AA_SERVICE_ACCOUNT
Status: Entwurf · Quelle: Spec-Erweiterung RBAC/ACL · Spec-Kandidat: ja
Zweck
Maschinen-Identität für M2M-Aufrufe (Client-Credentials-Flow, Webhook-Caller, Import-Jobs). Trägt eigene Permissions wie ein Benutzer, ist aber nicht an eine natürliche Person gebunden.
Felder
| Feld | Typ | Pflicht | Hinweise |
|---|---|---|---|
id | uuid | ja | PK |
key | text | ja | fachlicher Schlüssel, Format ^[a-z][a-z0-9_]*$, eindeutig |
name | text | ja | Anzeigename |
description | text | nein | |
is_active | boolean | ja | default true |
metadata | jsonb | ja | default '{}', Objekt-Constraint |
| Audit-/Soft-Delete-Felder | – | – | wie sonst üblich |
Constraints
service_account_key_format_chkservice_account_metadata_is_object_chk
Verhalten
- Token-Subject (M2M) wird auf
AA_SERVICE_ACCOUNT.keygemappt (Konvention offen, z. B. Client-ID). - Sicherheitsrelevante Aktionen unter Service-Account-Identität sind in
AA_AUDIT_LOGüberactor_principal_idnachvollziehbar.