans delai de grace.
Suivi d'usage
L'onglet Usage du panneau de securite affiche pour chaque cle :
- Nombre total de requetes sur la periode selectionnee (7, 30 ou 90 jours)
- Taux de succes (pourcentage de reponses reussies)
- Latence moyenne des requetes
- Graphique journalier avec repartition succes/erreurs
- Endpoints les plus sollicites pour identifier les integrations actives
L'onglet Quotas affiche la consommation en temps reel par rapport au quota configure. Ces deux vues sont complementaires : les quotas montrent l'etat instantane, l'usage montre l'historique.
N'utilisez jamais le scope
admin pour des integrations qui n'ont besoin que de lecture. Attribuez uniquement les scopes strictement necessaires a chaque cle.Limites
| Limite | Valeur |
|---|---|
| Cles par workspace | 50 |
| Scopes par cle | 10 maximum |
| Delai de grace apres depreciation | 30 jours |
Depannage
| Probleme | Cause | Solution |
|---|---|---|
| 403 Forbidden | Scope insuffisant | Ajoutez le scope requis a la cle depuis les parametres. |
| 429 Too Many Requests | Rate limit depasse | Attendez le reset du compteur ou passez au plan superieur. |
| Cle non reconnue | Cle revoquee ou expiree | Creez une nouvelle cle et mettez a jour votre integration. |
| Acces partiel | Scope write manquant | Verifiez que la cle dispose bien du scope d'ecriture necessaire. |
Besoin d'aide ?
Consultez la page Cles API pour creer ou gerer vos cles, ou ecrivez-nous : Support et contact.