Zugangsdaten

Selu behandelt sensible Informationen — API-Schlüssel, Passwörter, Token — mit Sorgfalt. Alle Zugangsdaten werden verschlüsselt gespeichert und niemals im Klartext durch das Dashboard oder Logs preisgegeben.

Wie Verschlüsselung funktioniert

Wenn du Zugangsdaten in Selu speicherst (wie einen LLM-Provider-API-Schlüssel oder ein BlueBubbles-Passwort), werden sie sofort vor der Speicherung verschlüsselt. Selu verwendet AES-256-GCM-Verschlüsselung (authentifizierte Verschlüsselung), denselben Standard, der von Banken und Regierungen verwendet wird. Das bedeutet, Zugangsdaten sind sowohl verschlüsselt als auch manipulationssicher.

Der Verschlüsselungsschlüssel wird vom Master-Secret deiner Selu-Instanz abgeleitet, das während der ersten Einrichtung über die SELU_ENCRYPTION_KEY Umgebungsvariable gesetzt wird.

Achtung

Wenn du deinen SELU_ENCRYPTION_KEY verlierst, können gespeicherte Zugangsdaten nicht entschlüsselt werden. Bewahre ein Backup an einem sicheren Ort auf.

Wo Zugangsdaten gespeichert werden

Zugangsdaten werden in Selus Datenbank gespeichert, niemals im Dateisystem. Die Datenbank selbst sollte auch geschützt werden — siehe die Docker Setup Anleitung für Empfehlungen zum Sichern deiner Volumes.

Zugangsdaten verwalten

Zugangsdaten hinzufügen

Zugangsdaten können an mehreren Stellen hinzugefügt werden: über die Zugangsdaten-Seite für systemweite Geheimnisse, LLM-Anbieter für API-Schlüssel oder direkt auf individuellen Agenten-Detailseiten über den neuen Geheimnisse-Tab.

Zugangsdaten anzeigen

Aus Sicherheitsgründen sind gespeicherte Zugangsdaten im Dashboard immer maskiert. Du siehst •••••••• anstelle des tatsächlichen Werts.

Zugangsdaten aktualisieren

Um Zugangsdaten zu ändern, füge einfach den neuen Wert in das Feld ein und speichere. Der alte Wert wird überschrieben.

Zugangsdaten löschen

Entferne Zugangsdaten, indem du das Feld leerst und speicherst, oder verwende den “Entfernen”-Button auf Agenten-Detailseiten.

Benutzerkonto-Verwaltung

Passwort-Änderungen

Alle Benutzer können jetzt ihre eigenen Passwörter über die Web-Oberfläche ändern:

1. Gehe zur Benutzer-Seite (für alle Benutzer zugänglich)
2. Klicke den Passwort ändern-Button
3. Gib dein aktuelles Passwort und das neue Passwort ein (mindestens 8 Zeichen)
4. Bestätige das neue Passwort und klicke Passwort aktualisieren

Aus Sicherheitsgründen meldet das Ändern deines Passworts automatisch alle deine anderen aktiven Sitzungen ab, während deine aktuelle Sitzung aktiv bleibt.

Tipp

Regelmäßige Passwort-Änderungen sind eine gute Sicherheitspraxis, besonders wenn du von geteilten oder öffentlichen Computern auf Selu zugreifst.

Agenten-Zugriffskontrolle

Administratoren können kontrollieren, auf welche Agenten einzelne Benutzer Zugriff haben, über die Benutzer-Seite:

1. Gehe zu Benutzer und finde den Benutzer, den du konfigurieren möchtest
2. Klicke den Bearbeiten-Button in der Agenten-Spalte
3. Im sich öffnenden Modal wähle, auf welche Agenten der Benutzer zugreifen kann
4. Klicke Speichern um die Änderungen anzuwenden

Standardmäßig können neue Benutzer auf alle verfügbaren Agenten zugreifen. Wenn du den Zugriff einschränken möchtest:

• Alle Agenten ausgewählt: Benutzer kann auf jeden installierten Agenten zugreifen (Standardverhalten)
• Spezifische Agenten ausgewählt: Benutzer kann nur auf die gewählten Agenten zugreifen
• Keine Agenten ausgewählt: Benutzer kann auf keine Agenten zugreifen außer dem Standard-Fallback

Tipp

Der default Agent ist immer zugänglich um einen grundlegenden Fallback zu bieten, auch wenn ein Benutzer eingeschränkten Agenten-Zugriff hat.

