Änderungen von Dokument Digitale Mitgliederverwaltung

Zuletzt geändert von Daniel Herrmann am 2026/02/22 21:17

Verwalten
- Kopieren
Aktionen
- Exportieren
- Druckvorschau
Ansichten

Von 35.1 nach 34.1 Von 40.1 nach 39.1

Von Version

39.1

bearbeitet von Daniel Herrmann
am 2025/08/25 09:35

Änderungskommentar: Es gibt keinen Kommentar für diese Version

Auf Version

35.1

bearbeitet von Daniel Herrmann
am 2025/08/22 18:17

Änderungskommentar: Es gibt keinen Kommentar für diese Version

Rohform
Im Layout

Zusammenfassung

Seiteneigenschaften (1 geändert, 0 hinzugefügt, 0 gelöscht)
Objekte (1 geändert, 0 hinzugefügt, 0 gelöscht)
- Confluence.Code.ConfluencePageClass[0]

Details

Seiteneigenschaften

Inhalt

@@ -806,498 +806,55 @@
  Paperless unterstützt die automatische Zuordnung von Metadaten basierend auf festen Strings. So kann man beispielsweise angeben, dass ein Dokumententyp "Haftungsausschluss" zugewiesen werden soll, wenn der String "Haftungsausschluss" irgendwo im Dokument vorkommt. Dies ist allerdings auf eine korrekte Funktion der Texterkennung angewiesen und funktioniert erfahrungsgemäß nur in manchen Fällen, sodass mindestens eine manuelle Überprüfung trotzdem notwendig kommt. Wenn beispielsweise ein Brief mit dem Satz "ich dachte, ich hätte den Haftungsausschluss bereits abgegeben, könntet ihr dies bitte prüfen" erfasst wird, würde der basierend auf der Regel ebenfalls kategorisiert werden.
--**Aus diesem Grund wird auf jedes Dokument einen spezieller QR Code aufgedruckt**. Der QR code wird vom Post-Consume Script verwendet um die Metadaten in Paperless zuzuordnen. Weiterhin können Daten übermittelt werden, die dann mittels Webhook an N8n übermittelt werden und dort im Workflow verwendet werden können. Der Aufbau orientiert sich an dem Aufbau eines **JSON Web Tokens (JWT).**
++Aus diesem Grund nutzen wir einen speziellen QR Code in einem für den Makerspace spezifischen Format, welches nachstehend detailliert beschrieben wird.
--=== {{id name="DigitaleMitgliederverwaltung-Barcodeerzeugen"/}}(% style="color:var(--ds-text-accent-purple-bolder,#352c63);" %)Barcode erzeugen(%%) ===
++{{code language="json"}}
++{
++    "payload": {
++        "timestamp": "YYYY-MM-DDTHH:mm:ss",
++        "uuid": "260171c3-c71c-4da2-b13e-bf1386fe9eac",
++        "correspondent": "Daniel Herrmann (#250)",
++        "type": "mksp-doc-sepamandat",
++        "tags": [
++            "tag1",
++            "tag2"
++        ],
++"storage_path": "Mitgliederverwaltung"
++    },
++    "sig": "signature over the entire payload block"
++}
++{{/code}}
--(% style="color:var(--ds-text-accent-purple-bolder,#352c63);" %)Der Prozess zur Erzeugung eines QR Codes ist wie folgt:
++Die beiden Einträge **payload** und **sig** sind **Pflichtfelder**. Innerhalb der Payload müssen der **timestamp** **und die UUID** **vorhanden** sein, alle anderen Felder sind optional, jedoch muss mindestens eins angegeben werden. Der QR Code kann dann - insbesondere bei der Digitalen Unterschrift oder bei Workflows, wo die Formulare ohnehin on demand erzeugt werden bereits mit allen Daten bestückt werden. In Paperless gibt es dann ein Postconsume Script, welches den QR Code ausliest, die Signatur prüft und - falls die Signatur korrekt ist - automatisch die Meta-Daten übernimmt.
