Saltar para o conteúdo principal
DocsCompilar o workflowCredenciais

Credenciais

Armazene com segurança as chaves da API no Centro de credenciais e faça referência em workflows.

Credential Center é o armazenamento unificado de todas as chaves do sistema externo - OpenAI API Key, Slack Webhook, Stripe Secret, cabeçalho interno de autenticação API... eles são todos colocados aqui. A plataforma usa o AES-256-GCM para criptografar o banco de dados, e ele não aparecerá nas exportações, registros e eventos de auditoria YAML do início ao fim.

Por que é necessário ir ao Credential Center?

Se você quiser escrever a chave diretamente no YAML, haverá três tipos de problemas:

  1. vazar — A exportação de YAML, envio de Git e visualização de comparação do assistente de IA trarão a chave de texto simples.
  2. Não é possível girar — Quando a chave é revogada, cada YAML deve ser modificado manualmente, o que é muito fácil de perder.
  3. Não foi possível auditar — Quando ocorre um problema, não sei qual chave foi usada em qual execução.

O Credential Center deixa apenas "referências" no YAML, e os valores reais são injetados na etapa correspondente em tempo de execução.

O assistente de IA usa estas credenciais

A configuração completa do assistente de IA encontra-se em Definições da conta → Assistente de IA. Os modelos, prompts, ferramentas, Skills, MCP e parâmetros do Claude Code / Codex são geridos lá; esta página guarda credenciais pessoais e da equipa.

Crie uma credencial

  1. "Gerenciamento de credenciais" à esquerda â "Nova credencial" no canto superior direito.
  2. Preencha:
    • Nome — Um identificador curto totalmente em letras minúsculas + sublinhado, que será usado para cotação em YAML. openai_mainslack_webhook_url
    • Tipo — api_key / oauth_token / bot_token / webhook_secret / generic。类型决定平台在 UI 上怎么展示它,对解析逻辑影响不大。
    • Valor — Uma vez escrito, não pode ser lido novamente.
    • Espaço de nomes — Individual/Equipe (se você estiver em equipe no pacote Pro+).
    • Descrição (opcional) — Escrito para você ou para membros da equipe, por exemplo: "Chave de produção do projeto OpenAI X".
  3. Salvar. ****abc3 Esta forma dos últimos dígitos.
Os valores só podem ser substituídos, não lidos novamente

Isso é seguro por design - nem mesmo os administradores da plataforma podem ler seus valores de credenciais.

Citando credenciais em YAML

Para uso do Agente: campo provedor

yaml
agents:
  writer:
    preset: writer
    overrides:
      model: gpt-4.1-mini
      provider: openai_main          # 凭据中心里的凭据名

provider: openai_main Diga ao agente: "Use a chave chamada openai_main no centro de credenciais ao depurar o LLM."

Para a etapa de código, use: lista de credenciais

yaml
- id: charge_customer
  type: code
  language: node
  credentials:
    - stripe_secret                  # 声明需要这两个凭据
    - internal_api_token
  code: |
    const stripe = require('stripe')(process.env.STRIPE_SECRET);
    const internal = await fetch('https://api.mycompany.com/invoice', {
      headers: { Authorization: 'Bearer ' + process.env.INTERNAL_API_TOKEN }
    });
    // ...

Descrição:

  • Somente aqueles declarados explicitamente na lista credenciais: podem ser lidos - eles não serão vazados para outras etapas.
  • Após a análise, ele é injetado como uma variável de ambiente: nome da credencial openai_main → env var OPENAI_MAIN (SCREAMING_SNAKE_CASE).
  • Somente os declarados podem ser vistos em process.env;

Referenciado na expressão variável

Alguns campos (como entradas do sub_workflow) podem ser diretamente {{credentials.xxx}} Citar:

yaml
- id: notify
  type: sub_workflow
  module: dingyue-module-slack-deliver
  inputs:
    slack_webhook_url: "{{credentials.slack_webhook_url}}"
    message_text: "..."

Também analisado em ordem de namespace.

Namespaces e ordem de análise

O mesmo nome pode existir em diferentes namespaces.

