Welchen 1Password-Tarif brauche ich?

Service-Accounts gibt es nur in 1Password Business oder Teams. Auf Individual- oder Family-Konten lässt sich kein Service-Account anlegen — dort funktioniert diese Verbindung nicht.

Sieht belege.ai alle meine Passwörter?

Nein. Der Service-Account hat ausschließlich Lesezugriff auf den einen Tresor, den du ihm zuweist. Lege deshalb einen eigenen Tresor (z. B. „Belege.ai“) nur für die Portal-Logins an, die der Agent nutzen soll — alles andere bleibt für belege.ai unsichtbar.

Wie kommt der Agent an die 2FA-Codes?

Hinterlegst du im Login-Eintrag ein Einmalpasswort (One-Time Password/TOTP), liest belege.ai bei Bedarf den aktuellen 6-stelligen Code aus 1Password aus. Fehlt das Feld, fragt der Agent den Code wie gewohnt über den Telegram-Chat ab.

Brauche ich 1Password zwingend?

Nein. Du kannst Portal-Zugangsdaten auch direkt in belege.ai hinterlegen. Ein dort gespeicherter Login hat sogar Vorrang vor 1Password — die Verbindung ist eine Ergänzung, kein Muss.

Wie entziehe ich belege.ai den Zugriff wieder?

Über „Trennen“ auf der 1Password-Karte entfernst du das Token aus belege.ai. Endgültig sperrst du den Zugriff in 1Password, indem du den Service-Account dort löschst — dann ist das Token sofort wertlos.

1Password verbinden

Viele Rechnungen liegen hinter einem Portal-Login. Der Browser-Agent meldet sich dort für dich an — und mit 1Password holt er sich Passwort und 2-Faktor-Code direkt aus einem dafür angelegten 1Password-Tresor, statt dass du sie in belege.ai eintippst. Deine Passwörter bleiben dabei in 1Password; belege.ai bekommt nur ein widerrufbares, nur-lesendes Token.

Voraussetzungen

Die Verbindung läuft über einen 1Password Service-Account — ein Zugriffstoken ohne menschlichen Login, das auf genau einen Tresor begrenzt ist. Service-Accounts gibt es nur in 1Password Business oder Teams; auf Individual-/Family-Konten ist diese Funktion nicht verfügbar.

In vier Schritten ist es eingerichtet:

einen eigenen Tresor anlegen,
die Portal-Logins (mit 2FA) hineinlegen,
einen Service-Account mit Lesezugriff auf diesen Tresor erstellen,
Token und Tresor-Namen in belege.ai eintragen.

Empfehlung: Lege einen separaten Tresor nur für belege.ai an. Der Agent kann alles lesen, was in diesem Tresor liegt — also gehört dort nur hinein, was er für die Portal-Logins wirklich braucht, nicht deine ganze Passwort-Sammlung.

Schritt 1: Eigenen Tresor anlegen

In der 1Password-Web-App (1password.com) öffnest du die Startseite und wählst „Neuer Tresor“. Gib einen Namen ein — z. B. Belege.ai — und bestätige mit „Tresor erstellen“. In der Desktop-App geht es genauso über das +-Symbol in der Seitenleiste.

Merk dir den exakten Namen. Du trägst ihn später buchstabengenau in belege.ai ein (Feld „Tresor-Name“). Schon ein Tippfehler oder eine andere Groß-/Kleinschreibung führt dazu, dass der Tresor nicht gefunden wird.

Schritt 2: Portal-Logins in den Tresor legen

Verschiebe (oder erstelle) im neuen Tresor die Logins der Portale, bei denen sich der Agent anmelden soll — etwa Stripe, Amazon, AWS, Telekom oder andere Anbieter. Zum Verschieben ziehst du einen Eintrag in der Seitenleiste auf den Tresor, oder du öffnest den Eintrag, klickst auf das Menü und wählst „Verschieben“ → deinen Belege.ai-Tresor.

Zwei Dinge sind dabei wichtig, damit belege.ai den richtigen Login findet und nutzen kann:

Website hinterlegen. Jeder Login-Eintrag muss die Website-Adresse des Portals enthalten. belege.ai ordnet den passenden Eintrag über die Domain zu — ein Eintrag mit stripe.com wird also beim Stripe-Login verwendet.
2FA als Einmalpasswort speichern. Nutzt das Portal eine Zwei-Faktor-Authentifizierung per Authenticator-App, hinterleg den 2FA-Code als Einmalpasswort-Feld (One-Time Password) im selben Eintrag — beim Einrichten der 2FA den QR-Code mit 1Password scannen oder den Einrichtungsschlüssel einfügen. 1Password erzeugt dann den 6-stelligen Code, und belege.ai liest bei Bedarf den jeweils gültigen Code aus.