--* **Payload (Daten) festlegen**. Einige Werte sind verpflichtend, andere können nach Bedarf optional hinzugefügt werden.
--* JWT erzeugen und signieren. der JWT besteht aus drei Teilen:
--** **Header**: **alg** (Algorithmus) und **typ** (JWT) sind verpflichtend. Zusätzlich fügen wir einen Timestamp, eine eindeutige ID und eine Gültigkeitsdauer hinzu.
--** **Body**: beinhaltet die eigentlichen Daten.
--** **Signature**: Mit Hilfe eines Secrets und wird die Signatur erzeugt und automatisch angehängt.
--* PDF417 code erzeugen: ein JWT ist per Definition URL safe und kann daher einfach in ein QR code umgewandelt werden.
++=== {{id name="DigitaleMitgliederverwaltung-Signatur"/}}Signatur ===
--=== {{id name="DigitaleMitgliederverwaltung-Header"/}}Header ===
++Die Signatur wird kryptographisch mit Hilfe asymmetrischen Verschlüsselung erzeugt. Wir erzeugen ein RSA 2048 Key Pair. Der öffentliche Schlüssel steht Paperless zur Verfügung, sodass Paperless die Signaturen verifizieren kann. Der private Teil des Schlüssels wird von den Makerspace-Systemem verwendet, welche die Formulare erzeugen. Im Detail:
--Der Header enthält wichtige Meta-Daten, diese werden von der JWT Library automatisch erzeugt und beschreiben in der Regel den verwendeten Key-Typ.
++* **Key-Pair**: 2048 bit Schlüssellänge, RSA, 65537 Exponent
++* **Signatur**: SHA256 Signatur, PKCS1v15 Padding
++* (((
++**Payload**: Als Payload wird nur der Inhalt der Payload verwendet, als **JSON String ohne Whitespaces, byte encoded in UTF-8.** Das oben genannte Beispiel würde die Signatur über den folgenden String erstellen:
++\\
--=== {{id name="DigitaleMitgliederverwaltung-Body"/}}Body ===
++{{code language="json"}}
++{"payload":{"correspondent":"Daniel Herrmann (#250)","type":"SEPA Mandat","tags":["tag1","tag2"]},"timestamp":"YYYY-MM-DDTHH:mm:ss","sig":"this-would-be-the-signature-appended-to-the-data"}
++{{/code}}
--Die folgenden Claims sind im Body verfügbar:
--(% class="" %)|=(((
--Claim
--)))|=(((
--Type
--)))|=(((
--Pflicht
--)))|=(((
--Beschreibung
--)))
--|(((
--id
--)))|(((
--UUID4
--)))|(((
--✅️
--)))|(((
--Eindeutige ID dieses Dokuments
--)))
--|(((
--time
--)))|(((
--Zahl
--)))|(((
--✅️
--)))|(((
--UTC Linux-Timestamp an dem das Dokument und der QR Code erzeugt wurden
--)))
--|(((
--exp
--)))|(((
--Zahl
--)))|(((
--✅️
--)))|(((
--UTC Linux-Timestamp der angibt, bis wann das Dokument gültig ist.
--)))
--(% class="" %)|(((
--(% class="code" %)
--(((
--typ
--)))
--)))|(((
--String
--)))|(((
--✅️
--)))|(((
--Typ des Dokuments basierend auf der unten definierten Liste.
--)))
--(% class="" %)|(((
--(% class="code" %)
--(((
--cor
--)))
--)))|(((
--String
--)))|(((
--❌️
--)))|(((
--Optional: Name des Korrespondenten, dem das Dokument zugeordnet werden soll
--)))
--(% class="" %)|(((
--tags
--)))|(((
--List[String]
--)))|(((
--❌️
--)))|(((
--Liste an Tags, die dem Dokument zugeordnet werden soll
--)))
--|(((
--spth
--)))|(((
--String
--)))|(((
--❌️
--)))|(((
--Storage Path, das dem Dokument zugeordnet werden soll
--)))
--|(((
--opt
--)))|(((
--dict
--)))|(((
--❌️
--)))|(((
--Optionale Attribute, die mit eincodiert werden und dem N8n Workflow übergeben werden.
--)))
++Als Referenz, die in Python wäre der Input der Signatur:
++\\
--=== {{id name="DigitaleMitgliederverwaltung-Footer"/}}Footer ===
++{{code language="python"}}
++import json
