Zum Hauptinhalt springen

Übersicht

API-Schlüssel ermöglichen programmatischen Zugriff auf die itellicoAI-Plattform und erlauben es dir, Agenten in deine Anwendungen zu integrieren, Aufgaben zu automatisieren und benutzerdefinierte Workflows zu erstellen.

Was sind API-Schlüssel?

API-Schlüssel sind sichere Tokens, die deine API-Anfragen authentifizieren, ohne dass Benutzer-Anmeldedaten erforderlich sind. Hauptmerkmale:
  • Account-gebunden: Jeder Schlüssel gehört zu einem bestimmten Konto
  • Geheim: Behandle ihn wie ein Passwort - niemals teilen oder in Versionskontrolle einchecken
  • Widerrufbar: Kann jederzeit deaktiviert oder gelöscht werden
  • Nachverfolgbar: Überwache den Zeitstempel der letzten Verwendung und Aktivität

API-Schlüssel erstellen

Wie erstellt man einen Schlüssel

1

Zu API-Schlüssel navigieren

Gehe zu Einstellungen → API-Schlüssel in deinem Konto
2

API-Schlüssel erstellen klicken

Klicke auf die Schaltfläche API-Schlüssel erstellen
API-Schlüssel erstellen Dialog mit Schlüsselnamen und Ablaufdatum
API-Schlüssel erstellen Dialog mit Schlüsselnamen und Ablaufdatum
3

Bezeichnung eingeben

Gib deinem Schlüssel einen aussagekräftigen Namen:
  • “Produktionsserver”
  • “Entwicklungsumgebung”
  • “CI/CD-Pipeline”
  • “Mobile App - iOS”
4

Ablaufdatum festlegen (Optional)

Optional kannst du ein Ablaufdatum für automatische Schlüsselrotation festlegen
5

Schlüssel kopieren

⚠️ WICHTIG: Der vollständige Schlüssel wird nur einmal angezeigt!Kopiere ihn sofort und speichere ihn sicher.
6

Sicher speichern

Speichere den Schlüssel in:
  • Umgebungsvariablen
  • Secrets Manager (AWS Secrets Manager, HashiCorp Vault, etc.)
  • Passwort-Manager
Niemals in Git einchecken oder öffentlich teilen!
Der vollständige API-Schlüssel wird nur einmal bei der Erstellung angezeigt. Wenn du ihn verlierst, musst du einen neuen Schlüssel erstellen.

API-Schlüssel verwenden

Authentifizierungs-Header

Füge deinen API-Schlüssel in den Authorization-Header ein: 
curl https://api.itellico.ai/v1/agents \
  -H "Authorization: Bearer sk-a1b2c3d4.xyz789..." \
  -H "Content-Type: application/json"

Account-Kontext

API-Schlüssel sind auf ihr Konto beschränkt. Wenn du einen Schlüssel in einem Elternkonto erstellst, kann er auf das Elternkonto und alle Unterkonten zugreifen. Um auf ein bestimmtes Konto zuzugreifen, füge die Account-ID in den URL-Pfad ein: 
# Auf Elternkonto zugreifen
curl https://api.itellico.ai/v1/accounts/me/agents \
  -H "Authorization: Bearer sk-a1b2c3d4.xyz789..." \
  -H "Content-Type: application/json"

# Auf bestimmtes Unterkonto zugreifen
curl https://api.itellico.ai/v1/accounts/{account-id}/agents \
  -H "Authorization: Bearer sk-a1b2c3d4.xyz789..." \
  -H "Content-Type: application/json"

SDKs

Verwendung unserer offiziellen SDKs: 
from itellico import ItellicoAI

client = ItellicoAI(api_key="sk-a1b2c3d4.xyz789...")

# Agenten auflisten
agents = client.agents.list()
Speichere API-Schlüssel in Umgebungsvariablen und codiere sie niemals fest in deinen Quellcode.

API-Schlüssel verwalten

Schlüssel anzeigen

Die API-Schlüssel-Seite zeigt:
  • Bezeichnung: Dein beschreibender Name
  • Teilschlüssel: Erste Zeichen (z.B. sk-a1b2c3d4...)
  • Status: Aktiv, Widerrufen oder Abgelaufen
  • Erstellt: Wann der Schlüssel erstellt wurde
  • Zuletzt verwendet: Wann er zuletzt für eine API-Anfrage verwendet wurde
  • Läuft ab: Ablaufdatum (falls festgelegt)
Der vollständige Schlüssel wird nach der Erstellung niemals angezeigt - nur die ersten Zeichen zur Identifikation.

