API-Tokens
Mit API-Tokens verbinden Sie externe Systeme, Skripte und Tools mit der Mirox-Plattform über scoped, widerrufbare Anmeldedaten, die niemals Ihr Passwort preisgeben. Jeder Token authentifiziert Machine-to-Machine-Anfragen in Ihrem Namen, sodass Sie Reporting automatisieren und Metriken exportieren können, ohne Ihr Login zu teilen.
Token-Konzept
Jeder Token gehört dem Benutzer, der ihn erstellt hat, und verhält sich wie dieser Benutzer, innerhalb gewisser Grenzen:
- An Ihr Konto gebunden — ein Token handelt in Ihrem Namen, und alles, was er tut, wird Ihnen im Audit-Trail zugeordnet.
- Berechtigungsobergrenze — ein Token kann niemals auf etwas zugreifen, auf das Sie selbst keinen Zugriff haben. Ihre eigene Rolle und Ihr Ressourcenzugriff begrenzen stets, was der Token sieht.
- Durch Berechtigungsgruppe scoped — Sie wählen bei der Erstellung eine Berechtigungsgruppe, um den Token weiter einzuschränken (siehe unten).
- Einmalig angezeigt — der vollständige Token-Wert wird bei der Erstellung ein einziges Mal angezeigt. Bewahren Sie ihn sicher auf; Mirox speichert nur eine gehashte Kopie und kann ihn niemals wieder anzeigen.
So bleibt Automatisierung nachvollziehbar: Selbst wenn ein Token kompromittiert wird, ist er auf einen Scope beschränkt, leicht zu widerrufen und von Ihren anderen Tokens isoliert.
Berechtigungsgruppen
Wenn Sie einen Token erstellen, wählen Sie eine Berechtigungsgruppe, die definiert, was er tun darf:
| Gruppe | Was der Token tun kann |
|---|---|
| Full Access | Handelt mit Ihrem vollständigen Zugriff — jede API-Oberfläche, die Sie erreichen können. |
| Reporting | Nur Berichte und Exporte generieren und herunterladen. |
| Timeseries Database | Nur Zeitreihen-Metriken lesen. |
Eine Gruppe erweitert niemals Ihren Zugriff; sie schränkt den Token lediglich relativ zu Ihren eigenen Berechtigungen ein. Die vollständige Definition jeder Gruppe finden Sie im Abschnitt API-Berechtigungsgruppen der Dokumentation zum Berechtigungssystem.
Gruppe an die Aufgabe anpassen
Geben Sie jeder Integration die engste Gruppe, die noch funktioniert. Ein nächtlicher Reporting-Job benötigt nur Reporting; ein Client zum Lesen von Metriken benötigt nur Timeseries Database. Das begrenzt den Schadensradius, falls ein Token nach außen gelangt.
Tokens erstellen und verwalten
Sie verwalten Ihre Tokens in Ihrem Profil. Die Plattform deckt den gesamten Lebenszyklus ab:
Einen Token erstellen
- Name und Beschreibung — eine eindeutige Bezeichnung und ein Hinweis, damit Sie sich erinnern, wofür jeder Token gedacht ist.
- Berechtigungsgruppe — wählen Sie eine der oben genannten Gruppen.
- Ablauf — optional. Tokens haben standardmäßig eine Laufzeit von einem Jahr, und Sie können einen beliebigen Ablauf bis zu maximal fünf Jahren festlegen.
- Einmalige Anzeige — der vollständige Token wird bei der Erstellung einmal angezeigt und danach nie wieder.
Sie können bis zu 64 aktive Tokens pro Konto halten.
Erstellen und Rotieren erfordern eine angemeldete Sitzung
Das Erstellen, Rotieren oder Löschen eines Tokens erfordert ein aktives Browser-Login (Cookie-Sitzung). Sie können nicht einen API-Token verwenden, um einen anderen zu erstellen oder zu rotieren — das verhindert, dass ein nach außen gelangter Token unbemerkt weitere erzeugt.
Einen Token rotieren
Die Rotation ersetzt das Geheimnis eines Tokens an Ort und Stelle, ohne dessen Name, Beschreibung oder Berechtigungsgruppe zu ändern:
- Ein neues Geheimnis wird ausgestellt und einmal angezeigt.
- Das alte Geheimnis funktioniert sofort nicht mehr.
- Der Ablauf wird zurückgesetzt und der Nutzungsverlauf gelöscht.
Die Rotation ist der empfohlene Weg, um langlebige Integrationen planmäßig zu erneuern oder auf einen vermuteten Leak zu reagieren, ohne neu konfigurieren zu müssen, welche Integration welchen Token verwendet.
Überwachen und Widerrufen
- Bestand — listen Sie alle Ihre Tokens mit Name, Berechtigungsgruppe sowie Erstellungs- und Ablaufdatum auf.
- Nutzungseinblick — sehen Sie, wann jeder Token zuletzt verwendet wurde, zusammen mit der IP, dem Standort, dem Browser und dem Betriebssystem, die zu diesem Zeitpunkt erfasst wurden. Der Token-Wert selbst wird niemals erneut angezeigt.
- Sofortiger Widerruf — löschen Sie einen Token, um ihn umgehend ungültig zu machen. Das Widerrufen eines Tokens betrifft niemals die anderen.
Häufige Anwendungsfälle
API-Tokens unterstützen eine breite Palette von Integrationsszenarien.
Reporting und Datenexport
- Planen Sie die automatisierte Generierung und den Download von Berichten.
- Speisen Sie Leistungsdaten in Data Warehouses und Analyse-Pipelines ein.
- Versorgen Sie externe Dashboards und Reporting-Tools für die Geschäftsführung.
Zugriff auf Zeitreihen-Metriken
- Fragen Sie historische Metriken mit MiroxQL ab, dem unterstützten Abfrageformat für programmatischen Zugriff und Rohdaten.
- Verbinden Sie schreibgeschützte Analyse-Tools mit der Metrik-Export-API.
- Rufen Sie historische Metriken für Trendanalysen und externe Dashboards ab.
Sicherheit und Kontrolle
- Token-Isolation — ein kompromittierter Token gibt niemals Ihr Passwort oder Ihre anderen Tokens preis.
- Geplante Rotation — rotieren Sie langlebige Tokens regelmäßig über die Rotate-Aktion und behalten Sie dabei dieselbe Konfiguration.
- Zeitlich begrenzte Gültigkeit — legen Sie einen Ablauf fest, damit aufgegebene Tokens automatisch verfallen.
- Vollständige Zuordnung — jede Aktion, die ein Token ausführt, wird Ihnen zugeordnet, sodass die Nutzung nachvollziehbar und prüfbar bleibt.
Verwandte Funktionen
- Berechtigungssystem — wie Berechtigungsgruppen und Zugriffskontrolle funktionieren
- Berichte — automatisierte Berichtsgenerierung, die ein Token steuern kann
- MiroxQL — historische Metriken mit einem Timeseries-Database-Token abfragen
- Anleitung zu API-Tokens — Schritt-für-Schritt-Token-Erstellung und Beispiele