Benut­zer mit API-Key nicht löschen

,

Zum Anbin­den von exter­nen Pro­gram­men an Mailchimp wird ein API-Key benö­tigt. Die­ser ermög­licht über das Appli­ca­tion Pro­grammer Inter­face (API) auf die Lis­ten im Mailchimp-Account zuzu­grei­fen. Jeder Benut­zer mit Admi­nis­tra­tor­rech­ten kann einen API-Key erstel­len, jedoch ist die­ser Schlüs­sel an den jewei­li­gen Benut­zer gebun­den. Wird der Benut­zer gelöscht ist auch der API-Key nicht mehr ver­füg­bar und externe Anbin­dun­gen funk­tio­nie­ren nicht mehr.

Account-Hygiene ist ein wich­ti­ges Thema bei cloud­ba­sier­ten Soft­ware-as-a-Ser­vice Pro­duk­ten. Die Zahl der Benut­zer mit Admi­nis­tra­tor­rech­ten sollte nicht zu groß sein, inak­tive User soll­ten regel­mä­ßig gelöscht wer­den.

Vor­sicht ist jedoch gebo­ten, wenn sol­che ver­meint­li­chen Kar­tei­lei­chen wei­ter­ge­hende Berech­ti­gun­gen für externe Pro­gramme erteilt haben. So sind die in Mailchimp zur Anbin­dung exter­ner Pro­gramme uner­läss­li­chen API-Keys an den Benut­zer gekop­pelt, der sie ein­ge­rich­tet hat. Löscht man die­sen Benut­zer, dann ist auch der API-Key gelöscht. Das dar­über ange­schlos­sene Pro­gramm funk­tio­niert ab sofort nicht mehr.

Ob Sie über­haupt davon erfah­ren, hängt davon ob, wie gut die Feh­ler­be­hand­lungs­rou­tine des Pro­gramms ist. Im schlimms­ten Fall bleibt die Unter­bre­chung der Ver­bin­dung über län­gere Zeit­räume unent­deckt, bis sich jemand wun­dert, warum zum Bei­spiel keine Bewer­tungs­mails mehr ver­sen­det wer­den oder die Zahl der Neu­an­mel­dun­gen besorg­nis­er­re­gend gering ist.

Mailchimp API-Key Best Practice

In der Pra­xis hat es sich bewährt, einen spe­zi­el­len Benut­zer anzu­le­gen, über den sämt­li­che API-Keys gene­riert wer­den. Die­ser Benut­zer sollte einen “spre­chen­den” Namen haben, damit er nicht ver­se­hent­lich gelöscht wird. Es ver­steht sich von selbst, dass er nicht für die lau­fen­den Arbei­ten im Account genutzt wird und dass das Pass­wort an siche­rer Stelle ver­wahrt wird.

Beach­ten Sie bitte auch, dass Apps wie Mailchimp Sub­scribe eben­falls an einen Benut­zer gekop­pelt sind. Zwar kann ein iPad mit fer­tig ein­ge­rich­te­tes Mailchimp Sub­scribe von belie­bi­gen Per­so­nen zum Bei­spiel auf Mes­sen oder in Ver­kaufs­räu­men genutzt wer­den. Wird der Mailchimp-Benut­zer, der die App ursprüng­lich ein­ge­rich­tet hat, jedoch gelöscht, dann funk­tio­niert auch Mailchimp Sub­scribe nicht mehr.

Lei­der gibt es bei Mailchimp beim Löschen eines Benut­zers keine War­nung, dass noch API-Keys oder App-Ver­bin­dun­gen ein­ge­rich­tet sind. Daher müs­sen Sie selbst sorg­fäl­tig auf die­sen Umstand ach­ten.

Check­liste API-Key

  • Vor dem Löschen eines Benut­zers prü­fen, ob API-Keys oder App-Auto­ri­sie­run­gen vor­lie­gen
  • Im Zwei­fels­fall das Pass­wort des Benut­zers ändern – ihn aber nicht löschen
  • API-Keys am bes­ten über einen spe­zi­ell dafür ein­ge­rich­te­ten Benut­zer­ac­count erstel­len