Entwicklerportal
Überblick
Das Entwicklerportal ist auf zwei Oberflächen aufgeteilt:
/admin/developer— Tenant-Administratoren verwalten alle Keys im Tenant, erstellen globale Service-Keys, erstellen nutzerbasierte Keys im Auftrag beliebiger Nutzer und steuern, ob Nicht-Admins eigene Keys erstellen dürfen./profile→ API Keys-Tab — Nutzer erstellen und widerrufen ihre eigenen nutzerbasierten Keys, sofern der Admin dies erlaubt.
Die Trennung existiert, damit Admins unabhängig vom tenant-weiten Self-Service-Schalter immer die volle Kontrolle behalten.
Nutzern eigenen API-Zugriff erlauben
Der Schalter auf /admin/developer steuert, ob Nicht-Admins über /profile eigene Keys erstellen und widerrufen dürfen. Ist er deaktiviert, können nur Administratoren Keys verwalten.
Globale Keys sind immer admin-only — der Schalter hat darauf keinen Einfluss.
Key-Scopes (Global vs. nutzerbasiert)
API-Keys gibt es in zwei Varianten:
| Scope | Handelt als | Anwendungsfall |
|---|---|---|
| Global | der Tenant | CI-Pipelines, Backup-Jobs, Monitoring-Agents — alles, was nicht an eine konkrete Person gebunden ist |
| Nutzerbasiert | ein konkreter Nutzer | Persönliche Automatisierungen, eigene Skripte, Situationen in denen der Key die Berechtigungen einer realen Person erben (und nachverfolgen) soll |
Warum nutzerbasiert?
Ein nutzerbasierter Key validiert die Berechtigungen des Eigentümers bei jedem Request live. Wird der Eigentümer aus einer Berechtigungsgruppe entfernt, schrumpft der effektive Scope des Keys innerhalb kürzester Zeit. Wird der Eigentümer deaktiviert, wird der Key sofort abgelehnt.
Das ist der empfohlene Scope für jeden Key, der die Automatisierung einer realen Person darstellt. So entfällt der „Ghost Permissions"-Failure-Mode, in dem der Key eines ehemaligen Mitarbeiters lange nach dem Off-Boarding noch funktioniert.
Siehe API Key Scopes für den vollständigen Lebenszyklus und die Berechtigungs-Schnittmenge.
API-Key erstellen (Admin)
- Öffne /admin/developer.
- Klicke Key erstellen.
- Felder ausfüllen:
- Name — eine sprechende Bezeichnung (z. B. „Backup-Job", „Zapier-Integration", „Florin Laptop CLI")
- Scope — Global oder Nutzer-gebunden (kein Standard — explizit auswählen)
- Eigentümer — nur bei Scope „Nutzer-gebunden"; Type-Ahead-Suche nach Name oder E-Mail
- API-Scopes — Chips für die zugriffsberechtigten Ressourcen aktivieren
- Ablaufdatum (optional) — Key automatisch deaktivieren
- Klicke Key erstellen.
Der vollständige Key-Wert wird einmalig im Dialog angezeigt. Bitte sofort kopieren — er kann später nicht mehr abgerufen werden. Aus Sicherheitsgründen wird nur ein verschlüsselter Fingerabdruck des Keys gespeichert.
API-Key erstellen (Nutzer-Self-Service)
Wenn der Admin „Nutzern eigenen API-Zugriff erlauben" aktiviert hat, kann jeder Tenant-Nutzer unter /profile → API Keys einen persönlichen Key erstellen. Self-Service erzeugt grundsätzlich nur nutzergebundene Keys; „Global" ist nicht wählbar.
Key-Format
usl_v1_<48 Hex-Zeichen>
Das Präfix usl_v1_ ist in der Admin-Liste sichtbar, sodass Keys ohne Offenlegung des Wertes identifiziert werden können. Geheim ist nur der vollständige String.
API-Scopes
| Scope | Zugriff |
|---|---|
assets:read | Assets lesen und auflisten |
assets:write | Assets erstellen, ändern, löschen |
users:read | Nutzer lesen |
users:write | Nutzer verwalten |
processes:read | Prozessdefinitionen und -instanzen lesen |
processes:write | Prozessinstanzen starten und fortschreiben |
tickets:read | Tickets lesen (ITSM) |
tickets:write | Tickets erstellen und aktualisieren (ITSM) |
Vergib nur die Scopes, die deine Integration tatsächlich braucht (Principle of Least Privilege).
Key widerrufen
Klicke in /admin/developer neben einem Key auf Widerrufen. Der Key wird als widerrufen markiert: er bleibt mit dem Badge „widerrufen" sichtbar, der Audit-Trail bleibt erhalten — die nächste Verwendung des Keys wird abgelehnt.
Nutzergebundene Keys werden zusätzlich automatisch widerrufen, wenn ihr Eigentümer gelöscht oder deaktiviert wird.
Rate Limiting
Requests werden pro Key begrenzt. Das Fenster ist eine Stunde und wird zur vollen Stunde zurückgesetzt. Plan-Defaults:
| Plan | Requests pro Stunde |
|---|---|
| Free | 100 |
| Starter | 1.000 |
| Professional | 10.000 |
| Enterprise | konfigurierbar |
Bei Überschreitung antwortet die API mit 429 Too Many Requests. Jede Antwort enthält die Header X-RateLimit-Limit, X-RateLimit-Remaining und X-RateLimit-Reset — nutze sie für proaktives Backoff.
Nutzungsanalyse
Die Ansicht Nutzung zeigt Requests pro Key, Fehlerquote, durchschnittliche Antwortzeit, tägliches Aufrufvolumen sowie die meistgenutzten Endpoints — jeweils für die letzten 30 Tage.
API-Basis-URL
Alle Public-API-Requests gehen an:
https://api.uslimato.com/v1/
Siehe API-Authentifizierung für Header-Format und Fehlercodes.