This page was machine-translated. Spotted a mistake?Help improve it.
Skip to content

Usuários, Papéis e Permissões

O SnapOtter já vem com três papéis integrados, 17 permissões granulares e suporte a papéis personalizados com controle de acesso por ferramenta opcional. Esta página cobre todo o modelo de autorização, escopo de chaves de API, gerenciamento de times e log de auditoria.

Usuários

Criando usuários

Os administradores podem criar usuários pelo painel de administração ou pelo endpoint POST /api/auth/register. Cada usuário tem um nome de usuário, um papel, uma atribuição de time e um endereço de e-mail opcional.

Admin padrão

Na primeira inicialização, o SnapOtter cria uma conta de admin padrão. As credenciais vêm de variáveis de ambiente:

VariávelPadrãoDescrição
DEFAULT_USERNAMEadminNome de usuário da conta de admin inicial
DEFAULT_PASSWORDadminSenha da conta de admin inicial

O admin padrão é obrigado a alterar a senha no primeiro login.

Provedores de autenticação

Os usuários podem se autenticar por vários métodos:

  • Local - nome de usuário e senha armazenados no banco de dados do SnapOtter
  • OIDC - qualquer provedor OpenID Connect (veja OIDC / SSO)
  • SAML - provedores de identidade SAML 2.0 (veja SAML SSO)
  • SCIM - provisionamento automatizado a partir de um provedor de identidade (veja Provisionamento SCIM)

Desativando a autenticação

Defina AUTH_ENABLED=false para desativar a autenticação por completo. Nesse modo, um usuário anônimo sintético com o papel admin é usado para todas as requisições. Nenhum login é necessário.

WARNING

Desativar a autenticação concede acesso total de admin a qualquer pessoa que consiga alcançar a instância. Use isso apenas em ambientes confiáveis.

Papéis integrados

O SnapOtter inclui três papéis integrados. Eles não podem ser modificados nem excluídos.

Admin

Todas as 17 permissões. Controle total sobre a instância.

tools:use files:own files:all apikeys:own apikeys:all pipelines:own pipelines:all settings:read settings:write users:manage teams:manage features:manage system:health audit:read compliance:manage webhooks:manage security:manage

Editor

7 permissões. Pode usar todas as ferramentas e gerenciar todos os arquivos e pipelines, mas não pode acessar funções de administração.

tools:use files:own files:all apikeys:own pipelines:own pipelines:all settings:read

User

5 permissões. Pode usar ferramentas e gerenciar os próprios recursos.

tools:use files:own apikeys:own pipelines:own settings:read

Referência de permissões

PermissãoDescrição
tools:useUsar qualquer ferramenta de processamento
files:ownVer e gerenciar os próprios arquivos
files:allVer e gerenciar os arquivos de todos os usuários
apikeys:ownCriar e gerenciar as próprias chaves de API
apikeys:allVer as chaves de API de todos os usuários
pipelines:ownCriar e gerenciar os próprios pipelines
pipelines:allVer e gerenciar os pipelines de todos os usuários
settings:readVer as configurações da instância
settings:writeModificar as configurações da instância
users:manageCriar, atualizar e excluir contas de usuário
teams:manageCriar, atualizar e excluir times
features:manageInstalar e gerenciar bundles de recursos de IA
system:healthAcessar os endpoints de health e readiness
audit:readVer o log de auditoria e listar papéis
compliance:manageGerenciar o ciclo de vida de GDPR e recursos de conformidade
webhooks:manageConfigurar webhooks de saída
security:manageGerenciar configurações de segurança (lista de IPs permitidos, imposição de SSO)

Papéis personalizados

Os administradores com a permissão security:manage podem criar papéis personalizados pelo painel de administração ou pela API de papéis. Listar papéis requer audit:read.

Criando um papel personalizado

bash
curl -X POST http://localhost:1349/api/v1/roles \
  -H "Authorization: Bearer si_..." \
  -H "Content-Type: application/json" \
  -d '{
    "name": "reviewer",
    "description": "Can use tools and view all files",
    "permissions": ["tools:use", "files:own", "files:all", "settings:read"]
  }'

Os nomes de papéis devem ter de 2 a 30 caracteres, alfanuméricos em minúsculas, com hifens e underscores.

Permissões reservadas ao admin

Três permissões são reservadas aos papéis integrados e não podem ser atribuídas a papéis personalizados:

  • compliance:manage
  • webhooks:manage
  • security:manage

A API de papéis rejeita qualquer requisição que inclua essas permissões. Somente o papel integrado admin tem acesso a elas.

Permissões no nível de ferramenta

Papéis personalizados podem, opcionalmente, restringir quais ferramentas os usuários podem acessar. Dois modos estão disponíveis:

ModoComportamentoRequisito de licença
categoryRestringir por modalidade (imagem, vídeo, áudio, documento, arquivo)Nenhum (grátis)
toolRestringir por ID individual de ferramentaRequer o recurso enterprise per_tool_permissions

Quando o modo tool está definido mas o recurso enterprise não está disponível, o SnapOtter degrada de forma controlada e permite o acesso a todas as ferramentas.

json
{
  "name": "image-only",
  "permissions": ["tools:use", "files:own"],
  "toolPermissions": {
    "mode": "category",
    "allowed": ["image"]
  }
}

Excluindo um papel personalizado

Quando um papel personalizado é excluído, todos os usuários atribuídos a ele são automaticamente reatribuídos ao papel user.

