Credenciais
Armazene com segurança as chaves da API no Centro de credenciais e faça referência em workflows.
Credential Center é o armazenamento unificado de todas as chaves do sistema externo - OpenAI API Key, Slack Webhook, Stripe Secret, cabeçalho interno de autenticação API... eles são todos colocados aqui. A plataforma usa o AES-256-GCM para criptografar o banco de dados, e ele não aparecerá nas exportações, registros e eventos de auditoria YAML do início ao fim.
Por que é necessário ir ao Credential Center?
Se você quiser escrever a chave diretamente no YAML, haverá três tipos de problemas:
- vazar — A exportação de YAML, envio de Git e visualização de comparação do assistente de IA trarão a chave de texto simples.
- Não é possível girar — Quando a chave é revogada, cada YAML deve ser modificado manualmente, o que é muito fácil de perder.
- Não foi possível auditar — Quando ocorre um problema, não sei qual chave foi usada em qual execução.
O Credential Center deixa apenas "referências" no YAML, e os valores reais são injetados na etapa correspondente em tempo de execução.
A configuração completa do assistente de IA encontra-se em Definições da conta → Assistente de IA. Os modelos, prompts, ferramentas, Skills, MCP e parâmetros do Claude Code / Codex são geridos lá; esta página guarda credenciais pessoais e da equipa.
Crie uma credencial
- "Gerenciamento de credenciais" à esquerda â "Nova credencial" no canto superior direito.
- Preencha:
- Nome — Um identificador curto totalmente em letras minúsculas + sublinhado, que será usado para cotação em YAML.
openai_main、slack_webhook_url。 - Tipo — api_key / oauth_token / bot_token / webhook_secret / generic。类型决定平台在 UI 上怎么展示它,对解析逻辑影响不大。
- Valor — Uma vez escrito, não pode ser lido novamente.
- Espaço de nomes — Individual/Equipe (se você estiver em equipe no pacote Pro+).
- Descrição (opcional) — Escrito para você ou para membros da equipe, por exemplo: "Chave de produção do projeto OpenAI X".
- Nome — Um identificador curto totalmente em letras minúsculas + sublinhado, que será usado para cotação em YAML.
- Salvar.
****abc3Esta forma dos últimos dígitos.
Isso é seguro por design - nem mesmo os administradores da plataforma podem ler seus valores de credenciais.
Citando credenciais em YAML
Para uso do Agente: campo provedor
agents:
writer:
preset: writer
overrides:
model: gpt-4.1-mini
provider: openai_main # 凭据中心里的凭据名provider: openai_main Diga ao agente: "Use a chave chamada openai_main no centro de credenciais ao depurar o LLM."
Para a etapa de código, use: lista de credenciais
- id: charge_customer
type: code
language: node
credentials:
- stripe_secret # 声明需要这两个凭据
- internal_api_token
code: |
const stripe = require('stripe')(process.env.STRIPE_SECRET);
const internal = await fetch('https://api.mycompany.com/invoice', {
headers: { Authorization: 'Bearer ' + process.env.INTERNAL_API_TOKEN }
});
// ...Descrição:
- Somente aqueles declarados explicitamente na lista credenciais: podem ser lidos - eles não serão vazados para outras etapas.
- Após a análise, ele é injetado como uma variável de ambiente: nome da credencial openai_main → env var OPENAI_MAIN (SCREAMING_SNAKE_CASE).
- Somente os declarados podem ser vistos em process.env;
Referenciado na expressão variável
Alguns campos (como entradas do sub_workflow) podem ser diretamente {{credentials.xxx}} Citar:
- id: notify
type: sub_workflow
module: dingyue-module-slack-deliver
inputs:
slack_webhook_url: "{{credentials.slack_webhook_url}}"
message_text: "..."Também analisado em ordem de namespace.
Namespaces e ordem de análise
O mesmo nome pode existir em diferentes namespaces.
- espaço de nomes pessoal — Se você mesmo construí-lo, somente você poderá referenciá-lo.