Schlüssel bearbeiten

Du kannst aktualisieren:
  • Bezeichnung: Ändere den beschreibenden Namen
  • Ablaufdatum: Verlängere oder setze ein Ablaufdatum
Du kannst nicht ändern:
  • Den Schlüssel selbst (erstelle stattdessen einen neuen)
  • Das Konto, zu dem er gehört

Schlüssel widerrufen

Um einen Schlüssel vorübergehend zu deaktivieren, ohne ihn zu löschen:
  1. Gehe zu Einstellungen → API-Schlüssel
  2. Finde den Schlüssel in der Liste
  3. Klicke auf Widerrufen
  4. Der Schlüssel wird sofort deaktiviert
Warum widerrufen statt löschen?
  • Behält den Schlüssel in Logs zur Prüfung
  • Kann reaktiviert werden, falls versehentlich widerrufen
  • Bewahrt Erstellungsdatum und Verlauf

Schlüssel reaktivieren

Um einen widerrufenen Schlüssel wiederherzustellen:
  1. Finde den widerrufenen Schlüssel in der Liste
  2. Klicke auf Reaktivieren
  3. Der Schlüssel funktioniert sofort

Schlüssel löschen

Um einen Schlüssel dauerhaft zu entfernen:
  1. Gehe zu Einstellungen → API-Schlüssel
  2. Finde den Schlüssel in der Liste
  3. Klicke auf das Menü (⋯) → Löschen
  4. Löschen bestätigen
Die Löschung ist dauerhaft und kann nicht rückgängig gemacht werden. Der Schlüssel funktioniert sofort nicht mehr.

Schlüsselstatus

StatusBeschreibungAPI-Zugriff
AktivSchlüssel funktioniert normal✅ Ja
WiderrufenManuell deaktiviert❌ Nein
AbgelaufenNach Ablaufdatum❌ Nein

Best Practices

Erstelle separate Schlüssel für jede Umgebung:
  • Entwicklung: “Dev-Server-Schlüssel”
  • Staging: “Staging-Umgebung”
  • Produktion: “Produktionsserver”
Vorteile:
  • Dev-Schlüssel widerrufen, ohne Produktion zu beeinträchtigen
  • Nutzung nach Umgebung nachverfolgen
  • Unterschiedliche Ablaufrichtlinien pro Umgebung
Codiere API-Schlüssel niemals fest in deinen Quellcode.Gut:
import os
api_key = os.environ['ITELLICO_API_KEY']
Schlecht:
api_key = "sk-a1b2c3d4.xyz789..."  # MACH DAS NICHT!
Umgebungsdateien (.env):
ITELLICO_API_KEY=sk-a1b2c3d4.xyz789...
Zu .gitignore hinzufügen:
.env
.env.local
*.key
Rotiere API-Schlüssel regelmäßig aus Sicherheitsgründen:Empfohlener Zeitplan:
  • Produktion: Alle 90 Tage
  • Staging: Alle 180 Tage
  • Entwicklung: Jährlich oder bei Entwicklerwechsel
Rotationsprozess:
  1. Neuen Schlüssel mit Ablaufdatum erstellen
  2. Anwendungen mit neuem Schlüssel aktualisieren
  3. Gründlich testen
  4. Alten Schlüssel widerrufen
  5. Alten Schlüssel nach 30 Tagen löschen
Verwende Ablaufdaten für:
  • Temporärer Zugriff: Auftragnehmer, Demos, POCs
  • Erzwungene Rotation: Produktionsschlüssel auf 90 Tage Ablauf gesetzt
  • Zeitlich begrenzte Funktionen: Beta-Tests, Testversionen
Beispiel:
  • Schlüssel am 1. Januar erstellen
  • Ablauf auf 1. April setzen (90 Tage)
  • 7 Tage vor Ablauf benachrichtigt werden
  • Schlüssel vor Ablauf rotieren
Überprüfe regelmäßig die Zeitstempel “Zuletzt verwendet”:
  • Nie verwendet: Ungenutzte Schlüssel löschen
  • Alter Zeitstempel: Könnte sicher widerrufen werden
  • Aktuelle Aktivität: Schlüssel ist aktiv
Überprüfe deine API-Schlüssel monatlich, um inaktive zu entfernen.
Verwende klare, beschreibende Schlüsselnamen:Gute Bezeichnungen:
  • “Produktions-API-Server - us-east-1”
  • “Mobile App - iOS - Produktion”
  • “CI/CD - GitHub Actions”
  • “Webhook-Handler - Staging”
Schlechte Bezeichnungen:
  • “API-Schlüssel 1”
  • “Test”
  • “Mein Schlüssel”
  • “Neuer Schlüssel”
Verwende einen Secrets Manager in der Produktion:Optionen:
  • AWS Secrets Manager
  • HashiCorp Vault
  • Azure Key Vault
  • Google Secret Manager
  • 1Password / LastPass (für Teams)
Vorteile:
  • Zentralisierte Secret-Speicherung
  • Automatische Rotation
  • Audit-Logs
  • Zugriffskontrollen

