This page was machine-translated. Spotted a mistake?Help improve it.
Skip to content

Benutzer, Rollen & Berechtigungen

SnapOtter wird mit drei integrierten Rollen, 17 granularen Berechtigungen und Unterstützung für benutzerdefinierte Rollen mit optionaler Zugriffssteuerung pro Werkzeug ausgeliefert. Diese Seite behandelt das vollständige Autorisierungsmodell, die Bereichseinschränkung von API-Schlüsseln, die Teamverwaltung und das Audit-Logging.

Benutzer

Benutzer erstellen

Administratoren können Benutzer über das Admin-Panel oder den POST /api/auth/register-Endpunkt erstellen. Jeder Benutzer hat einen Benutzernamen, eine Rolle, eine Teamzuordnung und eine optionale E-Mail-Adresse.

Standard-Administrator

Beim ersten Start erstellt SnapOtter ein Standard-Administratorkonto. Die Zugangsdaten stammen aus Umgebungsvariablen:

VariableStandardBeschreibung
DEFAULT_USERNAMEadminBenutzername für das anfängliche Administratorkonto
DEFAULT_PASSWORDadminPasswort für das anfängliche Administratorkonto

Der Standard-Administrator muss beim ersten Login sein Passwort ändern.

Authentifizierungsanbieter

Benutzer können sich über mehrere Methoden authentifizieren:

  • Lokal - Benutzername und Passwort, gespeichert in der SnapOtter-Datenbank
  • OIDC - jeder OpenID-Connect-Anbieter (siehe OIDC / SSO)
  • SAML - SAML-2.0-Identitätsanbieter (siehe SAML SSO)
  • SCIM - automatisierte Bereitstellung durch einen Identitätsanbieter (siehe SCIM-Bereitstellung)

Authentifizierung deaktivieren

Setze AUTH_ENABLED=false, um die Authentifizierung vollständig zu deaktivieren. In diesem Modus wird für alle Anfragen ein synthetischer anonymer Benutzer mit der Rolle admin verwendet. Es ist kein Login erforderlich.

WARNING

Das Deaktivieren der Authentifizierung gewährt jedem, der die Instanz erreichen kann, vollen Administratorzugriff. Verwende dies nur in vertrauenswürdigen Umgebungen.

Integrierte Rollen

SnapOtter enthält drei integrierte Rollen. Sie können weder geändert noch gelöscht werden.

Admin

Alle 17 Berechtigungen. Volle Kontrolle über die Instanz.

tools:use files:own files:all apikeys:own apikeys:all pipelines:own pipelines:all settings:read settings:write users:manage teams:manage features:manage system:health audit:read compliance:manage webhooks:manage security:manage

Editor

7 Berechtigungen. Kann alle Werkzeuge verwenden und alle Dateien und Pipelines verwalten, aber nicht auf Administratorfunktionen zugreifen.

tools:use files:own files:all apikeys:own pipelines:own pipelines:all settings:read

User

5 Berechtigungen. Kann Werkzeuge verwenden und eigene Ressourcen verwalten.

tools:use files:own apikeys:own pipelines:own settings:read

Berechtigungsreferenz

BerechtigungBeschreibung
tools:useJedes Verarbeitungswerkzeug verwenden
files:ownEigene Dateien ansehen und verwalten
files:allDateien aller Benutzer ansehen und verwalten
apikeys:ownEigene API-Schlüssel erstellen und verwalten
apikeys:allAPI-Schlüssel aller Benutzer ansehen
pipelines:ownEigene Pipelines erstellen und verwalten
pipelines:allPipelines aller Benutzer ansehen und verwalten
settings:readInstanzeinstellungen ansehen
settings:writeInstanzeinstellungen ändern
users:manageBenutzerkonten erstellen, aktualisieren und löschen
teams:manageTeams erstellen, aktualisieren und löschen
features:manageKI-Feature-Bundles installieren und verwalten
system:healthAuf Health- und Readiness-Endpunkte zugreifen
audit:readDas Audit-Log ansehen und Rollen auflisten
compliance:manageDSGVO-Lebenszyklus und Compliance-Funktionen verwalten
webhooks:manageAusgehende Webhooks konfigurieren
security:manageSicherheitseinstellungen verwalten (IP-Zulassungsliste, SSO-Erzwingung)

Benutzerdefinierte Rollen

Administratoren mit der Berechtigung security:manage können benutzerdefinierte Rollen über das Admin-Panel oder die Rollen-API erstellen. Das Auflisten von Rollen erfordert audit:read.

