API-Tokens verwalten Ab Team-Plan
API-Tokens sind die Zugangsschlüssel deiner Organisation zur LIVCK Cloud API. Jede Anfrage braucht einen gültigen Token, damit LIVCK weiß, für welche Organisation die Anfrage gilt und welche Berechtigungen erlaubt sind.
Organisations-Tokens, keine persönlichen Tokens
API-Tokens in LIVCK sind Dienstkonten der Organisation (Service-Accounts) -- sie gehören nicht einer einzelnen Person, sondern der gesamten Organisation:
- Geteilt im Team -- jedes Mitglied mit dem Recht, API-Tokens zu verwalten, sieht und verwaltet sie unter Einstellungen → Organisation → API-Tokens.
- Überdauern Mitgliederwechsel -- ein Token funktioniert weiter, auch wenn die Person, die ihn erstellt hat, die Organisation verlässt. Du musst Integrationen also nicht neu aufsetzen, wenn ein Kollege geht.
- Gebunden an die Organisation -- ein Token greift immer auf die Daten der Organisation zu, in der er angelegt wurde.
Warum das so ist
So bleibt eine CI/CD-Pipeline oder ein internes Dashboard stabil, unabhängig davon, wer im Team kommt oder geht. Es gibt keine "verwaisten" Integrationen mehr, die mit einem Account-Abgang plötzlich nicht mehr funktionieren.
Was ist ein API-Token?
Eine lange, zufällig generierte Zeichenkette mit dem Präfix lvk_, die du anstelle von Benutzername und Passwort verwendest:
lvk_a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6
Diesen Token sendest du bei jeder Anfrage im Header mit:
Authorization: Bearer lvk_a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6
Token erstellen
- Einstellungen → Organisation → API-Tokens
- Auf "Token erstellen" klicken
- Aussagekräftigen Namen vergeben (z.B. "CI/CD Pipeline"), Berechtigungen wählen, optional ein Ablaufdatum setzen und "Erstellen" klicken
Wichtig: Token nur einmal sichtbar
Nach dem Erstellen wird der Token genau einmal vollständig angezeigt. Kopiere ihn sofort an einen sicheren Ort -- danach wird nur noch ein Präfix gespeichert, der vollständige Token ist nicht mehr einsehbar.
Berechtigungen festlegen
Beim Erstellen wählst du, worauf der Token zugreifen darf. Vergib nur die tatsächlich benötigten Berechtigungen.
| Berechtigung | Erlaubt |
|---|---|
| Services lesen | Services, deren Status und Metriken abfragen |
| Services verwalten | Services erstellen, bearbeiten, pausieren und löschen |
| Incidents lesen | Incidents und deren Verlauf abfragen |
| Incidents verwalten | Incidents erstellen, aktualisieren, Verlaufseinträge posten und auflösen |
| Statuspages lesen | Statuspage-Informationen abfragen |
| Wartungen verwalten | Wartungsfenster erstellen, bearbeiten und deren Lebenszyklus steuern |
Token erbt deine Rechte
Ein Token kann beim Erstellen höchstens die Berechtigungen erhalten, die du selbst hast. Erstellt also ein Mitglied mit eingeschränkten Rechten einen Token, lässt sich dieser nicht mit weitergehenden Rechten ausstatten. Der Eigentümer der Organisation kann jede Berechtigung vergeben.
Prinzip der minimalen Rechte
Braucht ein Token nur Lesezugriff (z.B. für ein Dashboard), gib ihm nur Lese-Berechtigungen. So begrenzt du den Schaden, falls er in falsche Hände gerät.
Token sicher aufbewahren
Behandle API-Tokens wie Passwörter:
- Niemals im Klartext in Code oder öffentlich zugänglichen Konfigurationsdateien speichern
- Umgebungsvariablen oder einen Passwort-Manager nutzen
- Nicht per E-Mail oder Chat teilen -- nur über sichere Kanäle
- Separate Tokens pro Anwendung erstellen
Achtung
Vermutest du, dass ein Token kompromittiert wurde, widerrufe ihn sofort (siehe unten) und erstelle einen neuen.
Mehrere Tokens verwenden
Deine Organisation kann beliebig viele Tokens erstellen:
- Ein Token pro Integration -- widerrufst du einen, sind die anderen nicht betroffen
- Unterschiedliche Berechtigungen -- Dashboard nur lesen, Deployment auch schreiben
- Bessere Nachvollziehbarkeit -- am Namen erkennt das Team, welcher Token wofür genutzt wird
Token widerrufen
Token nicht mehr benötigt oder kompromittiert?
- Gehe zu Einstellungen → Organisation → API-Tokens
- Token in der Liste finden, "Widerrufen" klicken und bestätigen
Der Token wird sofort ungültig -- alle Anfragen damit werden mit Fehlercode 401 abgelehnt. Da Tokens der Organisation gehören, kann jedes berechtigte Mitglied sie widerrufen.
Kein Widerrufen rückgängig machen
Das Widerrufen eines Tokens ist endgültig. Du musst einen neuen Token erstellen, wenn du wieder API-Zugang benötigst.
Häufige Probleme
| Problem | Lösung |
|---|---|
| Token vergessen zu kopieren | Erstelle einen neuen Token -- der alte kann nicht erneut angezeigt werden |
API antwortet mit 401 | Prüfe, ob der Token korrekt im Header steht und nicht widerrufen wurde |
| Token funktioniert nicht | Stelle sicher, dass dein Plan API-Zugang beinhaltet (ab Team) |
Weiterführende Themen
- API-Übersicht -- Was ist die LIVCK API und wie funktioniert sie?
- API-Endpunkte -- Alle verfügbaren Endpunkte im Überblick
- Fehlerbehebung -- Lösungen für häufige Probleme