- Published on
OpenWebUI Benutzergruppen: Multi-User KI-Chat
- Authors
- Name
- Phillip Pham
- @ddppham
TL;DR
OpenWebUI ermöglicht mittelständischen Unternehmen einen selbst gehosteten KI-Chat mit granularer Benutzerverwaltung. Benutzergruppen steuern, wer welche Modelle nutzen darf, welche Daten sichtbar sind und wie viele Tokens pro Tag verbraucht werden. Die Einrichtung dauert 2–3 Stunden, die Anbindung an Active Directory oder LDAP weitere 30 Minuten.
Warum Multi-User KI-Chat im Unternehmen wichtig wird
Wenn ein Mittelständler ChatGPT oder Claude einführt, beginnen die Probleme bei mehr als 10 Nutzern: Wer darf welche Modelle verwenden? Wie verhindern Sie, dass vertrauliche Finanzdaten in Chats der Marketing-Abteilung auftauchen? Und wie kontrollieren Sie die Kosten, wenn 50 Mitarbeiter gleichzeitig GPT-4-Anfragen stellen?
OpenWebUI löst diese Herausforderungen als Self-Hosted-Lösung. Die Software läuft auf eigener Infrastruktur, bietet eine ChatGPT-ähnliche Oberfläche und unterstützt seit Version 0.5 ein vollständiges Benutzergruppen-System mit rollenbasierter Zugriffskontrolle.
Für Unternehmen, die KI strategisch einführen, ist ein kontrollierter Multi-User-Zugang der erste Schritt zur unternehmensweiten Nutzung.
Benutzergruppen-Konzept verstehen
OpenWebUI unterscheidet drei Ebenen der Zugriffskontrolle:
Rollen definieren die Grundrechte eines Nutzers:
- Admin: Vollzugriff auf alle Einstellungen, Modelle und Nutzer
- User: Standard-Chatfunktion mit zugewiesenen Modellen
- Pending: Registrierter Nutzer, der noch freigeschaltet werden muss
Gruppen bündeln Nutzer mit gleichen Berechtigungen:
- Buchhaltung → Zugriff auf Llama 3, Beschränkung auf 5.000 Tokens/Tag
- Entwicklung → Zugriff auf alle Modelle, 50.000 Tokens/Tag
- Geschäftsführung → Zugriff auf GPT-4 und Claude, unbegrenzt
Modellrechte steuern pro Gruppe, welche LLMs sichtbar und nutzbar sind. So verhindern Sie, dass teure Modelle unkontrolliert genutzt werden.
Installation und Grundkonfiguration
Docker-Setup für Produktivbetrieb
# docker-compose.yml – OpenWebUI mit Ollama Backend
version: '3.8'
services:
openwebui:
image: ghcr.io/open-webui/open-webui:main
container_name: openwebui
ports:
- '3000:8080'
environment:
- OLLAMA_BASE_URL=http://ollama:11434
- WEBUI_AUTH=true
- ENABLE_SIGNUP=false # Registrierung nur per Admin
- DEFAULT_USER_ROLE=pending # Neue Nutzer müssen freigeschaltet werden
- ENABLE_LDAP=true # Optional: LDAP/AD-Anbindung
- LDAP_SERVER=ldap://dc01.firma.local
- LDAP_BIND_DN=cn=admin,dc=firma,dc=local
- LDAP_BIND_PASSWORD=${LDAP_PW}
- LDAP_SEARCH_BASE=ou=users,dc=firma,dc=local
- LDAP_USER_FILTER=(sAMAccountName={username})
volumes:
- openwebui_data:/app/backend/data
depends_on:
- ollama
restart: unless-stopped
ollama:
image: ollama/ollama:latest
container_name: ollama
volumes:
- ollama_data:/root/.ollama
restart: unless-stopped
volumes:
openwebui_data:
ollama_data:
Nach dem Start erreichen Sie das Admin-Panel unter http://server:3000. Der erste registrierte Nutzer erhält automatisch Admin-Rechte.
