Crea y administra tus credenciales de integración (OAuth clients y API keys), y obtén tokens de acceso para conectar tus sistemas con la suite Adamo.
Emitir token de acceso
Emite un JWT de tipo service para un sistema externo (ERP, script, webhook, etc.) usando las credenciales de integración creadas en /integrations/credentials.
No requiere JWT de usuario. Usa client_id + client_secret (OAuth client) o api_key (API key).
Grant types
grant_type | Credencial | Campos requeridos |
|---|---|---|
client_credentials | OAuth client | client_id + client_secret |
api_key | API key | api_key (formato {id}:{secret}) |
Token emitido (JWT typ: service)
| Claim | Descripción |
|---|---|
sub | service|{clientId} |
typ | "service" |
org_id | UUID de la organización |
permissions | Permisos RBAC efectivos (usados por los microservicios) |
scp | Scopes OAuth (informativos, reservados) |
credential_id | ID interno de la credencial |
exp | Expiración (configurable, default 3600 s) |
Usa este token en Authorization: Bearer <access_token> al llamar a Adamo Sign, ID, Check, etc.
Emitir token de acceso › Request Body
grant_typeclient_idRequerido cuando grant_type es client_credentials
client_secretRequerido cuando grant_type es client_credentials
api_keyRequerido cuando grant_type es api_key. Formato: {apiKeyId}:{apiKeySecret}
scopeScope OAuth opcional (reservado para uso futuro, no se aplica)
audienceEmitir token de acceso › Responses
Token de servicio emitido exitosamente
access_tokenJWT Bearer de tipo service
token_typeexpires_inSegundos hasta la expiración
scopeScopes OAuth separados por espacio (informativos)
permissionsPermisos RBAC otorgados (estos sí se aplican en los microservicios)
Crear credencial
Crea una nueva credencial de integración M2M (OAuth client o API key) para la organización.
Permiso requerido: al menos uno de adamo_*:api_keys:manage, system:admin o *:*:*.
Tipos de credencial
| Tipo | ID público | Auth en /oauth2/token |
|---|---|---|
oauth_client | clientId (cli_*) | client_credentials grant |
api_key | apiKeyId (ak_{live|test|dev}_*) | api_key grant |
Secretos — ⚠️ Solo se muestran al crear
El clientSecret o apiKeySecret solo aparecen en la respuesta de creación.
Guárdalos de inmediato en un gestor de secretos. No se pueden recuperar después.
Reglas de permisos
- Mínimo 1
permissionrequerido. - Solo puedes asignar permisos que tú ya tengas en tu rol.
- No se puede asignar
*:api_keys:managea credenciales M2M. - Los permisos de un producto deben estar en
allowedProductsde la organización.
Límites del plan
402 api_not_in_plan: el plan no incluye integraciones API.402 credential_limit_reached: límite de credenciales del plan alcanzado.
Crear credencial › Request Body
namecredentialTypepermissionsPermisos RBAC granulares a otorgar. Deben ser un subconjunto de los permisos del admin.
descriptionenvironmentscopesScopes OAuth (opcional; solo informativos)
allowedAudiencesaccessTokenLifetimeDuración del token en segundos (por defecto 3600)
expiresAtCrear credencial › Responses
Credencial creada exitosamente. El secreto solo se muestra en esta respuesta.
successObtener credencial
Devuelve el detalle de una credencial de integración específica.
Permiso requerido: al menos uno de adamo_*:api_keys:manage, system:admin o *:*:*.
El secreto (clientSecret / apiKeySecret) nunca se devuelve en este endpoint.
path Parameters
credentialIdID interno de la credencial
Obtener credencial › Responses
Detalle de la credencial
successRevocar credencial
Revoca permanentemente una credencial de integración. Esta acción no se puede deshacer.
Los tokens de servicio ya emitidos con esta credencial seguirán siendo válidos hasta su expiración natural (exp).
Para forzar la invalidación inmediata, rota el secreto antes de revocar (los tokens anteriores dejarán de funcionar al verificar).
Permiso requerido: al menos uno de adamo_*:api_keys:manage, system:admin o *:*:*.
path Parameters
credentialIdRevocar credencial › Responses
Credencial revocada exitosamente
successActualizar credencial
Actualiza los metadatos, permisos o límites de una credencial existente.
Permiso requerido: al menos uno de adamo_*:api_keys:manage, system:admin o *:*:*.
Comportamiento de permissions
El campo permissions reemplaza la lista completa (no hace merge). Debe incluir mínimo 1 permiso.
Los tokens ya emitidos conservan los permisos anteriores hasta que expiren.
Enviar null
Puedes enviar null en rateLimit, restrictions o expiresAt para eliminar esa configuración.
path Parameters
credentialIdActualizar credencial › Request Body
namedescriptionpermissionsReemplaza la lista completa de permisos. Mínimo 1 elemento.
scopesScopes OAuth (opcional; solo informativos)
allowedAudiencesaccessTokenLifetimeexpiresAtisActiveActualizar credencial › Responses
Credencial actualizada
successConsultar uso de credencial
Rotar secreto de credencial
Genera un nuevo clientSecret para un OAuth client y revoca el secreto anterior.
Solo disponible para credentialType: oauth_client. Las API keys no tienen rotación de secreto;
para renovar una API key debes crear una nueva credencial y revocar la anterior.
Permiso requerido: al menos uno de adamo_*:api_keys:manage, system:admin o *:*:*.
⚠️ El secreto anterior queda inválido inmediatamente
Los tokens de servicio ya emitidos con el secreto anterior siguen siendo válidos hasta su expiración natural. Para revocar también los tokens en curso, revoca la credencial completa en su lugar.
El nuevo clientSecret solo se muestra en esta respuesta. Guárdalo de inmediato.
path Parameters
credentialIdRotar secreto de credencial › Responses
Secreto rotado exitosamente
successConsultar permisos delegables
Devuelve los permisos RBAC que el usuario admin puede asignar a credenciales de integración. Solo se incluyen permisos del rol del admin que pertenezcan a productos contratados por la organización.
Permiso requerido: al menos uno de adamo_*:api_keys:manage, system:admin o *:*:*.
Los scopes OAuth no se validan actualmente; usa la lista de permissions para configurar tus credenciales.
Consultar permisos delegables › Responses
Lista de permisos delegables
successConsultar catálogo de scopes
Devuelve el catálogo completo de scopes OAuth y permisos RBAC delegables para la organización.
Nota: Los scopes OAuth están reservados para compatibilidad futura con OAuth y actualmente no se aplican en la autorización.
Lo que realmente controla el acceso son los permissions (RBAC granular).
Permiso requerido: al menos uno de adamo_*:api_keys:manage, system:admin o *:*:*.
Consultar catálogo de scopes › Responses
Catálogo de scopes y permisos
success