Toegangscontrole
Rebyte handhaaft toegangscontrole op meerdere lagen. Elke laag wordt onafhankelijk geconfigureerd en gehandhaafd.
Organisatie rollen
Section titled “Organisatie rollen”Twee rollen beheerd via Clerk:
| Rol | Bereik |
|---|---|
| Beheerder | Volledige organisatiecontrole — netwerkbeleid, beveiligingsbeleid, agentbeleid, BYOK-sleutels, systeemprompt, API-sleutels, kanalen |
| Lid | Werkruimtes aanmaken, taken uitvoeren, geconfigureerde bronnen gebruiken. Kan geen instellingen op organisatieniveau wijzigen. |
Agent Computer permissies
Section titled “Agent Computer permissies”Elke Agent Computer (werkruimte) heeft een zichtbaarheidsniveau en per-gebruiker toegangsrechten.
Zichtbaarheid
Section titled “Zichtbaarheid”| Niveau | Wie heeft toegang |
|---|---|
private | Alleen maker en expliciet toegekende gebruikers |
shared (standaard) | Alle organisatieleden — lezen en schrijven |
public | Iedereen kan bekijken. Organisatieleden kunnen bewerken. |
Toegangsniveaus
Section titled “Toegangsniveaus”| Niveau | Kan doen |
|---|---|
| Eigenaar | Volledige controle. Werkruimte verwijderen. Automatisch toegewezen aan de maker. |
| Bewerker | Bestanden lezen/schrijven, taken uitvoeren, instellingen configureren. Toegekend aan ACL-leden en organisatieleden (indien gedeeld/openbaar). |
| Kijker | Alleen-lezen. Geldt alleen voor openbare werkruimtes voor niet-organisatiegebruikers. |
Evaluatievolgorde
Section titled “Evaluatievolgorde”- Is de gebruiker de maker van de werkruimte? → eigenaar
- Staat de gebruiker in de werkruimte-ACL? → bewerker
- Is de gebruiker in dezelfde organisatie EN is de zichtbaarheid
sharedofpublic? → bewerker - Is de zichtbaarheid
public? → kijker - Anders → geweigerd
Verleen per-gebruiker toegang via de werkruimteleden/ACL-instellingen.
Vaardigheden permissies
Section titled “Vaardigheden permissies”Teamvaardigheden gebruiken een op de maker gebaseerd permissiemodel.
| Actie | Wie |
|---|---|
| Vaardigheid aanmaken | Elk organisatielid |
| Vaardigheid bekijken/downloaden | Openbare zichtbaarheid: iedereen in de organisatie. Privé: maker of ACL-toegekende gebruikers. |
| Metadata bijwerken | Elk organisatielid |
| Vaardigheid verwijderen | Elk organisatielid |
| Zichtbaarheid wijzigen | Alleen maker |
| Vaardigheid-ACL beheren | Alleen maker |
| Versie terugdraaien | Alleen maker |
| ACL bekijken | Elk organisatielid |
Vaardigheden ondersteunen twee zichtbaarheidsniveaus: private en public (binnen de organisatie). De maker beheert de zichtbaarheid, ACL-toekenningen en het terugdraaien van versies.
Agent Context permissies
Section titled “Agent Context permissies”Context Lake (databronverbindingen) gebruikt door beheerder-beperkte creatie met door de maker beheerde ACL.
| Actie | Wie |
|---|---|
| Dataset/view aanmaken | Alleen organisatiebeheerder |
| Datasets/views weergeven | Elk organisatielid |
| Dataset/view opvragen | Maker, ACL-toegekende gebruikers, organisatiebeheerder, of elk organisatielid als de zichtbaarheid shared of public is |
| Dataset/view ACL beheren | Alleen maker |
| ACL bekijken | Maker of organisatiebeheerder |
Elke dataset en view heeft zijn eigen ACL en zichtbaarheidsinstelling. Gedeelde/openbare datasets kunnen door alle organisatieleden worden opgevraagd. Privé datasets vereisen expliciete ACL-toekenningen. ACL-vermeldingen bevatten een granted_by audit trail.
Organisatiebeleid (alleen beheerder)
Section titled “Organisatiebeleid (alleen beheerder)”Beheerders controleren platformbreed beleid via Instellingen.
Agentbeleid
Section titled “Agentbeleid”Per-executor controles:
| Instelling | Effect |
|---|---|
enabled | Een executor (Claude, Gemini, Codex, OpenCode) in-/uitschakelen voor de hele organisatie |
authMethod | api_key (BYOK) of credits modus per executor afdwingen |
disabledModels | Specifieke modellen blokkeren voor gebruik |
Netwerkbeleid
Section titled “Netwerkbeleid”Zie Agent Shield voor details. Netwerkbeleidsinstellingen kunnen momenteel door elk organisatielid worden gewijzigd.
| Instelling | Standaard |
|---|---|
| Domein-toegestane lijst modus | package_managers_only |
| Extra toegestane domeinen | Geen |
Beveiligingsbeleid
Section titled “Beveiligingsbeleid”| Instelling | Standaard | Effect |
|---|---|---|
| Shield monitoring | optional | required dwingt Shield af op alle computers; optional staat per-werkruimte opt-in toe |
Per-werkruimte overschrijving: werkruimtebewerkers kunnen Shield monitoring in- of uitschakelen op individuele werkruimtes wanneer het organisatiebeleid optional is.
Systeemprompt
Section titled “Systeemprompt”Beheerders kunnen een aangepaste systeemprompt instellen die wordt toegepast op alle agentuitvoeringen in de organisatie. Vereist een Team-abonnement.
API-sleutelbereiken
Section titled “API-sleutelbereiken”API-sleutels hebben granulaire bereiken die bepalen welke bewerkingen ze kunnen uitvoeren:
| Bereik | Permissie |
|---|---|
tasks:read | Taken weergeven en bekijken |
tasks:write | Taken aanmaken, follow-ups verzenden, verwijderen |
files:read | Bestandsmetadata bekijken |
files:write | Bestanden uploaden |
webhooks:read | Webhooks weergeven, publieke sleutel bekijken |
webhooks:write | Webhooks aanmaken en verwijderen |
Alle bereiken worden standaard toegekend bij het aanmaken van een sleutel. Granulaire bereikselectie is gepland.
Samenvatting
Section titled “Samenvatting”| Laag | Gecontroleerd door | Granulariteit |
|---|---|---|
| Organisatie-instellingen & beleid | Organisatiebeheerder | Organisatiebreed |
| Agent Computer toegang | Maker + ACL | Per-werkruimte, per-gebruiker |
| Vaardigheden toegang | Maker + ACL | Per-vaardigheid, per-gebruiker |
| Context Lake toegang | Beheerder (aanmaken) + Maker (ACL) | Per-dataset/view, per-gebruiker |
| API-sleutelbereiken | Organisatiebeheerder | Per-sleutel |
| Netwerkuitgaand verkeer | Organisatiebeheerder | Organisatiebreed (via Agent Shield) |