v1.0.0-beta.5
Neu: Sie können Modellzugriffe jetzt rollenbasiert steuern — z.B. eine Rolle “Power-User” erstellen, die Zugriff auf große Flagship-Modelle erhält, während Standard-User auf günstigere Modelle beschränkt sind.Geändert: Berechtigungsprüfungen wurden überarbeitet und sind jetzt vorhersehbarer. Wenn Sie eigene Rollen-Konfigurationen aus früheren Versionen haben, prüfen Sie das Verhalten nach dem Update.
Zwei Arten von Rollenvorlagen
System-Rollenvorlagen
Von Localmind mitgelieferte Vorlagen wie Viewer und Administrator. Diese decken die gängigsten Anwendungsfälle ab und können nicht bearbeitet oder gelöscht werden.
Benutzerdefinierte Rollenvorlagen
Von Instanz-Administratoren erstellte Vorlagen für spezifische Anforderungen. Hier lässt sich granular festlegen, auf welche Funktionen eine Rolle Zugriff hat – z.B. „darf Agenten abfragen, aber keine Daten bearbeiten”.
Geltungsbereich
Rollenvorlagen können auf jeder der drei Berechtigungsebenen eingesetzt werden:- Instanz-Ebene — Steuert instanzweite Verwaltungsrechte
- Organisations-Ebene — Steuert Zugriff auf Organisationseinstellungen, Library, Billing etc.
- Space-Ebene — Steuert Zugriff auf KI-Ressourcen (Agenten, Daten, Apps, Tools)
Details zur Zuweisung von Rollen an Benutzer und Teams auf Organisationsebene finden Sie unter Mitglieder (Org-Mitgliedschaften) und Space-Rollen (Rollen-Definitionen auf Space-Ebene).
Custom Org Rollen erstellen
Org-Rollen steuern, welche Aktionen Benutzer innerhalb einer Organisation ausführen dürfen – von der Mitgliederverwaltung über Billing bis hin zu Library und Audit Logs. Die Rolle wird über einzelne Berechtigungen je Kategorie granular zusammengestellt. UI-Ort: Instanzeinstellungen → Rollenvorlagen → Rolle erstellenFormular
| Feld | Beschreibung | Pflicht |
|---|---|---|
| Rollenname | Eindeutige Bezeichnung für die Rolle (z.B. „Content Manager” oder „Auditor Erweitert”) | Ja |
| Beschreibung | Kurzerklärung des Einsatzzwecks | Nein |
Aktions-Glossar
Die folgenden Aktionstypen (Verben) kommen in den Berechtigungskategorien vor. Dieses Glossar gilt sowohl für Org-Rollen als auch für Custom Space Rollen.| Aktion | Bedeutung |
|---|---|
| Lesen | Ressourcen anzeigen und auflisten. Grundlegende Berechtigung für Sichtbarkeit. |
| Erstellen | Neue Ressourcen anlegen (z.B. neuen Agenten, neues Dokument). |
| Aktualisieren / Schreiben | Bestehende Ressourcen ändern. Beide Begriffe beschreiben denselben Vorgang. |
| Löschen | Ressourcen dauerhaft entfernen. Oft nicht rückgängig zu machen. |
| Verwalten | Übergeordnete administrative Aktionen innerhalb der Kategorie — umfasst typischerweise erweiterte Konfigurationen. |
| Ausführen | Ressourcen ausführen oder auslösen (z.B. einen Agenten starten). |
| Exportieren | Daten, Logs oder Reports als Datei exportieren (z.B. CSV-Export von Audit Logs). |
| Aufdecken | Sensible Werte im Klartext anzeigen (z.B. einen API-Schlüssel vollständig sichtbar machen). Sicherheitsrisiko — nur an Personen vergeben, die den Klartext tatsächlich benötigen. |
| Verwenden | Sensible Zugangsdaten nutzen, ohne sie im Klartext anzuzeigen. Ermöglicht z.B. die Nutzung eines API-Schlüssels durch einen Agenten, ohne dass der Benutzer den Schlüssel selbst sehen kann. |
| Schema verwalten | Struktur von Tabellen ändern (Spalten hinzufügen, entfernen, umbenennen). |
