Intégration Attio / GUIDE TECHNIQUE

Créer vos identifiants API Attio : API Key ou OAuth 2.0

Avant de connecter Attio à votre logiciel sur mesure, il faut générer une API Key ou configurer OAuth 2.0. Ce guide vous explique la procédure complète, du choix du mode d'accès à la transmission sécurisée des identifiants.

LES ÉTAPES

3 étapes pour créer et sécuriser vos identifiants API Attio

Avant de connecter Attio à votre logiciel sur mesure, il faut générer les bons identifiants avec les bonnes permissions. Voici les étapes à suivre.

1

Choisir le bon type d'accès

API Key pour un connecteur serveur-à-serveur (accès permanent à un seul workspace), OAuth 2.0 si l'application doit accéder aux workspaces de plusieurs utilisateurs. La majorité des connecteurs métier utilisent l'API Key.

2

Créer l'API Key depuis les paramètres Attio

Accès aux paramètres du workspace, section Développeur > API Keys, création d'une clé avec un nom descriptif. La valeur est affichée une seule fois après la création.

3

Sécuriser et transmettre l'API Key

Stockage en variable d'environnement, jamais dans le code source. Transmission via gestionnaire de mots de passe partagé, jamais par email ou messagerie en clair.

Étape 1 : Choisir le bon type d’accès

Attio propose deux méthodes d’authentification selon votre cas d’usage.

API Key (recommandé pour un connecteur métier)

L’API Key est la méthode la plus simple pour un connecteur serveur-à-serveur. Elle donne accès à l’intégralité du workspace Attio (tous les objets, records, notes, tâches). C’est le choix recommandé pour :

  • Un connecteur entre Attio et votre logiciel interne
  • Une synchronisation automatique (import/export de records)
  • Un back-office qui lit les données Attio pour les afficher dans votre logiciel

OAuth 2.0

OAuth 2.0 est destiné aux applications qui doivent accéder aux workspaces de plusieurs utilisateurs Attio distincts. La mise en place est plus complexe (flux d’autorisation, gestion des access et refresh tokens) mais elle devient nécessaire si votre logiciel doit permettre à chaque utilisateur final de connecter son propre workspace Attio.

Pour la plupart des connecteurs métier internes, l’API Key est suffisante.

Étape 2 : Créer une API Key Attio

Accéder aux paramètres développeur

  1. Connectez-vous à votre workspace Attio
  2. Cliquez sur le nom du workspace en haut à gauche > Paramètres (Settings)
  3. Dans le menu de gauche, allez dans Développeur > API Keys

Créer la clé

  1. Cliquez sur Create API Key (ou bouton équivalent)
  2. Donnez un nom descriptif à la clé : Connecteur-LogicielSurMesure-Production, Sync-ERP-Staging ou Import-Initial
  3. Un bon nommage facilite l’identification et la révocation plus tard
  4. Cliquez sur Create ou Confirm

Copier et stocker la clé

Après validation, Attio affiche la valeur de l’API Key une seule fois. La clé est une chaîne de type Bearer que vous passerez dans le header Authorization de chaque requête API.

Copiez-la immédiatement dans un gestionnaire de secrets : elle ne sera plus visible ensuite.

Étape 3 : Sécuriser et transmettre l’API Key

Stockage sécurisé

L’API Key Attio doit être stockée en variable d’environnement dans votre logiciel, jamais en dur dans le code source. Exemple pour un connecteur Symfony :

# .env.local (jamais versionné dans git)
ATTIO_API_KEY=votre_api_key_attio

Utilisation dans le code :

// headers de chaque requête Attio
'Authorization' => 'Bearer ' . $_ENV['ATTIO_API_KEY']

Transmission à SmartBooster

Pour transmettre l’API Key à l’équipe SmartBooster lors de l’intégration :

