API-nøgler
Opret og administrer REST API-nøgler til iApprove — styr hvilke virksomheder og ressourcer hver nøgle kan tilgå, lås nøgler til bestemte IP-adresser, og se hvor hver nøgle bruges eller misbruges.
API-nøgler
Fanen API-nøgler (Lejerindstillinger → API-nøgler) er stedet, hvor lejeradministratorer opretter og administrerer API-nøgler til iApprove REST API.
API-nøgler kræves til godkendelse af maskine-til-maskine-integrationer — for eksempel til at hente godkendte fakturaer ind i et ERP-system eller synkronisere kreditordata med et regnskabssystem. Tillægget API-adgang skal være aktiveret på mindst én virksomhed, før API-nøgler kan oprettes.
Nøgletabellen
| Kolonne | Beskrivelse |
|---|---|
| Navn | En menneskeligt læsbar etiket for nøglen |
| Nøgle-ID | Nøglens unikke identifikator — iak_<keyid>_…-præfikset |
| Omfang | Hvilke ressourcer nøglen kan tilgå, og på hvilket niveau |
| Virksomheder | Hvilke virksomheder denne nøgle har adgang til |
| Udløber | Udløbsdato eller "Udløber aldrig" |
| Senest brugt | Hvornår nøglen sidst blev brugt |
| Status | Aktiv / Udløbet / Tilbagekaldt. Et rødt advarselsmærke vises her, hvis nøglen har haft blokerede eller mistænkelige forsøg de seneste 24 timer |
Oprettelse af en nøgle
Klik på Opret API-nøgle. I formularen:
- Navn — Giv nøglen et beskrivende navn, så du kan genkende den senere.
- Udløb — Angiv en udløbsdato (standard: et år fra i dag), eller markér "Udløber aldrig".
- Virksomheder — Vælg hvilke virksomheder nøglen kan tilgå. Kun virksomheder med tillægget API-adgang vises på listen.
- Tilladelser — For hver ressource (fakturaer, kreditorer, dokumenter): vælg adgangsniveauet: Ingen, Læs, Skriv eller Slet. Tildel kun det mindst nødvendige.
- Tilladte IP'er — Begræns eventuelt de adresser, nøglen må bruges fra (se nedenfor).
Når du gemmer, vises det fulde API-token én gang i en dialog — kopiér det med det samme og gem det sikkert (en adgangskodemanager eller et hvælv til hemmeligheder). Hemmeligheden kan ikke hentes igen; du skal rotere nøglen, hvis den mistes.
Begræns en nøgle til bestemte IP-adresser (firewall)
I afsnittet Tilladte IP'er i nøgleformularen kan du låse en nøgle, så den kun virker fra de adresser, du har tillid til — for eksempel din servers faste offentlige IP eller dit kontornetværks adresseområde.
- Klik på Tilføj regel for at tilføje en post. Hver regel er enten en enkelt IP (f.eks.
203.0.113.7) eller et IP-interval med en fra- og til-adresse (f.eks.203.0.113.1–203.0.113.254). - Tilføj så mange regler, du har brug for — en forespørgsel tillades, hvis den matcher en hvilken som helst regel.
- Brug Tilføj min nuværende IP til at indsætte den adresse, du forbinder fra lige nu.
- Tilføj en valgfri note til hver regel (f.eks. "Kontor", "Produktionsserver"), så du kan genkende den senere.
Hvis du ikke tilføjer nogen regler, er nøglen åben og kan bruges fra enhver IP-adresse — så eksisterende nøgler virker præcis som før, indtil du vælger at låse dem.
Når der er regler, afvises enhver forespørgsel fra en adresse uden for listen med 403 Forbidden — både når der hentes et adgangstoken, og ved hver dataforespørgsel. Fordi kontrollen anvendes på hvert kald, kan du med rette fortælle revisorer, at nøglen kun virker fra dine godkendte adresser. En stramning af reglerne træder i kraft inden for cirka 15 minutter (levetiden for et allerede udstedt adgangstoken).
Tip: de fleste integrationer forbinder fra én fast server-IP — tilføj den ene adresse, og så er du færdig. Hvis din udbyder bruger en pulje af udgående adresser, så tilføj hver enkelt, eller et interval, der dækker dem.
Nøgleforbrug — "hvorfra er denne nøgle brugt, eller misbrugt?"
Klik på Aktivitet-ikonet (aktivitetsgraf) på en nøgle for at åbne dens forbrugslog. Den besvarer, pr. nøgle, hvor den er blevet brugt, og om nogen har forsøgt at misbruge den. Hver række er en opsummering pr. time, der viser dato/time, IP-adresse, virksomhed, resultat og et antal.
Resultater omfatter:
| Resultat | Betydning |
|---|---|
| OK | Et vellykket, autoriseret kald |
| Blokeret IP | En forespørgsel afvist af nøglens IP-firewall (den kom fra en adresse, der ikke er på listen) |
| Forkert hemmelighed | Nogen angav nøglens ID med den forkerte hemmelighed — et tegn på, at nøgle-ID'et er kendt, og hemmeligheden gættes |
| Udløbet / Tilbagekaldt | Et forsøg på at bruge en nøgle, der ikke længere er gyldig |
Brug Vis-filteret til at skifte mellem Al aktivitet og Kun misbrug. Knappen Misbrug øverst på fanen samler blokerede og mistænkelige forsøg på tværs af alle dine nøgler ét sted, og det røde mærke på en nøglerække markerer misbrug de seneste 24 timer på et øjeblik.
Rotation af en nøgle
Klik på rotations-ikonet på en aktiv nøgle for at generere en ny hemmelighed. Den gamle hemmelighed ugyldiggøres omgående; enhver integration, der bruger den, begynder at få 401 Unauthorized, indtil den opdateres. Rotationen registreres i aktivitetsloggen.
Tilbagekaldelse af en nøgle
Klik på tilbagekaldelses-ikonet for at deaktivere en nøgle permanent. Tilbagekaldte nøgler kan ikke genaktiveres — opret i stedet en ny nøgle. En tilbagekaldt nøgle kan slettes for at fjerne den fra listen.
Aktivitetslog
Udvid Aktivitetslog nederst på fanen for at se en tidslinje over administrative ændringer af dine nøgler: oprettelse, redigering, rotation, tilbagekaldelse og sletning. Loggen viser, hvem der foretog hver ændring, fra hvilken IP, og hvornår. (Dette er adskilt fra Forbrugs-loggen ovenfor, der registrerer, hvor hver nøgle faktisk bruges.)
Sikkerhedsanbefalinger
- Brug en separat nøgle pr. integration — del aldrig én nøgle mellem flere systemer.
- Lås hver nøgle til den eller de IP-adresser, den vil blive brugt fra.
- Angiv en udløbsdato og rotér regelmæssigt (mindst årligt).
- Tildel kun de omfang, integrationen faktisk behøver (mindste privilegium).
- Tjek forbrugsloggen jævnligt, og reagér på blokerede eller "forkert hemmelighed"-forsøg.
- Tilbagekald nøgler omgående, når en integration tages ud af drift, eller en hemmelighed kompromitteres.