| Abfragen | Datenabfragen auf Tabellen ausführen. |
| Abbrechen / Wiederholen | Laufende Jobs stoppen bzw. fehlgeschlagene Jobs erneut starten. |
| Markieren | Konversationen mit einer Markierung versehen (z.B. für Review oder Follow-up). |
| Einladen | Neue Mitglieder per E-Mail in die Organisation einladen (Org-Level). Auf Space-Level entspricht „Hinzufügen”. |
| Hinzufügen | Bestehende Org-Mitglieder einem Space zuordnen. |
| Entfernen | Mitglieder aus Org bzw. Space entfernen — der Account selbst bleibt bestehen. |
| Zuweisen / Rollen zuweisen | Einem Mitglied oder Team eine Rolle vergeben. |
| Mitglieder verwalten | Erweiterte Mitgliederverwaltung (Bulk-Operationen, Rollen-Wechsel, Status-Änderungen). |
| Nachricht senden | In Conversations Nachrichten an Agenten senden — Grundvoraussetzung für die Interaktion. |
| Reset Password | Passwort eines Org-Mitglieds zurücksetzen (Org-Admin-Action). |
| „App nutzen” | Spezifische App-Funktion in der Space-Seitenleiste sichtbar/verwendbar machen — eine Action pro App (Analyse, Automatisierung, Vergleich, Extraktion, Transkription, Übersetzung). |
Berechtigungskategorien
Jede Berechtigung gehört zu einer Kategorie. Die folgende Tabelle zeigt alle verfügbaren Kategorien für Org-Rollen, ihre typischen Aktionen und die Auswirkung auf den Benutzer.Diese Tabelle zeigt ausschließlich Org-Rollen-Kategorien (24 Resources). Space-Level-Berechtigungen (z.B. Conversations, Apps, Tables, Documents, Tools, Webhooks) finden Sie unter Space-Rollen — Berechtigungskategorien im Space. Einige Resources existieren auf beiden Ebenen (Library, Audit Logs, Analytics, Billing, Members, Spaces, Base Models, Prompt Variables, Credentials) mit jeweils eigenen Aktionen.
| Kategorie | Aktionen | Auswirkung |
|---|---|---|
| Admin Conversations | Lesen, Löschen, Markieren | Organisationsweite Konversationsverwaltung. Konversationen über alle Spaces hinweg anzeigen, löschen und markieren. |
| Analytics | Lesen | Nutzungsanalysen und Statistiken auf Org-Ebene. |
| Api Keys | Erstellen, Lesen, Aktualisieren, Löschen | Persönliche API-Schlüssel für programmatischen Plattform-Zugriff (verwaltet auf Org-Ebene). Standardrolle Org-Member hat alle Aktionen aktiv — Mitglieder verwalten ihre Schlüssel selbst in den Kontoeinstellungen. Siehe Persönliche API-Schlüssel. |
| Audit Logs | Lesen, Exportieren | Sicherheits- und Compliance-Prüfprotokoll aller Aktionen. Bestimmt, wer Audit-Protokolle einsehen und als CSV exportieren darf. |
| Base Models | Erstellen, Lesen, Aktualisieren, Löschen | KI-Modell-Konfigurationen (LLM-Provider und -Settings), die Agenten zur Verfügung stehen. Steuert, wer Basismodelle organisationsweit anlegen, konfigurieren oder entfernen darf. |
| Billing | Lesen, Verwalten, Exportieren | Abrechnungsinformationen, Rechnungen und Nutzungsverfolgung. |
| Billing.Pricing | Schreiben | Preiskonfiguration für die Organisation (separate Sub-Permission, restriktiv vergeben). |
| Credentials | Erstellen, Lesen, Aktualisieren, Löschen, Aufdecken, Verwenden | Zentraler Org-Vault für API-Schlüssel, Tokens und Geheimnisse, die von Agenten und Tools verwendet werden. „Verwenden” erlaubt die Nutzung in Integrationen, „Aufdecken” zeigt den Klartext — nur an wenige Admins vergeben. |
