Kalender-API: Endpunkte für CRUD-Zugriff auf Kalendereinträge gesucht

Hallo,

ich entwickle eine externe Terminbuchungsseite für meinen Betrieb und möchte diese direkt mit dem Xentral-Kalender integrieren. Konkret brauche ich:

1. Lesen – freie Zeitslots anzeigen (bereits gebuchte Termine aus Xentral als belegt markieren)
2. Schreiben – nach Kundenbuchung automatisch einen neuen Kalendereintrag anlegen
3. Löschen – bei Absage den Eintrag wieder entfernen

Was ich bereits probiert habe:

• REST API v1 (/api/v1/...): In der OpenAPI-Spec ist der Tag "UI Calendar" deklariert, aber kein einziger Pfad ist damit verknüpft — die Endpunkte fehlen komplett
• Personal Access Token (Bearer Auth): Alle Anfragen an /v3/calendar/events und /index.php?module=kalender&action=data werden von der SSO-Middleware (Auth0) mit HTTP 302 abgefangen, bevor Sanctum den Token überhaupt prüfen kann
• ICS-Feed (/index.php?module=kalender&action=ics): Gibt HTTP 401 zurück, auch mit gültiger Session — kein dokumentiertes Auth-Format gefunden
• Auth0 ROPC Grant: Gibt access_denied zurück — vermutlich wegen Organization-Kontext nicht unterstützt

Meine Fragen:

1. Gibt es (auch undokumentierte) API-Endpunkte für Kalender-CRUD?
2. Wie lässt sich der ICS-Feed von einem Server aus authentifiziert abrufen?
3. Ist Kalender-API-Zugriff auf der Roadmap, und wenn ja, wann?
4. Gibt es Kalender-Webhooks (ausgehend bei Erstellung/Änderung von Terminen)?

Version 26.10.0 (Pro)

Vielen Dank!

Gruß, Michael