Änderungen von Dokument Digitale Mitgliederverwaltung

Zuletzt geändert von Daniel Herrmann am 2026/02/22 21:17

Verwalten
- Kopieren
Aktionen
- Exportieren
- Druckvorschau
Ansichten

Von 20.1 nach 19.1 Von 41.1 nach 40.1

Von Version

40.1

bearbeitet von Daniel Herrmann
am 2025/08/25 10:40

Änderungskommentar: Es gibt keinen Kommentar für diese Version

Auf Version

20.1

bearbeitet von Daniel Herrmann
am 2025/08/21 20:55

Änderungskommentar: Es gibt keinen Kommentar für diese Version

Rohform
Im Layout

Zusammenfassung

Seiteneigenschaften (1 geändert, 0 hinzugefügt, 0 gelöscht)
Objekte (1 geändert, 0 hinzugefügt, 0 gelöscht)
- Confluence.Code.ConfluencePageClass[0]

Details

Seiteneigenschaften

Inhalt

@@ -19,7 +19,7 @@
  Kurz gesagt: Die EES ist schnell und unkompliziert, aber unsicher und nur für risikofreie Vorgänge geeignet. Die FES ist technisch sicherer, rechtlich belastbarer und für wichtige, aber formfreie Vereinbarungen ideal. Die QES ist rechtlich vollwertig wie eine handschriftliche Unterschrift und für alle Schriftformerfordernisse zwingend notwendig. Zusammenfassung:
--(% class="wrapped" style="text-decoration: none;" %)
++(% style="text-decoration: none;" %)
  |=(((
  Signaturtyp
  )))|=(((
@@ -69,7 +69,6 @@
  Am Dienstag, den 12.08.2025 fand hierzu ein Workshop statt, bei dem Vertreter des IT Teams, der Mitgliederverwaltung sowie des Vorstands teilgenommen haben. Dabei wurden die Ziele erläutert und definiert, ebenfalls haben eine Übersicht der bestehenden Dokumenten-Typen erstellt, mit denen wir im Verein heute hantieren. Für jedes Dokument wurde dann evaluiert, ob es in Zukunft komplett digitalisiert werden kann oder ob beispielsweise aus Haftungsgründen die Schriftform und damit eine handschriftliche Unterschrift weiterhin notwendig ist. Die folgende Tabelle gibt einen Überblick:
--(% class="wrapped" %)
  |=(% scope="col" %)(((
  Dokumenten-Typ
  )))|=(% scope="col" %)(((
@@ -78,7 +78,7 @@
  )))|=(% scope="col" %)(((
  Prozess heute
  )))|=(% scope="col" %)(((
--Notwendige Änderungen
++Prozess Zukunft
  )))
  |(((
  Mitgliedsantrag
@@ -92,7 +92,7 @@
  * Nach Eingang: Mitgliederverwaltung prüft den Antrag und genehmigt ihn
  * Mitgliederakte wird angelegt, der Antrag wird in der Akte abgeheftet
  )))|(((
--Der Antrag soll komplett **digital unterschrieben** werden. Vorgehen:
++Der Antrag kann komplett **digital unterschrieben** werden. Vorgehen:
  * Interessent:in füllt den Online-Antrag auf der Homepage aus
  * Nach Bestätigung der E-Mail Adresse wird ein Vorgang zur digitalen Unterschrift ausgelöst
@@ -163,7 +163,11 @@
  Ist ein Blanko-Formular, welches ausgefüllt, eingeworfen und abgeheftet wird.
  Danach wird ein Flag für das jeweilige Mitglied gesetzt, dass die Erklärung abgegeben wurde.
  )))|(((
--**Vollständig digital**. Vorstand oder Mitgliederverwaltung löst den Prozess über das Profil des Mitglieds aus (Button auf Homepage), danach digital weiter.
++**Vollständig digital**.
++
++* Vorstand oder Mitgliederverwaltung löst den Prozess über das Profil des Mitglieds aus (Button auf Homepage)
++* Mitglied erhält die Aufforderung per Mail das Dokument zu unterschreiben
++* Nach Unterschrift wird das Flag automatisch gesetzt und das Dokument wird zu Paperless NGX hochgeladen.