- Namespace da equipe — Ele é compartilhado por sua equipe e pode ser referenciado por todos os membros.
- Chave de produção compartilhada (conta paga da equipe) → namespace da equipe
- Para seus próprios testes / ainda não decidi colocá-lo na equipe → Namespace pessoal
- Comum a toda a equipe: use o mesmo nome em ambos os níveis (por exemplo, openai_main), e não há necessidade de alterá-lo no YAML - você usa o pessoal ao testar e muda automaticamente para o da equipe ao entrar online.
Provedor: vincule várias chaves a diferentes negócios
Se você tiver várias chaves (test/prod/team/projeto X/projeto Y) no mesmo provedor LLM (como OpenAI), você pode:
- Crie uma chave para cada chave no centro de credenciais (distinção de nome: openai_test/openai_prod_a/openai_prod_b).
- O campo overrides.provider do Agente especifica qual usar.
- workflows diferentes podem usar provedores diferentes, mas a mesma predefinição, sem copiar a definição do Agente.
agents:
expensive:
preset: universal
overrides:
model: claude-opus-4-7
provider: anthropic_team_budget # 团队有预算的那把
cheap:
preset: universal
overrides:
model: deepseek-v3-5
provider: deepseek_personal # 个人账户的
Código Claude / Códice de Assinatura Credenciais
Se o assistente de IA ou agente de workflow usar o modelo de quota de assinatura, crie o provedor correspondente em "Minhas Credenciais":
claude_code_oauth— O OAuth Token obteve através de login com Claude Code.codex_subscription— Texto completo do auth.json gerado pelo login do Codex CLI.
Esses valores não serão salvos na configuração do assistente Agent/AI, mas somente serão injetados temporariamente no CLI correspondente em tempo de execução.
Rotação e revogação
Rotação normal
- Central de credenciais â Clique em uma credencial â "Atualizar valor".
- Insira o novo valor para salvar.
- Novas execuções iniciadas posteriormente utilizam o novo valor;
Revogação de emergência
Suspeito que minhas credenciais vazaram e quero desativá-las imediatamente:
- Clique na credencial na Central de Credenciais â "Excluir".
- Todas as etapas que fazem referência a ele falharão imediatamente com credential_not_found na próxima vez que forem executadas.
- Em seguida, vá para o provedor upstream (OpenAI/Anthropic...) para revogar a chave real.
Exclua-o primeiro no Braidrun e depois vá para o upstream para revogá-lo - se você fizer o contrário, se você revogá-lo no upstream antes de excluí-lo, a execução em execução falhará repentinamente em grande número.
Auditoria
Um log de auditoria será registrado para cada criação/atualização/exclusão/falha da resolução de credenciais referenciada.
Nenhum log será registrado se a análise de referência for bem-sucedida - para evitar explosão de log.
FAQ
Posso usar variáveis de ambiente?
Tecnicamente possível (por meio das variáveis de ambiente de auto-implantação da equipe), mas não recomendado:
- As variáveis de ambiente são globais em nível de processo e podem ser lidas por process.env em qualquer etapa do código.
- A rotação da variável de ambiente requer a reinicialização do serviço, e as alterações na Central de Credenciais entrarão em vigor imediatamente.
- Variáveis de ambiente não são auditadas.
Os Colegas podem ver minhas credenciais de namespace pessoal?
Não. Mesmo o Team Admin só pode ver a existência das credenciais (na lista), mas não pode ver o valor ou referenciá-lo em seu próprio workflow - a análise do tempo de execução falhará.
OAuth O que fazer com a atualização?
Para provedores OAuth convencionais (Google/GitHub/Slack/Notion): refresh_token é colocado no centro de credenciais e a plataforma access_token é atualizada automaticamente.
Próximo passo
- BYOK · traga sua própria chave LLM — O cenário de credenciais mais comum: configurando sua própria chave de provedor LLM
- Variáveis e expressões —
{{credentials.xxx}}Detalhes adicionais da expressão - Permissões e funções — Como as permissões de administrador são atribuídas ao namespace da equipe?