FAQ - Perguntas Frequentes

Chaves de API

O que é uma Chave de API no ContractFlow?

Uma Chave de API é uma credencial utilizada para autenticar integrações entre sistemas e o ContractFlow.

Por meio dela, aplicações externas podem consumir os recursos disponibilizados pela API de Integração.

As Chaves de API são utilizadas principalmente em integrações com ERPs, sistemas de RH, Base de terceiros, sistemas de IDM, ETLs e processos automatizados.

Para que serve uma Chave de API?

A Chave de API permite que sistemas externos se autentiquem no ContractFlow sem a necessidade de utilizar um usuário interativo.

Ela é utilizada para executar operações automatizadas, como:

  • Consulta de dados;

  • Criação de registros;

  • Atualização de informações;

  • Sincronização entre sistemas;

  • Processos de integração e automação.

Como funciona a autenticação por Chave de API?

Durante uma chamada à API, a aplicação envia a Chave de API juntamente com a requisição.

O ContractFlow valida a chave informada e, caso ela esteja ativa e autorizada, permite a execução da operação solicitada conforme as validações aplicáveis à API de Integração.

Caso a chave seja inválida, esteja inativa ou não possua as permissões necessárias, a requisição será rejeitada.

Uma Chave de API pode ser vinculada a um Usuário específico?

Não. As Chaves de API são credenciais próprias para integrações e não possuem vínculo com Usuários, Pessoas ou Membros específicos da plataforma.

Essa separação permite que integrações continuem operando independentemente da existência ou alteração de usuários individuais.

Uma Chave de API possui permissões?

Atualmente, as Chaves de API possuem acesso aos recursos disponibilizados pela API de Integração conforme as regras gerais da plataforma.

O controle de acesso não é realizado individualmente por chave, sendo aplicado de forma centralizada pela própria API.

⚠️ Atenção: Recomenda-se utilizar chaves distintas para cada integração, facilitando auditoria, rastreabilidade e revogação quando necessário.

Como criar uma Chave de API?

A criação de uma Chave de API requer permissões adequadas.

Para criar uma nova chave:

  1. Acesse Gestão de Acesso > Chaves de API;

  2. Clique em Nova Chave de API;

  3. Informe uma identificação que descreva a finalidade da integração;

  4. Copie e armazene o Segredo da API antes de salvar;

  5. Salve o cadastro.

Após a criação, a chave poderá ser utilizada para autenticação nas APIs de Integração do ContractFlow.

⚠️ Atenção: O Segredo da API é exibido apenas uma única vez e não poderá ser consultado novamente após o fechamento da tela. Recomenda-se armazená-lo em um cofre de segredos ou solução segura de gerenciamento de credenciais.

É possível visualizar uma Chave de API após sua criação?

Não. Por motivos de segurança, o valor completo da Chave de API é exibido apenas no momento de sua criação.

Após esse momento, não será possível consultar novamente o valor original da chave.

⚠️ Atenção: Recomendamos armazená-lo em um cofre de segredos ou em uma ferramenta segura de gestão de credenciais.

O que acontece se eu perder o Segredo da API?

Por motivos de segurança, o Segredo da API não pode ser recuperado após sua criação.

Caso ele seja perdido, recomenda-se criar uma nova Chave de API e inativar ou revogar a anterior.

Quem deve ter acesso ao Segredo da API?

O Segredo da API deve ser compartilhado apenas com as equipes ou sistemas responsáveis pela integração.

O compartilhamento indevido da credencial pode permitir acessos não autorizados aos recursos disponibilizados pela API.

Posso alterar uma Chave de API existente?

Sim, parcialmente.

Após a criação da Chave de API, apenas sua identificação pode ser alterada.

No entanto, o valor da Chave de API não pode ser modificado após sua criação.

Caso seja necessário gerar uma nova credencial, recomenda-se criar uma nova chave e inativar a anterior.

Posso alterar o valor de uma Chave de API?

Não. O valor da Chave de API é gerado automaticamente pela plataforma e não pode ser editado.

Caso seja necessário substituir a credencial, uma nova chave deverá ser criada.

Existe limite de Chaves de API por tenant?

Não existe limite pré-definido para criação de Chaves de API.

Recomenda-se, entretanto, criar apenas as chaves necessárias e manter revisões periódicas das integrações ativas para facilitar a governança e a auditoria dos acessos.

Como identificar qual integração utiliza uma Chave de API?

A identificação é realizada por meio da descrição cadastrada para a chave.

Por esse motivo, recomenda-se utilizar nomenclaturas que indiquem claramente:

  • Sistema integrado;

  • Finalidade da integração;

  • Ambiente utilizado;

  • Equipe responsável.

Exemplo:

  • ERP Corporativo - Produção

  • RH - Sincronização de Prestadores

  • Integração Financeira - Homologação

Posso utilizar a mesma Chave de API em mais de uma integração?

Tecnicamente sim.

No entanto, recomenda-se que cada integração possua sua própria Chave de API.

Essa abordagem facilita:

  • Auditoria;

  • Rastreabilidade;

  • Controle de permissões;

  • Revogação individual de acessos.

As Chaves de API funcionam em homologação e produção?

Não. Cada ambiente possui suas próprias Chaves de API.

Uma chave criada em homologação não poderá autenticar chamadas em produção e vice-versa, mesmo que possuam a mesma identificação.

Essa separação garante isolamento entre ambientes e evita acessos indevidos.