  • Utiliser un gestionnaire de mots de passe partagé (Bitwarden, 1Password, Dashlane)
  • Ne jamais envoyer par email, SMS ou messagerie en clair (Slack, Teams, WhatsApp)
  • Créer une note sécurisée avec : l’API Key, le workspace Attio concerné et l’environnement (dev, staging, production)

Vérifier l’accès

Avant de lancer les tests d’intégration, vérifier que l’API Key fonctionne avec un appel de test :

curl -H "Authorization: Bearer VOTRE_API_KEY" \
  https://api.attio.com/v2/objects

La réponse doit retourner la liste des objets du workspace (people, companies, deals et objets personnalisés). Si vous recevez une erreur 401, vérifiez que la clé est correctement copiée (sans espace ni retour à la ligne).

Configurer OAuth 2.0 (si nécessaire)

Si votre application doit accéder aux workspaces de plusieurs utilisateurs, OAuth 2.0 est nécessaire. La configuration se fait également dans les paramètres développeur d’Attio.

Créer une application OAuth

  1. Dans Développeur > OAuth Applications, cliquez sur Create Application
  2. Renseignez le nom de l’application et les URLs de redirection (redirect_uri)
  3. Notez le client_id et le client_secret générés

Flux d’autorisation

  1. Votre application redirige l’utilisateur vers l’URL d’autorisation Attio avec client_id, redirect_uri et scope
  2. L’utilisateur autorise l’accès à son workspace Attio
  3. Attio redirige vers votre redirect_uri avec un code d’autorisation
  4. Votre application échange ce code contre un access_token et un refresh_token
  5. Le access_token est utilisé comme Bearer Token pour les appels API
  6. Le refresh_token permet de renouveler l’access_token sans redemander l’autorisation

SmartBooster implémente ce flux complet dans votre logiciel avec gestion automatique du renouvellement des tokens.

Références

Étape 3 : Sécurité

Sécuriser et transmettre votre token

Un token Attio donne accès à vos données métier. Quelques règles simples évitent les fuites accidentelles et permettent une révocation rapide en cas de problème.

Ne jamais committer le token

Un token dans un dépôt git (même privé) est une fuite de sécurité. Il doit toujours passer par une variable d'environnement dans votre .env local, jamais dans le code source.

Variable d'environnement côté serveur

Sur Clever Cloud (notre infrastructure d'hébergement), les variables d'environnement sont configurées depuis la console et injectées au démarrage de l'application. Elles ne sont jamais exposées côté client.

Comment nous le transmettre

Utilisez un gestionnaire de mots de passe partagé (Bitwarden, 1Password) ou notre formulaire de partage sécurisé. Jamais par email ou par message Slack en clair.

FAQ

Les réponses à vos questions

Et si vous ne trouvez pas ce que vous cherchez, nous serons ravis de vous répondre en direct lors d'un rendez-vous entre humains !

Oui, Attio ne limite pas le nombre d'API Keys. Il est recommandé de créer une clé par environnement (développement, staging, production) et par connecteur. Cela permet de révoquer un accès précis sans impacter les autres intégrations.

Non. Une API Key Attio est liée à un workspace spécifique. Elle donne accès à tous les objets et records de ce workspace. Si vous avez plusieurs workspaces Attio, il faut créer une API Key dans chacun d'eux séparément.

Depuis les paramètres du workspace Attio (Développeur > API Keys), cliquez sur la clé à révoquer et sélectionnez 'Révoquer'. La révocation est immédiate : tous les appels API utilisant cette clé échouent avec une erreur 401. Créez une nouvelle clé et mettez à jour les variables d'environnement du logiciel.

Pour aller plus loin

Approfondir votre réflexion

Retour : Expert API Attio

Portail client, tableau de bord, synchronisation : découvrez tous les cas d'usages que nous pouvons développer avec l'API Attio.

Notre stack technique

Symfony, Vue.js, Clever Cloud : les technologies que nous utilisons pour développer des connecteurs robustes et maintenables.