Agenten-spezifische Zugangsdaten

Der einfachste Weg, Agenten-Zugangsdaten zu verwalten, ist jetzt über den Geheimnisse-Tab auf jeder Agenten-Detailseite:

1. Gehe zu Agenten und klicke auf einen installierten Agenten
2. Klicke den Geheimnisse-Tab in der Tab-Leiste
3. Du siehst alle Zugangsdaten organisiert nach Fähigkeiten
4. Jede Zugangsdaten zeigt, ob sie Erforderlich oder Optional ist
5. Gib Werte direkt in die Formularfelder ein und klicke Speichern

Zugangsdaten-Informationen

Jede Zugangsdaten-Deklaration enthält jetzt:

• Beschreibung — Wofür die Zugangsdaten sind und wo man sie bekommt
• Bereich — Ob sie Geteilt (systemweit) oder Persönlich (pro Benutzer) sind
• Status — Ob sie aktuell gesetzt oder fehlend sind
• Zeitstempel — Wann sie zuletzt aktualisiert wurden (falls gesetzt)

Tipp

Agenten-Entwickler können jetzt hilfreiche Beschreibungen mit ihren Zugangsdaten-Deklarationen einschließen, die genau erklären, wofür jedes Geheimnis ist und wo Benutzer die notwendigen API-Schlüssel erhalten können.

Zugangsdaten-Bereiche

• System-Zugangsdaten (markiert “Geteilt”) sind für alle Benutzer verfügbar. Admins setzen diese einmal und sie funktionieren für jeden.
• Benutzer-Zugangsdaten (markiert “Persönlich”) sind privat für jeden Benutzer. Jede Person gibt ihre eigenen API-Schlüssel ein.

Der Agenten-Entwickler wählt den passenden Bereich beim Deklarieren von Zugangsdaten in ihrer manifest.yaml.

Zugangsdaten-Typen

Selu verwaltet die folgenden Typen von Zugangsdaten:

Zugangsdaten	Verwendet für	Wo zu verwalten
LLM API-Schlüssel	Anthropic, OpenAI, Bedrock Zugriffsschlüssel	LLM-Anbieter Seite
Kanal-Token	Telegram Bot-Token, BlueBubbles-Passwort	Pipes Einrichtungsseiten
Agenten-Geheimnisse	Pro-Agent Zugangsdaten für Drittanbieter-Dienste	Agenten-Detailseiten → Geheimnisse Tab
System-Zugangsdaten	Geteilte Geheimnisse verwendet von mehreren Agenten	Zugangsdaten Seite
Master-Geheimnis	SELU_ENCRYPTION_KEY — der Wurzel-Verschlüsselungsschlüssel	Umgebungsvariable

Beste Praktiken

• Verwende den Geheimnisse-Tab — Die neue agenten-fokussierte Oberfläche ist sauberer als die globale Zugangsdaten-Seite für agenten-spezifische Geheimnisse.
• Prüfe Beschreibungen — Agenten-Entwickler bieten jetzt hilfreiche Beschreibungen, die erklären, wofür jede Zugangsdaten ist.
• Verwende eindeutige API-Schlüssel — Erstelle dedizierte Schlüssel für Selu anstatt Schlüssel von anderen Diensten wiederzuverwenden. Das macht es einfach, Zugriff zu rotieren oder zu widerrufen.
• Rotiere regelmäßig — Ändere deine API-Schlüssel alle paar Monate. Aktualisiere sie in Selu sofort nach der Rotation.
• Überwache die Nutzung — Prüfe deine Anbieter-Dashboards (Anthropic, OpenAI, AWS) auf unerwartete Nutzungsspitzen, die auf einen kompromittierten Schlüssel hinweisen könnten.
• Sichere dein Master-Geheimnis — Speichere SELU_ENCRYPTION_KEY in einem Passwort-Manager oder sicherem Tresor, getrennt von deinen Selu-Backups.
• Prüfe Agenten-Anforderungen — Bevor du einen Agenten installierst, überprüfe welche Zugangsdaten er benötigt, damit du die notwendigen API-Schlüssel vorbereiten kannst.
• Beschränke Agenten-Zugriff — Gib Benutzern nur Zugriff auf die Agenten, die sie tatsächlich benötigen. Das begrenzt die Exposition wenn Zugangsdaten kompromittiert werden.
• Ändere Passwörter regelmäßig — Verwende die neue Self-Service-Passwort-Änderungs-Funktion um dein Konto sicher zu halten.

Passwort-Wiederherstellung

Wenn du dein Passwort vergisst, kann ein Administrator es sicher über die Kommandozeile zurücksetzen:

# Admin setzt Benutzer-Passwort zurück
echo 'neues-sicheres-passwort' | docker exec -i selu-orchestrator selu-orchestrator reset-password --username alice --password-stdin

Dieser Befehl erfordert Administrator-Zugriff auf den Server und wird alle aktiven Sitzungen für den betroffenen Benutzer widerrufen.