Persönliche Zugriffstoken

Persönliche Zugriffstoken (PATs) ermöglichen es einzelnen Benutzern, sich mit der RAMP-API zu authentifizieren, ohne ihre regulären Anmeldedaten zu verwenden. Jeder Token erbt die Berechtigungen des Benutzers, der ihn erstellt hat.

Zugang zur Token-Verwaltung

Navigieren Sie zu Einstellungen > Persönliche Zugriffstoken (oder /_settings/tokens).

Hinweis

Im Gegensatz zu den meisten Verwaltungsfunktionen werden persönliche Zugriffstoken von einzelnen Benutzern selbst verwaltet, nicht von Administratoren. Jeder authentifizierte Benutzer kann seine eigenen Token erstellen und verwalten.

Wann persönliche Zugriffstoken verwendet werden sollten

Persönliche Zugriffstoken sind nützlich für:

Anwendungsfall	Beschreibung
Persönliche Skripte	Aufgaben mit Skripten automatisieren, die unter Ihrer Identität laufen
Entwicklungstools	IDE-Plugins oder Entwicklungstools mit der RAMP-API verbinden
Tests	Schnelle API-Tests während der Entwicklung ohne vollständige OAuth-Flows
Ad-hoc-Integrationen	Kurzlebige Integrationen, die kein dediziertes Dienstkonto rechtfertigen

PATs vs. Dienstkonten

Merkmal	Persönliche Zugriffstoken	Dienstkonten
Identität	An einen einzelnen Benutzer gebunden	Unabhängige Maschinenidentität
Berechtigungen	Erbt die Rollen des Benutzers	Unabhängig zugewiesen
Verwaltung	Vom Benutzer verwaltet	Von Administratoren verwaltet
Am besten geeignet für	Persönliche Skripte, Entwicklung	Produktionsintegrationen, CI/CD
Lebenszyklus	An das Benutzerkonto gebunden	Unabhängig von jedem Benutzer

Tipp

Für Produktionsintegrationen und automatisierte Pipelines verwenden Sie stattdessen Dienstkonten. Dienstkonten sind unabhängig von einzelnen Benutzern und werden zentral von Administratoren verwaltet.

Einen Token erstellen

1. Navigieren Sie zu Einstellungen > Persönliche Zugriffstoken.
2. Klicken Sie auf Token erstellen.
3. Geben Sie einen Namen ein, der den Zweck des Tokens beschreibt (z. B. “CLI-Skript”, “Postman-Tests”, “VS Code Plugin”).
4. Legen Sie optional ein Ablaufdatum fest. Token ohne Ablaufdatum bleiben gültig, bis sie manuell widerrufen werden.
5. Klicken Sie auf Erstellen.
6. Kopieren Sie den generierten Token sofort und speichern Sie ihn sicher.

Gefahr

Der Token-Wert wird nur einmal bei der Erstellung angezeigt. Kopieren Sie ihn sofort und speichern Sie ihn an einem sicheren Ort (z. B. in einem Passwortmanager oder Secrets-Tresor). Wenn Sie den Token verlieren, müssen Sie einen neuen erstellen.

Einen Token verwenden

Fügen Sie den persönlichen Zugriffstoken in den Authorization-Header Ihrer API-Anfragen ein:

Authorization: Bearer <ihr-token>

Der Token authentifiziert sich als der Benutzer, der ihn erstellt hat, mit denselben Berechtigungen und Rollenzugriffen.

Token verwalten

Ihre Token anzeigen

Die Token-Verwaltungsseite listet alle Ihre aktiven Token mit folgenden Informationen auf:

• Token-Name
• Erstellungsdatum
• Ablaufdatum (falls festgelegt)
• Datum der letzten Verwendung

Hinweis

Die tatsächlichen Token-Werte werden nach der Erstellung nie angezeigt. Nur der Token-Name und die Metadaten werden angezeigt.

Einen Token widerrufen

Wenn ein Token kompromittiert oder nicht mehr benötigt wird:

1. Navigieren Sie zu Einstellungen > Persönliche Zugriffstoken.
2. Suchen Sie den Token, den Sie widerrufen möchten.
3. Klicken Sie auf Widerrufen (oder Löschen).
4. Bestätigen Sie die Aktion.

Widerrufene Token werden sofort ungültig gemacht. Jeder API-Aufruf mit dem widerrufenen Token wird abgelehnt.

Vorsicht

Das Widerrufen eines Tokens ist sofortig und nicht umkehrbar. Stellen Sie sicher, dass keine aktiven Skripte oder Tools vom Token abhängen, bevor Sie ihn widerrufen, oder aktualisieren Sie diese zuerst mit einem neuen Token.

Token-Berechtigungen

Ein persönlicher Zugriffstoken erbt alle Berechtigungen des Benutzers, der ihn erstellt hat, zum Zeitpunkt jedes API-Aufrufs. Das bedeutet:

• Wenn sich Ihre Rollen ändern (hinzugefügt oder entfernt), ändern sich die effektiven Berechtigungen des Tokens entsprechend.
• Wenn Ihr Konto deaktiviert wird, funktioniert der Token nicht mehr.
• Der Token kann nicht auf mehr zugreifen als Sie über die Benutzeroberfläche zugreifen können.

Hinweis

Es gibt keine Möglichkeit, einen Token mit einer Teilmenge Ihrer Berechtigungen zu erstellen. Der Token hat immer den vollständigen Satz von Berechtigungen, die Ihrem Benutzerkonto zugeordnet sind.

Sicherheits-Bewährte Vorgehensweisen

• Beschreibende Namen verwenden — benennen Sie jeden Token nach seinem Zweck, damit Sie wissen, welchen Sie bei Bedarf widerrufen müssen.
• Ablaufdaten festlegen — vermeiden Sie unbegrenzte Token. Legen Sie dem Anwendungsfall angemessene Ablaufdaten fest.
• Ein Token pro Anwendungsfall — erstellen Sie separate Token für verschiedene Tools oder Skripte. Dies ermöglicht das Widerrufen des Zugriffs für ein Tool, ohne andere zu beeinflussen.
• Token niemals einchecken — speichern Sie Token nicht im Quellcode, in Konfigurationsdateien, die in die Versionskontrolle eingecheckt werden, oder in der Dokumentation.
• Regelmäßig rotieren — regenerieren Sie Token nach einem regelmäßigen Zeitplan, insbesondere Token mit umfangreichen Berechtigungen.
• Ungenutzte Token widerrufen — überprüfen Sie regelmäßig Ihre Token und widerrufen Sie alle, die nicht mehr verwendet werden.
• Umgebungsvariablen verwenden — speichern Sie Token in Umgebungsvariablen oder Secret-Management-Tools, nicht in Klartextdateien.

---

Verwandte Themen

Dienstkonten Dienstkonten für API-Automatisierung und externe Systemintegrationen erstellen