Berechtigungen und Rollen
Eigentümer / Administrator / Herausgeber / Betrachter Was die vier Rollen bewirken, Sichtbarkeit auf Ressourcenebene, Liste der Genehmiger.
Braidrun verwendet eine Matrix aus „vier Rollen × Ressourcenkategorien“, um zu steuern, wer was tun kann. Diese Seite bietet eine vollständige Vergleichstabelle und Vorschläge für Rollenzuweisungen in mehreren gängigen Szenarien.
Vier Rollen
- Owner — Die höchste Autorität des Teams. Verwalten Sie Abonnements, Mitglieder und auflösbare Teams. Ein Team hat nur einen Eigentümer.
- Admin — Es ist so ziemlich alles möglich, außer abonnieren/Eigentum übertragen/auflösen. Geeignet für technische Leiter/Operationen.
- Editor — Kann Arbeitsabläufe und Zeitpläne erstellen, ändern und ausführen; kann den gesamten Ausführungsverlauf anzeigen; kann Teamanmeldeinformationen verwenden (aber nicht verwalten).
- Viewer — Schreibgeschützt – siehe Workflow-, Ausführungs- und Überwachungsprotokolle. Kann nicht bearbeitet werden, kann nicht ausgeführt werden, kann Anmeldeinformationswerte nicht anzeigen.
Berechtigungsmatrix
| Ressourcen/Operationen | Owner | Admin | Editor | Viewer |
|---|---|---|---|---|
| Team/Abonnement | ||||
| Upgrade-/Downgrade-Paket | ✓ | — | — | — |
| Rechnungen/Rechnungen verwalten | ✓ | — | — | — |
| Eigentum übertragen | ✓ | — | — | — |
| Lösen Sie das Team auf | ✓ | — | — | — |
| Mitgliederverwaltung | ||||
| Mitglieder einladen | ✓ | ✓ | — | — |
| Mitglied entfernen | ✓ | ✓ | — | — |
| Rolle ändern | ✓ | ✓ | — | — |
| Workflows | ||||
| Erstellen Sie einen neuen Workflow | ✓ | ✓ | ✓ | — |
| Workflow bearbeiten/löschen | ✓ | ✓ | ✓ | — |
| Workflow anzeigen | ✓ | ✓ | ✓ | ✓ |
| Workflow ausführen (manuell) | ✓ | ✓ | ✓ | — |
| Aus Vorlage klonen | ✓ | ✓ | ✓ | — |
| Anmeldeinformationen | ||||
| Siehe Liste der Anmeldeinformationen | ✓ | ✓ | ✓ | — |
| Anmeldeinformationen neu/aktualisieren/löschen | ✓ | ✓ | — | — |
| Referenzanmeldeinformationen im Workflow | ✓ | ✓ | ✓ | — |
| Planung/Webhooks | ||||
| Zeitplan erstellen/bearbeiten | ✓ | ✓ | ✓ | — |
| Webhooks erstellen/bearbeiten | ✓ | ✓ | ✓ | — |
| Zeitplan/Webhook-Liste anzeigen | ✓ | ✓ | ✓ | ✓ |
| Zustimmung | ||||
| Genehmigung einleiten | automatisch | automatisch | automatisch | — |
| Genehmigen Sie Anfragen von anderen | ✓ | ✓ | Pressegenehmiger | — |
| Module | ||||
| Workflow als Modul fördern | ✓ | ✓ | ✓ | — |
| Modul löschen | ✓ | ✓ | Nur von Ihnen selbst erstellt | — |
| Ausführungshistorie/Audit | ||||
| Ausführungsverlauf anzeigen | ✓ | ✓ | ✓ | ✓ |
| Audit-Protokoll anzeigen | ✓ | ✓ | — | — |
| Ausführungsdaten exportieren | ✓ | ✓ | ✓ | — |
| Einstellungen | ||||
| Teameinstellungen ändern | ✓ | ✓ | — | — |
| Benachrichtigungskonfiguration ändern | ✓ | ✓ | — | — |
| Datenaufbewahrungsrichtlinie ändern | ✓ | — | — | — |
Sonderfall der Genehmigerliste
Genehmiger können im Schritt „manual_approval“ explizit angegeben werden – bestimmte Konto-IDs oder Rollen. Zu diesem Zeitpunkt:
- Die Liste ist leer – alle Admin- und höheren Mitglieder können genehmigen (Standard).
- Die Liste enthält bestimmte Benutzer-IDs – nur diese Personen können genehmigen (auch wenn sie Herausgeber sind).
- In der Liste befinden sich Rollen (z. B. „Rolle:Admin“) – alle Mitglieder, die diese Rolle innehaben, können genehmigen
Mit anderen Worten handelt es sich bei Genehmigern um einen „Overlay“-Mechanismus: Sie ermöglichen es Nicht-Admin-Mitgliedern, bestimmte Schritte zu genehmigen.
Rollenvorschläge für typische Szenarien
Szenario 1: 3-köpfiges Ingenieurteam
- Technischer Verantwortlicher → Eigentümer
- 2 Ingenieure → Herausgeber
- Der technische Leiter arbeitet nebenberuflich als Genehmiger
Szenario 2: Hybridteam (Engineering + Operations + Compliance)
- CTO → Eigentümer
- Technischer Leiter + Betrieb und Wartung → Admin (Anmeldeinformationen und Mitglieder verwalten)
- Ingenieur + Betrieb → Editor (Workflows separat erstellen, aber die Anmeldeinformationen können nicht zufällig geändert werden)
- Compliance/Finanzen → Viewer (nur Audit, kein Betrieb)
- Fügen Sie in Workflows mit Kundendaten explizit Compliance-Personal zur Liste der Genehmiger hinzu
Szenario 3: Entwicklungs-/Produktionsteams
- Erstellen Sie in Braidrun zwei unabhängige Teams: my-company-dev / my-company-prod
- Alle Ingenieure sind Redakteure in der Entwicklung und Betrachter in der Produktion.
- Nur SRE ist Herausgeber/Administrator im Produkt
- Nachdem überprüft wurde, dass der Workflow in der Entwicklung stabil ist, wird er über „In Team verschieben“ in die Produktion verschoben.
Berechtigungsprüfung
Jedes Mal, wenn sich eine Rolle ändert, wird ein Audit-Ereignis aufgezeichnet. Sie können „event_type: member_role_changed“ im „Team Audit Log“ filtern, um den Verlauf anzuzeigen.
Nächster Schritt
- Teams — So erstellen/einladen/übertragen
- Manuelle Genehmigung — In welchen Szenarien stimmt „manual_approval“ mit Genehmigern überein?