Zum Hauptinhalt springen

Technische User anlegen

Ein technischer User ist ein Maschinen-Account für Integrationen gegen die Leitstand-API. Er wird im Self-Service in der Oberfläche verwaltet – anlegen, Rolle vergeben, Secret rotieren, deaktivieren.

Wer darf das?

Technische User verwalten können ausschließlich Nutzer mit der Rolle Admin. Den Menüpunkt Integrationen sehen nur Admins.

Anlegen

  1. Navigiere zu System → Integrationen in der Seitenleiste.
  2. Klicke auf „Technischen User anlegen".
  3. Vergib einen Namen / Zweck (z. B. CI-Pipeline oder ERP-Sync) und wähle eine Rolle:
    • Lesender Zugriff (viewer) – darf nur lesen.
    • Bearbeiter (editor) – darf lesen und schreiben.
  4. Bestätige mit „Anlegen".

Anschließend öffnet sich der Dialog „Credentials – nur jetzt sichtbar".

Credentials sicher speichern

Das Secret wird nur einmal angezeigt

username und secret siehst du genau einmal – direkt nach dem Anlegen. Das Secret wird serverseitig nie gespeichert und kann nicht erneut abgerufen, sondern nur rotiert werden. Speichere es sofort an einem sicheren Ort (Passwort-Manager, Secret-Manager deiner CI).

Der Dialog zeigt alles, was deine Integration zum Token-Abruf braucht:

FeldBedeutung
UsernameLogin des technischen Users, z. B. svc-ab12cd34ef56@svc.leitstand.eu
SecretDas Passwort – nur jetzt sichtbar
Client-IDCognito App-Client-ID (für den Token-Abruf)
RegionAWS-Region, z. B. eu-central-1

Im Dialog findest du außerdem ein fertiges curl-Beispiel für den Token-Abruf. Wie es dann weitergeht, steht unter Die API nutzen.

Rollen

RolleLesenSchreibenTypischer Einsatz
viewerReporting, Monitoring, Read-only-Exporte
editorAutomatischer Datenabgleich (z. B. CMDB, ERP)
Least Privilege

Vergib im Zweifel viewer. Eine Integration, die nur Daten ausliest, braucht keine Schreibrechte. So bleibt der Schaden begrenzt, falls ein Secret abhandenkommt.

Die Rolle eines technischen Users kannst du später jederzeit in der Tabelle umstellen – die Änderung greift für neu ausgestellte Tokens sofort.

Verwalten

In der Tabelle unter System → Integrationen stehen pro technischem User folgende Aktionen bereit:

Secret rotieren

Erzeugt ein neues Secret und zeigt es einmalig an. Wichtig: Alle bestehenden Tokens werden sofort ungültig. Laufende Integrationen müssen die neuen Credentials übernehmen. Nutze das bei Verdacht auf Kompromittierung oder zur geplanten Rotation.

Rolle ändern

Schaltet zwischen viewer und editor um (Auswahl direkt in der Tabelle).

Deaktivieren

Sperrt den Account (Soft-Disable): Der technische User kann sich nicht mehr authentifizieren, laufende Tokens werden sofort entwertet. Der Eintrag bleibt für den Audit-Trail erhalten und lässt sich später wieder reaktivieren.

Reaktivieren

Hebt eine Deaktivierung wieder auf. Das alte Secret gilt weiter – ist es nicht mehr bekannt, anschließend einmal rotieren.

Gut zu wissen

  • Technische User tauchen nicht in der normalen Benutzerverwaltung (System → Benutzer) auf, sondern ausschließlich unter Integrationen.
  • Jede Aktion (Anlegen, Rotieren, Rollenwechsel, Deaktivieren, Reaktivieren) wird im Changelog protokolliert – Secrets werden dabei nie gespeichert.
  • Du kannst technische User auch per API verwalten (mit einem Admin-Token), siehe Technische User per API verwalten.