Eine benutzerdefinierte Rolle erstellen

bash
curl -X POST http://localhost:1349/api/v1/roles \
  -H "Authorization: Bearer si_..." \
  -H "Content-Type: application/json" \
  -d '{
    "name": "reviewer",
    "description": "Can use tools and view all files",
    "permissions": ["tools:use", "files:own", "files:all", "settings:read"]
  }'

Rollennamen müssen 2 bis 30 Zeichen lang sein, kleingeschrieben alphanumerisch mit Bindestrichen und Unterstrichen.

Für Administratoren reservierte Berechtigungen

Drei Berechtigungen sind für integrierte Rollen reserviert und können benutzerdefinierten Rollen nicht zugewiesen werden:

  • compliance:manage
  • webhooks:manage
  • security:manage

Die Rollen-API weist jede Anfrage ab, die diese Berechtigungen enthält. Nur die integrierte Rolle admin hat Zugriff darauf.

Berechtigungen auf Werkzeugebene

Benutzerdefinierte Rollen können optional einschränken, auf welche Werkzeuge Benutzer zugreifen dürfen. Zwei Modi sind verfügbar:

ModusVerhaltenLizenzanforderung
categoryEinschränkung nach Modalität (Bild, Video, Audio, Dokument, Datei)Keine (kostenlos)
toolEinschränkung nach einzelner Werkzeug-IDErfordert das Enterprise-Feature per_tool_permissions

Wenn der Modus tool gesetzt ist, das Enterprise-Feature aber nicht verfügbar ist, degradiert SnapOtter kontrolliert und erlaubt den Zugriff auf alle Werkzeuge.

json
{
  "name": "image-only",
  "permissions": ["tools:use", "files:own"],
  "toolPermissions": {
    "mode": "category",
    "allowed": ["image"]
  }
}

Eine benutzerdefinierte Rolle löschen

Wenn eine benutzerdefinierte Rolle gelöscht wird, werden alle ihr zugewiesenen Benutzer automatisch der Rolle user neu zugewiesen.

Teams

Teams gruppieren Benutzer für die Speicher- und Aufbewahrungsverwaltung. Ein Default-Team wird beim ersten Start erstellt.

FeldTypBeschreibung
namestringEindeutiger Teamname (1 bis 50 Zeichen)
storageQuotanumberSpeicherlimit pro Team in Bytes (funktioniert ohne Enterprise)
retentionHoursnumberAusgaben nach dieser Anzahl von Stunden automatisch löschen (erfordert team_retention_overrides, Enterprise)
legalHoldbooleanAutomatisches Löschen der Dateien von Teammitgliedern verhindern (erfordert legal_hold, Enterprise)

INFO

Das Default-Team kann nicht gelöscht werden. Teams, die noch Mitglieder haben, können nicht gelöscht werden. Weise die Mitglieder zuerst neu zu.

API-Schlüssel

Benutzer können API-Schlüssel für programmatischen Zugriff generieren. Jeder Schlüssel verwendet das Präfix si_ und wird nur einmal bei der Erstellung angezeigt.

Bereichseingeschränkte Berechtigungen

API-Schlüssel können optional ein permissions-Array tragen. Wenn gesetzt, sind die effektiven Berechtigungen für eine Anfrage die Schnittmenge der Rollenberechtigungen des Benutzers und der bereichseingeschränkten Berechtigungen des Schlüssels. Das bedeutet, ein API-Schlüssel kann nie über die eigenen Berechtigungen des Benutzers hinaus eskalieren.

bash
curl -X POST http://localhost:1349/api/v1/api-keys \
  -H "Authorization: Bearer si_..." \
  -H "Content-Type: application/json" \
  -d '{
    "name": "CI pipeline key",
    "permissions": ["tools:use", "files:own"],
    "expiresAt": "2027-01-01T00:00:00Z"
  }'

Ablauf

Schlüssel akzeptieren einen optionalen expiresAt-Zeitstempel. Abgelaufene Schlüssel werden bei der Authentifizierung abgewiesen.

Audit-Log

SnapOtter zeichnet sicherheitsrelevante Ereignisse in einem strukturierten Audit-Log auf, das in der Datenbanktabelle audit_log gespeichert wird.

