Zum Hauptinhalt springen

Kunden Authentifizierung

Authentifizierungsmethoden

Zur Nutzung einer API ist es erforderlich, die benötigte Authentifizierungsmittel zwischen Anbieter und Kunde auszutauschen. Hierzu werden Authentifizierungsmethoden vom Developer Portal unterstützt, die bei der Anlage einer API hinterlegt werden können. Wird eine API zu einer App hinzugefügt, so werden entsprechend der hinterlegten Authentifizierungsmethode Informationen vom Kunden während der Aktivierungsanfrage abgefragt bzw. zur Verfügung gestellt.

Verfügbare Authentifizierungsmethoden im Developer Portal:

AuthentifizierungsmethodenBeschreibung
Access-TokenDas Developer Portal erzeugt Access-Token und generiert entsprechende Access-Token-Hashes, die dem Kunden (Access-Token) und dem Anbieter (Access-Token-Hash) zur Verfügung gestellt werden. Der Kunde verwendet den Access-Token um sich an der vom Anbieter zur Verfügung gestellten API zu authentifizieren. Der Anbieter prüft anhand des vom Kunden übergebenen Access-Token, der hinterlegten Hash-Methode und dem Access-Token-Hash die Authentizität des Zugriffs.
Manuelle-ÜbergabeBei der Auswahl der Authentifizierungsmethode "Manuelle Übergabe" wird an der API keine Übergabemethode des Authenticators hinterlegt. Das bedeutet, dass der Austausch der Authentifizierungsinformationen individuell zwischen Anbieter und Kunde geregelt wird.
info

Manuelle-Übergabe ist als Default für jede API festgelegt.

Management eines Access-Token

Ist die Authentifizierungsmethode "Access-Token" einer API zugeordnet, so wird im Zuge einer Aktivierungsanfrage ein Access-Token (Authentifizierungsmittel) mit der aktuell hinterlegten Authentifizierungsmethode des Anbieters für die App erstellt.

Der Anbieter muss diesen Access-Token freischalten.

Status eines Access-Token:

StatusBeschreibung
activation-requestedKunde hat einen Zugriff bzw. Access-Token erstellt und fragt diesen beim Anbieter an.
activeAnbieter hat den Zugriff bzw. Access-Token freigeschaltet.
deactivation-requestedKunde fordert eine Sperrung des Zugriffs bzw. Access-Token beim Anbieter an.
inactiveAnbieter hat den Zugriff bzw. das Access-Token in seinem System gesperrt.

App-Access-Status

Der App-Access-Status zeigt deiner Organisation an, ob über eine App generell (alle API-Produkte der App) zugegriffen werden kann. Wird der generelle Zugriff der App vom Anbieter auf "rot" gesetzt, bekommt der Verantwortliche des Kunden eine Benachrichtigung inkl. einer Beschreibung, warum der Zugriff gesperrt ist.

info

Anbieter-Aktion: Ein Admin eines Anbieters kann den App-Access-Status via GUI oder API auf "rot" setzen. D.h., der Anbieter hat den Zugriff auf alle Services in der App gesperrt.

note

Der App-Access-Status beeinflusst nicht die an der App hinterlegten Authentifizierungsmittel. Die Authentifizierungsmittel sind somit unabhängig von der generellen Zugriffssperre (App-Access-Status) der App. Der Zugriffsstatus der einzelnen Authentifizierungsmittel bleibt davon unberührt.