Tenant Dashboard
Tenant Operator UI
Verwenden Sie dashboard.attesto.eu für tenant-facing Operations. Diese Seite behandelt nur externe Tenant Workflows.
Identity und Zugriff
Tenant-Benutzer melden sich über den email-first Dashboard-Flow an. Der erste Bildschirm fragt nur nach der E-Mail-Adresse; danach leitet Attesto den Benutzer zum konfigurierten Passwort-, Community-Identity-, Invite-, Signup- oder Organisations-SSO-Pfad. Tenant Owner konfigurieren Entra ID, generisches OIDC und SAML Provider unter Settings → Identity Providers.
- Verwenden Sie Tenant Roles für Dashboard-Zugriff: owner, admin, developer und user.
- Marketplace Developer Accounts gelten nur für den Marketplace; sie gewähren keinen Dashboard-Zugriff.
- Verwenden Sie Auditor Invites für Audit-Portal-Zugriff; Auditors erhalten keine Tenant-Operator-Rechte.
- Lesen Sie Tenant SSO, bevor Sie Organisations-SSO für eine Domain erzwingen.
Systems und Keys
- Erstellen Sie ein System pro Produktionsservice oder isolierter Umgebung.
- Kopieren Sie den generierten System Key, wenn er angezeigt wird, und speichern Sie ihn server-side.
- Rotieren Sie Keys, wenn sich Ownership, Hosting Boundary oder Deployment Trust eines Systems ändert.
- Deaktivieren Sie ungenutzte Systems, statt ihre Keys für nicht verwandte Services wiederzuverwenden.
Proofstream Views
Stream Seiten zeigen Event Sequence, Receipt State, Window- und Checkpoint State, Witness/Quorum Status, Anchor Status, Fork Evidence und Verifier Bundle Readiness.
- Ein Receipt beweist, dass Attesto ein bestimmtes Event in einen bestimmten Stream Head akzeptiert hat.
- Ein Checkpoint fasst eine geschlossene Range zusammen und verweist auf Consistency Evidence.
- Fork Evidence erfordert sofortige Untersuchung, bevor Sie sich auf diese Stream History verlassen.
- Bundle Export wird erst verfügbar, wenn die Policy Requirements erfüllt sind.
Webhooks und Konnektoren
Webhooks benachrichtigen Ihre Systeme, wenn sich Attesto Evidence ändert. Konnektoren schreiben Beobachtungen aus Quellsystemen in Proofstream. Verwenden Sie das Dashboard, um Tenant Webhooks, Signed Webhook Connectors, Repository Webhook Connectors, S3/R2 Object Commitments und Local Vault Installationen zu erstellen und zu widerrufen. Speichern Sie jedes zurückgegebene Secret serverseitig; das Dashboard zeigt es bewusst nicht erneut an.
- Webhook Subscriptions liefern signierte Benachrichtigungen; Empfänger müssen die Raw-Body-Signature verifizieren.
- Signed Webhook Connectors nehmen Custom Source Events über eine connector-spezifische signed envelope entgegen.
- Repository Connectors verifizieren GitHub/GitLab Delivery Signatures, bevor normalisierte Evidence geschrieben wird.
- S3/R2 Object Commitments erfassen Objektmetadaten und Integrität, ohne Objektbytes zu proxen.
- Local Vault leitet Customer-Edge-Events outbound weiter und kann als customer-side witness arbeiten, wenn die Policy dies aktiviert.
Evidence Exports
Exports sind immutable Evidence Artifacts für den ausgewählten Tenant Scope und Date Range. Teilen Sie exportierte Bundles erst mit Auditors oder Counterparties, nachdem Range, Policy und Retention Requirements bestätigt wurden.
Truth-Package-Erzeugung, Download/Access und erfolgreiche
kryptografische Verifikation sind selbst Lifecycle Evidence. Die
Package-Erzeugung schreibt truth_package.generated,
Download oder Auditor Access schreibt truth_package.accessed,
und ein backend-validierter Verifier Report schreibt
truth_package.verified.
Audit-Portal-Handoff
audit.attesto.eu ist das read-only Portal für externe Auditors, die von einem Tenant eingeladen wurden. Auditors authentifizieren sich über den Audit-Flow, sehen nur die freigegebenen Tenant Scopes, laden genehmigte Exports herunter und prüfen Events, Receipts, Checkpoints und Bundle Evidence, ohne Tenant Operators zu werden.