  )))
  |(((
  Übungsleitervertrag
@@ -177,9 +177,12 @@
  * Bestätigung dass der Vertrag vorliegt
  * Ein Flag ob das Mitglied die Übungsleiterpauschale an den Verein spendet oder nicht
  )))|(((
--**Vollständig digital**. Vorstand oder Mitgliederverwaltung löst den Prozess über das Profil des Mitglieds aus (Button auf Homepage), danach digital weiter.
++**Vollständig digital**.
--Ein Todo für die Mitgliederverwaltung wird erstellt um zu prüfen, ob das Mitglied die Pauschale spenden möchte oder nicht.
++* Vorstand oder Mitgliederverwaltung löst den Prozess über das Profil des Mitglieds aus (Button auf Homepage)
++* Mitglied erhält die Aufforderung per Mail das Dokument zu unterschreiben
++* Nach Unterschrift wird das erste automatisch gesetzt und das Dokument wird zu Paperless NGX hochgeladen.
++* Ein Todo für die Mitgliederverwaltung wird erstellt um zu prüfen, ob das Mitglied die Pauschale spenden möchte oder nicht.
  )))
  |(((
  Nutzungsvereinbarung Schulungsinhalte
@@ -190,7 +190,7 @@
  Urheberrecht, Übertragung von Nutzungsrechten sollte in Schriftform erfolgen
  )))|(((
--Unverändert, bleibt handschriftlich. Manuell über Dokumentenscanner einscannen und in Paperless dem Mitglied zuweisen.
++Unverändert, bleibt handschriftlich. Manuell über Dokumentenscanner Einscannen und in Paperless dem Mitglied zuweisen.
  )))
  |(((
  Bestellung eines Einweisers
@@ -251,7 +251,7 @@
  ** Muss für den Einweisenden eine Auszahlung veranlasst werden?
  * Danach wird der Zettel in die jeweiligen Akten einsortiert.
  )))|(((
--Der Einweisungszettel ist das bei weitem komplizierteste Dokument, hierfür wird ein separater Workshop stattfinden. Siehe weiter unten für Details.
++\\
  )))
  |(((
  Lagervertrag Kistenlager
@@ -265,7 +265,7 @@
  Nach Erfassen kann die Person eine Kiste beantragen, die dann monatliche Kosten auslöst
  )))|(((
--**Vollständig digital**, die Papierform entfällt. Self-Service durch Nutzer:in.
++\\
  )))
  |(((
  Lagervertrag Projektlager
@@ -279,7 +279,7 @@
  Nach Erfassen kann die Person das Projektlager automatisch nutzen.
  )))|(((
--**Vollständig digital**, die Papierform entfällt. Self-Service durch Nutzer:in.
++\\
  )))
  == {{id name="DigitaleMitgliederverwaltung-WorkflowBeschreibung"/}}Workflow Beschreibung ==
@@ -286,7 +286,7 @@
  Grundsätzlich teilt sich der Umgang mit Dokumenten in folgende Phasen auf:
--{{confluence_drawio border="true" diagramName="Prozess Allgemein" simpleViewer="false" links="auto" tbstyle="top" lbox="true" diagramWidth="991" height="221" revision="2"/}}
++{{confluence_drawio border="true" diagramName="Prozess Allgemein" simpleViewer="false" links="auto" tbstyle="top" lbox="true" diagramWidth="991" height="221" revision="1"/}}
  === {{id name="DigitaleMitgliederverwaltung-Trigger/StartendesWorkflows"/}}Trigger / Starten des Workflows ===
@@ -312,7 +312,6 @@
  Im zweiten Schritt wird nun ein oder mehrere personalisierte Dokumente erstellt. Hier gibt es eine Entscheidungsmatrix:
--(% class="wrapped" %)
  |=(% scope="col" %)(((
  Remote / Lokal
  )))|=(% scope="col" %)(((
@@ -340,6 +340,7 @@
  Einweisungszettel Online-Einweisung
  )))|(((
