Ulanishlar (foydalanuvchi boʻyicha OAuth2)
Ulanishlar — bu alohida foydalanuvchining AiHummer’ga oʻz nomidan uchinchi tomon xizmatiga kirish huquqini berishi usuli. Bitta umumiy xizmat hisobi oʻrniga har bir shaxs standart OAuth2 avtorizatsiya-kodi oqimini ishga tushiradi, natijada olingan token shifrlangan saqlovda muhrlanadi, va turn vaqtida runtime asbobga kerak boʻlganda oʻsha foydalanuvchining token’ini aniqlaydi.
Bu AiHummer hisob maʼlumotlari modelining “shaxsiy” yarmi. Kengroq manzara — umumiy hisob maʼlumotini afzal koʻrish vaqti va zaxira mexanizmi qanday ishlashi uchun Shaxsiy va umumiy hisob maʼlumotlari’ga qarang.
Ulanish nima
Ulanish uchta narsani birga bogʻlaydi: provayder (siz qarshi avtorizatsiya qilayotgan OAuth2 ilova), foydalanuvchi (rozilik ekranini bajargan shaxs) va saqlov yozuvi (berilgan token saqlanadigan joy). Oʻrnatilganidan keyin oʻsha foydalanuvchi nomidan amal qiladigan har qanday asbob token’ni model kontekstida, loglarda yoki promptda umuman koʻrinmasdan shaffof tarzda ishlata oladi.
Ulanishlar admin UI’dan boshqariladi. Roʻyxat har bir foydalanuvchining ulangan provayderlari, ularning holati va oxirgi marta qachon yangilangani koʻrsatadi.
Avtorizatsiya-kodi oqimi
Ulanish kanonik uch-bosqichli OAuth2 avtorizatsiya-kodi granti bilan yaratiladi:
- Foydalanuvchi admin UI’dan provayder uchun ulanishni boshlaydi.
- AiHummer brauzerni soʻralgan qamrovlar bilan provayderning avtorizatsiya endpoint’iga yoʻnaltiradi.
- Foydalanuvchi rozilik ekranini tasdiqlaydi; provayder bir martalik avtorizatsiya kodi bilan qaytarib yoʻnaltiradi.
- AiHummer oʻsha kodni provayderning token endpoint’ida kirish token’iga (va provayder qoʻllab-quvvatlasa, yangilash token’iga) almashtiradi.
- Token saqlovga yoziladi va Ulanish faol deb belgilanadi.
Platformaning oʻz token endpoint’i:
POST /v1/oauth/token
U server tomonidagi kod-uchun-token almashinuvini bajaradi, shunda mijoz siri va berilgan token hech qachon gateway’dan chiqmaydi.
[!NOTE] Avtorizatsiya-kodi oqimi har doim haqiqiy brauzer rozilik bosqichini oʻz ichiga oladi. Ulanish faqat API kalitidan boshsiz holda yaratib boʻlmaydi — amal qiluvchi foydalanuvchi qamrovlarni bir marta tasdiqlashi shart.
Token qayerda yashaydi
Berilgan token oddiy konfiguratsiyada emas, balki AiHummer’ning shifrlangan hisob maʼlumotlari saqlovida saqlanadi. Saqlov konvert shifrlashidan foydalanadi (master kalit ostidagi tenant boʻyicha maʼlumot kaliti bilan AES-256-GCM), va sirlar hech qachon model kontekstiga, promptlarga yoki loglarga koʻchirilmaydi. Bekor qilingan yoki muddati oʻtgan Ulanish shunchaki foydalanish mumkin boʻlgan sirni qoldirmaydi.
consent ─▶ code ─▶ POST /v1/oauth/token ─▶ access/refresh token ─▶ vault (encrypted)
Amal qiluvchi foydalanuvchi boʻyicha aniqlanadi
Ulanishning belgilovchi xususiyati shundaki, u amal qiluvchi foydalanuvchi boʻyicha aniqlanadi. Agent provayderni talab qiladigan asbobni ishga tushirganda, runtime turn ishlayotgan nomidan kelgan foydalanuvchiga tegishli Ulanishni qidiradi va uning token’idan foydalanadi. Shu sababli bir xil agent bilan gaplashayotgan ikki xodim oʻz avtorizatsiyalari bilan amal qiladi va faqat oʻzlarining granti ruxsat berganini koʻradi.
Aynan shu narsa Ulanishlarni shaxsiy, foydalanuvchi boʻyicha integratsiyalar uchun mos qiladi: har bir shaxsning kirishi izolyatsiyalangan, audit qilinadigan va alohida bekor qilinadigan.
Mavjud integratsiyalar
OAuth2 oqimi orqali foydalanuvchi oʻz hisobini har qanday yetkazib beriladigan xizmatga ulashi mumkin. Ushbu shaxsiy integratsiyalar quticha tashqarisidayoq mavjud:
| Guruh | Xizmatlar |
|---|---|
| Gmail, Google Calendar, Google Contacts, Google Tasks, Google Drive, YouTube | |
| Microsoft | Outlook Mail, Outlook Calendar, OneDrive, Microsoft To Do |
| Mahsuldorlik | Todoist, Asana, Jira Cloud, ClickUp, GitLab |
| Salomatlik va turmush tarzi | Fitbit, Oura Ring, Spotify, Samsung SmartThings |
Har biri bir xil avtorizatsiya-kodi oqimi bilan ulanadi: foydalanuvchi provayderning rozilik ekranini bajaradi, token saqlovda muhrlanadi, va asbob xizmatga yetganda oʻsha foydalanuvchi uchun aniqlanadi.
Admin UI’da ulanishlarni boshqarish
Admin UI’dan operator quyidagilarni qila oladi:
- Har bir foydalanuvchi qaysi provayderlarni ulaganini va har bir token’ning salomatligini koʻrish.
- Yangi ulanishni boshlash (tanlangan provayder uchun rozilik oqimini ishga tushirish).
- Ulanishni bekor qilish, bu saqlov yozuvini olib tashlaydi va aniqlashni oʻchiradi.
Ulanishlar shaxsiy (muayyan foydalanuvchiga tegishli; u ularni oʻzi uzishi mumkin) va ish maydoni uchun umumiy («Workspace shared» tegi bilan belgilangan; ularni shaxsiy tarzda uzib boʻlmaydi) boʻladi. Bitta provayderga bir nechta hisob bogʻlash mumkin: «+ hisob» tugmasi yorliq (label) soʻraydi va oʻsha provayderning yana bitta hisobini saqlaydi — masalan, bir nechta Google kalendari yoki pochta qutisi.
Asosiy hisob maʼlumotlari shaxsiy boʻlgani sababli, harakat aniq bir insonning avtorizatsiyasiga bogʻlangan va u bilan cheklangan boʻlishi kerak boʻlganda ish maydoni boʻylab hisob oʻrniga koʻpincha Ulanish toʻgʻri asbob boʻladi.
Keyin qayerga
- Shaxsiy va umumiy hisob maʼlumotlari — toʻliq qamrov modeli va har birini qachon tanlash.
- BYOK LLM provayderlari — har bir tenant uchun oʻz model kalitlaringizni keltiring.
- Marketplace umumiy koʻrinishi va darajalari — OAuth bilan taʼminlangan integratsiyalar qayerga mos kelishi.