Das Feature “API Zugänge verwalten” ist eine Adminfunktion, um Zugänge zur API über den Administrationsbereich selbstständig anlegen und verwalten zu können. Mithilfe der Verwaltung für API Zugänge lassen sich API Keys für Drittdienstleister, z. B. für Agenturen oder andere Dienstleister des Verlags, strukturiert und bedarfsgerecht zur Verfügung stellen. Zudem kann ein Zugang für OAuth Logins im System angelegt und verwaltet werden.
Funktionalitäten der Verwaltung für API Zugänge
Anlegen und Verwalten von API Zugängen (Client Credentials) zur Nutzung der verfügbaren PEIQ Cloud Connect APIs
Anlegen und Verwalten von API Zugängen zur Abbildung von OAuth Logins nach OAuth V2 Standard
Inhaltsverzeichnis
Aufbau der Verwaltung für API Zugänge
In der Verwaltung für API Zugänge sind die bereits konfigurierten API Zugänge übersichtlich dargestellt. Für den Zugriff auf die jeweilige API werden die Client Credentials – bestehend aus Client ID und Client Secret –benötigt. Das Client Secret kann am jeweiligen Zugang über das Key-Icon abgerufen werden. Der Typ der Zugänge ist durch unterschiedliche Icons (Database Icon für normalen API Zugriff, Sign in Icon für OAuth2 Login) gekennzeichnet.
Ansicht der Verwaltung für API Zugänge
Overlay zum Abruf des Client Secret
Einen Einblick in das Thema gibt das folgende Video:
https://youtu.be/KR5cy-t_tSk?t=2375
API Zugang erstellen
Normaler API Zugang
Über eine Konfigurationsoberfläche können einem Client verschiedene Berechtigungen für die zur Verfügungen stehenden APIs zugewiesen werden. Mit dem Lesezugriff erhält der Client Zugang zu den GET-Endpunkten der jeweiligen API. Ist der Lese- & Schreibzugriff aktiviert, können alle verfügbaren REST-Endpunkte genutzt werden, die die API zur Verfügung stellt.
Konfigurationsoberfläche für die Zuweisung von Zugriffsberechtigungen
OAuth2 Login
Um einen Zugang für einen OAuth Client anzulegen, wird der Typ “OAuth2 Login” gewählt. Die Bezeichnung des Zugangs ist hierbei relevant, da dieser als <ClientName> verwendet wird und damit im Authorisierungsdialog genannt wird (z.B. “Darf <ClientName> ihre Account Informationen benutzen?”). Über die Redirect URL kann definiert werden, auf welcher Seite Benutzer:innen nach dem Login landen soll.
Relevante Felder zum Anlegen eines Zugangs für einen OAuth Client
Bearbeitungsprotokoll
Über das Kontextmenü am rechten oberen Rand lässt sich das Bearbeitungsprotokoll aufrufen. Hier kann eingesehen werden, welche:r Benutzer:in, wann, welchen Zugang angelegt, geändert oder gelöscht hat.
Beispielhaftes Bearbeitungsprotokoll zu einem API Zugangs
Berechtigte Nutzer:innen
Die Verwaltung für API Zugänge ist eine Adminfunktion, welche Benutzer:innen mit der Berechtigung “Zugang zur Verwaltungsübersicht“ und “Zugang zur API Zugänge Verwaltung / Zugang bearbeiten und löschen” über das Benutzermenü → Administration & Moderation → API 2.0 BETA Zugänge verwalten aufrufen dürfen. Hier können API Zugänge für verfügbare APIs angelegt und konfiguriert werden.
Wichtige Hinweise zur Verwaltung von API Zugängen
Der Zugang zum Feature “API Zugänge verwalten” und das darüber mögliche Erstellen von API-Zugängen für die Cloud Connect API ist sicherheitsrelevant und sollte nur mit äußerster Sorgfalt gehandhabt werden, da über die API direkt Livedaten im PORTAL beeinflusst und gesteuert werden können. Über die User-API können zudem nutzerbezogene Daten bezogen oder verändert werden.
Es wird daher empfohlen nur API Zugänge, die für das jeweilige Projekt konkret benötigt werden, zu konfigurieren. Sollten die API-Zugänge von Dritten benötigt werden, empfiehlt es sich zudem, mit den externen Partnern Vereinbarungen zur Nutzung der API zu treffen – beispielsweise in Form eines ADV-Vertrages (Vertrag zur Auftragsdatenverarbeitung).
Zugang zur API-Dokumentation
siehe API 2.0 Dokumentation PORTAL
Testszenario mit einem Staging-System oder Testportal
Um Testszenarien im Livesystem zu vermeiden, kann
die API auf einen temporären Staging-System mit Kundenkonfiguration getestet werden.
die API auf einem dauerhaften Testportal mit Kundenkonfiguration getestet werden.
Für nähere Informationen zur Bereitstellung eines temporären Staging-Systems oder Testportal und die dafür notwendigen Aufwände, wenden Sie sich an Ihren Ansprechpartner bei PEIQ.
Verwandte Seiten
Disclaimer
Für die vorliegende Systemübersicht/Publikation behalten wir uns alle Rechte vor. Nachdruck, Vervielfältigung und Verbreitung (auch auszugsweise) ist nur mit schriftlicher Genehmigung der PEIQ Publishing GmbH & Co. KG erlaubt. Wir behalten uns vor, die Systemübersicht/Publikation jederzeit ohne vorherige Ankündigung zu ändern und/oder zu erweitern. Die vorliegenden Angaben dienen lediglich Informationszwecken. Die PEIQ Publishing GmbH & Co. KG übernimmt keinerlei Haftung und/oder Garantie für Fehler und/oder unvollständige Angaben in der Systemübersicht/Publikation, mit Ausnahme von vorsätzlich falschen oder arglistig verschwiegenen Angaben. Da unsere Software laufend weiter entwickelt wird, handelt es sich bei den vorliegenden nur um allgemeine Angaben. Es handelt sich weder um eine Zusicherung von Mindestvertragsinhalten, noch um Beschaffenheitsgarantien im Sinne des § 443 BGB.