--Der Footer wird automatisch erzeugt und erhält eine Signatur über den Header und den Body, basierend auf einem Algorithmus und einer Signatur.
--
--{{confluence_tip title="Algorithmus"}}
--Von den meisten Libraries werden symmetrische und asymmetrische Signaturen unterstützt. Die Verwendung eines symmetrischen Algorithmus ist für uns einfacher.
--
--Für diesen Anwendungsfall nutzen wir (% style="text-decoration: none;color:var(--ds-text,#333333);" %)**HS256** (HMAC mit SHA-256 Algorithmus).
--{{/confluence_tip}}
--
--=== {{id name="DigitaleMitgliederverwaltung-AuswahlderLibrary"/}}Auswahl der Library ===
--
--Die Implementierung für die Erzeugung und das Validieren erfolgt in Python. Dies hat den Hintergrund, dass sowohl unser Backend als auch Paperless NGX (und damit das Post-Consumption Script) in Python implementiert ist. Es gibt verschiedene Libraries, die betrachtet wurden:
--
--|=(% scope="col" %)(((
--Name
--)))|=(% scope="col" %)(((
--CVE
--)))|=(% scope="col" %)(((
--Github
--)))|=(% scope="col" %)(((
--GH⭐
--)))|=(% scope="col" %)(((
--Letztes Release
--)))|=(% scope="col" %)(((
--Offene Issues
--)))|=(% scope="col" %)(((
--Dokumentation
--)))|=(% scope="col" %)(((
--Qualität Dokumentation
--)))|=(% scope="col" %)(((
--In Backend vorhanden?
--)))|=(% scope="col" %)(((
--In Paperless vorhanden?
++input_data = {'payload': {'correspondent': 'Daniel Herrmann (#250)', 'type': 'SEPA Mandat', 'tags': ['tag1', 'tag2']}, 'timestamp': 'YYYY-MM-DDTHH:mm:ss', 'sig': 'this-would-be-the-signature-appended-to-the-data'}
++signature_data = json.dumps(input_data, separators=(',', ':')).encode('utf-8')
++{{/code}}
  )))
--|(((
--python-jose
--)))|(((
--3/0
--)))|(((
--[[https:~~/~~/github.com/mpdavis/python-jose>>url:https://github.com/mpdavis/python-jose||shape="rect"]]
--)))|(((
--1.7k
--)))|(((
--28.05.2025
--)))|(((
--83
--)))|(((
--[[https:~~/~~/python-jose.readthedocs.io/en/latest/>>url:https://python-jose.readthedocs.io/en/latest/||shape="rect"]]
--)))|(((
--⛔  Wenige Bespiele, API Dokumentation fehlt komplett
--)))|(((
--❌️
--)))|(((
--❌️
--)))
--|(((
--pyJWT
--)))|(((
--4/0
--)))|(((
--[[https:~~/~~/github.com/jpadilla/pyjwt>>url:https://github.com/jpadilla/pyjwt||shape="rect"]]
--)))|(((
--5.4k
--)))|(((
--28.11.2024
--)))|(((
--30
--)))|(((
--[[https:~~/~~/pyjwt.readthedocs.io>>url:https://pyjwt.readthedocs.io||shape="rect"]]
--)))|(((
--➕️  Gute Dokumentation, API, Beispiele, Changelog
--)))|(((
--✅️  2.10.1
--Dep von firebase
--)))|(((
--✅️  2.10.1
--)))
--|(((
--JWCrypto
--)))|(((
--5/0
--)))|(((
--[[https:~~/~~/github.com/latchset/jwcrypto>>url:https://github.com/latchset/jwcrypto||shape="rect"]]
--)))|(((
--465
--)))|(((
--06.03.2024
--)))|(((
--8
--)))|(((
--[[https:~~/~~/jwcrypto.readthedocs.io>>url:https://jwcrypto.readthedocs.io||shape="rect"]]
--)))|(((
--➕️  API Doc, einige Beispiele
--)))|(((
--✅️  1.5.6
--Dep von python-keycloak
--)))|(((
--❌️
--)))
--Unsere bevorzugte Library ist **pyjwt**. Diese ist auch in **paperless nativ vorhanden**, sodass wir uns für die Implementierung mittels **pyjwt** entschieden haben.
++== {{id name="DigitaleMitgliederverwaltung-TechnischesSetup"/}}Technisches Setup ==
--=== {{id name="DigitaleMitgliederverwaltung-PDF417Code"/}}PDF417 Code ===
--