Der Audit Login ist bewusst von Dashboard- und Marketplace-Identität getrennt. Ein Auditor gibt seine E-Mail-Adresse ein, erhält einen einmaligen Magic Link, wenn die Adresse zu einem eingeladenen oder aktiven Auditor gehört, und bestätigt anschließend einen Authenticator-App TOTP Code. Der Link ist 15 Minuten gültig; First-time Auditors werden zuerst durch TOTP Enrollment geführt. Die Request-Link Response bleibt immer generisch, damit Angreifer keine Auditor-E-Mail-Adressen enumerieren können.
Die Auditor Landing Page zeigt nur aktive Tenant Grants mit freigegebenem Scope, Ablaufdatum, 30-Tage Event Count und letztem Anchor-Indikator. Die Tenant View bleibt danach read-only: abgelaufene oder widerrufene Grants werden verweigert, bevor Events, Exports, Proofstream Bundles, Forks oder IVC Epochs geladen werden. Audit Sessions melden den Auditor nicht im Dashboard, Marketplace oder auf einer internen Attesto Staff Surface an.
| Audit portal action | Was aufgezeichnet wird | Warum es zählt |
|---|---|---|
| Dashboard öffnen | auditor.view.dashboard pro Tenant im Scope. | Der Tenant kann sehen, dass der Auditor die Audit Landing Page geöffnet hat. |
| Tenant Audit View öffnen | Read-only Access Check gegen aktive, nicht abgelaufene Auditor Grant. | Abgelaufene oder widerrufene Grants fail-closed. |
| Event/export/bundle data ansehen | Tenant Audit Entries wie Event-, Export-, Bundle- und Proofstream Bundle Views. | Review-Aktivität wird tenant-visible Evidence. |
| Freigegebenen Export herunterladen | truth_package.accessed mit Auditor Context und Package Hash. | Exportzugriff wird Teil der Proof of Evolution Lifecycle. |
| Proofstream Bundle oder IVC Epoch verifizieren | auditor.verify.proofstream_bundle oder auditor.verify.proofstream_ivc_epoch mit Verifier Result und Problems. | Auditoren unterscheiden verifizierte Evidence von fehlgeschlagener oder unvollständiger Evidence. |
- Erstellen Sie Auditor Access im Dashboard nur für den benötigten Scope und Zeitraum.
- Widerrufen Sie Auditor Access, wenn die Review abgeschlossen ist oder der Reviewer die Rolle wechselt.
- Jeder wesentliche Exportzugriff wird als Lifecycle Evidence aufgezeichnet.
- Auditors sollten Bundles lokal verifizieren, bevor sie sich in einer Assurance File darauf verlassen.
Verify Portal und öffentliche Verifier API
verify.attesto.eu ist der
öffentliche Verification- und API-Origin. Verwenden Sie ihn für
serverseitige SDK Calls, POST /v1/public/verify,
POST /v2/verify, Health Checks und den öffentlichen
Signing-Key-Endpunkt. Es ist keine Tenant Settings UI und benötigt
keine Tenant-Dashboard-Session für öffentliche Proof-Object-Verifikation.
- Verwenden Sie Online-Verifikation, wenn ein empfangendes System die öffentliche Verifier API aufrufen kann.
- Verwenden Sie Offline-Verifikation, wenn ein Reviewer ein Bundle ohne Backend-Zugriff verifizieren muss.
- Pinnen Sie erwartete Witness- oder Signing Keys gemäß der Trust Policy des Verifiers.
- Behandeln Sie einen fehlgeschlagenen Verifier Report als zu untersuchende Evidence, nicht als UI-Warnung.
Billing
Billing Settings zeigen den aktiven Tenant Plan, die Self-Service Starter/Growth/Realtime Subscription Paths und das Stripe Billing Portal. Bei neuer Tenant-Registrierung wählt der Owner einen Self-Service Tier. Stripe Checkout startet die konfigurierte 30-Tage Tenant Trial, und der verifizierte Stripe Webhook aktiviert den gewählten Plan. Enterprise bleibt sales-negotiated.