Credenciales
Almacene de forma segura las claves API en Credential Center y haga referencia a ellas en los flujos de trabajo.
Credential Center es el almacenamiento unificado de todas las claves del sistema externo: OpenAI API Key, Slack Webhook, Stripe Secret, encabezado de autenticación de API interna... todos están ubicados aquí. La plataforma utiliza AES-256-GCM para cifrar la base de datos y no aparecerá en las exportaciones, registros y eventos de auditoría YAML de principio a fin.
¿Por qué es necesario acudir al Centro de Credenciales?
Si desea escribir cómodamente la clave directamente en YAML, habrá tres tipos de problemas:
- fuga — La exportación de YAML, el envío de Git y la vista previa de diferencias del asistente de IA mostrarán la clave de texto sin formato.
- No se puede rotar — Cuando se revoca la clave, cada YAML debe modificarse manualmente, lo cual es muy fácil de pasar por alto.
- No se puede auditar — Cuando ocurre un problema, no sé qué clave se usó en qué ejecución.
Credential Center deja solo "referencias" en YAML y los valores reales se inyectan en el paso correspondiente en tiempo de ejecución.
La configuración completa del asistente de IA está en Configuración de la cuenta → Asistente de IA. Allí se gestionan modelos, prompts, herramientas, Skills, MCP y parámetros de Claude Code / Codex; esta página guarda las credenciales personales y del equipo.
Crear una credencial
- "Gestión de credenciales" a la izquierda → "Nueva credencial" en la esquina superior derecha.
- Complete:
- Nombre — Un identificador corto completamente en minúsculas + guión bajo, que se utilizará para citar en YAML. Ejemplo:
openai_main、slack_webhook_url。 - Tipo — api_key / oauth_token / bot_token / webhook_secret / generic。类型决定平台在 UI 上怎么展示它,对解析逻辑影响不大。
- valor — Una vez escrito, no se puede volver a leer.
- Espacio de nombres — Individual/Equipo (si estás en un equipo en el paquete Pro+).
- Descripción (opcional) — Escrito para usted o los miembros del equipo, por ejemplo: "Clave de producción del proyecto X de OpenAI".
- Nombre — Un identificador corto completamente en minúsculas + guión bajo, que se utilizará para citar en YAML. Ejemplo:
- Guardar. La plataforma cifra inmediatamente la base de datos y la muestra en la lista como
****abc3Esta forma de los últimos dígitos.
Esto es seguro por diseño: ni siquiera los administradores de la plataforma pueden leer los valores de sus credenciales. Si olvida el valor original y necesita cambiarlo, solo puede eliminarlo y reconstruirlo o sobrescribirlo con "actualizar valor".
Citando credenciales en YAML
Para uso del agente: campo proveedor
agents:
writer:
preset: writer
overrides:
model: gpt-4.1-mini
provider: openai_main # 凭据中心里的凭据名provider: openai_main Dígale al agente: "Utilice la clave denominada openai_main en el centro de credenciales al depurar LLM". La plataforma analiza en orden de espacio de nombres y el primer resultado surte efecto.
Para el paso del código utilice: lista de credenciales
- id: charge_customer
type: code
language: node
credentials:
- stripe_secret # 声明需要这两个凭据
- internal_api_token
code: |
const stripe = require('stripe')(process.env.STRIPE_SECRET);
const internal = await fetch('https://api.mycompany.com/invoice', {
headers: { Authorization: 'Bearer ' + process.env.INTERNAL_API_TOKEN }
});
// ...Descripción:
- Solo se pueden leer aquellos declarados explícitamente en la lista de credenciales: no se filtrarán a otros pasos.
- Después del análisis, se inyecta como una variable de entorno: nombre de credencial openai_main → env var OPENAI_MAIN (SCREAMING_SNAKE_CASE).
- Sólo los declarados se pueden ver en proceso.env; otras credenciales en el centro de credenciales son invisibles para este código.
Referenciado en expresión variable.
Algunos campos (como las entradas de sub_workflow) pueden ser directamente {{credentials.xxx}} Cita:
- id: notify
type: sub_workflow
module: dingyue-module-slack-deliver
inputs:
slack_webhook_url: "{{credentials.slack_webhook_url}}"
message_text: "..."También analizado en orden de espacio de nombres. El valor de la credencial solo entra en vigor cuando se está ejecutando el paso actual y no se escribirá en la instantánea de ejecución.
Espacios de nombres y orden de análisis
El mismo nombre puede existir en diferentes espacios de nombres. Al ejecutar, busque en el siguiente orden, primero encontrado, primero usado:
- espacio de nombres personales — Si lo construye usted mismo, solo usted podrá hacer referencia a él.
- Espacio de nombres del equipo — Su equipo lo comparte y todos los miembros pueden consultarlo. Solo el administrador del equipo puede crear/eliminar.
