Kunden Authentifizierung
Authentifizierungsmethoden
Zur Nutzung einer API ist es erforderlich, die benötigte Authentifizierungsmittel zwischen Anbieter und Kunde auszutauschen. Hierzu werden Authentifizierungsmethoden vom Developer Portal unterstützt, die bei der Anlage einer API hinterlegt werden können. Wird eine API zu einer App hinzugefügt, so werden entsprechend der hinterlegten Authentifizierungsmethode Informationen vom Kunden während der Aktivierungsanfrage abgefragt bzw. zur Verfügung gestellt.
Verfügbare Authentifizierungsmethoden im Developer Portal:
| Authentifizierungsmethoden | Beschreibung |
|---|---|
| Access-Token | Das Developer Portal erzeugt Access-Token und generiert entsprechende Access-Token-Hashes, die dem Kunden (Access-Token) und dem Anbieter (Access-Token-Hash) zur Verfügung gestellt werden. Der Kunde verwendet den Access-Token um sich an der vom Anbieter zur Verfügung gestellten API zu authentifizieren. Der Anbieter prüft anhand des vom Kunden übergebenen Access-Token, der hinterlegten Hash-Methode und dem Access-Token-Hash die Authentizität des Zugriffs. |
| Manuelle-Übergabe | Bei der Auswahl der Authentifizierungsmethode "Manuelle Übergabe" wird an der API keine Übergabemethode des Authenticators hinterlegt. Das bedeutet, dass der Austausch der Authentifizierungsinformationen individuell zwischen Anbieter und Kunde geregelt wird. |
Manuelle-Übergabe ist als Default für jede API festgelegt.
Management eines Access-Token
Ist die Authentifizierungsmethode "Access-Token" einer API zugeordnet, so wird im Zuge einer Aktivierungsanfrage ein Access-Token (Authentifizierungsmittel) mit der aktuell hinterlegten Authentifizierungsmethode des Anbieters für die App erstellt.
Der Anbieter muss diesen Access-Token freischalten.
Status eines Access-Token:
| Status | Beschreibung |
|---|---|
| activation-requested | Kunde hat einen Zugriff bzw. Access-Token erstellt und fragt diesen beim Anbieter an. |
| active | Anbieter hat den Zugriff bzw. Access-Token freigeschaltet. |
| deactivation-requested | Kunde fordert eine Sperrung des Zugriffs bzw. Access-Token beim Anbieter an. |
| inactive | Anbieter hat den Zugriff bzw. das Access-Token in seinem System gesperrt. |
App-Access-Status
Der App-Access-Status zeigt deiner Organisation an, ob über eine App generell (alle API-Produkte der App) zugegriffen werden kann. Wird der generelle Zugriff der App vom Anbieter auf "rot" gesetzt, bekommt der Verantwortliche des Kunden eine Benachrichtigung inkl. einer Beschreibung, warum der Zugriff gesperrt ist.
Anbieter-Aktion: Ein Admin eines Anbieters kann den App-Access-Status via GUI oder API auf "rot" setzen. D.h., der Anbieter hat den Zugriff auf alle Services in der App gesperrt.
Der App-Access-Status beeinflusst nicht die an der App hinterlegten Authentifizierungsmittel. Die Authentifizierungsmittel sind somit unabhängig von der generellen Zugriffssperre (App-Access-Status) der App. Der Zugriffsstatus der einzelnen Authentifizierungsmittel bleibt davon unberührt.