API-Tokens und Rollen-Scopes
Rollenskopierte Personal Access Tokens erstellen und die Tenant-API programmatisch per Authorization-Bearer aufrufen.
Für programmatischen Zugriff auf die Tenant-API erstellen Sie im Dashboard ein Personal Access Token (PAT). Das Token trägt eine feste Rolle; jede Rolle schaltet genau die Lese- und Schreib-Gates frei, die auch die entsprechende Dashboard-Rolle hat — nach dem Prinzip der Aufgabentrennung.
Token erstellen
Token anlegen
Öffnen Sie im Dashboard den Bereich API-Tokens, vergeben Sie einen Namen, wählen Sie die Rolle und optional ein Ablaufdatum.
Token einmalig speichern
Das Token im Format obhut_pat_… wird nur einmal angezeigt. Gespeichert
wird ausschließlich sein SHA-256-Hash; der Klartext ist danach nicht
wiederherstellbar. Die Erstellungsantwort trägt Cache-Control: no-store.
Legen Sie das Token in Ihrem Secret Store ab, nie im Quellcode.
Authentifizieren
Alle Tenant-Routen liegen unter /tenants/{tenantId}/…. Das Token wird als
Bearer-Header gesendet:
export OBHUT_PAT='<einmal angezeigtes Token>'
export TENANT='<tenant-id>'
curl --fail-with-body "https://api.obhut.io/tenants/$TENANT/audit-events" \
--header "Authorization: Bearer $OBHUT_PAT"Rollen und Zugriff
Jede Rolle erfüllt feste Gates. Auditor und Billing sind getrennte Aufgabentrennungs-Rollen, kein reiner Rang:
| Rolle | Kann | Kann nicht |
|---|---|---|
admin | alle Lese- und Schreiboperationen des Mandanten | — |
member | alle Lese-Surfaces (Sicherheit und Abrechnung) plus Member-Schreibrechte | Admin-Konfiguration |
auditor | Sicherheits- und Audit-Lese-Surfaces | Abrechnung lesen, jede Schreiboperation |
billing | Abrechnungs-Lese-Surfaces (Nutzung, Rechnungen, Plan) | Sicherheits-Surfaces, jede Schreiboperation |
Ein 401 bedeutet: Token unbekannt, abgelaufen oder widerrufen. Ein 403
bedeutet: die Rolle des Tokens erfüllt das Gate der aufgerufenen Route nicht.
Sicherheit
- Das Token wird nur als SHA-256-Hash gespeichert.
- Widerrufen Sie ein Token jederzeit im Dashboard; ein widerrufenes Token authentifiziert sofort nicht mehr.
- Ein Token ist mandantengebunden und kann selbst keine weiteren Tokens erstellen — das Minten von Tokens ist ausschließlich eine Session-Aktion.
- Für reine KI-Lesezugriffe gibt es zusätzlich den engeren MCP-Lesezugriff.