Wie lege ich einen Benutzer an? Und was passiert dabei?
Kurzantwort
Abschnitt betitelt „Kurzantwort“Öffne Verwaltung → Benutzerverwaltung, klicke auf „Benutzer hinzufügen” und fülle E-Mail, Benutzername, Anzeigename, ein initiales Passwort und die Rolle aus. Nach dem Speichern existiert der Benutzer sofort im aktuell aktiven Mandanten, mit der gewählten Rolle und (Standard) aktiv. Ein automatischer Einladungsversand findet beim reinen Anlegen nicht statt: Das Startkennwort setzt der Administrator. Wahlweise lädst du den Benutzer anschließend per E-Mail ein (sicherer Einmal-Link) oder schickst ihm einen Passwort-Reset-Link.
Voraussetzungen
Abschnitt betitelt „Voraussetzungen“Die Benutzerverwaltung gehört zum Kern und ist in allen Tarifen enthalten. Der E-Mail-Versand (Einladung, Reset-Link) setzt einen konfigurierten SMTP-Server voraus; ohne SMTP legst du Benutzer weiterhin an, kannst aber nur das Passwort direkt vergeben.
Anleitung
Abschnitt betitelt „Anleitung“-
Benutzerverwaltung öffnen. Wechsle über die Navigation in die Verwaltung und dort zu Benutzerverwaltung (Tab Benutzer). Du siehst die Liste aller Benutzer deines Mandanten mit Rolle, Status (Aktiv) und letzter Anmeldung. Oben liegt die Schaltfläche „Benutzer hinzufügen”.
Screenshot ausstehendadmin-benutzer-01Benutzerverwaltung mit Benutzerliste und hervorgehobener Schaltfläche 'Benutzer hinzufügen'Die Benutzerverwaltung mit der Schaltfläche 'Benutzer hinzufügen'. -
Formular ausfüllen. Es öffnet sich das Formular „Benutzer hinzufügen”. Pflicht sind:
- E-Mail: muss gültig und systemweit eindeutig sein (Anmeldename).
- Benutzername: 3 bis 128 Zeichen, ebenfalls eindeutig.
- Anzeigename: der vollständige Name (z. B. „Lena Vogt”).
- Passwort: mindestens 8 Zeichen. Dient als Startkennwort (siehe Kasten unten).
- Rolle: Administrator, Manager, Techniker oder Betrachter (Standard: Betrachter).
Über den Schalter Aktiv legst du fest, ob sich der Benutzer sofort anmelden darf (Standard: aktiv).
Screenshot ausstehendadmin-benutzer-02Leeres Formular 'Benutzer hinzufügen' mit E-Mail, Benutzername, Anzeigename, Passwort und RollenauswahlDas Formular 'Benutzer hinzufügen'. Pflicht sind E-Mail, Benutzername, Anzeigename, Passwort und Rolle. -
Speichern. Klicke auf „Speichern”. Der Benutzer wird angelegt und erscheint in der Liste. Über einen Klick auf den Eintrag öffnest du die Benutzer-Detailseite (
/admin/users/…), auf der du später Rollen zuweist, das Passwort setzt oder 2FA zurücksetzt.Screenshot ausstehendadmin-benutzer-03Benutzer-Detailseite des frisch angelegten Kontos mit Bereichen Konto, Passwort und 2FANach dem Anlegen: die Detailseite des neuen Benutzers mit den Bereichen Konto, Passwort und Zwei-Faktor.
Einladung per E-Mail (optional). Möchtest du dem Benutzer kein Kennwort mündlich mitteilen, öffne nach dem Anlegen die Detailseite, Bereich Passwort, und wähle „Neues Passwort per E-Mail an den Benutzer senden” oder „Reset-Link senden”. Beide Wege erfordern einen konfigurierten SMTP-Server. Details unter Passwort administrativ zurücksetzen.