Sicherheitsüberlegungen

Checke niemals API-Schlüssel in Versionskontrolle ein!Wenn du versehentlich einen Schlüssel eincheckst:
  1. Widerrufe den Schlüssel sofort
  2. Erstelle einen neuen Schlüssel
  3. Verwende git filter-branch oder BFG Repo-Cleaner, um ihn aus dem Verlauf zu entfernen
  4. Force Push zum Remote
  5. Benachrichtige Teammitglieder, die neueste Version zu pullen

Wenn ein Schlüssel kompromittiert ist

1

Sofort widerrufen

Gehe zu Einstellungen → API-Schlüssel und widerrufe den kompromittierten Schlüssel
2

Neuen Schlüssel erstellen

Generiere einen Ersatzschlüssel mit neuer Bezeichnung
3

Anwendungen aktualisieren

Deploye den neuen Schlüssel in allen betroffenen Anwendungen
4

Logs überprüfen

Überprüfe Nutzungslogs auf verdächtige Aktivitäten
5

Team benachrichtigen

Informiere dein Team über den Vorfall
6

Untersuchen

Ermittle, wie der Schlüssel kompromittiert wurde und verhindere Wiederholung

Fehlerbehebung

Ursachen:
  • Ungültiger API-Schlüssel
  • Widerrufener oder abgelaufener Schlüssel
  • Fehlender Authorization-Header
  • Falsches Header-Format
Lösungen:
  • Überprüfe, ob der Schlüssel in den Einstellungen aktiv ist
  • Prüfe den Header: Authorization: Bearer sk-...
  • Stelle sicher, dass keine zusätzlichen Leerzeichen oder Zeichen vorhanden sind
  • Erstelle einen neuen Schlüssel, falls verloren
Ursachen:
  • Schlüssel hat keinen Zugriff auf das angeforderte Konto
  • Anforderung eines Unterkontos, auf das der Schlüssel nicht zugreifen kann
  • Konto ist inaktiv
Lösungen:
  • Überprüfe, ob der Schlüssel im Elternkonto oder dem Unterkonto erstellt wurde, auf das du zugreifen möchtest
  • Prüfe, ob die Account-ID in der URL korrekt ist
  • Überprüfe, ob der Kontostatus aktiv ist
Ursachen:
  • Ratenlimits überschritten
  • Zu viele gleichzeitige Anfragen
Lösungen:
  • Implementiere exponentielles Backoff
  • Cache Antworten wenn möglich
  • Upgrade auf höheren Tarif
  • Verteile Anfragen über die Zeit
Mögliche Ursachen:
  • Falscher Schlüssel verwendet (Präfix vs. vollständiger Schlüssel)
  • Zusätzliche Zeichen (Zeilenumbrüche, Leerzeichen)
  • Sofort nach Erstellung widerrufen
Lösungen:
  • Kopiere den vollständigen Schlüssel einschließlich sk--Präfix
  • Entferne Leerzeichen aus dem gespeicherten Schlüssel
  • Überprüfe, ob der Status “Aktiv” ist

FAQs

Keine harte Grenze, aber wir empfehlen:
  • Kleine Teams: 3-5 Schlüssel
  • Mittlere Teams: 10-15 Schlüssel
  • Enterprise: Nach Bedarf pro Umgebung
API-Schlüssel, die in einem Elternkonto erstellt wurden, können auf das Elternkonto und alle seine Unterkonten zugreifen. Schlüssel, die in einem Unterkonto erstellt wurden, können nur auf dieses Unterkonto zugreifen.
API-Anfragen mit diesem Schlüssel schlagen sofort mit 401 Unauthorized fehl. Aktualisiere zuerst deine Anwendungen!
Ja. Der Zeitstempel “Zuletzt verwendet” zeigt, wann er zuletzt aufgerufen wurde. Für detaillierte Logs wende dich an den Support bezüglich API-Zugriffslogs.
Nur wenn du ein Ablaufdatum festlegst. Andernfalls bleiben Schlüssel aktiv, bis sie widerrufen oder gelöscht werden.
Ja! Jedes Unterkonto kann unabhängige API-Schlüssel erstellen, die auf den Kontext dieses Unterkontos beschränkt sind.

Nächste Schritte

API-Referenz

Verfügbare API-Endpunkte erkunden

SDKs

Verwende unsere offiziellen Python- und TypeScript-SDKs

Teamverwaltung

Teammitglieder verwalten