Authentication
Ordinavo Connect APIs are not publicly open. External systems need project- or tenant-specific credentials and can only perform approved actions.
Auth model
The target model uses bearer tokens, typically through OAuth2 client credentials. Depending on the project, an API-key model can be used for MVP integrations.
Authorization: Bearer {access_token}MVP / projektabhängig
API-Key-Zugriffe können in frühen Integrationen verwendet werden. Produktive Integrationen sollten Scopes, Rotation und Mandantenkontext sauber definieren.
Token-Konzept
Client ID
Client Secret
Scopes
Access Token
Ablaufzeit
Mandantenkontext
Scopes
| Scope | Description |
|---|---|
connect:requests:create | Create appointment requests |
connect:requests:read | Read own or approved appointment requests |
connect:requests:cancel | Cancel own or approved requests |
connect:webhooks:read | Read webhook configuration when approved |
connect:webhooks:write | Manage webhook configuration when approved |
Sicherheitsgrenze
Externe Integrationen erhalten keinen allgemeinen Zugriff auf interne Mitarbeiterdaten, vollständige Wochenpläne oder interne Dispositionsdaten. Ordinavo Connect ist auf die Übergabe und Nachverfolgung definierter Anfragen ausgelegt.