Zum Inhalt springen

Wie richte ich einen Webhook ein?

Ab Tarif Elite

Öffne Verwaltung → Webhooks, klicke „Webhook erstellen” und gib Name, Ziel-URL und die abonnierten Ereignisse (kommagetrennt, z. B. asset.created) an. Nach dem Speichern zeigt Notory das Signatur-Secret genau einmal. Sichere es sofort. Mit „Test senden” schickst du ein signiertes ping-Ereignis und siehst direkt, ob dein Endpunkt antwortet.

Dein Empfänger muss einen HTTP-POST mit JSON entgegennehmen, innerhalb von 10 Sekunden mit einem 2xx-Status antworten und sollte die Signatur prüfen.

  1. Webhooks öffnen. Verwaltung → Webhooks („Signierte HTTP-Callbacks an externe Systeme bei Ereignissen senden. Das Secret wird nur einmal angezeigt.”).

    Die Webhook-Verwaltung des Mandanten (ab Tarif Elite).
  2. Webhook erstellen. Klicke „Webhook erstellen” und fülle aus:

    • Name: z. B. „Ticket-System”.
    • URL: der HTTPS-Endpunkt deines Systems.
    • Ereignisse (kommagetrennt): z. B. asset.created (die verfügbaren Ereignisse: Welche Events gibt es?).
  3. Secret sichern. Nach dem Speichern erscheint: „Signatur-Secret, jetzt kopieren, es wird nicht erneut angezeigt:”. Hinterlege es im Secret-Store deines Empfängers: Du brauchst es für die Signaturprüfung.

    Das Signatur-Secret erscheint genau einmal, direkt nach dem Erstellen.
  4. Testen. Klicke „Test senden”: Notory schickt ein signiertes ping-Ereignis an deine URL und zeigt das Ergebnis (Status-Code bzw. Fehler) direkt an.

    'Test senden' verschickt ein signiertes ping-Ereignis und protokolliert das Ergebnis.
  • Secret serverseitig erzeugt. Das Signatur-Secret (32 zufällige URL-sichere Bytes) erstellt Notory selbst. Du kannst keines vorgeben. Es wird für die HMAC-SHA256-Signatur jeder Zustellung verwendet und nach der Erstellungs-Antwort nie wieder ausgegeben. Secret verloren? Webhook löschen und neu anlegen (Rotation).
  • Mandantengebunden und sofort aktiv. Der Webhook gehört deinem Mandanten und wird mit active: true angelegt. Er empfängt nur Ereignisse seines Mandanten, und zwar nur die, die in seiner Ereignisliste stehen.
  • Kein Bearbeiten-Endpunkt. URL oder Ereignisliste ändern = Webhook löschen und neu anlegen (dabei entsteht ein neues Secret; Empfänger anpassen!).
  • Zustellung im Hintergrund. Ereignisse werden nach der eigentlichen Aktion best-effort zugestellt (die auslösende API-Antwort wartet nicht auf deinen Server). Jede Zustellung wird mit Status-Code bzw. Fehler im Zustellprotokoll festgehalten.
  • ping zum Verifizieren. Die Testzustellung ist ein reguläres, signiertes Ereignis (X-Webhook-Event: ping) mit {"message": "test delivery"}, ideal, um die Signaturprüfung zu entwickeln.