Sage HandwerkSage 50 Handwerk DMS – Umgang mit API-Schlüsseln

30. August 2024

Die Sicherheit von Daten und die Nachvollziehbarkeit von Aktionen in unserer Software sind unsere wichtigsten Anliegen. Daher haben wir eine Veränderung im Umgang mit API-Schlüsseln vorgenommen. Seit dem 08.08.2024 können Nutzer in der Cloud API-Schlüssel bestätigen oder ablehnen.

Dieses Verhalten hat in einigen Fällen zu Problemen geführt, da Nutzer API-Schlüssel abgelehnt haben, die für die Funktionsweise der Fachanwendungen zwingend erforderlich waren. Aus diesem Grund haben wir eine Reihe von Maßnahmen getroffen, über die wir euch im Folgenden informieren möchten.

Änderungen ab dem 01.09.2024

• Nur bei neu erstellten API-Schlüsseln wird der Nutzer über ein Pop-up-Fenster aufgefordert, diesen zu bestätigen oder abzulehnen. – Der Ersteller eines neuen API-Schlüssels wird per Mail über die Bestätigung oder das Ablehnen des API-Schlüssels seitens des Nutzers benachrichtigt.
• Bei allen Nutzern, für die ein API-Schlüssel erstellt wurde, erscheint im Benutzerprofil ein neuer Eintrag „API-Schlüssel“. Hier kann der Benutzer die für ihn erstellten API-Schlüssel einsehen und diese bestätigen.
• Bei bereits bestehenden API-Schlüsseln erhält der Nutzer keine aktive Aufforderung in Form eines Pop-up-Fensters. In diesem Fall kann der Nutzer die Bestätigung allein über das Benutzerprofil vornehmen.

Dieser Stand behält bis einschließlich zur Version 2025 seine Gültigkeit. Ab Q2/2025 werden auch alte API-Schlüssel bestätigungspflichtig, sodass der Nutzer einen Aufruf zur Bestätigung erhält.

Grundsätzlich empfehlen wir, API-Schlüssel nur für technische Benutzer zu erstellen, um ggf. nicht nachvollziehbare Aktionen im Namen eines Nutzers zu vermeiden. Technische Nutzer benötigen dabei keine eigene Lizenz und können sich daher nicht interaktiv anmelden.

Zukünftig werden wir die Nutzung von API-Schlüsseln für nicht-technische Nutzer unterbinden. Zum jetzigen Zeitpunkt steht noch kein konkretes Releasedatum für diese Änderung fest. Sobald das der Fall ist, werden wir dies gemäß unserer Product-Lifecylce-Policy min. 12 Monate im Voraus über das ServicePortal ankündigen und Empfehlungen für den Umgang hiermit bieten.

Weitere Informationen zur Bestätigung von API-Schlüsseln findet ihr ebenfalls im ServicePortal (https://serviceportal.d-velop.de/de/news/bestaetigen-von-api-schluesseln).