Feature 01 / 04
Fundament
Mandantenfähig von Grund auf, nicht durch Nachrüstung
Helpdash wurde mandanten-zuerst gebaut. Jede Abfrage trägt eine Workspace-Grenze auf der Datenebene; jeder Workspace besitzt seine Zeilen, sein Speicher-Präfix, seine Rollen, sein Audit-Log. Es gibt keinen Pfad — authentifiziert oder nicht — auf dem ein Mandanten-Scope optional ist. Für Engineering- und Sicherheits-Teams: Das ist die Architektur, nach der Sie in einer Beschaffungsprüfung fragen würden.
Ergebnisse
Die Isolationsgarantien, die ein Audit überstehen
Mandantenfähigkeit ist kein Feature-Flag, das wir ausliefern. Es ist das Datenmodell: Zeilenweiser Scope bei jeder Lese- und Schreiboperation, team-bewusstes RBAC, begrenzter Speicher, signiertes Audit-Log. Beschaffung, SOC 2, ISO 27001 — die Antworten sind auf jedem Formular dieselben.
Feature 02 / 04
Workspace-bezogenes RBAC
Rollen leben innerhalb eines Mandanten, Berechtigungen sickern nie über die Grenze
Feature 03 / 04
Pro-Workspace-Speicher-Präfix mit signierten, kurzlebigen Download-URLs — kein geteilter Bucket, kein mandantenübergreifender Path-Traversal
Feature 04 / 04
Manipulationssicheres Audit-Log, das über die Workspace-Löschung hinaus aufbewahrt wird, um regulatorische Aufbewahrungsfenster zu erfüllen
Im Modell
Wie Helpdash Mandantenfähigkeit langweilig macht
Feature 01 / 03
Globaler Query-Scope
Ein globaler Scope auf jedem Modell filtert automatisch nach Mandantenschlüssel. Die Grenze an Aufrufstellen zu vergessen ist strukturell unmöglich; das Framework verdrahtet es auf der Datenebene.
Feature 02 / 03
Team-Level-RBAC
Rollen und Berechtigungen sind mandanten-bewusst — die Rolle eines Agenten in Workspace A ist in Workspace B unsichtbar. Keine versehentliche Privilegien-Übertragung zwischen Desks.
Feature 03 / 03
Speicher pro Mandant
Dateisystem-Präfixe (tenants/{id}/) binden jeden Upload an seinen Workspace. Download-URLs sind signiert, kurzlebig und werden zum Zeitpunkt der Ausstellung mandanten-geprüft.
FAQ
Frequently asked questions
Was ist das Datenmodell?
Ein einzelnes geteiltes Schema mit einem Mandantenschlüssel auf jedem Business-Datensatz. Modelle verwenden ein BelongsToTenant-Trait, das einen globalen Query-Scope installiert; Lese- und Schreiboperationen erben die Workspace-Grenze automatisch. Mandantenübergreifender Zugriff erfordert eine explizite, geprüfte Überschreibung auf der Anwendungsebene.
Wie wird der Mandant bei jeder Anfrage aufgelöst?
Authentifizierte Routen ignorieren X-Tenant-Slug- und Host-Header — der Workspace-Claim im signierten JWT ist autoritativ, Punkt. Nicht authentifizierte Routen (Login, öffentliche Docs) lösen über Header → Subdomain → Query-String in dieser Priorität auf, mit einer Liste reservierter Namen (z. B. www, api, admin), die Kollisionen verhindert.
Was sieht ein Auditor tatsächlich?
Ein signiertes, nur-anhängendes Audit-Log pro Workspace, über die Mandantenlöschung hinaus aufbewahrt, in Ihr SIEM exportierbar. Plus den ORM-Scope: einzeiliger Beweis, dass jede Abfrage mandanten-gebunden ist, was üblicherweise für SOC 2 CC6.1 und ISO 27001 A.9.4.1 ausreicht.
Sehen Sie das Isolationsmodell in Ihrem eigenen Workspace
Richten Sie zwei Workspaces unter einem Login ein und sehen Sie zu, wie sie sich nie sehen — auf API-, UI- oder Speicher-Ebene. Kostenloser Plan, keine Kreditkarte.