Como identificar chaves de API que nunca foram utilizadas?

É possível identificar Chaves de API que ainda não realizaram autenticação por meio da informação “Último uso”.

Quando não existir nenhum registro de utilização, a chave ainda não foi utilizada para autenticação na plataforma.

Essa informação pode ser consultada tanto na listagem quanto nos detalhes da Chave de API.

Quais cuidados de segurança devem ser adotados ao utilizar Chaves de API?

Recomenda-se:

  • Armazenar as chaves em local seguro;

  • Não compartilhar credenciais por e-mail ou mensagens;

  • Utilizar uma chave distinta para cada integração;

  • Inativar ou revogar chaves que não estejam mais em uso;

  • Revogar imediatamente chaves que tenham sido expostas.

Essas práticas contribuem para a segurança das integrações e para a governança dos acessos automatizados.

Uma Chave de API possui data de expiração?

Não. As Chaves de API não possuem data de expiração automática.

Elas permanecem válidas até que sejam inativadas ou revogadas manualmente por um usuário com as permissões adequadas.

Caso a organização possua políticas internas de rotação de credenciais, recomenda-se criar novas chaves periodicamente e revogar as antigas.

⚠️ Atenção: Recomenda-se revisar periodicamente as Chaves de API ativas e revogar credenciais que não estejam mais sendo utilizadas, reduzindo riscos de segurança e mantendo a governança dos acessos automatizados.

É possível inativar uma Chave de API?

Sim. A inativação impede novas autenticações utilizando aquela chave, preservando seu cadastro para fins de auditoria e rastreabilidade.

O que acontece ao inativar uma Chave de API?

Após a inativação:

  • Novas chamadas autenticadas por aquela chave serão rejeitadas;

  • Integrações que dependem dela deixarão de funcionar;

  • O histórico da chave permanecerá preservado.

⚠️ Atenção: Antes de inativar uma chave, confirme que ela não está sendo utilizada por integrações em produção.

Posso reativar uma Chave de API inativa?

Sim. Uma Chave de API pode ser reativada a qualquer momento.

Após a reativação, as integrações voltarão a conseguir autenticar utilizando a mesma credencial.

Posso excluir uma Chave de API? (revisar)

Não. Para preservar a rastreabilidade das integrações e dos registros de auditoria, as Chaves de API não podem ser excluídas após sua criação.

Quando uma chave não deve mais ser utilizada, ela poderá ser:

  • Inativada temporariamente; ou

  • Revogada definitivamente.

Essa abordagem garante a preservação do histórico operacional da plataforma.

Qual a diferença entre inativar e revogar uma Chave de API?

Inativar

Impede temporariamente novas autenticações utilizando a chave, mantendo a possibilidade de reativação futura.

Revogar

Invalida permanentemente a credencial, impedindo qualquer nova autenticação com aquela chave.

⚠️ Atenção: Uma Chave de API revogada não poderá ser reutilizada. Caso seja necessário restabelecer a integração, uma nova chave deverá ser criada.

Posso reutilizar uma Chave de API revogada?

Não. Após a revogação, a credencial torna-se permanentemente inválida.

Caso seja necessário restabelecer a integração, uma nova Chave de API deverá ser criada.

As operações realizadas por uma Chave de API são auditadas?

Sim. As operações executadas por meio das APIs do ContractFlow são registradas nos mecanismos de auditoria da plataforma, permitindo identificar a origem das ações realizadas por integrações externas.

Esses registros podem ser utilizados para:

  • Rastreabilidade operacional;

  • Investigação de incidentes;

  • Auditorias internas e externas;

  • Monitoramento de integrações;

  • Atividades de conformidade e governança.

Por esse motivo, recomenda-se utilizar uma Chave de API exclusiva para cada integração, facilitando a identificação da origem das operações registradas.

⚠️ Atenção: Os registros de auditoria identificam a Chave de API utilizada na autenticação, mas não necessariamente o sistema ou usuário responsável pela execução da chamada.

Como identificar qual Chave de API foi utilizada em uma operação?

As operações executadas por meio da API registram a identificação da Chave de API utilizada durante a autenticação.

Essa informação pode ser consultada nos registros de auditoria disponíveis na plataforma.

Por esse motivo, recomenda-se utilizar uma Chave de API exclusiva para cada integração, facilitando a identificação da origem das operações executadas.

Quais informações de auditoria estão disponíveis para uma Chave de API?

As Chaves de API possuem informações de auditoria que auxiliam no acompanhamento das integrações e na rastreabilidade das operações realizadas.

Entre as informações disponíveis podem estar:

  • Data de criação;

  • Último uso;

  • Status atual (Ativa, Inativa ou Revogada);

  • Histórico de alterações cadastrais;

  • Registros de autenticação realizados pela chave.

Essas informações auxiliam atividades de governança, segurança, auditoria e investigação de incidentes relacionados às integrações da plataforma.

Como identificar problemas de autenticação utilizando Chave de API?

As causas mais comuns incluem:

  • Chave inválida;

  • Chave inativa;

  • Chave revogada;

  • Configuração incorreta da integração;

  • Utilização da chave em ambiente incorreto.

A análise dos logs da integração e das configurações da chave normalmente permite identificar a origem do problema.

Previous
Supervisão Externa
Next
FAQ - Perguntas Frequentes

© 2026 ContractLabs. Todos os direitos reservados.

ContractFlow Docs