--Als Format für den Code wurde PDF417 ausgewählt, da dieser mehr Platz und Fehlerkorrektur bietet. Weiterhin gibt es eine einfach zu nutzende Library für Python (Erzeugung) und PDF417 wird von (% style="text-decoration: none;color:var(--ds-text-accent-purple-bolder,#352c63);" %)ZXING unterstützt, welches in Paperless eingebettet ist. Ein solcher Barcode sieht beispielsweise so aus:
--
--(% style="text-decoration: none;color:var(--ds-text-accent-purple-bolder,#352c63);" %)[[image:attach:barcode.jpg||height="250"]]
--
--(% style="text-decoration: none;color:var(--ds-text-accent-purple-bolder,#352c63);" %)Daraus kann dann eine Base64 basierte Repräsentation berechnet werden, die einfach in Docuseal hochgeladen werden kann.
--
--=== {{id name="DigitaleMitgliederverwaltung-Referenz-Implementierung"/}}Referenz-Implementierung ===
--
--Eine Referenz-Implementierung befindet sich im Makerspace Gitlab: [[https:~~/~~/git.makerspace-darmstadt.de/makerspace-it-infrastructure/paperless-pdf417-reference>>url:https://git.makerspace-darmstadt.de/makerspace-it-infrastructure/paperless-pdf417-reference||shape="rect"]]
--
--== {{id name="DigitaleMitgliederverwaltung-PaperlessBerechtigungen"/}}Paperless Berechtigungen ==
--
--Paperless NGX hat ein Berechtigungssystem, welches sich über fast alle Ressourcen erstreckt. Grundsätzlich gibt es **Benutzer** und **Gruppen**. Berechtigungen können dann global vergeben werden (Sichtbarkeit von Features) und zusätzlich auf Objektebene vergeben werden.
--
--=== {{id name="DigitaleMitgliederverwaltung-BenutzerundGruppen"/}}Benutzer und Gruppen ===
--
--Paperless NGX ist so konfiguriert, dass sich Benutzer mit ihrem zentralen Makerspace Login anmelden können (OIDC über Keycloak). Eine Anmeldung mit lokalen Zugangsdaten ist nicht möglich. Bei der Anmeldung werden ebenfalls die Gruppen aus Keycloak übernommen, aber nur die folgenden:
--
--* Vorstand: Für die Mitglieder des Vorstands
--* Mitgliederverwaltung: Alle Personen, die mit der Verwaltung der Mitglieder betraut sind
--* IT Admin: IT Administratoren im Makerspace
--
--Nutzer, die keine dieser Gruppen angehören haben keine Rechte in Paperless. Sie können sich zwar anmelden, aber selbst die Willkommens-Seite erzeugt eine "Permission Denied" Fehlermeldung.
--
--=== {{id name="DigitaleMitgliederverwaltung-Berechtigungen"/}}Berechtigungen ===
--
--Berechtigungen werden grundsätzlich nicht auf Benutzerebene konfiguriert, sondern ausschließlich auf Gruppenebene. So wird sichergestellt, dass bei der Änderung einer Gruppenzugehörigkeit auch die damit verbundenen Rechte entzogen oder gewährt werden, ohne dass eine manuelle Änderung notwendig ist. Die folgende Tabelle gibt eine Übersicht der konfigurierten globalen Berechtigungen pro Gruppe:
--
--|=(% scope="row" %)(((
--Berechtigung
--)))|=(% scope="col" %)(((
--Beschreibung
--)))|=(% scope="col" %)(((
--Mitgliederverwaltung
--)))|=(% scope="col" %)(((
--Vorstand
--)))|=(% scope="col" %)(((
--IT Admin
--)))|=(% scope="col" %)(((
--Notiz
--)))
--|=(% scope="row" %)(((
--Document
--)))|(((
--Sehen und bearbeiten von Dokumenten.
--)))|(((
--ALLE
--)))|(((
--\\
--)))|(((
--\\
--)))|(((
--Wird zusätzlich durch Berechtigungen auf Objekt-Level eingeschränkt
--)))
--|=(% scope="row" %)(((
--Tag
--)))|(((
--Sehen und bearbeiten von Tags.
--)))|(((
--Anzeigen
--)))|(((
--\\
--)))|(((
--\\
--)))|(((
--Wird zusätzlich durch Berechtigungen auf Objekt-Level eingeschränkt