Dieselbe Aktion per REST-API: ein POST auf /api/v1/users mit einem Bearer-Token
(Scope write) eines Administrators. Pflicht sind email, username, password und
full_name; role und is_active haben Standardwerte.
curl -X POST https://demo.notory.io/api/v1/users \ -H "Authorization: Bearer inv_dein_token" \ -H "Content-Type: application/json" \ -d '{ "email": "lena.vogt@example.com", "username": "lvogt", "password": "Anfangs-Kennwort-2026", "full_name": "Lena Vogt", "role": "manager", "is_active": true }'Bei Erfolg antwortet die API mit HTTP 201 Created. Das Passwort wird niemals zurückgegeben. Die Antwort enthält nur Metadaten:
{ "id": "018f9b2c-6a41-7e02-9d3b-2c1a4f7e0055", "tenant_id": "3d9b0c12-4e5a-4f88-b1c7-2a9e6d4f0011", "email": "lena.vogt@example.com", "username": "lvogt", "full_name": "Lena Vogt", "role": "manager", "is_active": true, "is_superadmin": false, "totp_enabled": false, "last_login": null, "created_at": "2026-07-08T09:14:22Z", "updated_at": "2026-07-08T09:14:22Z"}Um den Benutzer anschließend per E-Mail einzuladen (statt das Kennwort direkt zu
nennen), setzt du sein Passwort mit send_email. Notory verschickt dann einen sicheren
Einmal-Link statt Klartext:
curl -X POST https://demo.notory.io/api/v1/users/018f9b2c-6a41-7e02-9d3b-2c1a4f7e0055/password \ -H "Authorization: Bearer inv_dein_token" \ -H "Content-Type: application/json" \ -d '{ "new_password": "Anfangs-Kennwort-2026", "send_email": true }'Alternativ verschickst du nur einen Reset-Link, mit dem der Benutzer selbst ein Kennwort wählt:
curl -X POST https://demo.notory.io/api/v1/users/018f9b2c-6a41-7e02-9d3b-2c1a4f7e0055/password-reset-link \ -H "Authorization: Bearer inv_dein_token"Mögliche Fehler: 401 (Token fehlt/ungültig), 403 (kein Administrator / Scope
write fehlt), 409 (E-Mail oder Benutzername bereits vergeben), 422 (Validierung,
z. B. Passwort kürzer als 8 Zeichen oder ungültige E-Mail), 503 (E-Mail-Versand
angefordert, aber kein SMTP konfiguriert).
Was passiert dabei?
Abschnitt betitelt „Was passiert dabei?“Das Anlegen eines Benutzers ist mehr als ein Datenbank-Eintrag. Im Hintergrund laufen mehrere Schritte ab, und einige Weichen werden erst beim ersten Login des neuen Benutzers gestellt.
Beim Speichern
Abschnitt betitelt „Beim Speichern“- Eindeutigkeitsprüfung. E-Mail und Benutzername sind globale Schlüssel. Ist einer
bereits vergeben, bricht Notory mit
409 Conflictab, noch bevor etwas gespeichert wird. - Passwort-Hashing mit Argon2id. Das Kennwort wird nie im Klartext gespeichert,
sondern sofort mit Argon2id gehasht (Parameter:
time_cost=3,memory_cost=64 MiB,parallelism=4). Auch in API-Antworten und Backups taucht der Hash nicht auf. - Mandanten-Zuordnung. Der Benutzer wird dem aktuell aktiven Mandanten zugeordnet
(
tenant_idaus deiner Sitzung). Nur ein Super-Admin darf beim Anlegen ein anderestenant_idangeben. Ein Benutzer gehört immer zu genau einem Mandanten. - Rolle & Berechtigungen. Die gewählte Rolle bestimmt die Basisrechte (siehe Rollen & Berechtigungen). Ohne Angabe gilt Betrachter (nur Lesen). Zusätzliche, feingranulare Rechte lassen sich später über eigene Rollen zuweisen.
