Technische User anlegen
Ein technischer User ist ein Maschinen-Account für Integrationen gegen die Leitstand-API. Er wird im Self-Service in der Oberfläche verwaltet – anlegen, Rolle vergeben, Secret rotieren, deaktivieren.
Technische User verwalten können ausschließlich Nutzer mit der Rolle Admin. Den Menüpunkt Integrationen sehen nur Admins.
Anlegen
- Navigiere zu System → Integrationen in der Seitenleiste.
- Klicke auf „Technischen User anlegen".
- Vergib einen Namen / Zweck (z. B.
CI-PipelineoderERP-Sync) und wähle eine Rolle:- Lesender Zugriff (
viewer) – darf nur lesen. - Bearbeiter (
editor) – darf lesen und schreiben.
- Lesender Zugriff (
- Bestätige mit „Anlegen".
Anschließend öffnet sich der Dialog „Credentials – nur jetzt sichtbar".
Credentials sicher speichern
username und secret siehst du genau einmal – direkt nach dem Anlegen. Das
Secret wird serverseitig nie gespeichert und kann nicht erneut abgerufen,
sondern nur rotiert werden. Speichere es sofort an einem
sicheren Ort (Passwort-Manager, Secret-Manager deiner CI).
Der Dialog zeigt alles, was deine Integration zum Token-Abruf braucht:
| Feld | Bedeutung |
|---|---|
| Username | Login des technischen Users, z. B. svc-ab12cd34ef56@svc.leitstand.eu |
| Secret | Das Passwort – nur jetzt sichtbar |
| Client-ID | Cognito App-Client-ID (für den Token-Abruf) |
| Region | AWS-Region, z. B. eu-central-1 |
Im Dialog findest du außerdem ein fertiges curl-Beispiel für den Token-Abruf.
Wie es dann weitergeht, steht unter Die API nutzen.
Rollen
| Rolle | Lesen | Schreiben | Typischer Einsatz |
|---|---|---|---|
viewer | ✅ | ❌ | Reporting, Monitoring, Read-only-Exporte |
editor | ✅ | ✅ | Automatischer Datenabgleich (z. B. CMDB, ERP) |
Vergib im Zweifel viewer. Eine Integration, die nur Daten ausliest, braucht
keine Schreibrechte. So bleibt der Schaden begrenzt, falls ein Secret abhandenkommt.
Die Rolle eines technischen Users kannst du später jederzeit in der Tabelle umstellen – die Änderung greift für neu ausgestellte Tokens sofort.
Verwalten
In der Tabelle unter System → Integrationen stehen pro technischem User folgende Aktionen bereit:
Secret rotieren
Erzeugt ein neues Secret und zeigt es einmalig an. Wichtig: Alle bestehenden Tokens werden sofort ungültig. Laufende Integrationen müssen die neuen Credentials übernehmen. Nutze das bei Verdacht auf Kompromittierung oder zur geplanten Rotation.
Rolle ändern
Schaltet zwischen viewer und editor um (Auswahl direkt in der Tabelle).
Deaktivieren
Sperrt den Account (Soft-Disable): Der technische User kann sich nicht mehr authentifizieren, laufende Tokens werden sofort entwertet. Der Eintrag bleibt für den Audit-Trail erhalten und lässt sich später wieder reaktivieren.
Reaktivieren
Hebt eine Deaktivierung wieder auf. Das alte Secret gilt weiter – ist es nicht mehr bekannt, anschließend einmal rotieren.
Gut zu wissen
- Technische User tauchen nicht in der normalen Benutzerverwaltung (System → Benutzer) auf, sondern ausschließlich unter Integrationen.
- Jede Aktion (Anlegen, Rotieren, Rollenwechsel, Deaktivieren, Reaktivieren) wird im Changelog protokolliert – Secrets werden dabei nie gespeichert.
- Du kannst technische User auch per API verwalten (mit einem Admin-Token), siehe Technische User per API verwalten.