This page was machine-translated. Spotted a mistake?Help improve it.
Skip to content

Kullanıcılar, Roller ve İzinler

SnapOtter üç yerleşik rol, 17 ayrıntılı izin ve isteğe bağlı araç başına erişim denetimiyle özel rol desteği ile gelir. Bu sayfa, tam yetkilendirme modelini, API anahtarı kapsamlandırmasını, ekip yönetimini ve denetim günlüklemesini kapsar.

Kullanıcılar

Kullanıcı oluşturma

Yöneticiler, yönetici paneli veya POST /api/auth/register uç noktası aracılığıyla kullanıcı oluşturabilir. Her kullanıcının bir kullanıcı adı, rolü, ekip ataması ve isteğe bağlı bir e-posta adresi vardır.

Varsayılan yönetici

İlk başlatmada SnapOtter varsayılan bir yönetici hesabı oluşturur. Kimlik bilgileri ortam değişkenlerinden gelir:

DeğişkenVarsayılanAçıklama
DEFAULT_USERNAMEadminİlk yönetici hesabının kullanıcı adı
DEFAULT_PASSWORDadminİlk yönetici hesabının parolası

Varsayılan yöneticinin ilk girişte parolasını değiştirmesi gerekir.

Kimlik doğrulama sağlayıcıları

Kullanıcılar birkaç yöntemle kimlik doğrulaması yapabilir:

  • Yerel - SnapOtter veritabanında saklanan kullanıcı adı ve parola
  • OIDC - herhangi bir OpenID Connect sağlayıcısı (OIDC / SSO bölümüne bakın)
  • SAML - SAML 2.0 kimlik sağlayıcıları (SAML SSO bölümüne bakın)
  • SCIM - bir kimlik sağlayıcıdan otomatik sağlama (SCIM Sağlama bölümüne bakın)

Kimlik doğrulamayı devre dışı bırakma

Kimlik doğrulamayı tamamen devre dışı bırakmak için AUTH_ENABLED=false ayarını yapın. Bu modda, tüm istekler için admin rolüne sahip yapay bir anonim kullanıcı kullanılır. Giriş gerekmez.

WARNING

Kimlik doğrulamayı devre dışı bırakmak, örneğe ulaşabilen herkese tam yönetici erişimi verir. Bunu yalnızca güvenilir ortamlarda kullanın.

Yerleşik roller

SnapOtter üç yerleşik rol içerir. Bunlar değiştirilemez veya silinemez.

Admin

17 iznin tamamı. Örnek üzerinde tam denetim.

tools:use files:own files:all apikeys:own apikeys:all pipelines:own pipelines:all settings:read settings:write users:manage teams:manage features:manage system:health audit:read compliance:manage webhooks:manage security:manage

Editor

7 izin. Tüm araçları kullanabilir ve tüm dosyaları ve işlem hatlarını yönetebilir, ancak yönetici işlevlerine erişemez.

tools:use files:own files:all apikeys:own pipelines:own pipelines:all settings:read

User

5 izin. Araçları kullanabilir ve kendi kaynaklarını yönetebilir.

tools:use files:own apikeys:own pipelines:own settings:read

İzin referansı

İzinAçıklama
tools:useHerhangi bir işlem aracını kullan
files:ownKendi dosyalarını görüntüle ve yönet
files:allTüm kullanıcıların dosyalarını görüntüle ve yönet
apikeys:ownKendi API anahtarlarını oluştur ve yönet
apikeys:allTüm kullanıcıların API anahtarlarını görüntüle
pipelines:ownKendi işlem hatlarını oluştur ve yönet
pipelines:allTüm kullanıcıların işlem hatlarını görüntüle ve yönet
settings:readÖrnek ayarlarını görüntüle
settings:writeÖrnek ayarlarını değiştir
users:manageKullanıcı hesapları oluştur, güncelle ve sil
teams:manageEkipler oluştur, güncelle ve sil
features:manageAI özellik paketlerini yükle ve yönet
system:healthSağlık ve hazırlık uç noktalarına eriş
audit:readDenetim günlüğünü görüntüle ve rolleri listele
compliance:manageGDPR yaşam döngüsünü ve uyumluluk özelliklerini yönet
webhooks:manageGiden web kancalarını (webhook) yapılandır
security:manageGüvenlik ayarlarını yönet (IP izin listesi, SSO zorlaması)

Özel roller

security:manage iznine sahip yöneticiler, yönetici paneli veya roller API'si aracılığıyla özel roller oluşturabilir. Rolleri listelemek audit:read iznini gerektirir.