- Audit-Protokoll. Die Anlage wird im Protokoll festgehalten (Aktion
create, Objektusers), mit auslösendem Benutzer, Mandant, IP-Adresse, Zeitstempel und einer fortlaufenden Hash-Kette zur Manipulationserkennung. Nachlesbar unter Verwaltung → Protokoll.
Kennwort-Übergabe: direkt oder per Einladung
Abschnitt betitelt „Kennwort-Übergabe: direkt oder per Einladung“Notory kennt bewusst zwei Wege, wie das erste Kennwort zum Benutzer kommt:
- Direkt vergeben (Standard beim Anlegen). Das im Formular eingetragene Passwort ist das echte Startkennwort. Der Benutzer meldet sich damit an, ohne erzwungenen Wechsel. Geeignet, wenn du das Kennwort persönlich/sicher übergibst.
- Per E-Mail einladen (Aktion „Passwort setzen + E-Mail” bzw.
send_email: true). Hier setzt Notory intern das Flag „Kennwort ändern erforderlich” und verschickt keinen Klartext: Das Kennwort wird auf einer One-Time-Secret-Instanz hinterlegt und der Benutzer erhält nur einen Einmal-Link („Kennwort anzeigen”). Ist kein Einmal-Link-Dienst erreichbar, fällt Notory automatisch auf einen Reset-Link zurück (der Benutzer wählt sein Kennwort selbst), nie auf Klartext.
Was der neue Benutzer beim ersten Login erlebt
Abschnitt betitelt „Was der neue Benutzer beim ersten Login erlebt“- Anmeldung mit E-Mail und Passwort. Nach fünf Fehlversuchen wird das Konto für 15 Minuten gesperrt.
- Kennwortwechsel-Pflicht. Wurde der Benutzer per E-Mail eingeladen (Flag gesetzt),
kommt er nach dem Login nur an die Bereiche Kennwort-ändern, eigenes Profil und
Abmelden. Jeder andere Aufruf wird mit
403und dem Hinweis „Sie müssen Ihr Passwort ändern, bevor Sie fortfahren” geblockt, bis er ein eigenes Kennwort gesetzt hat. - 2FA-Pflicht (falls aktiviert). Ist Zwei-Faktor instanzweit oder für den Mandanten erzwungen, darf sich der Benutzer zwar anmelden, wird aber sofort zur Einrichtung eines Authenticator-Geräts gezwungen („Zwei-Faktor-Authentifizierung erforderlich: Ihre Organisation verlangt 2FA”). Bis ein Gerät bestätigt ist, sind nur die Einrichtungs-, Profil- und Abmelde-Endpunkte erreichbar. 2FA wird also nicht beim Anlegen vergeben, sondern beim ersten Login nachgeholt.
- Deaktiviert angelegt? Wurde Aktiv abgewählt, schlägt jede Anmeldung mit „Account is deactivated” fehl, bis ein Administrator das Konto aktiviert.
Was NICHT passiert
Abschnitt betitelt „Was NICHT passiert“- Beim reinen Anlegen wird keine E-Mail verschickt. Einladung/Reset sind bewusst getrennte, ausdrückliche Aktionen.
- Es wird kein Webhook ausgelöst: Notory versendet Webhook-Ereignisse aktuell nur für Assets, nicht für Benutzeranlagen (siehe Webhooks).
Verwandte Themen
Abschnitt betitelt „Verwandte Themen“- Rollen & Berechtigungen verstehen: was Administrator, Manager, Techniker und Betrachter dürfen
- Eigene Rolle erstellen: feingranulare Rechte per RBAC
- Passwort administrativ zurücksetzen: Kennwort setzen, Einladung, Reset-Link
- Benutzer deaktivieren oder löschen
- SSO / OIDC einrichten: Anmeldung ohne lokales Passwort
- API-Einstieg: Authentifizierung, Basis-URL, Fehlercodes