Times

Os times agrupam usuários para gerenciamento de armazenamento e retenção. Um time Default é criado na primeira inicialização.

CampoTipoDescrição
namestringNome único do time (1-50 caracteres)
storageQuotanumberLimite de armazenamento por time em bytes (funciona sem enterprise)
retentionHoursnumberExcluir saídas automaticamente após esta quantidade de horas (requer team_retention_overrides, enterprise)
legalHoldbooleanImpedir a exclusão automática dos arquivos dos membros do time (requer legal_hold, enterprise)

INFO

O time Default não pode ser excluído. Times que ainda têm membros não podem ser excluídos. Reatribua os membros primeiro.

Chaves de API

Os usuários podem gerar chaves de API para acesso programático. Cada chave usa o prefixo si_ e é mostrada apenas uma vez, no momento da criação.

Permissões com escopo

As chaves de API podem, opcionalmente, carregar um array permissions. Quando definido, as permissões efetivas de uma requisição são a interseção das permissões do papel do usuário com as permissões escopadas da chave. Isso significa que uma chave de API nunca pode escalar além das próprias permissões do usuário.

bash
curl -X POST http://localhost:1349/api/v1/api-keys \
  -H "Authorization: Bearer si_..." \
  -H "Content-Type: application/json" \
  -d '{
    "name": "CI pipeline key",
    "permissions": ["tools:use", "files:own"],
    "expiresAt": "2027-01-01T00:00:00Z"
  }'

Expiração

As chaves aceitam um timestamp expiresAt opcional. Chaves expiradas são rejeitadas no momento da autenticação.

Log de auditoria

O SnapOtter registra eventos relevantes para segurança em um log de auditoria estruturado, armazenado na tabela audit_log do banco de dados.

Visualizando o log de auditoria

GET /api/v1/audit-log?page=1&limit=50&action=LOGIN_FAILED&from=2026-01-01T00:00:00Z&to=2026-12-31T23:59:59Z

Requer a permissão audit:read. Suporta paginação (page, limit) e filtros (action, ip, from, to).

Auditoria de operação de ferramentas

WARNING

Eventos TOOL_EXECUTED não são registrados por padrão. Eles são opt-in por meio de um de dois caminhos:

  1. Definir a configuração de admin auditToolOperations como true.
  2. Ter uma licença ativa com o recurso audit_export (disponível nos planos team e enterprise).

Sem uma dessas condições, execuções individuais de ferramentas não são registradas no log de auditoria.

Exportando

GET /api/v1/enterprise/audit/export?format=csv&from=2026-01-01T00:00:00Z

Requer a permissão audit:read e o recurso enterprise audit_export (disponível nos planos team e enterprise). Suporta os formatos CSV e JSON, filtrados por action, actorId, targetType, targetId, from e to.

Assinatura resistente a adulteração

Quando habilitado, cada entrada do log de auditoria é assinada com um HMAC derivado de DATA_ENCRYPTION_KEY. Isso requer:

  1. Definir DATA_ENCRYPTION_KEY no seu ambiente.
  2. Habilitar a configuração de admin tamperResistantAudit.
  3. Uma licença enterprise com o recurso tamper_resistant_audit.

Retenção

Defina AUDIT_RETENTION_DAYS para eliminar automaticamente entradas antigas. O padrão é 0, o que significa que as entradas são mantidas indefinidamente.

Referência de eventos

EventoCategoria
LOGIN_SUCCESS, LOGIN_FAILEDAutenticação
OIDC_LOGIN_SUCCESS, OIDC_LOGIN_FAILEDAutenticação
SAML_LOGIN_SUCCESS, SAML_LOGIN_FAILEDAutenticação
LOGOUTAutenticação
USER_CREATED, USER_UPDATED, USER_DELETEDGerenciamento de usuários
PASSWORD_CHANGED, PASSWORD_RESETGerenciamento de usuários
MFA_ENROLLED, MFA_DISABLED, MFA_VERIFIED, MFA_VERIFY_FAILEDMFA
MFA_CHALLENGE_ISSUED, MFA_RECOVERY_USED, MFA_RESETMFA
ROLE_CREATED, ROLE_UPDATED, ROLE_DELETEDPapéis
API_KEY_CREATED, API_KEY_DELETEDChaves de API
SETTINGS_UPDATED, IP_ALLOWLIST_UPDATEDConfigurações
FILE_UPLOADED, FILE_DELETEDArquivos
TOOL_EXECUTEDFerramentas (opt-in)
SCIM_USER_PROVISIONED, SCIM_USER_UPDATED, SCIM_USER_DEPROVISIONEDSCIM
SCIM_GROUP_SYNCEDSCIM
LEGAL_HOLD_APPLIED, LEGAL_HOLD_RELEASEDConformidade
GDPR_EXPORT_INITIATED, GDPR_USER_PURGED, GDPR_TEAM_PURGEDConformidade
CONFIG_EXPORTED, CONFIG_IMPORTEDConfiguração

Gerenciamento de sessões

As sessões são baseadas em cookies, controladas por SESSION_DURATION_HOURS (padrão: 168 horas / 7 dias).

Mudanças de papel invalidam sessões

Quando um admin altera o papel de um usuário, todas as sessões ativas desse usuário são excluídas. O usuário precisa fazer login novamente para receber suas novas permissões.

Proteções de segurança

  • Proteção do último admin: o último admin restante não pode ser rebaixado para um papel inferior. A API retorna um erro se você tentar.
  • Prevenção de autoexclusão: os administradores não podem excluir a própria conta pela API.