Benutzer mit API-Key nicht löschen
Zum Anbinden von externen Programmen an Mailchimp wird ein API-Key benötigt. Dieser ermöglicht über das Application Programmer Interface (API) auf die Listen im Mailchimp-Account zuzugreifen. Jeder Benutzer mit Administratorrechten kann einen API-Key erstellen, jedoch ist dieser Schlüssel an den jeweiligen Benutzer gebunden. Wird der Benutzer gelöscht ist auch der API-Key nicht mehr verfügbar und externe Anbindungen funktionieren nicht mehr.
Account-Hygiene ist ein wichtiges Thema bei cloudbasierten Software-as-a-Service Produkten. Die Zahl der Benutzer mit Administratorrechten sollte nicht zu groß sein, inaktive User sollten regelmäßig gelöscht werden.
Vorsicht ist jedoch geboten, wenn solche vermeintlichen Karteileichen weitergehende Berechtigungen für externe Programme erteilt haben. So sind die in Mailchimp zur Anbindung externer Programme unerlässlichen API-Keys an den Benutzer gekoppelt, der sie eingerichtet hat. Löscht man diesen Benutzer, dann ist auch der API-Key gelöscht. Das darüber angeschlossene Programm funktioniert ab sofort nicht mehr.
Ob Sie überhaupt davon erfahren, hängt davon ob, wie gut die Fehlerbehandlungsroutine des Programms ist. Im schlimmsten Fall bleibt die Unterbrechung der Verbindung über längere Zeiträume unentdeckt, bis sich jemand wundert, warum zum Beispiel keine Bewertungsmails mehr versendet werden oder die Zahl der Neuanmeldungen besorgniserregend gering ist.
In der Praxis hat es sich bewährt, einen speziellen Benutzer anzulegen, über den sämtliche API-Keys generiert werden. Dieser Benutzer sollte einen “sprechenden” Namen haben, damit er nicht versehentlich gelöscht wird. Es versteht sich von selbst, dass er nicht für die laufenden Arbeiten im Account genutzt wird und dass das Passwort an sicherer Stelle verwahrt wird.
Beachten Sie bitte auch, dass Apps wie Mailchimp Subscribe ebenfalls an einen Benutzer gekoppelt sind. Zwar kann ein iPad mit fertig eingerichtetes Mailchimp Subscribe von beliebigen Personen zum Beispiel auf Messen oder in Verkaufsräumen genutzt werden. Wird der Mailchimp-Benutzer, der die App ursprünglich eingerichtet hat, jedoch gelöscht, dann funktioniert auch Mailchimp Subscribe nicht mehr.
Leider gibt es bei Mailchimp beim Löschen eines Benutzers keine Warnung, dass noch API-Keys oder App-Verbindungen eingerichtet sind. Daher müssen Sie selbst sorgfältig auf diesen Umstand achten.
Checkliste API-Key
- Vor dem Löschen eines Benutzers prüfen, ob API-Keys oder App-Autorisierungen vorliegen
- Im Zweifelsfall das Passwort des Benutzers ändern – ihn aber nicht löschen
- API-Keys am besten über einen speziell dafür eingerichteten Benutzeraccount erstellen