Перейти к основному содержимому

Регистрация интегратора

Перед получением мастер-токенаMaster-Api-Token Мастер-токен для M2M-интеграций. Позволяет выполнять запросы от имени любого пользователя системы через заголовки Impersonated-User-Id. Получается через ESA с помощью сертификата интегратора. интегратор создаёт пару RSA-ключей, передаёт сертификат в HRlink и получает iss и sub для JWT.

Что получится в конце

У интегратора будет приватный ключ для подписи JWT, сертификат в HRlink, подтверждённый iss и UUID интегратора в поле sub.

Что нужно заранее

Что нужноГде получить
tenantHostАдрес тенантаTenant Экземпляр системы HRlink на отдельном домене (например, company.hr-link.ru). Внутри одного тенанта может быть несколько пространств клиентов. HRlink, например company.hr-link.ru
Имя интегратораОпределяет команда интеграции
OpenSSLНа машине, где генерируете ключ и сертификат
Контактный emailНа стороне интегратора

Шаг 1. Сгенерировать ключ и сертификат

Создайте приватный ключ и самоподписанный сертификат:

openssl req -newkey rsa:2048 -nodes \
  -keyout integrator_private.key \
  -x509 -days 3650 \
  -out integrator.crt

Команда создаст два файла:

  • integrator_private.key — приватный ключ. Храните его в защищённом хранилище и не передавайте в HRlink.
  • integrator.crt — сертификат. Отправьте его в Службу заботы.
Отправляйте сертификат, а не публичный ключ

HRlink проверяет подпись JWT по сертификату. Если отправить публичный ключ вместо сертификата, API не сможет проверить подпись.

Шаг 2. Зарегистрировать интегратора

Передайте в Службу заботы:

  1. ТенантTenant Экземпляр системы HRlink на отдельном домене (например, company.hr-link.ru). Внутри одного тенанта может быть несколько пространств клиентов., например company.hr-link.ru.
  2. Имя интегратора, например Company.
  3. Значение iss, которое будет указываться в JWT.
  4. Сертификат integrator.crt в формате PEM.
  5. Контактный email.

Служба заботы подтвердит iss и вернёт sub — UUID интегратора в HRlink.

Обновление сертификата

  1. Сгенерируйте новый сертификат.
  2. Отправьте сертификат в Службу заботы.
  3. После подтверждения подписывайте JWT новым приватным ключом.

Следующий шаг — сформировать JWT для мастер-токена.