Zum Hauptinhalt springen
Hilfecenter

API-Zugangsberechtigung für Terminals & Dienste

Eine neutrale Zugangsberechtigung einrichten, mit der Geräte wie ein Zeiterfassungsterminal auf die API zugreifen – ohne im Namen eines bestimmten Nutzers zu handeln.

Voraussetzungen

  • Administrationsrechte für die Konfiguration
  • Aktives Modul „Anwesenheitszeiten“ (für Check-In/Out-Vorgänge)

Soll ein Gerät oder ein Dienst die API nutzen, ohne dass sich eine konkrete Person mit ihrem persönlichen Zugang anmeldet, richtest du eine API-Zugangsberechtigung ein. Sie dient als neutrale Autorisierung der Zugriffe: Die Vorgänge geschehen nicht im Namen eines bestimmten Nutzers, der dafür sein Passwort hergeben müsste, sondern über einen eigens dafür angelegten Zugang mit fein eingestellten Rechten.

Was die Zugangsberechtigung technisch ist

In der API-Terminologie ist die API-Zugangsberechtigung die Interface-Authentifizierung. Der entscheidende Unterschied zum persönlichen Gerätepasswort:

  • Die Anmeldung erfolgt per Basic Auth mit Interface-ID und Interface-Passwort (statt Geräte-ID und Token).
  • Das Passwort wird in der teamspace-Konfiguration vergeben.
  • Es gibt keine Nutzerrechte – die Berechtigungen ergeben sich allein aus den Einstellungen dieser Zugangsberechtigung.
  • Eine Beschränkung auf bestimmte IP-Adressen ist möglich.

Damit eignet sich dieser Zugang für unbeaufsichtigte Geräte und Dienste, die nicht im Namen einer Person handeln.

Typischer Anwendungsfall: Zeiterfassungsterminal

Ein klassisches Beispiel ist ein Terminal zur Zeiterfassung (teamspace liefert ein solches Terminal gleich mit). Ein Terminal checkt Mitarbeiter ein und aus und zeigt Informationen zur Zeiterfassung an – ständig und für viele Personen. Genau dafür braucht es eine API-Zugangsberechtigung, die die Zugriffsrechte passend steuert.

Rechte vergeben

Im Dialog zur Rechtevergabe legst du fest, was über diesen Zugang möglich ist. Die Optionen drehen sich derzeit vor allem um die Zeiterfassung; mit neuen teamspace-Versionen kommen weitere Zugriffsmöglichkeiten hinzu.

  • Modul „Anwesenheitszeiten” – wird benötigt, damit über diese Zugangsberechtigung Check-In/Out-Vorgänge erstellt werden können.
  • Feld „Mitarbeiter” – regelt, welche Mitarbeiter über diesen Zugang ausgelesen und eingecheckt werden können.
  • Option „CheckIn/Out” – erlaubt das Ein- und Auschecken; dazu gehört eine Standardkategorie für Terminals, die die Kategorie nicht selbst mitsenden können.
  • Option „Detailliert” – erlaubt Zugriff auf Abwesenheitsdetails wie Krankheit oder Urlaub. Für ein reines Terminal lässt du sie in der Regel aus (weniger Rechte = sicherer).
  • Option „CheckIn/Out ohne RFID” – erlaubt dem Terminal, Mitarbeiter ein- und auszuchecken, ohne die RFID zu kennen. Das ist die richtige Option für ein rein touch-basiertes Terminal ohne RFID-Tokens.
Dialog „API-Zugangsberechtigung
Dialog „API-Zugangsberechtigung" – Rechtevergabe mit den Optionen zur Zeiterfassung

Zugangsdaten erhalten und nutzen

Nach dem Speichern erhältst du die Zugangsdaten der API-Zugangsberechtigung. Mit ihnen verbindet sich das Gerät – etwa das teamspace-Zeiterfassungsterminal – mit teamspace.

Zugangsdaten der API-Zugangsberechtigung nach dem Speichern
Zugangsdaten der API-Zugangsberechtigung nach dem Speichern

Hinweise

Sparsam mit Rechten: Vergib immer nur genau so viele Berechtigungen, wie der konkrete Anwendungsfall benötigt. Ein Terminal, das nur ein- und auschecken soll, braucht keinen Zugriff auf Abwesenheitsdetails.

  • Ein IP-Adressenschutz ist bei stationären Anwendungen wie einem Zeiterfassungsterminal sinnvoll – so funktioniert der Zugang nur aus dem erlaubten Netz.
  • Geht es nicht um ein Gerät, sondern um den persönlichen Zugriff einer Person per Skript, ist statt der Zugangsberechtigung ein Gerätepasswort der passende Weg.
  • Grundsätze zur Absicherung fasst API-Sicherheit & Berechtigungen zusammen.

Verwandte Themen