- Clave de producción compartida (cuenta paga del equipo) → espacio de nombres del equipo
- Para su propia prueba/no he decidido incluirlo en el equipo → Espacio de nombres personal
- Común para todo el equipo: use el mismo nombre en ambos niveles (por ejemplo, openai_main), y no es necesario cambiarlo en YAML: usa el personal cuando realiza la prueba y cambia automáticamente al del equipo cuando se conecta.
Proveedor: vincule varias claves a diferentes empresas
Si tiene varias claves (prueba/prod/equipo/proyecto X/proyecto Y) en el mismo proveedor de LLM (como OpenAI), puede:
- Cree una clave para cada clave en el centro de credenciales (distinción de nombre: openai_test / openai_prod_a / openai_prod_b).
- El campo overrides.provider del Agente especifica cuál usar.
- Diferentes flujos de trabajo pueden utilizar diferentes proveedores pero el mismo valor preestablecido sin copiar la definición del Agente.
agents:
expensive:
preset: universal
overrides:
model: claude-opus-4-7
provider: anthropic_team_budget # 团队有预算的那把
cheap:
preset: universal
overrides:
model: deepseek-v3-5
provider: deepseek_personal # 个人账户的
Código Claude / Credenciales de suscripción Codex
Si el asistente de IA o el agente de flujo de trabajo utiliza el modelo de cuota de suscripción, cree el proveedor correspondiente en "Mis credenciales":
claude_code_oauth— El token OAuth obtenido al iniciar sesión con Claude Code.codex_subscription— Texto completo de auth.json generado por el inicio de sesión de Codex CLI.
Estos valores no se guardarán en la configuración del Agente/Asistente AI, sino que solo se inyectarán temporalmente en la CLI correspondiente en tiempo de ejecución.
Rotación y revocación
Rotación normal
- Credential Center → Click on a credential → "Update Value".
- Ingrese un nuevo valor para guardar.
- Las nuevas ejecuciones iniciadas a partir de entonces utilizan el nuevo valor; Las ejecuciones en curso continúan utilizando el valor anterior almacenado en caché al inicio.
Revocación de emergencia
Sospecho que mis credenciales han sido filtradas y quiero desactivarlas inmediatamente:
- Haga clic en la credencial en el Centro de credenciales → "Eliminar".
- Todos los pasos que hacen referencia a él fallarán inmediatamente con credential_not_found la próxima vez que se ejecuten.
- Luego vaya al proveedor ascendente (OpenAI/Anthropic...) para revocar la clave real.
Primero elimínelo en Braidrun y luego vaya al flujo ascendente para revocarlo; si lo hace al revés, si lo revoca en el flujo ascendente antes de eliminarlo, la ejecución en ejecución fallará repentinamente en grandes cantidades.
Auditoría
Se registrará un registro de auditoría para cada creación/actualización/eliminación/fallo de la resolución de credenciales a la que se hace referencia. Los administradores pueden ir a la página "Registro de auditoría" para filtrar credencial_* por tipo de evento para ver.
No se registrará ningún registro si el análisis de referencia se realiza correctamente, para evitar una explosión de registros. Pero los metadatos de "qué credenciales fueron analizadas por esta ejecución" se mostrarán en los detalles de cada ejecución.
FAQ
¿Puedo utilizar variables de entorno en su lugar?
Técnicamente posible (a través de las variables de entorno de implementación automática del equipo), pero no recomendado:
- Las variables de entorno son globales a nivel de proceso y Process.env puede leerlas en cualquier paso del código. Credential Center solo inyecta los pocos que usted declara.
- La rotación de variables de entorno requiere reiniciar el servicio y los cambios en el Centro de credenciales entrarán en vigor de inmediato.
- Las variables de entorno no se auditan.
¿Pueden los colegas ver mis credenciales de espacio de nombres personales?
No. Incluso el administrador del equipo solo puede ver la existencia de las credenciales (en la lista), pero no puede ver el valor ni hacer referencia a él en su propio flujo de trabajo: se perderá el análisis en tiempo de ejecución.
OAuth ¿Qué hacer con la actualización?
Para los principales proveedores de OAuth (Google/GitHub/Slack/Notion): el refresco_token se coloca en el centro de credenciales y la plataforma access_token se actualiza automáticamente. Para otros proveedores, debe colocar un token válido a largo plazo en las credenciales o escribir el paso del código de actualización usted mismo.
Siguiente paso
- BYOK · usa tu propia LLM Key — El escenario de credenciales más común: configurar su propia clave de proveedor LLM
- Variables y expresiones —
{{credentials.xxx}}Detalles adicionales de la expresión. - Permisos y roles — ¿Cómo se asignan los permisos de administrador al espacio de nombres del equipo?