Dokumentation

Fachliche und technische Dokumentation aller Seiten, Felder und Funktionen

Zuletzt aktualisiert: 2026-04-22Dokumentversion: 2.1

Backstage als Developer Portal und CMDB

Backstage wird zur zentralen technischen CMDB der HERMOS-Softwarelandschaft. SonarCloud und Azure DevOps Spaces werden als eigene Governance-Domänen angebunden, Security-Nachweise werden strukturiert gepflegt und Software Templates standardisieren neue Projekte.

Backstage als Developer Portal

Jede Service-Seite bündelt Metadaten, Qualität, Betrieb, Security und Dokumentation in einem konsistenten Layout. Entwickler, Architekten, Ops und Auditoren arbeiten auf der gleichen Informationsbasis.

Backstage Service-Page · Anatomie einer Entity-SeiteHeader: Owner · Tenant · Kritikalität · Lifecycle · TagsAbout / MetadataSystem-Referenz · APIsManager · GenehmigerAnnotations (hermos.com/*)Links: Repo · CI · Jira · WikiData Quality Score12 / 14 Pflichtfelder · 86 %Access SummaryRole Bundles · offene Requests · TTLQuality · SonarCloud CardQuality Gate · Reliability · SecurityCoverage · Duplication · HotspotsPASSED · 80 % Coverage · 0 BlockerLetzter Scan: 2026-04-22 08:14CI/CD · Azure DevOps CardSpace · Pipeline · letzter BuildEnvironments (dev · stage · prod)Release-Status · Deployment-GatesAgent Pool · Service ConnectionsSecurity Evidence CardOpen · Critical · KEV · Ø CVSSMTTR · SLA-VerletzungenSBOM-Hash · Pentest-DatumRisk Acceptance: 2 aktiv→ Link: Evidence-DetailTechDocs & RunbooksArchitektur · ADRs · On-CallRunbooks · OnboardingAPI-Referenz · ChangelogSuchbar im globalen Search Index

Anatomie einer Entity-Seite mit About, Quality, CI/CD, Security und TechDocs.

  • Einheitliches Header-Band für Owner, Tenant, Kritikalität und Lifecycle.
  • Pluginbasierte Cards pro Domäne (Quality, CI/CD, Security, Access, Docs).
  • Globale Suche über Catalog, TechDocs und AccessHub-Feed.
  • Permission Framework steuert Sichtbarkeit von Admin-/Audit-Inhalten.

Backstage als CMDB

Backstage ist die führende technische CMDB der HERMOS-Softwarelandschaft. Entities werden über Provider aus Repos, AccessHub und SonarCloud gespeist und aktiv auf Datenqualität geprüft.

CMDB-Entity-Graph · Beziehungen zwischen FachobjektenDomainz. B. BillingSystemfis-platform · fis.hermos.comComponentfis-core-api · fis-webAPIopenapi · asyncapi · graphqlResourceKeyVault · SQL · Storage · JiraGroup (Owner)fis-platform-teamQuality ProfileSonarCloud · TechDocs · SLAEntitlement MappingRole Bundle · Approval Policyowns →provides →qualified by →

Kernbeziehungen Domain → System → Component/API/Resource mit Ownership, Quality und Entitlement-Bezug.

  • Pflichtfelder: Owner, Tenant, Kritikalität, Lifecycle, Repo, SonarCloud-Key oder dokumentierte Ausnahme.
  • Datenqualitäts-Score je Entity mit Gap-Status und Verantwortlichem.
  • Mindestabnahme-Checkliste pro Service vor Aufnahme in die CMDB.
  • Ownership-Edges gehen an Group-Entities, nicht an Personen.
1

Backstage als CMDB

Backstage führt Services, APIs, Systeme, Komponenten, Ressourcen, Teams, Qualitäts- und Dokumentationsobjekte. Dynamische Daten werden über Entity Provider, Feeds und Plugins angebunden.

2

Datenqualität

Pflichtfelder wie Owner, Tenant, Kritikalität, SonarCloud-Key und Security-Doc-Ref werden aktiv überwacht. Lücken dürfen existieren, müssen aber dokumentiert und genehmigt werden.

10

Mindestabnahme pro Service

Ein Service gilt erst als sauber aufgenommen, wenn Entity, Owner, Tenant, Repo, SonarCloud-Link oder Ausnahme, Security-Dokumentation, AccessHub-Mapping, TechDocs, Kritikalität und Lifecycle vorhanden sind.

