iApprove Help Center

API-Schlüssel

REST API-Schlüssel für iApprove erstellen und verwalten — steuern Sie Unternehmen und Ressourcen je Schlüssel, beschränken Sie Schlüssel auf bestimmte IP-Adressen und sehen Sie, wo jeder Schlüssel verwendet oder missbraucht wird.

API-Schlüssel

Der Tab API-Schlüssel (Mandanteneinstellungen → API-Schlüssel) ist der Ort, an dem Mandantenadministratoren API-Schlüssel für die iApprove REST API erstellen und verwalten.

API-Schlüssel sind für die Authentifizierung von Maschine-zu-Maschine-Integrationen erforderlich — zum Beispiel, um genehmigte Rechnungen in ein ERP-System zu übernehmen oder Lieferantendaten mit einem Buchhaltungssystem zu synchronisieren. Das Add-on API-Zugriff muss für mindestens ein Unternehmen aktiviert sein, bevor API-Schlüssel erstellt werden können.

Schlüsseltabelle

Spalte Beschreibung
Name Eine lesbare Bezeichnung für den Schlüssel
Schlüssel-ID Der eindeutige Bezeichner — das iak_<keyid>_…-Präfix
Bereiche Auf welche Ressourcen der Schlüssel zugreifen kann und auf welchem Level
Unternehmen Auf welche Unternehmen dieser Schlüssel autorisiert ist
Läuft ab Ablaufdatum oder "Läuft nie ab"
Zuletzt verwendet Wann der Schlüssel zuletzt für eine API-Anfrage verwendet wurde
Status Aktiv / Abgelaufen / Gesperrt. Ein rotes Warnabzeichen erscheint hier, wenn der Schlüssel in den letzten 24 Stunden blockierte oder verdächtige Versuche hatte

Schlüssel erstellen

Klicken Sie auf API-Schlüssel erstellen. Im Formular:

  1. Name — Geben Sie dem Schlüssel einen beschreibenden Namen.
  2. Ablauf — Legen Sie ein Ablaufdatum fest (Standard: ein Jahr ab heute) oder aktivieren Sie "Läuft nie ab".
  3. Unternehmen — Wählen Sie, auf welche Unternehmen der Schlüssel zugreifen darf. Nur Unternehmen mit aktiviertem Add-on API-Zugriff erscheinen in der Liste.
  4. Berechtigungen — Für jede Ressource (Rechnungen, Lieferanten, Dokumente): wählen Sie die Zugriffsebene: Keine, Lesen, Schreiben oder Löschen. Vergeben Sie nur das Nötigste.
  5. Zugelassene IPs — Beschränken Sie optional, von welchen Adressen aus der Schlüssel verwendet werden darf (siehe unten).

Nach dem Speichern wird das vollständige API-Token einmalig in einem Modalfenster angezeigt — kopieren Sie es sofort und bewahren Sie es sicher auf (ein Passwortmanager oder ein Secrets-Tresor). Das Geheimnis kann nicht erneut abgerufen werden; bei Verlust müssen Sie den Schlüssel rotieren.

Einen Schlüssel auf bestimmte IP-Adressen beschränken (Firewall)

Im Abschnitt Zugelassene IPs des Schlüsselformulars können Sie einen Schlüssel so sperren, dass er nur von Adressen funktioniert, denen Sie vertrauen — zum Beispiel der festen öffentlichen IP Ihres Servers oder dem Adressbereich Ihres Büronetzwerks.

  • Klicken Sie auf Regel hinzufügen, um einen Eintrag hinzuzufügen. Jede Regel ist entweder eine einzelne IP (z. B. 203.0.113.7) oder ein IP-Bereich mit einer Von- und Bis-Adresse (z. B. 203.0.113.1203.0.113.254).
  • Fügen Sie so viele Regeln hinzu, wie Sie benötigen — eine Anfrage wird zugelassen, wenn sie irgendeine Regel erfüllt.
  • Verwenden Sie Meine aktuelle IP hinzufügen, um die Adresse einzufügen, von der aus Sie gerade verbunden sind.
  • Fügen Sie jeder Regel eine optionale Notiz hinzu (z. B. "Büro", "Produktionsserver"), damit Sie sie später wiedererkennen.

Wenn Sie keine Regeln hinzufügen, ist der Schlüssel offen und kann von jeder IP-Adresse verwendet werden — bestehende Schlüssel funktionieren also genau wie zuvor, bis Sie sie sperren.

