Published on

OpenWebUI für Teams: Rollen und API-Keys verwalten

Authors

TL;DR

OpenWebUI bietet seit Version 0.5 ein vollständiges Rollen- und Berechtigungssystem für Teams. Administratoren steuern Modellzugriff, API-Key-Budgets und Nutzungsquoten pro Abteilung. Diese Anleitung zeigt die Konfiguration für 10–200 Nutzer mit LDAP-Anbindung, Kostenlimits und Audit-Logging.

Warum Teamverwaltung in OpenWebUI entscheidend ist

OpenWebUI als Self-Hosted-Chat-Interface ist schnell installiert. Die eigentliche Herausforderung beginnt, wenn mehrere Abteilungen das System nutzen sollen. Ohne Rollen- und Berechtigungskonzept entstehen drei Probleme:

  1. Unkontrollierte API-Kosten: Ein einzelner Power-User kann 500 Euro monatliche API-Kosten verursachen
  2. Datenzugriff ohne Grenzen: Die Buchhaltung sieht Entwickler-Prompts und umgekehrt
  3. Fehlende Nachvollziehbarkeit: Niemand weiß, wer welches Modell wie intensiv nutzt

OpenWebUI löst diese Probleme mit einem dreistufigen Rollenmodell: Admin, Moderator und User. Dazu kommen API-Key-Management, Nutzungsquoten und Audit-Logs.

Rollenmodell konfigurieren

Die drei Standard-Rollen

Admin: Vollzugriff auf Systemkonfiguration, Modellverwaltung, Benutzerverwaltung und API-Keys. Maximal 2–3 Personen pro Organisation.

Moderator: Kann Nutzer verwalten, Chat-Verläufe moderieren und Modelle für die eigene Abteilung freigeben. Typisch: Abteilungsleiter oder IT-Ansprechpartner.

User: Zugriff auf freigegebene Modelle und eigene Chat-Verläufe. Kann keine Systemeinstellungen ändern.

Erweiterte Rollen über Groups

# openwebui/config/groups.yaml
groups:
  - name: "Entwicklung"
    models:
      - "gpt-4o"
      - "claude-sonnet-4-20250514"
      - "llama3.1:70b"
    max_tokens_per_day: 500000
    features:
      - "code_interpreter"
      - "file_upload"
      - "web_search"

  - name: "Vertrieb"
    models:
      - "gpt-4o-mini"
      - "llama3.1:8b"
    max_tokens_per_day: 100000
    features:
      - "file_upload"

  - name: "Geschaeftsfuehrung"
    models:
      - "gpt-4o"
      - "claude-sonnet-4-20250514"
    max_tokens_per_day: 200000
    features:
      - "file_upload"
      - "web_search"
      - "rag_search"

  - name: "Produktion"
    models:
      - "llama3.1:8b"
    max_tokens_per_day: 50000
    features:
      - "file_upload"

Über Groups steuern Sie granular, welche Abteilung auf welche Modelle zugreifen darf. Das verhindert, dass die Produktion versehentlich teure GPT-4o-Anfragen auslöst.

API-Keys verwalten und Budgets setzen

Zentrale API-Key-Verwaltung

Hinterlegen Sie API-Keys zentral im Admin-Panel statt bei einzelnen Nutzern. OpenWebUI routet Anfragen über den zentralen Key und protokolliert Nutzung pro User und Gruppe.

API-ProviderMonatliches BudgetZugewiesene Gruppen
OpenAI800 €Entwicklung, GF
Anthropic400 €Entwicklung, GF
Ollama (lokal)0 € (Hardware)Alle

Budgetlimits und Alerts

Konfigurieren Sie Budgetlimits pro Gruppe und Monat. Bei 80% Auslastung erhalten Admins eine E-Mail-Warnung. Bei 100% wird der Zugang zum betroffenen Modell automatisch auf ein günstigeres Modell umgestellt.

Für die Gesamtkostenplanung nutzen Sie unsere KI-Budget-Planungsvorlage.

LDAP-Anbindung für automatische Nutzerverwaltung

Die manuelle Nutzerverwaltung skaliert nicht. Ab 20 Nutzern empfiehlt sich die Anbindung an Active Directory oder LDAP:

# openwebui/config/auth.yaml
authentication:
  method: "ldap"
  ldap:
    server: "ldap://dc01.firma.local"
    port: 389
    use_tls: true
    bind_dn: "CN=openwebui-svc,OU=ServiceAccounts,DC=firma,DC=local"
    base_dn: "OU=Mitarbeiter,DC=firma,DC=local"
    user_filter: "(sAMAccountName={username})"
    group_mapping:
      "CN=IT-Entwicklung,OU=Gruppen,DC=firma,DC=local": "Entwicklung"
      "CN=Vertrieb,OU=Gruppen,DC=firma,DC=local": "Vertrieb"
      "CN=Geschaeftsfuehrung,OU=Gruppen,DC=firma,DC=local": "Geschaeftsfuehrung"
      "CN=Produktion,OU=Gruppen,DC=firma,DC=local": "Produktion"
  auto_provisioning: true
  sync_interval: 3600

Neue Mitarbeiter erhalten automatisch Zugang basierend auf ihrer AD-Gruppenzugehörigkeit. Beim Austritt aus dem Unternehmen wird der Zugang beim nächsten Sync-Intervall deaktiviert.