--)))
--|=(% scope="row" %)(((
--Correspondent
--)))|(((
--Sehen und bearbeiten von Korrespondenten
--)))|(((
--Anzeigen
--)))|(((
--\\
--)))|(((
--\\
--)))|(((
--Wird zusätzlich durch Berechtigungen auf Objekt-Level eingeschränkt
--)))
--|=(% scope="row" %)(((
--DocumentType
--)))|(((
--Sehen und bearbeiten von Dokument-Typen
--)))|(((
--Anzeigen
--)))|(((
--\\
--)))|(((
--\\
--)))|(((
--Wird zusätzlich durch Berechtigungen auf Objekt-Level eingeschränkt
--)))
--|=(% scope="row" %)(((
--StoragePath
--)))|(((
--Sehen und bearbeiten von Speicherpfaden
--)))|(((
--Anzeigen
--)))|(((
--\\
--)))|(((
--\\
--)))|(((
--Wird zusätzlich durch Berechtigungen auf Objekt-Level eingeschränkt
--)))
--|=(% scope="row" %)(((
--SavedView
--)))|(((
--Ansichten erzeugen und speichern
--)))|(((
--ALLE
--)))|(((
--\\
--)))|(((
--\\
--)))|(((
--\\
--)))
--|=(% scope="row" %)(((
--PaperlessTask
--)))|(((
--Dateiaufgaben einsehen und löschen
--)))|(((
--KEINE
--)))|(((
--\\
--)))|(((
--\\
--)))|(((
--\\
--)))
--|=(% scope="row" %)(((
--AppConfig
--)))|(((
--Konfiguration von Paperless NGX selbst
--)))|(((
--KEINE
--)))|(((
--\\
--)))|(((
--\\
--)))|(((
--\\
--)))
--|=(% scope="row" %)(((
--UISettings
--)))|(((
--Persönliche Anzeigeeinstellungen ändern
--)))|(((
--ALLE
--)))|(((
--\\
--)))|(((
--\\
--)))|(((
--\\
--)))
--|=(% scope="row" %)(((
--History
--)))|(((
--Dokumenten-Audit Log anzeigen oder ändern
--)))|(((
--Anzeigen
--)))|(((
--\\
--)))|(((
--\\
--)))|(((
--Nur für Dokumente, auf die Zugriff gewährt wurde.
--)))
--|=(% scope="row" %)(((
--Note
--)))|(((
--Notizen zu Dokumenten einsehen oder ändern
--)))|(((
--ALLE
--)))|(((
--\\
--)))|(((
--\\
--)))|(((
--Nur für Dokumente, auf die Zugriff gewährt wurde.
--)))
--|=(% scope="row" %)(((
--MailAccount
--)))|(((
--Mail-Accounts verwalten
--)))|(((
--KEINE
--)))|(((
--\\
--)))|(((
--\\
--)))|(((
--\\
--)))
--|=(% scope="row" %)(((
--MailRule
--)))|(((
--Verarbeitungsregeln für eingehende Mails bearbeiten
--)))|(((
--KEINE
--)))|(((
--\\
--)))|(((
--\\
--)))|(((
--\\
--)))
--|=(% scope="row" %)(((
--User
--)))|(((
--Benutzer einsehen oder verwalten
--)))|(((
--KEINE
--)))|(((
--\\
--)))|(((
--\\
--)))|(((
--\\
--)))
--|=(% scope="row" %)(((
--Group
--)))|(((
--Gruppen einsehen oder verwalten
--)))|(((
--KEINE
--)))|(((
--\\
--)))|(((
--\\
--)))|(((
--\\
--)))
--|=(% scope="row" %)(((
--ShareLink
--)))|(((
--Öffentliche Share-Links erstellen oder verwalten
--)))|(((
--KEINE
--)))|(((
--\\
--)))|(((
--\\
--)))|(((
--\\
--)))
--|=(% scope="row" %)(((
--CustomField
--)))|(((
--Custom Fields einsehen oder verwalten
--)))|(((
--Anzeigen
--)))|(((
--\\
--)))|(((
--\\
--)))|(((
--\\
--)))
--|=(% scope="row" %)(((
--Workflow
--)))|(((
--Workflows für neue Dokumente einsehen oder verwalten
--)))|(((
--KEINE
--)))|(((
--\\
--)))|(((
--\\
--)))|(((
--\\
--)))
--
--\\
--
  Owner: zwei Owner
  Docs: Owner = grp owner, View + Edit jeweilige Gruppen
  Correspondent: owner = grp owner, view = jeweilige Gruppe, edit = it admin

Confluence.Code.ConfluencePageClass[0]

Id

@@ -1,1 +1,1 @@
--205586463
++202867287

URL

@@ -1,1 +1,1 @@
--https://wiki.makerspace-darmstadt.de/spaces/PROJ/pages/205586463/Digitale Mitgliederverwaltung
++https://wiki.makerspace-darmstadt.de/spaces/PROJ/pages/202867287/Digitale Mitgliederverwaltung