Integrationen: SonarCloud, Azure DevOps, Security Evidence

Governance-Domänen werden als eigenständige Subsysteme modelliert und in die Entity-Seiten eingebettet. Rechtevergabe bleibt strikt bei AccessHub, Backstage liefert Sicht und Kontext.

Integrationen · SonarCloud · Azure DevOps · Security EvidenceBackstageCatalog · TechDocs · SearchPlugins · Permission FrameworkNotifications · ProxySonarCloudQuality Gates · Webhooks · TokensIssues · Hotspots · CoverageSONAR_PROJECT_ADMIN via AccessHubCard · FeedAzure DevOps (TNT · FIS)Repos · Pipelines · EnvironmentsService Connections · Agent PoolsSpace-Trennung TNT ⇸ FISProvisioning nur via AccessHubPipeline-StatusSecurity EvidenceSAST · DAST · SCA · SBOM · SecretsCVSS · EPSS · KEV · MITRE ATT&CKblockiert Prod-Gate bei offenen CritsSecurity CardAccessHubEntitlement Catalog · PoliciesApproval · Fulfillment · AuditRead Model für BackstageSource of Truth für RechteAccess SummaryBackstage konsumiert · AccessHub entscheidet · Zielsysteme werden kontrolliert beschrieben

Backstage konsumiert Read-Modelle aus SonarCloud, Azure DevOps und Security Evidence; AccessHub bleibt Source of Truth für Rechte.

  • SonarCloud: Quality Gate, Issues, Hotspots und Coverage als Card pro Component.
  • Azure DevOps: getrennte Spaces für TNT und FIS, keine Cross-Space-Rechte.
  • Security Evidence: blockiert Prod-Gates bei offenen Critical- oder KEV-Findings.
  • Alle Write-Operationen gehen ausschließlich über AccessHub-Connectoren.
3

SonarCloud-Integration

Quality Gates, Issues und Webhooks werden servicebezogen angezeigt. Rollenpakete wie SONAR_PROJECT_ADMIN oder SONAR_EXECUTE_ANALYSIS laufen ausschließlich über AccessHub.

4

Azure DevOps Spaces TNT & FIS

Jeder Space bekommt getrennte Rollenpakete. Ein TNT-Recht erlaubt nie FIS-Zugriff. Pipeline-Operator und Project-Admin sind restriktiv, temporär und auditiert.

6

Security Evidence

OWASP Dependency-Check, ZAP, SAST, SBOM und Risikoakzeptanzen werden als CMDB-Objekte servicebezogen geführt und in Backstage über Cards sichtbar.

Software Templates

Templates sind der einheitliche Startpunkt für neue Services. Sie erzeugen nicht nur Code, sondern verankern den Service gleichzeitig in CMDB, CI/CD, Quality und Access Governance.

Vom Software Template zum produktiven Service1. Template-Auswahl
.NET · React · Worker · Library · Fullstack
2. Scaffold
Repo · CI · Secrets · Branch-Policies
3. Catalog-Entity
YAML · Annotations · Ownership
4. CI/CD-Setup
Azure DevOps Pipeline · Env-Gates
5. Quality-Bind
SonarCloud-Key · Quality Gate
6. Access-Mapping
Role Bundles · Approval Policy
7. Live in Backstage
Search · TechDocs · Cards
Ergebnis: CMDB-Entry + Repo + Pipeline + Quality Gate + Access Policy in einem Zug

Template-Auswahl bis Live-Service: Scaffold, Catalog-Entity, CI/CD, Quality-Bind und Access-Mapping in einem Schritt.

  • Standardisierte Templates: .NET, React, Worker, Library, Fullstack.
  • Jedes Template erzeugt Catalog-Entity, TechDocs-Skeleton und Pipeline.
  • SonarCloud-Projektanlage mit vordefiniertem Quality Profile.
  • AccessHub-Role-Bundle-Mapping wird automatisch registriert.
5

Software Templates

.NET-, React-, Worker-, Library- und Full-Stack-Templates erzeugen Code plus Catalog-Entity, TechDocs, CI/CD, SonarCloud-Mapping und AccessHub-Rollenmapping.

Erweitertes API-Zielbild

AccessHub stellt Backstage zusätzliche Domänen-APIs zur Verfügung. Jede Schreiboperation ist idempotent, auditiert und korrelierbar.

