Kundenhilfe

API nutzen

So authentifizieren sich genehmigte technische Clients.

Zielgruppe

Für genehmigte Integratoren und technische Betreiber.

Die Integrations-API ist für zugelassene externe Kunden konzipiert, die maschinellen Zugriff auf MZ Bank-Kontodaten und -Workflows benötigen.
Der öffentliche Basispfad ist /api/v1/integrations/*.
Der API-Zugriff erfolgt getrennt von der Discord-Anmeldung und der normalen Kundenportalsitzung.

API-Schlüssel sind an ein aktives, verifiziertes MZ Bank-Kundenprofil gebunden.
Ein MZ Bank-Administrator erstellt den Schlüssel und wählt die zulässigen Bereiche aus.
Webhook-Abonnements werden ebenfalls von einem Administrator erstellt und verwenden ein separates Signaturgeheimnis.

Senden Sie den API-Schlüssel als Bearer-Token im Header Authorization.
Jeder Schlüssel ist bereichsbegrenzt. Beispielsweise deckt accounts:read Kontoansichten ab, während transfers:write die Erstellung von Überweisungen ermöglicht.
Schlüssel können rotiert oder widerrufen werden, ohne den normalen Website- oder Bot-Zugriff des Kunden zu ändern.

Kunden können sichtbare Konten, Salden, Transaktionshistorie, Kontoauszüge, Begünstigte, Benachrichtigungspräferenzen, Anträge und Geschäftsfamilienansichten lesen, wenn die richtigen Bereiche vorhanden sind.
Kontoantworten berücksichtigen Unterkonten und enthalten gegebenenfalls Stammfamilienkennungen.
Zu den Antworten von Unternehmensfamilien gehören untergeordnete Unterkonten, wirtschaftliche Eigentümer, aktive Zugriffsgewährungen und Anruferfunktionen.

Die API unterstützt vom Kunden bedienbare Anfragen wie Überweisungen, Unterkontoerstellung, Kontoanträge, Begünstigtenverwaltung, Aktualisierungen der Benachrichtigungseinstellungen, Auszahlungsanfragen und Einzahlungsanfragen.
Geldtransportrouten müssen weiterhin denselben Autorisierungs-, Ratenlimit- und Ledger-Regeln genügen, die vom Bot und Portal durchgesetzt werden.
Schreibanforderungen sollten Idempotenzschlüssel überall dort verwenden, wo die Route sie erfordert, damit sichere Wiederholungsversuche keine doppelte Aktivität erzeugen.

Für Business-Family-Routen gelten dieselben Eigentums- und Delegiertenzugriffsregeln wie für das Portal.
Unterkontobezogene Antworten umfassen sowohl die Blattkonto-ID als auch die Stammkonto-ID der Unternehmensfamilie.
Delegierte Operatoren können nur die Konten und Aktionen verwenden, die durch ihre aktuelle Rolle und Obergrenzen zulässig sind.

Webhook-Abonnements können Einzahlungs-, Auszahlungs- und Übertragungslebenszyklusereignisse empfangen.
Übertragungs-Webhooks werden für die ausgehende und eingehende Kontoseite separat ausgegeben, sodass Unterkonto- und familienbewusste Verbraucher jede Seite korrekt verarbeiten können.
Jeder Webhook ist mit x-mzb-signature-256 signiert und Verbraucher sollten die Signatur anhand des genauen Rohtexts überprüfen.

Kontoauszugslisten- und Kontoauszugsexportrouten stellen denselben veröffentlichten Kontoauszugsverlauf bereit, auf den der Kunde über das Kontoauszugscenter zugreifen kann.
Benachrichtigungsrouten zeigen sowohl gespeicherte Präferenzen als auch aktuelle Zustellungsergebnisse an.
Die API-Aktivität sollte mit dem Portalstatus, den Anweisungen und den Webhook-Ereignissen für denselben Kunden oder dieselbe Unternehmensfamilie übereinstimmen.

Bitten Sie einen MZ Bank-Administrator, einen bereichsbezogenen Testschlüssel mit nur den Lese- und Schreibfunktionen auszugeben, die Ihr Client tatsächlich benötigt.
Validieren Sie die Webhook-Verarbeitung anhand eines verfügbaren Erfassungsendpunkts, bevor Sie Ereignisse an eine Produktions-Callback-URL senden.
Wenn Sie eine ausführliche Bedienerreferenz für Endpunkte, Bereiche und Fehlerbehebung benötigen, fragen Sie einen Administrator nach der Dokumentation zu internen Integrationen.