  1. espaço de nomes pessoal — Se você mesmo construí-lo, somente você poderá referenciá-lo.
  2. Namespace da equipe — Ele é compartilhado por sua equipe e pode ser referenciado por todos os membros.
Uso recomendado
  • Chave de produção compartilhada (conta paga da equipe) → namespace da equipe
  • Para seus próprios testes / ainda não decidi colocá-lo na equipe → Namespace pessoal
  • Comum a toda a equipe: use o mesmo nome em ambos os níveis (por exemplo, openai_main), e não há necessidade de alterá-lo no YAML - você usa o pessoal ao testar e muda automaticamente para o da equipe ao entrar online.

Provedor: vincule várias chaves a diferentes negócios

Se você tiver várias chaves (test/prod/team/projeto X/projeto Y) no mesmo provedor LLM (como OpenAI), você pode:

  1. Crie uma chave para cada chave no centro de credenciais (distinção de nome: openai_test/openai_prod_a/openai_prod_b).
  2. O campo overrides.provider do Agente especifica qual usar.
  3. workflows diferentes podem usar provedores diferentes, mas a mesma predefinição, sem copiar a definição do Agente.
yaml
agents:
  expensive:
    preset: universal
    overrides:
      model: claude-opus-4-7
      provider: anthropic_team_budget     # 团队有预算的那把

  cheap:
    preset: universal
    overrides:
      model: deepseek-v3-5
      provider: deepseek_personal         # 个人账户的

Código Claude / Códice de Assinatura Credenciais

Se o assistente de IA ou agente de workflow usar o modelo de quota de assinatura, crie o provedor correspondente em "Minhas Credenciais":

  • claude_code_oauth — O OAuth Token obteve através de login com Claude Code.
  • codex_subscription — Texto completo do auth.json gerado pelo login do Codex CLI.

Esses valores não serão salvos na configuração do assistente Agent/AI, mas somente serão injetados temporariamente no CLI correspondente em tempo de execução.

Rotação e revogação

Rotação normal

  1. Central de credenciais â Clique em uma credencial â "Atualizar valor".
  2. Insira o novo valor para salvar.
  3. Novas execuções iniciadas posteriormente utilizam o novo valor;

Revogação de emergência

Suspeito que minhas credenciais vazaram e quero desativá-las imediatamente:

  1. Clique na credencial na Central de Credenciais â "Excluir".
  2. Todas as etapas que fazem referência a ele falharão imediatamente com credential_not_found na próxima vez que forem executadas.
  3. Em seguida, vá para o provedor upstream (OpenAI/Anthropic...) para revogar a chave real.
ordem é importante

Exclua-o primeiro no Braidrun e depois vá para o upstream para revogá-lo - se você fizer o contrário, se você revogá-lo no upstream antes de excluí-lo, a execução em execução falhará repentinamente em grande número.

Auditoria

Um log de auditoria será registrado para cada criação/atualização/exclusão/falha da resolução de credenciais referenciada.

Nenhum log será registrado se a análise de referência for bem-sucedida - para evitar explosão de log.

FAQ

Posso usar variáveis de ambiente?

Tecnicamente possível (por meio das variáveis de ambiente de auto-implantação da equipe), mas não recomendado:

  • As variáveis de ambiente são globais em nível de processo e podem ser lidas por process.env em qualquer etapa do código.
  • A rotação da variável de ambiente requer a reinicialização do serviço, e as alterações na Central de Credenciais entrarão em vigor imediatamente.
  • Variáveis de ambiente não são auditadas.

Os Colegas podem ver minhas credenciais de namespace pessoal?

Não. Mesmo o Team Admin só pode ver a existência das credenciais (na lista), mas não pode ver o valor ou referenciá-lo em seu próprio workflow - a análise do tempo de execução falhará.

OAuth O que fazer com a atualização?

Para provedores OAuth convencionais (Google/GitHub/Slack/Notion): refresh_token é colocado no centro de credenciais e a plataforma access_token é atualizada automaticamente.

Próximo passo