Benutzergruppen einrichten: Schritt für Schritt
1. Gruppen anlegen
Navigieren Sie zu Admin Panel → Benutzer → Gruppen. Legen Sie Gruppen an, die Ihrer Organisationsstruktur entsprechen:
| Gruppe | Modelle | Token-Limit/Tag | Mitglieder |
|---|---|---|---|
| Buchhaltung | Llama 3 8B, Phi-3 | 5.000 | 8 |
| Vertrieb | Llama 3 8B, Mistral | 10.000 | 15 |
| IT/Entwicklung | Alle lokalen + GPT-4 | 50.000 | 6 |
| Geschäftsführung | Alle Modelle | Unbegrenzt | 3 |
| Praktikanten | Phi-3 Mini | 2.000 | 4 |
2. Modellzugriff konfigurieren
Unter Admin Panel → Einstellungen → Modelle weisen Sie jedem Modell sichtbare Gruppen zu. Modelle ohne Gruppenzuweisung sind für alle sichtbar (Standard bei Neuinstallation).
3. Nutzer zuweisen
Neue Nutzer registrieren sich selbst (wenn ENABLE_SIGNUP=true) oder werden vom Admin manuell angelegt. Jeder Nutzer wird einer oder mehreren Gruppen zugeordnet. Die effektiven Rechte sind die Vereinigung aller Gruppenrechte.
4. LDAP/Active-Directory-Anbindung
Für Unternehmen mit Active Directory entfällt die manuelle Nutzerpflege. OpenWebUI synchronisiert Benutzer und Gruppenzugehörigkeiten automatisch. Die LDAP-Konfiguration erfolgt über Umgebungsvariablen (siehe Docker-Compose oben) oder die Admin-Oberfläche.
Typische AD-Gruppenmappings:
CN=KI-Buchhaltung,OU=Groups→ OpenWebUI-Gruppe "Buchhaltung"CN=KI-Entwicklung,OU=Groups→ OpenWebUI-Gruppe "IT/Entwicklung"
Kostensteuerung durch Token-Limits
Ohne Kontrolle explodieren die Kosten bei Cloud-Modellen. OpenWebUI ermöglicht Token-Limits pro Nutzer und Gruppe:
- Lokale Modelle (Ollama): Kosten = €0 pro Token, aber Serverbelastung begrenzen
- OpenAI API: Bei GPT-4 kosten 50.000 Tokens ca. €1,50 – bei 50 Nutzern wird das relevant
- Anthropic API: Claude 3.5 Sonnet liegt bei ähnlichen Kosten
Ein Unternehmen mit 40 Nutzern und gemischtem Modellzugriff kann die monatlichen API-Kosten durch Token-Limits von unkontrollierten €2.000+ auf planbare €300–€500 senken. Die KI-Budgetplanung hilft bei der Gesamtkalkulation.
Sicherheitskonzept für den Mittelstand
Chat-Isolation
OpenWebUI speichert Chat-Historien pro Nutzer isoliert. Kein Nutzer sieht die Konversationen anderer – es sei denn, ein Chat wird explizit geteilt. Admins können bei Bedarf alle Chats einsehen (z. B. für Compliance-Audits).
Datenhoheit
Alle Daten liegen in der SQLite-Datenbank unter /app/backend/data. Für Backup und Wiederherstellung genügt die Sicherung dieses Verzeichnisses. Kein Zugriff durch Dritte, keine Cloud-Synchronisation.
Audit-Log
OpenWebUI protokolliert Logins, Modellaufrufe und Admin-Aktionen. Für Unternehmen, die ihre KI-Prozesse dokumentieren müssen, ist dieses Log die Grundlage für Compliance-Nachweise.
Praxisbeispiel: Metallverarbeitungsbetrieb mit 120 Mitarbeitern
Ein Zulieferer aus Baden-Württemberg hat OpenWebUI für 45 Nutzer in 5 Abteilungen eingeführt. Die Konfiguration:
- Konstruktion (12 Nutzer): Llama 3 8B für technische Dokumentation, 20.000 Tokens/Tag
- Buchhaltung (6 Nutzer): Phi-3 Mini für Rechnungsprüfung, 5.000 Tokens/Tag
- Vertrieb (10 Nutzer): Mistral 7B für Angebotstexte, GPT-4 für Kundenkorrespondenz
- Geschäftsführung (3 Nutzer): Alle Modelle, unbegrenzt
- Produktion (14 Nutzer): Llama 3 für Störmeldungsanalyse, 8.000 Tokens/Tag
Ergebnisse nach 6 Monaten:
- 23 Stunden Zeitersparnis pro Woche über alle Abteilungen
- API-Kosten stabil bei €280/Monat (statt geschätzt €1.200 ohne Limits)
- 92 % Nutzerzufriedenheit in interner Umfrage
- Null Datenschutzvorfälle
Erweiterte Konfiguration: Custom Pipelines
OpenWebUI unterstützt seit Version 0.5 sogenannte Pipelines – benutzerdefinierte Verarbeitungsschritte, die vor oder nach der LLM-Anfrage ausgeführt werden. Anwendungsfälle:
- Prompt-Filter: Automatisches Entfernen von Kundennamen oder Vertragsnummern aus Anfragen an Cloud-Modelle
- RAG-Anbindung: Unternehmenseigene Dokumente als Kontext einbinden
- Übersetzung: Automatische Übersetzung englischer Modellantworten ins Deutsche
Details zur RAG-Integration finden Sie in unserem SAP-RAG-Leitfaden.
