Kinmu Public API
Verbinde die Zeiterfassung von Kinmu mit deiner Lohnsoftware, deiner Zutrittskontrolle oder deinen BI-Tools. Eine versionierte REST-API mit Unternehmens-Credentials, expliziten Scopes und signierten Webhooks.
curl https://api.kinmu.app/v1/organization \
-H "Authorization: Bearer $KINMU_API_KEY"Starte hier
Aktiviere das Addon, erstelle einen Key und mach deinen ersten Request — in etwa 5 Minuten.
QuickstartScopes, Rotation, Sandbox und Best Practices.
Authentifizierung und API-KeysPaginierung, Fehler, Idempotenz und Limits.
KonventionenErkunde die 9 Ressourcen und probiere jeden Endpoint aus.
Interaktive ReferenzIntegriere deinen Use Case
Effektive Stunden, Abwesenheiten und Urlaubssalden für deinen Lohnlauf.
Lohnabrechnung & LohnbüroErfasse Stempelungen von Drehkreuzen, Karten oder Kiosken mit POST /v1/check-ins.
Inkrementelle Synchronisierung per Polling für deine Dashboards.
BI / Power BIWas v1 bereitstellt
Die Oberfläche von v1 sind 9 REST-Ressourcen unter https://api.kinmu.app/v1:
| Ressource | Wofür |
|---|---|
| Organization | Introspektion von Credential und Unternehmen. |
| Employees | Anlegen, Austritt und Aktualisierung von Mitarbeitenden. |
| Check-ins | Zeiterfassungs-Ereignisse (in/out/break) mit Herkunft. |
| Work summaries | Aggregierte Arbeitszeiten für die Lohnabrechnung. |
| Absences | Abwesenheiten: erstellen, genehmigen, ablehnen. |
| Vacation balances | Urlaubssalden pro Person und Jahr. |
| Locations / Units | Organisationsstruktur (nur lesend). |
| Reports | Asynchrone Reports (gesetzlicher Arbeitszeitnachweis, Exporte). |
| Webhooks | Signierte ausgehende Events (Standard Webhooks). |
Das Unternehmen wird immer aus dem Credential aufgelöst. In den öffentlichen Routen und im Body gibt es nie eine {companyId}.
Prinzipien
- Eingefrorener Vertrag. Was in v1 enthalten ist, ändert sich nicht inkompatibel; jede Deprecation wird 12 Monate im Voraus im Changelog angekündigt.
- Least Privilege. Jeder Key trägt explizite Scopes; ohne Scope kein Zugriff (
403 invalid_scope). - Alles auditiert. Jeder Request mit Unternehmens-Key wird mit
origin=public_apiprotokolliert. - Gleiche Regeln wie die App. Schreibzugriffe über die API durchlaufen dieselben Domain-Validierungen wie die Anwendung.