Audit-Logging und Compliance

Für die DSGVO-Konformität und interne Revision protokolliert OpenWebUI:

  • Login-Zeitpunkte und IP-Adressen
  • Verwendete Modelle pro Sitzung
  • Token-Verbrauch pro Nutzer und Gruppe
  • Hochgeladene Dateien (Metadaten, nicht Inhalte)
  • Konfigurationsänderungen durch Admins

Die Logs lassen sich an ein zentrales SIEM wie Graylog oder den ELK-Stack weiterleiten. Aufbewahrungsdauer: mindestens 90 Tage, empfohlen 12 Monate.

Praxisbeispiel: Maschinenbauer mit 85 Nutzern

Ein Maschinenbau-Unternehmen aus Franken mit 85 Mitarbeitern nutzt OpenWebUI seit Oktober 2025. Die Konfiguration:

  • 4 Gruppen mit unterschiedlichen Modellzugriffen
  • LDAP-Anbindung an Active Directory
  • Monatliches Gesamtbudget: 1.200 Euro
  • Lokales Llama 3.1 8B für Standardanfragen (kostenlos)
  • GPT-4o nur für Entwicklung und Geschäftsführung

Ergebnisse nach 5 Monaten:

  • API-Kosten 40% unter Budget durch intelligentes Routing
  • 92% der Anfragen laufen über das lokale Modell
  • Null Datenschutzvorfälle durch strikte Rollentrennung
  • Nutzungsquote: 73% der Mitarbeiter nutzen das System wöchentlich

Grundlagen zur KI-Implementierung finden Sie im KI-Leitfaden.

Typische Fehler bei der Teamverwaltung

Zu viele Admin-Accounts: Beschränken Sie Admin-Rechte auf 2–3 Personen. Jeder zusätzliche Admin erhöht das Risiko für Fehlkonfigurationen.

Keine Budgetlimits: Ohne Limits können einzelne Nutzer das Monatsbudget an einem Tag aufbrauchen. Setzen Sie immer Tageslimits zusätzlich zu Monatslimits.

Fehlende Onboarding-Dokumentation: Erstellen Sie eine kurze Anleitung (max. 2 Seiten), die neue Nutzer durch den ersten Login und die wichtigsten Funktionen führt.

Keine regelmäßige Review: Prüfen Sie quartalsweise, ob Gruppenzuordnungen und Modellfreigaben noch aktuell sind. Mitarbeiterwechsel zwischen Abteilungen erfordern Anpassungen.

Weitere Hinweise zur ROI-Berechnung von KI-Tools helfen bei der Investitionsentscheidung.

Häufig gestellte Fragen

Wie viele Nutzer unterstützt OpenWebUI gleichzeitig?

OpenWebUI unterstützt auf einem Server mit 8 Kernen und 32 GB RAM problemlos 50 gleichzeitige Nutzer. Bei 200+ registrierten Nutzern empfiehlt sich ein Load-Balancer mit zwei Instanzen.

Kann ich einzelne Modelle für bestimmte Nutzer sperren?

Ja. Über das Gruppenmodell weisen Sie Modelle gezielt zu. Nutzer sehen nur die Modelle, die ihrer Gruppe zugeordnet sind. Eine Sperre auf Einzelnutzer-Ebene ist ebenfalls möglich.

Wie funktioniert das API-Key-Rotation?

Hinterlegen Sie neue Keys im Admin-Panel und deaktivieren Sie alte Keys. OpenWebUI unterstützt mehrere aktive Keys pro Provider mit automatischem Failover.

Lassen sich Chat-Verläufe exportieren?

Admins können Chat-Verläufe als JSON oder Markdown exportieren. Einzelnutzer exportieren nur eigene Verläufe. Für Compliance-Zwecke lässt sich ein automatischer Export per API einrichten.

Ist SSO mit Azure AD möglich?

Ja, über OIDC-Integration. Konfigurieren Sie eine App-Registration in Azure AD und hinterlegen Sie Client-ID und Secret in OpenWebUI. Die Gruppenzuordnung erfolgt über Azure-AD-Gruppen.

Nächste Schritte

Beginnen Sie mit der Rollendefinition für Ihre Organisation. Identifizieren Sie 3–5 Gruppen mit unterschiedlichen Anforderungen. Richten Sie LDAP-Anbindung vor dem Rollout ein, nicht danach. Die KI-Implementierungsanleitung bietet weitere Orientierung für den strukturierten Rollout.

Diskutieren auf Twitter

📖 Verwandte Artikel

Weitere interessante Beiträge zu ähnlichen Themen

Alle Artikel durchsuchen

Bereit für KI im Mittelstand?

Nutzen Sie unsere 10 kostenlosen KI-Tools und Praxis-Guides – oder sprechen Sie direkt mit unseren Experten.

Kostenloses Beratungsgespräch buchenKI-Schulung bis 100% gefördert

Pexon Consulting – KI-Beratung für den Mittelstand | Scaly Academy – Geförderte KI-Weiterbildung (KI-Spezialist, KI-Experte, Workflow-Automatisierung)