Özel bir rol oluşturma

bash
curl -X POST http://localhost:1349/api/v1/roles \
  -H "Authorization: Bearer si_..." \
  -H "Content-Type: application/json" \
  -d '{
    "name": "reviewer",
    "description": "Can use tools and view all files",
    "permissions": ["tools:use", "files:own", "files:all", "settings:read"]
  }'

Rol adları 2-30 karakter olmalı, tire ve alt çizgi içeren küçük harfli alfasayısal olmalıdır.

Yöneticiye ayrılmış izinler

Üç izin yerleşik roller için ayrılmıştır ve özel rollere atanamaz:

  • compliance:manage
  • webhooks:manage
  • security:manage

Roller API'si, bu izinleri içeren herhangi bir isteği reddeder. Bunlara yalnızca yerleşik admin rolü erişebilir.

Araç düzeyinde izinler

Özel roller, kullanıcıların hangi araçlara erişebileceğini isteğe bağlı olarak kısıtlayabilir. İki mod kullanılabilir:

ModDavranışLisans gereksinimi
categoryModaliteye göre kısıtla (image, video, audio, document, file)Yok (ücretsiz)
toolBireysel araç kimliğine göre kısıtlaper_tool_permissions kurumsal özelliğini gerektirir

tool modu ayarlandığında ancak kurumsal özellik kullanılabilir olmadığında, SnapOtter zarif bir şekilde geriler ve tüm araçlara erişime izin verir.

json
{
  "name": "image-only",
  "permissions": ["tools:use", "files:own"],
  "toolPermissions": {
    "mode": "category",
    "allowed": ["image"]
  }
}

Özel bir rolü silme

Özel bir rol silindiğinde, ona atanan tüm kullanıcılar otomatik olarak user rolüne yeniden atanır.

Ekipler

Ekipler, depolama ve saklama yönetimi için kullanıcıları gruplar. İlk başlatmada bir Default ekibi oluşturulur.

AlanTürAçıklama
namestringBenzersiz ekip adı (1-50 karakter)
storageQuotanumberEkip başına bayt cinsinden depolama sınırı (kurumsal olmadan çalışır)
retentionHoursnumberÇıktıları bu kadar saat sonra otomatik sil (team_retention_overrides gerektirir, kurumsal)
legalHoldbooleanEkip üyelerinin dosyalarının otomatik silinmesini engelle (legal_hold gerektirir, kurumsal)

INFO

Default ekibi silinemez. Hâlâ üyesi olan ekipler silinemez. Önce üyeleri yeniden atayın.

API anahtarları

Kullanıcılar, programlı erişim için API anahtarları oluşturabilir. Her anahtar si_ önekini kullanır ve yalnızca oluşturulma sırasında bir kez gösterilir.

Kapsamlandırılmış izinler

API anahtarları isteğe bağlı olarak bir permissions dizisi taşıyabilir. Ayarlandığında, bir isteğin etkin izinleri, kullanıcının rol izinleri ile anahtarın kapsamlandırılmış izinlerinin kesişimidir. Bu, bir API anahtarının asla kullanıcının kendi izinlerinin ötesine geçemeyeceği anlamına gelir.

bash
curl -X POST http://localhost:1349/api/v1/api-keys \
  -H "Authorization: Bearer si_..." \
  -H "Content-Type: application/json" \
  -d '{
    "name": "CI pipeline key",
    "permissions": ["tools:use", "files:own"],
    "expiresAt": "2027-01-01T00:00:00Z"
  }'

Sona erme

Anahtarlar isteğe bağlı bir expiresAt zaman damgası kabul eder. Süresi dolmuş anahtarlar kimlik doğrulama sırasında reddedilir.

Denetim günlüğü

SnapOtter, güvenlikle ilgili olayları audit_log veritabanı tablosunda saklanan yapılandırılmış bir denetim günlüğüne kaydeder.

