Benutzerhandbuch
Berechtigungsmodell (Capability Model)
Tool-Berechtigungen pro Agent konfigurieren — 4 Modi, Presets und Overrides
Das Berechtigungsmodell definiert, welche Aktionen ein Agent technisch ausführen darf — unabhängig davon, was er inhaltlich sagt.
Berechtigungsmodell öffnen
Es gibt zwei Wege:
- Im Wizard — Schritt 5 des Agenten-Wizards
- Im Agent Drawer — Abschnitt Berechtigungen, Stift-Symbol klicken
📸 Screenshot: Permission Editor im Agent Drawer
Kategorien und Tools
| Kategorie | Tools | Risikostufe |
|---|---|---|
| Kommunikation | E-Mail senden, Slack-Nachricht, SMS, Kalendereinladung, Webhook auslösen | Mittel |
| Daten | Datenbank lesen, Datenbank schreiben, Datei lesen, Datei schreiben, API-Call, Vektor-DB | Niedrig–Hoch |
| Finanzen | Zahlung auslösen, Rechnung erstellen, Budget ändern, Bestellung aufgeben | Hoch |
| System | Code ausführen, Container starten, Konfiguration ändern, Deployment triggern, Shell-Zugriff | Kritisch |
Die 4 Enforcement-Modi
| Modus | HTTP-Status | Was passiert |
|---|---|---|
| Erlauben (ALLOW) | 200 | Aktion wird ohne Einschränkung ausgeführt |
| Verbieten (DENY) | 403 | Aktion wird blockiert. Agent erhält eine Fehlermeldung. |
| Freigabe erforderlich (REQUIRE_APPROVAL) | 202 | Aktion wird pausiert. Reviewer wird benachrichtigt. Agent wartet auf Entscheidung. |
| Nur protokollieren (LOG_ONLY) | 200 + Flag | Aktion wird ausgeführt, aber als governance_flagged markiert. Erscheint im Monitoring. |
Presets verwenden
Klicken Sie auf Preset laden und wählen Sie:
- Restriktiv — Alles auf DENY außer Daten lesen (ALLOW). Empfohlen für neue Agenten.
- Ausgewogen — Lesen: ALLOW, Schreiben: LOG_ONLY, Finanzen: REQUIRE_APPROVAL, System: DENY.
- Permissiv — Alles ALLOW außer Finanzen (REQUIRE_APPROVAL) und Shell-Zugriff (DENY).
Das aktive Preset wird automatisch erkannt. Wenn Sie ein Tool abweichend konfigurieren, zeigt das UI „Angepasst" statt des Preset-Namens.
Tool-Level Override
- Öffnen Sie eine Kategorie (Klick auf den Kategorienamen).
- Pro Tool sehen Sie den aktuellen Modus (geerbt vom Kategorie-Default).
- Klicken Sie auf das Dropdown eines Tools, um den Modus individuell zu ändern.
- Ein Badge „Override" erscheint neben dem Tool.
Dreistufige Hierarchie: Preset → Kategorie-Default → Tool-Level Override. Spezifischere Einstellungen überschreiben allgemeinere.
AGT-Export
Klicken Sie auf Exportieren → AGT-Format, um das Berechtigungsmodell als Microsoft AGT-kompatible JSON-Datei herunterzuladen.