  • /cmdb · Entities, Relations, Data-Quality-Scores.
  • /connectors/sonarcloud · Projekte, Quality Gates, Webhooks.
  • /connectors/azure-devops · Spaces, Pipelines, Environments.
  • /backstage · kuratierte Read-Models für Entity Provider und Search Collator.
  • /reports · KPIs, Rezertifizierung, Compliance-Exporte.
7

Erweitertes API-Zielbild

AccessHub stellt zusätzliche Domänen /cmdb, /connectors/sonarcloud, /connectors/azure-devops, /backstage und /reports bereit. Jede Schreiboperation nutzt Idempotency Keys und wird auditiert.

Governance, Rollen und Kontrollen

Verbindliche Rollen und Boards sichern Architektur- und Datenqualität. Risiken aus unvollständigen CMDB-Daten, gemischten ADO-Spaces oder Template-Drift werden aktiv adressiert.

  • Rollen: Platform Owner, CMDB Steward, AccessHub PO, Security Owner, Tenant Owner, ADO Owner, SonarCloud Owner.
  • Architektur-Board entscheidet über Entity-Modell, Templates und API-Zuschnitt.
  • Operations-Board überwacht Datenqualität, Evidence-Coverage und SLA-Einhaltung.
  • Kontrollen: strikte Space-Trennung, Pipeline-Reviews, Template-Freigabeprozess.
8

Betriebs- und Governance-Modell

Rollen wie Platform Owner, CMDB Steward, AccessHub PO, Security Owner, Tenant Owner, ADO Owner und SonarCloud Owner sind verbindlich. Zwei Boards steuern Architektur und operative Qualität.

11

Erweiterte Risiken und Kontrollen

V3 adressiert zusätzliche Risiken: unvollständige CMDB, fehlende Security-Nachweise, gemischte ADO-Spaces, unkontrollierte Service Connections, Template-Drift. Gegenmaßnahmen: Datenqualitäts-KPIs, Evidence-Coverage, strikte Space-Trennung, Pipeline-Reviews und Template-Freigabeprozess.

Rollout-Roadmap

Die Einführung erfolgt in sechs Phasen. Jede Phase hat definierte Abnahmekriterien und KPI-Ziele, bevor die nächste Stufe freigegeben wird.

P0Foundation
Backstage-Core, SSO, Catalog-Skelett, Permission-Framework
P1CMDB-Onboarding
Top-20 Services mit Owner, Tenant, Lifecycle und TechDocs
P2Read-Only Integrationen
SonarCloud-Cards, Azure-DevOps-Cards, Security Evidence
P3Rechteanträge
AccessHub-Requests direkt aus Entity-Kontext in Backstage
P4ADO Fulfillment
Kontrollierte Write-Pfade in TNT/FIS, Pipeline-Templates
P5Compliance Scale
KPIs, Rezertifizierung, Evidence-Coverage, Audit-Exporte

P0 Foundation bis P5 Compliance Scale als verbindlicher Phasenplan mit Go/No-Go pro Phase.

  • P0 Foundation: Backstage-Core, SSO, Permission Framework.
  • P1 CMDB-Onboarding: Top-20-Services mit Pflichtfeldern und TechDocs.
  • P2 Read-Only Integrationen: SonarCloud-, ADO- und Security-Cards.
  • P3 Rechteanträge: AccessHub-Requests aus Entity-Kontext.
  • P4 ADO Fulfillment: kontrollierte Write-Pfade in TNT/FIS.
  • P5 Compliance Scale: KPIs, Rezertifizierung, Audit-Exporte.
9

Rollout-Roadmap

P0 Foundation, P1 CMDB-Onboarding, P2 Read-only Integrationen, P3 Rechteanträge, P4 Azure DevOps Fulfillment, P5 Compliance Scale mit KPIs und Rezertifizierung.

12

V3-Anhang: Beispiele und Quellen

Der V3-Anhang enthält Beispiel-Entities, API-Objekte fuer /cmdb, /connectors/sonarcloud und /connectors/azure-devops, Role-Bundle-Blaupausen sowie die Quellenbasis zu Backstage-Catalog, TechDocs, SonarCloud-API, Azure-DevOps-REST und OWASP-Standards.

17 / 18 · Zurück
Security Evidence