Sobald Regeln gesetzt sind, wird jede Anfrage von einer Adresse außerhalb der Liste mit 403 Forbidden abgelehnt — sowohl beim Abrufen eines Zugriffstokens als auch bei jeder Datenanfrage. Da die Prüfung bei jedem Aufruf erfolgt, können Sie Prüfern wahrheitsgemäß bestätigen, dass der Schlüssel nur von Ihren genehmigten Adressen funktioniert. Eine Verschärfung der Regeln wird innerhalb von etwa 15 Minuten wirksam (die Lebensdauer eines bereits ausgestellten Zugriffstokens).

Tipp: Die meisten Integrationen verbinden sich von einer einzigen, festen Server-IP — fügen Sie diese eine Adresse hinzu, und Sie sind fertig. Wenn Ihr Anbieter einen Pool ausgehender Adressen verwendet, fügen Sie jede einzelne hinzu, oder einen Bereich, der sie abdeckt.

Schlüsselnutzung — „von wo wurde dieser Schlüssel verwendet oder missbraucht?"

Klicken Sie bei einem Schlüssel auf das Nutzung-Symbol (Aktivitätsgrafik), um sein Nutzungsprotokoll zu öffnen. Es beantwortet pro Schlüssel, wo er verwendet wurde und ob jemand versucht hat, ihn zu missbrauchen. Jede Zeile ist eine stündliche Zusammenfassung mit Datum/Stunde, IP-Adresse, Unternehmen, Ergebnis und einer Anzahl.

Mögliche Ergebnisse:

Ergebnis Bedeutung
OK Ein erfolgreicher, autorisierter Aufruf
Blockierte IP Eine von der IP-Firewall des Schlüssels abgelehnte Anfrage (von einer nicht zugelassenen Adresse)
Falsches Secret Jemand hat die ID dieses Schlüssels mit dem falschen Secret vorgelegt — ein Zeichen dafür, dass die Schlüssel-ID bekannt ist und das Secret erraten wird
Abgelaufen / Gesperrt Ein Versuch, einen nicht mehr gültigen Schlüssel zu verwenden

Verwenden Sie den Filter Anzeigen, um zwischen Alle Aktivitäten und Nur Missbrauch zu wechseln. Die mandantenweite Schaltfläche Missbrauch oben im Tab sammelt blockierte und verdächtige Versuche über alle Ihre Schlüssel an einem Ort, und das rote Abzeichen in einer Schlüsselzeile kennzeichnet Missbrauch der letzten 24 Stunden auf einen Blick.

Schlüssel rotieren

Klicken Sie bei einem aktiven Schlüssel auf das Rotieren-Symbol, um ein neues Geheimnis zu generieren. Das alte Geheimnis wird sofort ungültig; jede Integration, die es verwendet, erhält 401 Unauthorized, bis sie aktualisiert wird. Die Rotation wird im Aktivitätsprotokoll erfasst.

Schlüssel sperren

Klicken Sie auf das Sperren-Symbol, um einen Schlüssel dauerhaft zu deaktivieren. Gesperrte Schlüssel können nicht reaktiviert werden — erstellen Sie stattdessen einen neuen Schlüssel. Ein gesperrter Schlüssel kann gelöscht werden, um ihn aus der Liste zu entfernen.

Aktivitätsprotokoll

Erweitern Sie das Aktivitätsprotokoll am unteren Rand des Tabs, um eine Zeitleiste der administrativen Änderungen an Ihren Schlüsseln anzuzeigen: Erstellung, Bearbeitung, Rotation, Sperrung und Löschung. Das Protokoll zeigt, wer welche Änderung von welcher IP und wann vorgenommen hat. (Dies ist getrennt vom Nutzungs-Protokoll oben, das aufzeichnet, wo jeder Schlüssel tatsächlich verwendet wird.)

Sicherheitsempfehlungen

  • Verwenden Sie einen separaten Schlüssel pro Integration — teilen Sie niemals einen Schlüssel zwischen mehreren Systemen.
  • Sperren Sie jeden Schlüssel auf die IP-Adresse(n), von denen er verwendet wird.
  • Legen Sie ein Ablaufdatum fest und rotieren Sie regelmäßig (mindestens jährlich).
  • Vergeben Sie nur die minimal erforderlichen Berechtigungen (geringstes Privileg).
  • Prüfen Sie das Nutzungsprotokoll regelmäßig und reagieren Sie auf blockierte oder „Falsches Secret"-Versuche.
  • Sperren Sie Schlüssel sofort, wenn eine Integration außer Betrieb genommen wird oder ein Geheimnis kompromittiert wurde.
Was this helpful?