Dienstkonten

Dienstkonten sind spezielle Konten, die für automatisierte Systeme und Integrationen konzipiert sind, die mit der RAMP-API interagieren. Im Gegensatz zu regulären Benutzerkonten sind Dienstkonten nicht an einzelne Personen gebunden und für die Maschine-zu-Maschine-Kommunikation vorgesehen.

Erforderliche Rolle: Administrator

Zugang zu Dienstkonten

Navigieren Sie zu Administration > Dienstkonten (oder /_admin/service-accounts).

Wann Dienstkonten verwendet werden sollten

Dienstkonten sind geeignet für:

Anwendungsfall	Beispiel
CI/CD-Pipelines	Automatisierte Deployment-Tools, die Instanzen in RAMP erstellen oder aktualisieren
Überwachungssysteme	Externe Überwachungstools, die Instanzstatus oder Ausführungsfortschritt lesen
Integrationsplattformen	Middleware, die RAMP mit Ticketing-Systemen, CMDB oder Orchestrierungstools verbindet
Geplante Automatisierung	Cron-Jobs oder geplante Aufgaben, die mit der RAMP-API interagieren
Reporting-Tools	Business-Intelligence-Tools, die Daten aus RAMP für Dashboards abrufen

Tipp

Verwenden Sie Dienstkonten anstelle von persönlichen Benutzerkonten für die Automatisierung. Dies vermeidet die Bindung automatisierter Prozesse an einzelne Mitarbeiter und verhindert Unterbrechungen, wenn Personen die Organisation verlassen.

Ein Dienstkonto erstellen

1. Klicken Sie auf Dienstkonto erstellen.
2. Geben Sie einen Namen ein, der den Zweck des Kontos klar identifiziert (z. B. “Jenkins CI Pipeline”, “Überwachungsdienst”, “CMDB-Integration”).
3. Fügen Sie optional eine Beschreibung hinzu, die erklärt, wofür das Dienstkonto verwendet wird und wer es pflegt.
4. Klicken Sie auf Erstellen.
5. RAMP generiert API-Anmeldedaten für das Dienstkonto. Kopieren und speichern Sie diese Anmeldedaten sicher.

Gefahr

API-Anmeldedaten werden nur einmal bei der Erstellung des Dienstkontos angezeigt. Speichern Sie sie sofort sicher. Wenn die Anmeldedaten verloren gehen, müssen Sie sie neu generieren.

Rollen zuweisen

Dienstkonten verwenden dasselbe Rollensystem wie reguläre Benutzer. Weisen Sie nur die Rollen zu, die für die Funktionalität der Integration erforderlich sind.

1. Klicken Sie auf das Dienstkonto.
2. Öffnen Sie die Registerkarte Rollen.
3. Klicken Sie auf Rolle hinzufügen.
4. Wählen Sie die entsprechende Anwendungsrolle aus.
5. Klicken Sie auf Zuweisen.

Empfohlene Rollenzuweisungen

Integrationstyp	Empfohlene Rollen
Schreibgeschützte Überwachung	GlobalInstanceObserver, GlobalTemplateViewer
Instanzerstellung	GlobalInstanceEditor oder GlobalInstanceExecutor
Vollautomatisierung	GlobalInstanceHead (vorsichtig verwenden)
Vorlagenverwaltung	GlobalTemplateEditor
Reporting	GlobalTemplateViewer, GlobalInstanceObserver

Vorsicht

Befolgen Sie das Prinzip der minimalen Rechtevergabe. Ein Überwachungsdienst, der nur Daten liest, sollte keine Schreibberechtigungen haben. Ein Instanzerstellungstool benötigt keinen Vorlagenverwaltungszugriff.

Dienstkonten verwalten

Ein Dienstkonto bearbeiten

1. Klicken Sie auf das Dienstkonto in der Liste.
2. Ändern Sie Name oder Beschreibung.
3. Klicken Sie auf Speichern.

Anmeldedaten neu generieren

Wenn Anmeldedaten kompromittiert oder verloren gegangen sind:

1. Klicken Sie auf das Dienstkonto.
2. Klicken Sie auf Anmeldedaten neu generieren.
3. Kopieren und speichern Sie die neuen Anmeldedaten sicher.
4. Aktualisieren Sie alle Systeme, die die alten Anmeldedaten verwenden.

Vorsicht

Das Neu-Generieren von Anmeldedaten macht die alten Anmeldedaten sofort ungültig. Jedes System, das die alten Anmeldedaten verwendet, verliert den API-Zugriff bis zur Aktualisierung.

Ein Dienstkonto deaktivieren

Um ein Dienstkonto vorübergehend zu deaktivieren, ohne es zu löschen:

1. Klicken Sie auf das Dienstkonto.
2. Setzen Sie den Status auf Inaktiv.
3. Klicken Sie auf Speichern.

Deaktivierte Dienstkonten können sich nicht authentifizieren. Alle API-Aufrufe mit ihren Anmeldedaten werden abgelehnt.

Ein Dienstkonto löschen

1. Klicken Sie auf das Dienstkonto.
2. Klicken Sie auf Löschen.
3. Bestätigen Sie die Löschung.

Gefahr

Das Löschen eines Dienstkontos entfernt es dauerhaft und macht seine Anmeldedaten ungültig. Stellen Sie sicher, dass keine aktiven Integrationen vom Konto abhängen, bevor Sie es löschen.

API-Authentifizierung

Dienstkonten authentifizieren sich mit der RAMP-API mithilfe ihrer Anmeldedaten, um ein JWT-Token zu erhalten. Dieses Token wird dann im Authorization-Header nachfolgender API-Anfragen eingefügt.

Authorization: Bearer <token>

Der Authentifizierungsablauf ist:

1. Anmeldedaten an den Authentifizierungsendpunkt senden.
2. Ein JWT-Token erhalten.
3. Das Token in alle API-Anfragen einschließen.
4. Das Token vor seinem Ablauf erneuern.

Hinweis

Detaillierte API-Authentifizierungsanweisungen und Beispiele finden Sie in der API-Dokumentation.

Bewährte Vorgehensweisen

• Ein Konto pro Integration — erstellen Sie separate Dienstkonten für jedes System oder jede Integration. Dies ermöglicht das einfache Widerrufen des Zugriffs für eine bestimmte Integration, ohne andere zu beeinflussen.
• Beschreibende Namen — benennen Sie Dienstkonten nach ihrem Zweck, nicht nach der Person, die sie eingerichtet hat.
• Besitzer dokumentieren — fügen Sie das verantwortliche Team oder die Person in der Beschreibung hinzu, damit andere wissen, wen sie kontaktieren sollen.
• Anmeldedaten rotieren — generieren Sie Anmeldedaten regelmäßig als Sicherheitsmaßnahme neu, insbesondere für Konten mit umfangreichen Berechtigungen.
• Nutzung überwachen — überprüfen Sie regelmäßig die Aktivität von Dienstkonten, um sicherzustellen, dass sie wie vorgesehen verwendet werden.
• Minimale Rechtevergabe — weisen Sie nur die Mindestrollen zu, die für die Funktion der Integration erforderlich sind.

---

Verwandte Themen

Persönliche Zugriffstoken Persönliche Zugriffstoken für die API-Authentifizierung erstellen und verwalten

Rollen Das RAMP-Rollensystem verstehen und geeignete Rollen für Dienstkonten wählen