  Dokument wird über eine Docuseal One-Off Submission erzeugt und als PDF zum Download angeboten.
++Das Mitglied muss das Dokument dann ausdrucken, **handschriftlich** unterschreiben und in den Makerspace mitbringen.
  )))
  |(((
  Lokal
@@ -348,61 +348,7 @@
  )))|(((
  Schlüsselausgabe
  )))|(((
--Dokument wird über eine Docuseal One-Off Submission oder ein Template erzeugt und auf das Tablet im Makerspace heruntergeladen.
--)))
--|(((
--Lokal
--)))|(((
--Ja
--)))|(((
--Einweisungszettel Vor-Ort Einweisung
--)))|(((
--Dokument wird über eine Docuseal One-Off Submission erzeugt und als PDF auf das Tablet heruntergeladen.\\
--)))
--
--{{error title="Docuseal Lizenz"}}
--Das genannte Feature "One-Off" Submission ist ein DocuSeal Pro Feature, welches uns nicht zur Verfügung steht. Eventuell müssen wir
--{{/error}}
--
--=== {{id name="DigitaleMitgliederverwaltung-Unterschriftleisten"/}}Unterschrift leisten ===
--
--Im dritten Schritt müssen eine oder mehrere Parteien das Dokument unterschreiben. Wie viele Parteien ist abhängig vom Dokument. So muss beispielsweise der Mitgliedsantrag nur vom werdenden Mitglied unterschrieben werden, während das Schlüsselausgabeformular vom ausgebenen Funktionär und dem Mitglied unterschrieben werden muss. Analog zur Erstellung des Dokuments wird hier unterschieden, ob das Dokument zuhause unterschrieben werden kann oder ob es vor Ort im Makerspace passiert.
--
--(% class="wrapped" %)
--|=(((
--Remote / Lokal
--)))|=(((
--Schriftformerfordernis
--)))|=(((
--Beispiel
--)))|=(((
--Beschreibung
--)))
--|(((
--Remote
--)))|(((
--Nein
--)))|(((
--Lagervertrag, Übungsleitervertrag
--)))|(((
--Unterschrift über DocuSeal. Parteien werden nacheinander per Mail zur Unterschrift aufgefordert
--)))
--|(((
--Remote
--)))|(((
--Ja
--)))|(((
--Einweisungszettel Online-Einweisung
--)))|(((
--Das Mitglied muss das Dokument ausdrucken, **handschriftlich** unterschreiben und in den Makerspace mitbringen.
--)))
--|(((
--Lokal
--)))|(((
--Nein
--)))|(((
--Schlüsselausgabe
--)))|(((
++Dokument wird über eine Docuseal One-Off Submission oder ein Template erzeugt
  Unterschrift entweder:
  * Direkt auf dem Tablet in Docuseal ([[Docuseal In-Person Signing>>url:https://www.docuseal.com/resources/sign-documents-in-person||shape="rect"]])
@@ -415,55 +415,21 @@
  )))|(((
  Einweisungszettel Vor-Ort Einweisung
  )))|(((
--Auf dem Makerspace Tablet wird das Dokument vor Ort ausgedruckt (AirPrint oder CUPS) und **handschriftlich** unterschrieben.
++Dokument wird über eine Docuseal One-Off Submission erzeugt und als PDF auf das Tablet heruntergeladen.
++Von dort aus wird es direkt ausgedruckt (AirPrint oder CUPS) und **handschriftlich** unterschrieben.
  \\
  )))
--=== {{id name="DigitaleMitgliederverwaltung-AblegenundVerarbeiten"/}}Ablegen und Verarbeiten ===
++{{error title="Docuseal Lizenz"}}
++Das genannte Feature "One-Off" Submission ist ein DocuSeal Pro Feature, welches uns nicht zur Verfügung steht. Eventuell müssen wir
++{{/error}}
--Egal welcher Prozess angewandt wird, das Dokument muss am Ende in Paperless eingelesen und mit den Meta-Daten (siehe unten) versehen werden. Hier gibt es drei verschiedene Varianten:
++=== {{id name="DigitaleMitgliederverwaltung-Unterschriftleisten"/}}Unterschrift leisten ===