Denetim günlüğünü görüntüleme

GET /api/v1/audit-log?page=1&limit=50&action=LOGIN_FAILED&from=2026-01-01T00:00:00Z&to=2026-12-31T23:59:59Z

audit:read iznini gerektirir. Sayfalandırmayı (page, limit) ve filtreleri (action, ip, from, to) destekler.

Araç işlemi denetimi

WARNING

TOOL_EXECUTED olayları varsayılan olarak günlüğe kaydedilmez. İki yoldan biri aracılığıyla katılım (opt-in) sağlanır:

  1. auditToolOperations yönetici ayarını true olarak ayarlayın.
  2. audit_export özelliğine sahip etkin bir lisans bulundurun (hem ekip hem de kurumsal planlarda mevcuttur).

Bunlardan biri olmadan, bireysel araç yürütmeleri denetim günlüğüne kaydedilmez.

Dışa aktarma

GET /api/v1/enterprise/audit/export?format=csv&from=2026-01-01T00:00:00Z

audit:read iznini ve audit_export kurumsal özelliğini gerektirir (hem ekip hem de kurumsal planlarda mevcuttur). CSV ve JSON formatlarını destekler; action, actorId, targetType, targetId, from ve to ile filtrelenir.

Kurcalamaya dayanıklı imzalama

Etkinleştirildiğinde, her denetim günlüğü girdisi DATA_ENCRYPTION_KEY değerinden türetilen bir HMAC ile imzalanır. Bu şunları gerektirir:

  1. Ortamınızda DATA_ENCRYPTION_KEY ayarını yapmak.
  2. tamperResistantAudit yönetici ayarını etkinleştirmek.
  3. tamper_resistant_audit özelliğine sahip bir kurumsal lisans.

Saklama

Eski girdileri otomatik olarak temizlemek için AUDIT_RETENTION_DAYS ayarını yapın. Varsayılan değer 0'tir; bu, girdilerin süresiz olarak saklandığı anlamına gelir.

Olay referansı

OlayKategori
LOGIN_SUCCESS, LOGIN_FAILEDKimlik doğrulama
OIDC_LOGIN_SUCCESS, OIDC_LOGIN_FAILEDKimlik doğrulama
SAML_LOGIN_SUCCESS, SAML_LOGIN_FAILEDKimlik doğrulama
LOGOUTKimlik doğrulama
USER_CREATED, USER_UPDATED, USER_DELETEDKullanıcı yönetimi
PASSWORD_CHANGED, PASSWORD_RESETKullanıcı yönetimi
MFA_ENROLLED, MFA_DISABLED, MFA_VERIFIED, MFA_VERIFY_FAILEDMFA
MFA_CHALLENGE_ISSUED, MFA_RECOVERY_USED, MFA_RESETMFA
ROLE_CREATED, ROLE_UPDATED, ROLE_DELETEDRoller
API_KEY_CREATED, API_KEY_DELETEDAPI anahtarları
SETTINGS_UPDATED, IP_ALLOWLIST_UPDATEDAyarlar
FILE_UPLOADED, FILE_DELETEDDosyalar
TOOL_EXECUTEDAraçlar (katılımlı)
SCIM_USER_PROVISIONED, SCIM_USER_UPDATED, SCIM_USER_DEPROVISIONEDSCIM
SCIM_GROUP_SYNCEDSCIM
LEGAL_HOLD_APPLIED, LEGAL_HOLD_RELEASEDUyumluluk
GDPR_EXPORT_INITIATED, GDPR_USER_PURGED, GDPR_TEAM_PURGEDUyumluluk
CONFIG_EXPORTED, CONFIG_IMPORTEDYapılandırma

Oturum yönetimi

Oturumlar çerez tabanlıdır ve SESSION_DURATION_HOURS tarafından denetlenir (varsayılan: 168 saat / 7 gün).

Rol değişiklikleri oturumları geçersiz kılar

Bir yönetici bir kullanıcının rolünü değiştirdiğinde, o kullanıcının tüm etkin oturumları silinir. Kullanıcının yeni izinlerini almak için yeniden giriş yapması gerekir.

Güvenlik korumaları

  • Son-yönetici koruması: kalan son yönetici daha düşük bir role indirilemez. Denerseniz API bir hata döndürür.
  • Kendini silme önleme: yöneticiler API aracılığıyla kendi hesaplarını silemez.