Zurück zu den DokumentenKonnektoren

Custom-Konnektoren

Eigene Konnektoren mit API-Key oder OAuth-Credential hinzufügen.

Zuletzt aktualisiert am 27. Mai 2026 · 5 min read

Der Katalog deckt über 100 Dienste ab, aber jedes Team hat ein paar interne Tools oder regionale SaaS-Produkte, die nicht dabei sind. Custom-Konnektoren lösen das.

Sie registrieren ein Credential — einen API-Key oder OAuth-Credentials — und sagen Zero, wie es den Dienst aufrufen soll. Von da an behandelt Zero Ihren Custom-Konnektor identisch zu einem eingebauten: dasselbe Audit-Log, derselbe Brokered-Access-Proxy, dieselben Gates für sensible Aktionen.

Zwei Varianten

Wählen Sie die Variante, die zu Ihrem Dienst passt:

  • API-Key — funktioniert für jeden Dienst, der sich mit einem statischen Token im Header authentifiziert. Der einfachste und schnellste Weg: Key einfügen, Konnektor benennen, Zero die Base-URL nennen. Die meisten internen APIs und viele SaaS-Tools nutzen das.
  • OAuth 2.0 — für Dienste, die per OAuth nutzerspezifische Tokens ausgeben. Sie geben Client-ID und Secret an, konfigurieren die gewünschten Scopes und Zero führt den OAuth-Dance bei Bedarf pro Nutzer:in aus.

Wenn Sie unsicher sind, sehen Sie in der API-Doku des Dienstes nach. Das Wort „API-Key" (oder „Personal Access Token") meint meist Variante 1; „OAuth" (oder „Client Credentials") meist Variante 2.

Einen API-Key-Konnektor einrichten

  1. Öffnen Sie die Connectors-Seite in Ihrem Workspace.
  2. Klicken Sie auf Add custom connectorAPI key.
  3. Felder ausfüllen:
    • Name. Etwas, das Zero in Prompts erkennt, z. B. internal-billing-api oder acme-crm.
    • Base URL. Die Wurzel der API: https://api.internal.acme.com.
    • Auth-Header. Meist Authorization: Bearer YOUR_TOKEN oder X-API-Key: YOUR_TOKEN. Passen Sie es an das, was der Dienst erwartet.
    • API-Key. Credential einfügen. Verschlüsselt gespeichert; nach dem Speichern nicht mehr sichtbar.
    • Erlaubte Pfade (optional). Zero auf bestimmte Endpoints einschränken, etwa /v1/invoices/*. Reduziert den Radius.
  4. Klicken Sie auf Save und Test connection. Zero pingt die Base-URL mit einem GET / (oder einem von Ihnen angegebenen Pfad) und zeigt die Antwort.

Einen OAuth-2.0-Konnektor einrichten

Etwas mehr Aufwand, aber sinnvoll, wenn nutzerspezifische Autorisierung zählt:

  1. Registrieren Sie eine OAuth-App beim Upstream-Dienst. Sie bekommen Client-ID und -Secret. Setzen Sie die Redirect-URI auf die, die VM0 auf der Add-Connector-Form anzeigt.
  2. In VM0: Add custom connectorOAuth 2.0.
  3. Felder ausfüllen:
    • Name und Base URL, wie oben
    • Authorization URL und Token URL aus der OAuth-Doku des Dienstes
    • Client ID und Client secret
    • Scopes. Liste der Scopes, die Zero anfordern darf. Verwenden Sie das Minimum, das Ihre Workflows abdeckt.
  4. Speichern. Die erste Session, die diesen Konnektor braucht, löst den OAuth-Flow pro Nutzer:in aus.

Zero zeigen, wie ein Custom-Konnektor zu nutzen ist

Zwei Wege. Nehmen Sie den, der passt.

Inline beschreiben, wenn Sie Zero einen Auftrag geben:

„Verwende den Konnektor internal-billing-api, um Rechnung #4422 zu holen. Schicke die PDF dann per E-Mail an ops@acme.com."

Zero lädt die Konnektor-Spezifikation und entscheidet, welchen Endpoint es aufruft. Das funktioniert, weil Konnektoren mit OpenAPI-ähnlichen Metadaten kommen (für viele Dienste auto-discovered, optional manuell ergänzt).