--(% class="wrapped" %)
--|=(% scope="col" %)(((
--Signatur über
--)))|=(% scope="col" %)(((
--Paperless Ingest
--)))|=(% scope="col" %)(((
--Ablauf
--)))
--|(((
--Docuseal
--)))|(((
--N8n
--)))|(((
--Docuseal sendet ein Webhook ans Backend
++Im dritten Schritt müssen eine oder mehrere Parteien das Dokument unterschreiben. Wie viele Parteien ist abhängig vom Dokument. So muss beispielsweise der Mitgliedsantrag nur vom werdenden Mitglied unterschrieben werden, während das Schlüsselausgabeformular vom ausgebenen Funktionär und dem Mitglied unterschrieben werden muss. Analog zur Erstellung des Dokuments wird hier unterschieden, ob das Dokument zuhause unterschrieben werden kann
--* Backend setzt den Prozess auf abgeschlossen
--* Backend publisht ein Event auf N8n
--* N8n lädt das Dokument von Docuseal herunter und lädt es zu Paperless hoch
--)))
--|(((
--Tablet
--)))|(((
--N8n oder API
--)))|(((
--Je nach gewählter Implementierung auf dem Tablet.
++= {{id name="DigitaleMitgliederverwaltung-TechnischeÜbersicht"/}}Technische Übersicht =
--* Wenn Docuseal In Person Signing: Webhook + N8n wie oben
--* Wenn Unterschrift in Tablet App: Tablet lädt das über die API hoch
--)))
--|(((
--Handschriftliche Unterschrift
--)))|(((
--ScanSnap Scanner
--)))|(((
--Das Dokument wird von der Mitgliederverwaltung eingescannt und dann von Paperless verarbeitet
--)))
--
--In allen Fällen sollte das Dokument einen QR Code enthalten, der die automatische Zuordnung von Meta-Daten ermöglicht. Weiterhin wird vom Post-Consumption Script ein NATS Event für jedes erfolgreich erkannte Dokument erstellt, welches dann vom N8n verarbeitet werden kann. Darüber lassen sich beispielsweise Einweisungszettel im Backend erfassen.
--
--= {{id name="DigitaleMitgliederverwaltung-TechnischesDesign"/}}Technisches Design =
--
  == {{id name="DigitaleMitgliederverwaltung-VorhandeneKomponenten"/}}Vorhandene Komponenten ==
  Der Verein hat in den letzten Jahren bereits einige Systeme aufgebaut, die uns den Alltag erleichtern und eine gewisse Automatisierung ermöglichen. Dazu gehören:
@@ -504,200 +504,12 @@
  == {{id name="DigitaleMitgliederverwaltung-Systemübersicht"/}}Systemübersicht ==
--Das folgende Kapitel gibt eine Übersicht über die vorgeschlagene Systemarchitektur basierend auf den oben vorgestellten Komponenten. Zusätzlich werden für die oben analysierten Dokumente und Workflows die technischen Ablaufdiagramme dargestellt.
++Das folgende Kapitel gibt eine Übersicht über die vorgeschlagene Systemarchitektur basierend auf den oben vorgestellten Komponenten. Zusätzlich werden einige Beispiel-Worksflows vorgestellt, eine detailliertere Übersicht der oben vorgestellten Use-Cases für die Dokumente folgt weiter unten.
  {{confluence_drawio border="true" diagramName="System Architecture" simpleViewer="false" links="auto" tbstyle="top" lbox="true" diagramWidth="1034" height="578" revision="5"/}}
--Im Wesentlichen teilt sich die Architektur in zwei Zonen, die **öffentliche** und die **interne** Zone:
++TODO: Genauere Beschreibung der Komponenten
