Mit der rollenbasierten Zugriffskontrolle (RBAC) können Sie benutzerdefinierte Rollen definieren und Ihren Teammitgliedern granulare Berechtigungen zuweisen. Verfügbar im Enterprise-Tarif.
Wenn RBAC aktiviert ist, stammen die Berechtigungen jedes Mitglieds aus der zugewiesenen Rolle — ein Mitglied ohne Rolle kann sich anmelden, aber nichts verwalten. Ohne RBAC haben standardmäßig alle Mitglieder vollen Zugriff (siehe Team).
Berechtigungen#
Jede Rolle setzt sich aus fünf Berechtigungen zusammen:
| Berechtigung | Umfang | Erlaubt |
|---|---|---|
org:manage_team | Organisation | Mitglieder einladen oder entfernen, Rollen erstellen oder bearbeiten, Rollen zuweisen |
org:manage_settings | Organisation | Name, Zeitzone und Integrationen der Organisation bearbeiten |
org:manage_billing | Organisation | Abrechnung, Tarif und Rechnungen einsehen und ändern |
org:delete | Organisation | Die gesamte Organisation löschen |
engine:access | Engine | Lokalisierungs-Engines anzeigen, bearbeiten, löschen und deren Mitglieder verwalten |
org:manage_billing und org:delete sind ausschließlich für Owner vorgesehen — nur der aktuelle Owner kann eine dieser Berechtigungen vergeben, indem er eine Rolle zuweist, die sie enthält.
Rollen#
Es gibt drei Arten von Rollen:
- Owner — Systemrolle mit allen Berechtigungen. Der Benutzer, der die Organisation erstellt, ist der erste Owner; ein bestehender Owner kann weitere Owner ernennen. Die Rolle selbst kann weder bearbeitet noch gelöscht werden, und die Organisation muss immer mindestens einen Owner haben.
- Full Access — wird beim Erstellen einer Organisation automatisch mit
org:manage_team,org:manage_settingsundengine:accessangelegt. Wie jede benutzerdefinierte Rolle bearbeitbar; ein sicherer Standard für vertrauenswürdige Teammitglieder. - Benutzerdefinierte Rollen — jede Rolle, die Sie erstellen. Wählen Sie einen Namen und eine beliebige Teilmenge aus dem Berechtigungskatalog.
Rollen sind Pakete
Ein Benutzer hat auf Organisationsebene genau eine Rolle. Wenn Sie eingeschränkten Zugriff gewähren möchten, erstellen Sie eine Rolle mit genau dieser Berechtigungsmenge und weisen Sie sie zu. Einzelne Berechtigungen können nicht außerhalb einer Rolle vergeben werden.
Rolle zuweisen#
Öffnen Sie die Team-Seite, wählen Sie ein Mitglied aus und weisen Sie eine Rolle zu. Wenn Sie die Rolle entfernen, bleibt die Person Mitglied der Organisation, hat aber keine Berechtigungen mehr — sie bleibt angemeldet, kann jedoch nicht auf Engines, Einstellungen oder die Abrechnung zugreifen.
Nur ein bestehender Owner kann ein anderes Mitglied zum Owner machen oder einen Owner herabstufen — für diese Änderungen ist selbst der Owner-Berechtigungssatz erforderlich.
Engine-Zugriff#
Standardmäßig sieht jedes Mitglied, dessen Rolle engine:access enthält, jede Lokalisierungs-Engine in der Organisation.
Um den Zugriff einzuschränken, fügen Sie bestimmte Benutzer über den Tab „Mitglieder“ einer bestimmten Engine hinzu. Engine-spezifische Berechtigungen sind additiv — eine organisationsweite Berechtigung engine:access hat immer Vorrang. Um einen Benutzer auf eine einzelne Engine zu beschränken, weisen Sie ihm eine Rolle ohne engine:access zu und fügen Sie ihn dann dieser Engine einzeln hinzu.
Service-API-Schlüssel folgen demselben Modell: Ein Schlüssel kann eine Rolle (übergreifende Berechtigungen), einen Engine-spezifischen Umfang, beides oder keines von beidem haben. Schutzmechanismen gegen Rechteausweitung gelten beim Erstellen und Bearbeiten — Service-Schlüssel sind auf Rollen beschränkt, deren Berechtigungssatz nur engine:access umfasst.
Service-API-Schlüssel#
Service-Schlüssel sind ein Konstrukt, das nur mit RBAC verfügbar ist. Persönliche Schlüssel gibt es in jedem Tarif und sie übernehmen die Rolle ihres Erstellers; Service-Schlüssel existieren nur, wenn die RBAC-Berechtigung aktiv ist, und tragen ihre eigenen Berechtigungen.
- Zum Erstellen eines Service-Schlüssels ist
org:manage_teamerforderlich — derselbe Umfang, der auch die Rollenzuweisung steuert. - Ein Service-Schlüssel ohne Rolle ist gültig — sein Zugriff ergibt sich vollständig aus den Engines, die auf dem Schlüssel aufgeführt sind.
- Wenn der Enterprise-Tarif endet, wird jeder Service-Schlüssel in der Organisation mit einem typisierten 403 deaktiviert, der die Berechtigung nennt. So weiß der Betreiber, dass er den Tarif wiederherstellen oder zu einem persönlichen Schlüssel wechseln muss, statt einem vermeintlichen Bug beim Engine-Umfang nachzujagen.
Verwalten Sie Rollen und Engine-Umfang für Service-Schlüssel auf der Seite API Keys.
Eigentümerschaft übertragen#
Wenn Sie der einzige Owner sind und diese Rolle abgeben möchten, verwenden Sie auf der Team-Seite „Eigentümerschaft übertragen“. Wählen Sie den neuen Owner und die Rolle aus, die Sie anschließend haben möchten (oder gar keine Rolle) — Beförderung und eigene Herabstufung werden in einer einzigen Transaktion ausgeführt, sodass die Organisation nie ohne Owner dasteht.
Dieser Ablauf ist speziell dafür gedacht, die Rolle abzugeben. Wenn Sie die Aufgaben eines Owners nur teilen möchten, machen Sie stattdessen über die normale Rollenauswahl einen zweiten Benutzer zum Owner.
