Authentifizierung

Öffentliche Inhalte, also Informationen, die bereits auf der Webseite veröffentlicht sind, können ohne Authentifizierung einfach abgerufen werden. Schreibzugriff ist ohne Authentifizierung nicht möglich.

Um den authentifizierten Zugriff auf die API zu ermöglichen, muss zunächst in cmxOrganize ein API-Zugang für einen Kontakt erstellt werden. Gehen Sie dazu wie folgt vor:
  1. Navigieren Sie zu den Zugängen, indem Sie „Zugänge“ in die globale Suche eingeben.
  2. Erstellen Sie einen neuen Zugang.
  3. Geben Sie dem Zugang einen aussagekräftigen Namen, etwa „API-Zugang für Name der Fremdsoftware
  4. Hinterlegen Sie im Feld Kontakt den Kontakt, für den der Zugang gelten soll.
  5. Schalten Sie die Eigenschaft „API-Zugang“ auf ja bzw. setzen Sie den Haken. Jetzt wird ein API-Token generiert, mit dem Zugriff auf die API möglich ist. Der Token wird nur einmal angezeigt.
  6. Fügen Sie die Applikation/Objekte „Referenzen“ hinzu und öffnen Sie sie. Führen Sie dann für jedes Berechtigungsset, das Sie diesem API-Zugang zuteilen möchten, folgende Schritte aus:
    1. Klicken Sie auf Referenz erstellen.
    2. Wählen Sie bei „2. verknüpftes Objekt“ zuerst Berechtigungsset und dann das korrekte Berechtigungsset.
    3. Gehen Sie zurück.
Der verknüpfte Kontakt wird dann bei Schreibzugriff bei „erstellt von“, „zuletzt bearbeitet von“ sowie im Schreibvorlauf und in den Aktionen angezeigt. Um die Zugriffe durch Fremdsoftware besser nachvollziehen zu können, empfehlen wir daher, einen Kontakt für jede eingesetzte Fremdsoftware mit API-Zugriff zu erstellen.

Der API-Zugang erhält alle Berechtigungen aus den zuvor verknüpften Berechtigungssets. Schränken Sie nach Möglichkeit den Zugriff auf Daten und Funktionen durch API-Zugänge so weit ein wie möglich. Sollte ein API-Token verloren gehen, kann so der mögliche Schaden eingegrenzt werden.

Bei Verdacht auf Missbrauch eines API-Zugriffs, etwa wenn ein API-Token gestohlen wurde/abgeflossen ist, kann der zugehörige Zugang deaktiviert werden. Der Zugriff ist dann sofort nicht mehr möglich.

Der Token muss dann in einem Bearer-Auth-Header bei jeder Anfrage angegeben werden (vgl. RFC 6750):
Authorization: Bearer Ihr_Token_hier

15:11 09. März 2026
15:11 09. März 2026