--* **Paperless** ist das maßgebliche System, welches ausschließlich **intern** erreichbar ist. Es enthält alle Dokumente und somit sehr viele Mitglieder-Daten. Weiterhin ist es auf ein Teil der Infrastruktur im Makerspace (NAS, Drucker, Scanner) angewiesen, sodass es im Netzwerk des Makerspaces laufen muss. Aus Sicherheitsgründen ist Paperless ausschließlich im lokalen Netzwerk des Makerspaces oder per VPN erreichbar.
--* Alle den **Mitgliedern gegenüber sichtbare Systeme (Homepage, Backend, ...) sind öffentlich **und auf einem gemieteten Server beim deutschen Anbieter Hetzner gehostet. [[Details dazu finden sich im Wiki>>confluencePage:page:IN.Public Server Infrastruktur]]. Die meiste bestehende Automatisierung wird aktuell im Backend durchgeführt, ist dort allerdings in Python Logic fest einprogrammiert. Die meiste Logik soll in Zukunft über N8n realisiert werden.
--
--Für die Kommunikation zwischen beiden Zonen kommt eine **Event Queue** zum Einsatz, wir nutzen hier NATS. NATS wird ebenfalls **auf dem öffentlichen Server installiert. **Der Makerspace selbst ist nur über eine reguläre DSL Leitung an das Internet angebunden, sodass wir hier keine hohe Verfügbarkeit voraussetzen können. Durch die Installation der NATS Services auf dem öffentlichen Server können die dort laufenden Services wie das Backend jederzeit (auch wenn die Internet-Verbindung im Makerspace nicht zur Verfügung steht) die Events veröffentlichen. Die Events werden dann bis zu 7 Tage in der NATS EventQueue persistent gespeichert, und nach Wiederherstellung der Verbindung abgearbeitet.
--
--**In N8n** werden dann für die **verschiedenen Events Workflows** definiert. Jeder Workflow beginnt mit einem Trigger (genauer: ein NATS JetStream Trigger), der bei auf definierbare Events in der NATS Queue lauscht. Wird ein solches Event gefunden wird es konsumiert und die im Workflow definierten Aktionen werden abgearbeitet. Weiterhin kann auch **Paperless Events in N8n triggern**, dies passiert allerdings direkt über **Webhooks**. Hier nutzen wir NATS nicht, da der NATS Server in der öffentlichen Zone läuft und dann erneut eine Abhängigkeit zur Internet-Anbindung bestehen würde.
--
--== {{id name="DigitaleMitgliederverwaltung-Dokument-Workflows"/}}Dokument-Workflows ==
--
--Die beiden entscheidenden Faktoren für den Workflow:
--
--1. **Erfordernis der Schriftform**
--11. **Ja** - auf Grund der Haftungshöhe oder anderer gesetzlichen Anforderungen ist die **Schriftform** erforderlich. Da wir stand heute keine Qualifizierte elektronische Signatur (QeS) umsetzen können, ist dies eine **handschriftliche** Unterschrift
--11. **Nein** - eine Fortgeschrittene elektronische Signatur (FeS) ist ausreichend.
--1. Ort der Unterschrift
--11. **Remote** - Der Prozess wird typischerweise über die Homepage angestoßen und
--11. **Lokal (Makerspace)** - Der Prozess wird als Reaktion auf ein In-Person Event im Makerspace ausgelöst, beispielsweise einer Einweisung oder einer Schlüsselausgabe
--
--Daraus ergeben sich vier verschiedene Kombinationen (Workflows), die nachstehend genauer beschrieben sind.
--
--(% class="wrapped" %)
--|=(% scope="row" %)(((
--Workflow
--)))|=(% scope="col" %)(((
--Schriftform erforderlich
--)))|=(% scope="col" %)(((
--Lokal / Remote
--)))
--|=(% scope="row" %)(((
--Fall 1: Digital Remote
--)))|(((
--Nein
--)))|(((