Schreiben Sie einen Skill, der den Konnektor namentlich referenziert. Der Skill-Body beschreibt die Prozedur; Zero lädt den Skill automatisch, wenn die Beschreibung zu einer eingehenden Anfrage passt. Für wiederkehrende Workflows ist das sauberer als jedes Mal inline.

Ein Skill pull-invoice mit Beschreibung „hole eine Rechnung aus internal-billing-api und schicke die PDF per E-Mail" — einmal geschrieben, ruft Zero ihn auf, sobald jemand nach einer Rechnung fragt.

OpenAPI-Specs und Inline-Schemas

Zero arbeitet mit einem Custom-Konnektor am besten, wenn es die verfügbaren Endpoints, Methoden und Parameter kennt. Drei Wege, das bereitzustellen:

  • Auto-Discover aus /openapi.json oder /swagger.json des Dienstes, falls er eines bereitstellt. Zero einfach die URL nennen.
  • Spec hochladen. OpenAPI 3 YAML/JSON einfügen oder hochladen. Zero parst sie und bietet beim Aufruf Tooltip-artige Metadaten.
  • Inline-Beschreibungen. Für interne Tools ohne Spec eine kurze Markdown-Beschreibung im Konnektor-Body — Endpoints, Methoden, Beispiel-Payloads. Roh, aber funktional.

Ohne Spec funktioniert Zero immer noch — es muss bei Parameterformen mehr raten. Für häufig genutzte Custom-Konnektoren zahlt sich eine Spec schnell aus.

Über Workspaces hinweg teilen

Custom-Konnektoren sind standardmäßig workspace-gebunden. Zwei Teams in derselben Org können je ihren eigenen Konnektor für dieselbe interne API pflegen. Für Organisationen, die einen kanonischen Setup wollen:

  • Enterprise-Org-Konnektoren. Verfügbar in Enterprise-Plänen. Einmal auf Org-Ebene einrichten; erscheint in jedem Workspace dieser Org. Empfohlen für interne APIs, die alle nutzen.
  • Konnektor-Paket. Für sehr große Orgs kann das interne Plattformteam einen Custom-Konnektor als versioniertes Paket veröffentlichen; Workspaces installieren es und bekommen Updates automatisch.

Sicherheit und Rate Limits

  • Credentials. Verschlüsselt at-rest mit workspace-spezifischen Schlüsseln. Nach dem Speichern nicht sichtbar; nur neu eingebbar.
  • Audit pro Aufruf. Jede Anfrage durch einen Custom-Konnektor erscheint im Session-Log mit Methode, URL, Statuscode und Timing.
  • Rate Limits. Vom Upstream-Dienst durchgesetzt. Zero behandelt 429-Antworten mit exponentiellem Backoff bis zu einem workspace-konfigurierten Limit.
  • Erlaubte Pfade. Optional: Zero auf bestimmte URL-Muster einschränken. Reduziert den Radius, falls ein Konnektor-Key zu viele Rechte hat.
  • Read-only als Default. Ein neuer Custom-Konnektor ist als read-only markiert. Schreibzugriff erfordert explizite Konfiguration pro Workspace.

Häufige Fallstricke

  • Zu breite API-Keys. Wenn der Dienst es unterstützt, prägen Sie einen gescopten Key für Zero, statt Ihren Admin-Key wiederzuverwenden. Einfacher zu rotieren und auditieren.
  • Fehlende Schemas. Ohne OpenAPI-Spec oder Inline-Beschreibung muss Zero Parameterformen raten. Funktioniert für einfache Fälle, bricht bei verschachtelten Objekten. Liefern Sie nach Möglichkeit eine Spec.
  • Ungeprüfte Base-URLs. Klicken Sie nach dem Setup immer auf Test connection. Ein 401 oder 404 hier ist deutlich besser als in einer kritischen Session.
  • Rotation vergessen. Setzen Sie sich eine Erinnerung, Keys quartalsweise zu rotieren. Die Konnektor-Key-Rotation ist in VM0 ein Klick; der Upstream-Teil dauert am längsten.

Was als Nächstes

  • Siehe Skills zum Erfassen wiederkehrender Custom-Konnektor-Workflows.
  • Siehe Berechtigungen dafür, wie Credentials von Custom-Konnektoren behandelt werden.
  • Siehe den Katalog, bevor Sie Custom bauen — Ihr Dienst ist vielleicht schon dabei.