Das Audit-Log ansehen

GET /api/v1/audit-log?page=1&limit=50&action=LOGIN_FAILED&from=2026-01-01T00:00:00Z&to=2026-12-31T23:59:59Z

Erfordert die Berechtigung audit:read. Unterstützt Seitennummerierung (page, limit) und Filter (action, ip, from, to).

Auditing von Werkzeugoperationen

WARNING

TOOL_EXECUTED-Ereignisse werden standardmäßig nicht protokolliert. Sie sind über einen von zwei Wegen aktivierbar (Opt-in):

  1. Setze die Admin-Einstellung auditToolOperations auf true.
  2. Halte eine aktive Lizenz mit dem Feature audit_export (verfügbar sowohl in den Team- als auch in den Enterprise-Tarifen).

Ohne eine dieser Optionen werden einzelne Werkzeugausführungen nicht im Audit-Log erfasst.

Exportieren

GET /api/v1/enterprise/audit/export?format=csv&from=2026-01-01T00:00:00Z

Erfordert die Berechtigung audit:read und das Enterprise-Feature audit_export (verfügbar sowohl in den Team- als auch in den Enterprise-Tarifen). Unterstützt die Formate CSV und JSON, gefiltert nach action, actorId, targetType, targetId, from und to.

Manipulationssichere Signierung

Wenn aktiviert, wird jeder Audit-Log-Eintrag mit einem HMAC signiert, der aus DATA_ENCRYPTION_KEY abgeleitet wird. Dies erfordert:

  1. Das Setzen von DATA_ENCRYPTION_KEY in deiner Umgebung.
  2. Das Aktivieren der Admin-Einstellung tamperResistantAudit.
  3. Eine Enterprise-Lizenz mit dem Feature tamper_resistant_audit.

Aufbewahrung

Setze AUDIT_RETENTION_DAYS, um alte Einträge automatisch zu bereinigen. Der Standard ist 0, was bedeutet, dass Einträge unbegrenzt aufbewahrt werden.

Ereignisreferenz

EreignisKategorie
LOGIN_SUCCESS, LOGIN_FAILEDAuthentifizierung
OIDC_LOGIN_SUCCESS, OIDC_LOGIN_FAILEDAuthentifizierung
SAML_LOGIN_SUCCESS, SAML_LOGIN_FAILEDAuthentifizierung
LOGOUTAuthentifizierung
USER_CREATED, USER_UPDATED, USER_DELETEDBenutzerverwaltung
PASSWORD_CHANGED, PASSWORD_RESETBenutzerverwaltung
MFA_ENROLLED, MFA_DISABLED, MFA_VERIFIED, MFA_VERIFY_FAILEDMFA
MFA_CHALLENGE_ISSUED, MFA_RECOVERY_USED, MFA_RESETMFA
ROLE_CREATED, ROLE_UPDATED, ROLE_DELETEDRollen
API_KEY_CREATED, API_KEY_DELETEDAPI-Schlüssel
SETTINGS_UPDATED, IP_ALLOWLIST_UPDATEDEinstellungen
FILE_UPLOADED, FILE_DELETEDDateien
TOOL_EXECUTEDWerkzeuge (Opt-in)
SCIM_USER_PROVISIONED, SCIM_USER_UPDATED, SCIM_USER_DEPROVISIONEDSCIM
SCIM_GROUP_SYNCEDSCIM
LEGAL_HOLD_APPLIED, LEGAL_HOLD_RELEASEDCompliance
GDPR_EXPORT_INITIATED, GDPR_USER_PURGED, GDPR_TEAM_PURGEDCompliance
CONFIG_EXPORTED, CONFIG_IMPORTEDKonfiguration

Sitzungsverwaltung

Sitzungen sind cookiebasiert und werden über SESSION_DURATION_HOURS gesteuert (Standard: 168 Stunden / 7 Tage).

Rollenänderungen machen Sitzungen ungültig

Wenn ein Administrator die Rolle eines Benutzers ändert, werden alle aktiven Sitzungen dieses Benutzers gelöscht. Der Benutzer muss sich erneut anmelden, um seine neuen Berechtigungen zu übernehmen.

Schutzmechanismen

  • Schutz des letzten Administrators: Der letzte verbleibende Administrator kann nicht auf eine niedrigere Rolle herabgestuft werden. Die API gibt einen Fehler zurück, wenn du es versuchst.
  • Selbstlöschungsschutz: Administratoren können ihr eigenes Konto nicht über die API löschen.