obhutDoku

Dokumentation durchsuchen

Dokumentationsseiten durchsuchen

API-Tokens und Rollen-Scopes

Rollenskopierte Personal Access Tokens erstellen und die Tenant-API programmatisch per Authorization-Bearer aufrufen.

Für programmatischen Zugriff auf die Tenant-API erstellen Sie im Dashboard ein Personal Access Token (PAT). Das Token trägt eine feste Rolle; jede Rolle schaltet genau die Lese- und Schreib-Gates frei, die auch die entsprechende Dashboard-Rolle hat — nach dem Prinzip der Aufgabentrennung.

Token erstellen

Token anlegen

Öffnen Sie im Dashboard den Bereich API-Tokens, vergeben Sie einen Namen, wählen Sie die Rolle und optional ein Ablaufdatum.

Token einmalig speichern

Das Token im Format obhut_pat_… wird nur einmal angezeigt. Gespeichert wird ausschließlich sein SHA-256-Hash; der Klartext ist danach nicht wiederherstellbar. Die Erstellungsantwort trägt Cache-Control: no-store. Legen Sie das Token in Ihrem Secret Store ab, nie im Quellcode.

Authentifizieren

Alle Tenant-Routen liegen unter /tenants/{tenantId}/…. Das Token wird als Bearer-Header gesendet:

export OBHUT_PAT='<einmal angezeigtes Token>'
export TENANT='<tenant-id>'

curl --fail-with-body "https://api.obhut.io/tenants/$TENANT/audit-events" \
  --header "Authorization: Bearer $OBHUT_PAT"

Rollen und Zugriff

Jede Rolle erfüllt feste Gates. Auditor und Billing sind getrennte Aufgabentrennungs-Rollen, kein reiner Rang:

RolleKannKann nicht
adminalle Lese- und Schreiboperationen des Mandanten
memberalle Lese-Surfaces (Sicherheit und Abrechnung) plus Member-SchreibrechteAdmin-Konfiguration
auditorSicherheits- und Audit-Lese-SurfacesAbrechnung lesen, jede Schreiboperation
billingAbrechnungs-Lese-Surfaces (Nutzung, Rechnungen, Plan)Sicherheits-Surfaces, jede Schreiboperation

Ein 401 bedeutet: Token unbekannt, abgelaufen oder widerrufen. Ein 403 bedeutet: die Rolle des Tokens erfüllt das Gate der aufgerufenen Route nicht.

Sicherheit

  • Das Token wird nur als SHA-256-Hash gespeichert.
  • Widerrufen Sie ein Token jederzeit im Dashboard; ein widerrufenes Token authentifiziert sofort nicht mehr.
  • Ein Token ist mandantengebunden und kann selbst keine weiteren Tokens erstellen — das Minten von Tokens ist ausschließlich eine Session-Aktion.
  • Für reine KI-Lesezugriffe gibt es zusätzlich den engeren MCP-Lesezugriff.