Box.com-koppeling implementeren: checklist test en productie

Praktische implementatiegids voor de Box.com-koppeling (Box Sign op orders), met een checklist voor test en productie. De genummerde stappen beschrijven de volgorde; gebruik daarna de checklists per omgeving.

Aandachtspunten

• JWT-app moet in de Box Admin Console geautoriseerd zijn (anders geen token).
• Het webhook-endpoint dat Box terugbelt moet publiek bereikbaar zijn (HMAC-geverifieerd).
• Ordersjablonen en het orderveld voor het sign-request-id zijn verplicht voor een werkende flow.

Checklist — testomgeving

• ☐ Box JWT-app aangemaakt (Server Authentication with JWT).
• ☐ Key pair gegenereerd: private key (PEM), public key-id en passphrase genoteerd.
• ☐ App geautoriseerd in de Box Admin Console met de Box Sign-scopes.
• ☐ Enterprise ID, client-id en client-secret genoteerd.
• ☐ Auth-scherm gevuld; Authenticatie aanvragen geslaagd (Box-gebruiker zichtbaar, map + webhook aangemaakt).
• ☐ Mapnaam, eventuele as-user, redirect-URL en eindkopie-ontvanger ingesteld.
• ☐ Ordersjabl(o)on(en) geselecteerd + orderveld voor sign-request-id gekozen.
• ☐ Webhook-endpoint publiek bereikbaar.
• ☐ End-to-end getest: order → "handtekening aanvragen" → sign-verzoek bij klant; tekenen → status terug + getekend document in i-Reserve.

Checklist — productieomgeving

• ☐ Productie-JWT-app (of dezelfde, bewust gekozen) + productie-key pair; geautoriseerd in de productie-Admin-Console.
• ☐ Webhook-endpoint publiek bereikbaar op productie (echte host/SSL).
• ☐ Echte ordersjablonen + correct orderveld voor het sign-request-id.
• ☐ Eindkopie-ontvanger en redirect-URL afgestemd op de klant.
• ☐ Eerste live sign-verzoek + webhook-terugmelding geverifieerd.
• ☐ Rollback bekend: koppeling op inactief zetten stopt nieuwe sign-verzoeken.