Für Entwickler und Architekten

Varyos Platform - API-first Backend mit echter Workflow-Power

Bauen Sie individuelle Frontends, Mobile-Apps und PWAs in Ihrem bevorzugten Stack - während wir Mandantenfähigkeit, Workflows, Sicherheit, Skalierung und den gesamten operativen Core übernehmen.

Die Plattform ist workflow-basiert, kein reines CRUD. Jeder Endpunkt durchläuft dieselben Geschäftsregeln und Audit-Logiken wie das Varyos-Kernprodukt - eine Partner-Oberfläche kann operative Invarianten niemals umgehen.

API-Endpunkt öffnen

Abgesichert via APIM Entra ID Identität Azure-native Skalierung

POST /v1/bookings

POST /v1/forms/submissions

POST /v1/inbox/items

GET /v1/availability

PWA / Mobile

APIM + JWT

Workflow-Core

Multi-Tenancy und Isolation

Strikte Mandantengrenzen auf API-, Workflow- und Storage-Ebene - sicher für White-Label-Deployments.

Workflow-basierte APIs

Jeder Endpunkt läuft durch die Workflow-Engine - keine CRUD-Abkürzungen, die Geschäftsregeln umgehen.

Booking- und Scheduling-Engine

Verfügbarkeit, Umbuchung, Stornierung und kundenverknüpfte Termine direkt verfügbar.

Formulare und Inbox-Workflows

Öffentliche oder authentifizierte Formulare liefern strukturierte Submissions in die operative Inbox.

CRM, DMS, Rechnungen, Abos

Kundendaten, Dokumente, Rechnungsstellung und Berechtigungen - alles über dieselbe sichere API.

Azure-Infrastruktur plus APIM

Gehostet auf einem skalierbaren Azure-Stack, vorgelagert API Management, WAF und Front Door.

Empfohlene Basis

Identity Provider: Microsoft Entra ID

Zwei App-Registrations: eine für die API ("Varyos Mobile API"), eine für die PWA ("Varyos Mobile PWA")
Scope: api://<api-app-id>/Mobile.Access
PWA nutzt MSAL.js mit Authorization Code Flow + PKCE - kein Client-Secret im Browser
Token wird als Bearer-Token an APIM gesendet

APIM Enforcement

Die echte Sicherheitsgrenze

APIM validiert jeden Request, bevor er den Workflow-Core erreicht. Mobile-Operationen leben in einem eigenen APIM-Product, sodass Policies, Rate Limits und Quotas sich von der öffentlichen Oberfläche unterscheiden.

<validate-jwt header-name="Authorization" require-scheme="Bearer">
  <openid-config url="https://login.microsoftonline.com/<tenant>/v2.0/.well-known/openid-configuration" />
  <required-claims>
    <claim name="aud"><value>api://<api-app-id></value></claim>
    <claim name="scp" match="any"><value>Mobile.Access</value></claim>
  </required-claims>
</validate-jwt>

Defence in Depth

Zusätzliche Sicherheitsschichten über der Token-Validierung

JWT-Validierung ist die tragende Wand, doch produktive Deployments stapeln weitere Schutzmaßnahmen, die Ihre Enterprise-Kunden ohnehin erwarten.

Netzwerk und Traffic

Azure Front Door plus WAF vor APIM, CORS nur für Ihre Domains, Rate Limiting pro Token, IP und Subscription.

Identität und Gerät

Conditional Access Policies für MFA, Device Compliance und Standort sowie mandantenbezogene Audit-Logs und Token-Revocation-Hooks.

Entra ID App-Registrations anlegen

Registrieren Sie API und Client-App, definieren Sie den Scope und erteilen Sie Admin-Consent in Ihrem Tenant.

MSAL.js in die PWA einbauen

Verwenden Sie Authorization Code Flow mit PKCE, fordern Sie den Platform-Scope an und hängen Sie Bearer-Token an Fetch-Calls.

APIM Products aufteilen und Policies anwenden

Gruppieren Sie Operationen in Mobile-, Partner- und Public-Products und aktivieren Sie JWT-Validierung und Quotas.

Docs und Reference-Frontend ausprobieren

Öffnen Sie den Live-API-Endpunkt und das Reference-Frontend, um eine vertikale UI gegen die Plattform zu sehen.

Bereit zur Integration?

Endpunkt öffnen oder mit Engineering sprechen

https://apim-varyos-win.developer.azure-api.net/ ist der technische Endpunkt. platform.vamedari.de ist die Partner-Landing-Page. Beide referenzieren denselben workflow-basierten Core.