Security
Workspace-Rollen und benutzerdefiniertes RBAC
Integrierte Rollen (Owner, Admin, Editor, Viewer), was jede kann, wie benutzerdefinierte Rollen im Business-Tarif funktionieren und wie Rollenänderungen mit API-Schlüsseln interagieren.
Updated 2026-05-15
Elido hat vier integrierte Workspace-Rollen. Sie decken die meisten Teams ab; benutzerdefinierte Rollen im Business-Tarif ermöglichen eine Feinanpassung, wenn „Admin" zu viel und „Editor" zu wenig ist.
Integrierte Rollen#
| Rolle | Links | Mitglieder | Domains | Abrechnung | Audit-Log |
|---|---|---|---|---|---|
| Owner | RW | RW | RW | RW | R |
| Admin | RW | RW | RW | R (nur lesen) | R |
| Editor | RW | R | R | — | R (nur eigene Aktionen) |
| Viewer | R | R | R | — | — |
R = Lesen, RW = Lesen/Schreiben, — = kein Zugang. Die Matrix ist eine Vereinfachung — siehe die Anmerkungen pro Bereich unten für Details.
Was jede Rolle tatsächlich kann#
Owner. Die Rolle, die von demjenigen verwendet wird, der den Workspace erstellt hat, und von jedem, den sie befördert haben. Owner sind die einzige Rolle, die:
- Den Abrechnungsplan oder die Zahlungsmethode ändern kann.
- Den Workspace löschen kann.
- Andere Owner befördern/degradieren kann.
Ein Workspace muss immer mindestens einen Owner haben. Wenn der letzte Owner geht, wird automatisch der am längsten tätige Admin befördert.
Admin. Tägliche Workspace-Verwaltung ohne Abrechnungszugang. Admins verwalten Links, Domains, Webhooks, Mitglieder und Integrationen. Sie können Abrechnungsseiten lesen, aber keine Karten oder Pläne ändern.
Editor. Standard für einzelne Mitarbeiter. Kann Links erstellen/bearbeiten/löschen, Massenimporte durchführen, QR-Codes generieren und Webhooks verwalten. Kann keine Personen einladen, Workspace-Einstellungen ändern oder benutzerdefinierte Domains hinzufügen.
Viewer. Nur-Lese-Zugang im gesamten Dashboard. Sieht Links und Analytics; kann auf keine Aktionsschaltfläche klicken. Nützlich für Stakeholder, Prüfer und schreibgeschützte BI/Looker-Benutzer.
Benutzerdefinierte Rollen (Business-Tarif)#
Business-Workspaces können benutzerdefinierte Rollen mit einer Checkliste von Berechtigungen definieren. Der Berechtigungssatz:
links.read/links.writeanalytics.readdomains.read/domains.writemembers.read/members.writebilling.read/billing.writeaudit_log.readwebhooks.writeapi_keys.create(Schlüssel mit Rolle ≤ eigener ausstellen)qr.read/qr.writebio.writebranding.write(White-Label-Anpassung)
Erstellen Sie eine unter Einstellungen → Rollen → Neue Rolle. Wählen Sie einen Namen, setzen Sie Häkchen bei den Berechtigungen, speichern Sie. Weisen Sie einem Mitglied aus der Mitgliederliste zu. Rollen können später bearbeitet werden; Änderungen propagieren innerhalb von 60 Sekunden.
Rollen und API-Schlüssel#
API-Schlüssel sind rollenbezogen. Ein editor-API-Schlüssel kann Links schreiben; ein admin-API-Schlüssel kann alles tun, was ein Admin-Benutzer kann. Das Ausstellen eines Schlüssels mit einer höheren Rolle als Ihre eigene Workspace-Rolle ist nicht erlaubt — die API lehnt mit 403 ab.
Die Degradierung eines Benutzers widerruft seine API-Schlüssel nicht automatisch. Sie behalten die Rolle, die sie bei der Ausstellung hatten. Um die Degradierung durchzusetzen, widerrufen Sie die Schlüssel des Benutzers explizit unter Einstellungen → API-Schlüssel → Benutzerschlüssel verwalten.
Eigentümerschaft übertragen#
Um die Eigentümerschaft an jemand anderen zu übergeben:
- Öffnen Sie die Mitgliederzeile → Rolle festlegen: Owner.
- Setzen Sie optional Ihre eigene Rolle auf Admin oder niedriger herab.
Es gibt keinen „Workspace übertragen"-Assistenten — jeder Owner hat gleiche Rechte, und Sie können so viele Owner haben, wie Sie möchten. Für eine saubere Übergabe befördern Sie zunächst den neuen Owner, bestätigen Sie, dass er Zugang hat, und degradieren Sie sich dann selbst.
Ein Mitglied entfernen#
Entfernte Mitglieder verlieren sofort den Dashboard-Zugang. Ihre persönlichen API-Schlüssel werden innerhalb von 60 Sekunden widerrufen. Von ihnen erstellte Links bleiben im Workspace (nicht beim Benutzer), daher bricht auf der Link-Seite nichts.
Audit-Log-Einträge, die vom entfernten Benutzer erstellt wurden, werden auf unbestimmte Zeit gespeichert — die Entfernung anonymisiert die Historie nicht.
Fehlerbehebung#
Ein Benutzer sagt, er kann einen von ihm erstellten Link nicht sehen. Prüfen Sie seine Rolle — wenn Sie ihn auf Viewer degradiert haben, kann er den Link immer noch sehen, wenn er im Workspace ist, aber er kann ihn nicht bearbeiten. Wenn Sie ihn auch aus dem Ordner verschoben haben, stellen Sie den Ordnerzugang wieder her.
API-Schlüssel funktioniert für einen Benutzer auch nach der Degradierung. API-Schlüssel behalten ihre ursprüngliche Rolle. Widerrufen Sie den Schlüssel unter Einstellungen → API-Schlüssel, um eine Neuausstellung zu erzwingen.
Benutzerdefinierte Rolle fehlt eine Berechtigung, die ich benötige. Der Berechtigungssatz ist fest (siehe Liste oben). Wenn etwas wirklich Kritisches fehlt, senden Sie eine E-Mail an support@elido.app mit dem Anwendungsfall — wir fügen dem Berechtigungssatz Funktionen hinzu, wenn es Bedarf gibt.
Massenrollenänderung. Verwenden Sie die SCIM-API: Gruppen-Mitgliedschaften in Ihrem IdP werden Rollen in Elido zugeordnet. Weitere Informationen zur Einrichtung finden Sie unter SSO + SCIM. SCIM-kontrollierte Rollen können nicht im Dashboard bearbeitet werden — sie entsprechen dem, was der IdP sagt.