Ein Login ohne Einmalpasswort-Feld hat schlicht keinen 2FA-Code in 1Password. Verlangt das Portal dann doch einen Code, fragt der Agent ihn wie gewohnt über den Telegram-Chat ab — es geht also nichts verloren.

Schritt 3: Service-Account anlegen (nur lesend)

Jetzt erstellst du das Zugriffstoken. In 1password.com öffnest du den Bereich Developer und legst unter Service Accounts über „Create a Service Account“ einen neuen an (die genauen Schritte stehen in der offiziellen 1Password-Anleitung).

Gib dem Service-Account einen Namen, z. B. belege.ai.
Beim Tresor-Zugriff wählst du ausschließlich deinen Belege.ai-Tresor und setzt die Berechtigung auf nur Lesen (read_items). Vergib kein Schreib- oder Freigaberecht und füge keine weiteren Tresore hinzu.
Schließe mit „Create Account“ ab. Das Token (beginnt mit ops_…) wird nur ein einziges Mal angezeigt — kopiere es sofort. Geht es verloren, legst du einfach einen neuen Service-Account an.

Schneller per Kommandozeile (1Password CLI): op service-account create "belege.ai" --vault "Belege.ai:read_items".

Schritt 4: In belege.ai verbinden

Öffne in der Web-App die Integrationen und scroll zu „Weitere Verbindungen“.
Auf der 1Password-Karte klickst du auf Verbinden.
Füge das Service-Account-Token (ops_…) ein und trag den Tresor-Namen exakt so ein, wie er in 1Password heißt (z. B. Belege.ai).
Bestätige mit Verbinden.

belege.ai prüft das Token sofort mit einem einzigen Lesezugriff auf den Tresor. Klappt es, zeigt die Karte „Verbunden · Tresor ‚Belege.ai‘“ samt der Anzahl gefundener Logins. Zum Wechseln oder Widerrufen klickst du auf Trennen — das löscht das gespeicherte Token bei belege.ai (den Zugriff selbst sperrst du, indem du den Service-Account in 1Password löschst).

Wie der Agent den Tresor nutzt

Passwörter: Beim Login sucht der Browser-Agent über die Domain den passenden Eintrag im Tresor und füllt Benutzername und Passwort automatisch aus — ohne weiteren Schritt von dir. Hast du zu einem Portal zusätzlich Zugangsdaten direkt in belege.ai hinterlegt, haben diese Vorrang.

2FA: Verlangt ein Portal einen Zwei-Faktor-Code, holt der Agent zuerst den aktuellen Code aus 1Password. Nur wenn es dort keinen passenden Eintrag oder kein Einmalpasswort-Feld gibt, fragt er dich — wie bisher — über Telegram. Wie der Login im Portal abläuft, steht unter Wie der Agent Belege findet.

Sicherheit: Was gespeichert wird

belege.ai speichert nur das verschlüsselte Token und den Tresor-Namen — niemals deine Passwörter. 1Password bleibt die führende Quelle für die eigentlichen Zugangsdaten. Das Token ist nur lesend und auf genau einen Tresor begrenzt, und du kannst es jederzeit in 1Password widerrufen.

Das Klartext-Passwort bzw. der 2FA-Code existiert nur kurz im Moment des Logins — dieselbe Vertrauensgrenze wie bei direkt in belege.ai hinterlegten Portal-Zugangsdaten.

Wenn die Verbindung fehlschlägt

Bei „Verbindung fehlgeschlagen“ liegt es fast immer an einer dieser drei Stellen:

Tresor-Name stimmt nicht. Er muss buchstabengenau dem Namen in 1Password entsprechen — gleiche Schreibweise, gleiche Groß-/Kleinschreibung.
Service-Account hat keinen Zugriff auf den Tresor. Prüfe in 1Password, dass dem Account genau dieser Tresor mit Leserecht zugewiesen ist.
Token unvollständig kopiert. Es muss mit ops_ beginnen und vollständig eingefügt sein. Im Zweifel einen neuen Service-Account anlegen und das Token erneut kopieren.

Findet der Agent einen Login nicht, liegt der Eintrag entweder nicht im verbundenen Tresor oder ihm fehlt die Website-Adresse des Portals. Bleibt ein 2FA-Code aus, fehlt dem Eintrag das Einmalpasswort-Feld — bis du es ergänzt, fragt der Agent den Code über Telegram ab.