| Jobs | Erstellen, Lesen, Aktualisieren, Löschen, Abbrechen, Wiederholen | Hintergrund-Verarbeitungsaufträge (Dokumentenanalyse, Embeddings, etc.). Steuert Status-Einsicht und Eingriffe. |
| Library | Lesen, Schreiben, Verwalten | Gemeinsame Ressourcenbibliothek zum Veröffentlichen und Entdecken von Agenten, Tools und Prompts in der gesamten Organisation. |
| Members | Lesen, Einladen, Mitglieder verwalten, Rollen zuweisen | Benutzermitgliedschaft und Zugriff innerhalb der Organisation. Regelt: Wer darf Benutzer einladen, Zugriffe ändern und Rollen zuweisen. |
| Organizations | Aktualisieren, Löschen | Organisationseinstellungen wie Name und Branding. Hinweis: Die Organisations-Erstellung ist auf Instanz-Administratoren beschränkt und nicht über diese Action steuerbar. |
| Prompt Variables | Erstellen, Lesen, Aktualisieren, Löschen | Wiederverwendbare Variablen, die in Agenten-Prompts eingefügt werden können. Steuert organisationsweites Variablen-Management. |
| Roles | Erstellen, Lesen, Aktualisieren, Löschen, Zuweisen | Benutzerdefinierte Rollendefinitionen und ihre Berechtigungssätze. Wer darf Rollen definieren, ändern und an Benutzer vergeben. |
| Settings.2Fa | Lesen, Aktualisieren | Two-Factor-Authentication-Policy für die Organisation. |
| Settings.Agents | Lesen, Aktualisieren | Agenten-Default-Einstellungen für die Organisation (Name-/Beschreibungs-/Prompt-Längen-Limits). |
| Settings.Chat | Lesen, Aktualisieren | Chat-Settings (Auto-Naming-Modell, Chat-Parsing-Mode, Dateigrößenlimits pro Extension, Parser-Präferenzen). |
| Settings.Parsers | Lesen, Aktualisieren | Parser-Settings (Parser-Präferenzen, per-Parser-Konfiguration). |
| Settings.Smtp | Lesen, Aktualisieren | SMTP-/E-Mail-Delivery-Settings für die Organisation. Siehe E-Mail (SMTP). |
| Settings.Spaces | Lesen, Aktualisieren | Space-Level-Defaults verwaltet auf Org-Ebene (z.B. Default-Private-Space-Rolle). |
| Settings.Storage | Lesen, Aktualisieren | Storage- und Daten-Settings (Dateigrößenlimits, Storage-Quotas, Verarbeitungs-Defaults, Throughput-Controls, Job-Timeouts, Retry-Konfiguration). |
| Spaces | Erstellen, Lesen, Aktualisieren, Löschen | Arbeitsbereiche, die Agenten, Daten und Konversationen enthalten. Steuert Anlegen, Konfigurieren und (kritisch) Löschen von Spaces. |
| Teams | Erstellen, Lesen, Aktualisieren, Löschen, Mitglieder verwalten | Benutzergruppen, denen gemeinsam Rollen zugewiesen werden können. |
| Users | Lesen, Aktualisieren, Einladen, Entfernen, Reset Password | Benutzerkonten innerhalb der Organisation. Schließt Passwort-Reset durch Org-Admin als separate Action ein. |
Best Practices
Persönliche API-Schlüssel: Self-Service in der Standardrolle Org-Member
Seit v1.0.0-beta.5 sind persönliche API-Schlüssel ein Self-Service-Feature für End-User. Die Berechtigung steckt in der Kategorie Api Keys (Aktionen: Erstellen, Lesen, Aktualisieren, Löschen) und ist in der Standardrolle Org-Member komplett aktiviert — alle Mitglieder einer Organisation verwalten ihre Schlüssel also direkt in den Kontoeinstellungen, ohne dass Admins eingreifen müssen.Wenn Sie das Verhalten einschränken wollen, klonen Sie die Rolle Org-Member in eine Custom Org-Rolle, entfernen die gewünschten Api Keys-Aktionen (z.B. Erstellen, um Neu-Anlage zu sperren) und weisen die neue Rolle gezielt zu. Die Standardrolle selbst ist nicht editierbar.