Authentifizierung
Ordinavo Connect APIs sind nicht öffentlich frei zugänglich. Externe Systeme benötigen projekt- oder mandantenspezifische Zugangsdaten und dürfen nur freigegebene Aktionen ausführen.
Auth-Modell
Das Zielmodell nutzt Bearer Tokens, typischerweise über OAuth2 Client Credentials. Projektabhängig kann im MVP auch ein API-Key-Modell eingesetzt werden.
Authorization: Bearer {access_token}MVP / projektabhängig
API-Key-Zugriffe können in frühen Integrationen verwendet werden. Produktive Integrationen sollten Scopes, Rotation und Mandantenkontext sauber definieren.
Token-Konzept
Client ID
Client Secret
Scopes
Access Token
Ablaufzeit
Mandantenkontext
Scopes
| Scope | Beschreibung |
|---|---|
connect:requests:create | Terminanfragen erstellen |
connect:requests:read | Eigene oder freigegebene Terminanfragen lesen |
connect:requests:cancel | Eigene oder freigegebene Anfragen stornieren |
connect:webhooks:read | Webhook-Konfigurationen lesen, falls freigegeben |
connect:webhooks:write | Webhook-Konfigurationen verwalten, falls freigegeben |
Sicherheitsgrenze
Externe Integrationen erhalten keinen allgemeinen Zugriff auf interne Mitarbeiterdaten, vollständige Wochenpläne oder interne Dispositionsdaten. Ordinavo Connect ist auf die Übergabe und Nachverfolgung definierter Anfragen ausgelegt.