Häufige Fragen
Wie viele gleichzeitige Nutzer unterstützt OpenWebUI?
Die Software selbst hat kein Nutzerlimit. Der Flaschenhals ist die LLM-Inferenz: Ein Server mit 32 GB RAM und Ollama bedient 5–8 gleichzeitige Anfragen an ein 8B-Modell. Für 50+ gleichzeitige Nutzer empfiehlt sich Load Balancing über mehrere Ollama-Instanzen oder GPU-Beschleunigung.
Kann ich OpenWebUI mit Azure AD / Entra ID verbinden?
Ja, über OIDC (OpenID Connect). OpenWebUI unterstützt OIDC-Authentifizierung nativ. Konfigurieren Sie eine App-Registrierung in Azure Entra ID und setzen Sie die Umgebungsvariablen OAUTH_CLIENT_ID, OAUTH_CLIENT_SECRET und OPENID_PROVIDER_URL. Gruppenmappings funktionieren über Claims.
Wie sichere ich Chat-Daten vor unberechtigtem Zugriff?
Verschlüsseln Sie das Docker-Volume mit LUKS (Linux) oder BitLocker (Windows). Beschränken Sie den SSH-Zugang zum Server auf Admins. Aktivieren Sie 2FA über OIDC. Die SQLite-Datenbank enthält alle Chats im Klartext – physischer Serverzugriff muss kontrolliert werden.
Funktioniert die Benutzerverwaltung auch ohne LDAP?
Ja, die lokale Benutzerverwaltung ist der Standard. Admins legen Nutzer manuell an, setzen Passwörter und weisen Gruppen zu. Für Unternehmen unter 30 Nutzern ist das oft ausreichend. Ab 30+ Nutzern lohnt sich die LDAP-Anbindung, um Nutzerpflege zu automatisieren und Passwort-Policies zentral durchzusetzen.
Welche Kosten entstehen für OpenWebUI im laufenden Betrieb?
Die Software ist kostenlos (MIT-Lizenz). Laufende Kosten: Server-Hosting (€30–€100/Monat oder eigene Hardware), Strom (€15–€30/Monat bei eigenem Server), optional API-Kosten für Cloud-Modelle (€100–€500/Monat je nach Nutzung). Die ROI-Berechnung für KI-Projekte berücksichtigt diese Posten detailliert.
📖 Verwandte Artikel
Weitere interessante Beiträge zu ähnlichen Themen
OpenWebUI für Teams: Rollen und API-Keys verwalten
OpenWebUI für Teams einrichten: Rollen, API-Keys und Berechtigungen verwalten. Praxisanleitung mit LDAP-Anbindung und Kostencontrolling.
OpenWebUI + Ollama: Firmen-ChatGPT in 30 Minuten
OpenWebUI und Ollama als Firmen-ChatGPT in 30 Min. aufsetzen: Multi-User, RAG und DSGVO-konform für €89/Monat. Docker-Compose-Anleitung.
OpenWebUI + Azure OpenAI: Enterprise-Chat DSGVO
OpenWebUI mit Azure OpenAI verbinden: DSGVO-konformer Enterprise-Chat in 4 Stunden. Docker-Setup, Private Endpoint und SSO-Anleitung.
Bereit für KI im Mittelstand?
Nutzen Sie unsere 10 kostenlosen KI-Tools und Praxis-Guides – oder sprechen Sie direkt mit unseren Experten.
Pexon Consulting – KI-Beratung für den Mittelstand | Scaly Academy – Geförderte KI-Weiterbildung (KI-Spezialist, KI-Experte, Workflow-Automatisierung)