--Remote
--)))
--|=(% scope="row" %)(((
--Fall 2: Digital Makerspace
--)))|(((
--Nein
--)))|(((
--Lokal
--)))
--|=(% scope="row" %)(((
--Fall 3: Handschriftlich Remote
--)))|(((
--Ja
--)))|(((
--Remote
--)))
--|=(% scope="row" %)(((
--Fall 4: Handschriftlich Makerspace
--)))|(((
--Ja
--)))|(((
--Lokal
--)))
--
--=== {{id name="DigitaleMitgliederverwaltung-Fall1:Digital+Remote"/}}Fall 1: Digital + Remote ===
--
--Alle diese Fälle haben gemein, dass der Prozess **remote ausgelöst und abgeschlossen** wird. In diesem Fall wird nie ein ausgedrucktes Dokument erzeugt, das Dokument wird **ausschließlich digital** verwaltet.
--
--**Beispiele**: Lagerverträge, Mitgliedsantrag, SEPA Lastschriftmandat, Übungsleitervertrag, ...
--
--Die folgende Grafik zeigt den Prozessablauf:
--
--{{confluence_drawio border="true" diagramName="Fall 1 Ablaufdiagramm" simpleViewer="false" links="auto" tbstyle="top" lbox="true" diagramWidth="1138" height="515" revision="4"/}}
--
--Die einzelnen Schritte hierbei sind:
--
--1. User löst eine Aktion auf der Homepage aus, die ein Dokument erfordert. Beispielsweise stellt die Person einen Mitgliedsantrag, beantragt die Nutzung des Lagers oder ähnliches
--1. Die Anfrage wird vom Backend verarbeitet. Hierbei werden sowohl die Rechte geprüft (Lager kann nur von Mitgliedern verwendet werden, der ein neuer Übungsleitervertrag kann nur von Vorstand oder Mitgliederverwaltung angestoßen werden). Danach
--11. Speichert das Backend die Anfrage als Signature Request in der Datenbank
--11. Erstellt eine "Submission" in DocuSeal. Diese basiert auf einem Template und enthält so viele Daten wie möglich schon vorausgefüllt. Mindestens aber enthält die Submission den signierten QR Code (siehe unten).
--1. Docuseal informiert die beteiligten Parteien automatisch und bittet um eine Unterschrift. Die Parteien können über das Webinterface unterschreiben, entweder mit der Haus auf dem Computer oder mit Hilfe des Handys.
--1. (Optional): Ein regelmäßig laufender Cronjob prüft die laufenden Verfahren. Nach einer Woche Inaktivität wird der Unterschriftprozess abgebrochen, 48 Stunden vorher wird eine Erinnerung verschickt
--1. Nachdem alle Parteien unterschrieben haben informiert Docuseal das Backend über ein Webhook. Beide Systeme laufen auf dem gleichen Server, weiterhin können fehlgeschlagene Webhooks bei Bedarf wiederholt werden. Das Backend markiert den Prozess als abgeschlossen und führt gegebenenfalls interne Schritte aus (Berechtigungen für ein User anlegen oder ähnliches)
--1. Das Backend erstellt ein NATS Event mksp.backend.signature.completed, welches dann in N8n einen Workflow auslöst
--1. N8n lädt das von allen Parteien unterschriebene Dokument von Docuseal herunter
--1. N8n lädt das Dokument zu Paperless hoch. Dort wird es wie alle anderen Dokumente verarbeitet. Das Post Consumption Script (siehe unten) scannt das Dokument auf einen MKSP QR Code
--1. Wird ein MKSP QR Code gefunden passieren zwei Dinge:
--11. Die Paperless Meta Daten werden automatisch zugewiesen.
--11. Bei Bedarf (Konfiguration im QR Code) wird ein N8n Webhook ausgelöst
--1. (Optional): Wurde im vorherigen Schritt über den Webhook ein N8n Workflow ausgelöst, kann dieser nun weitere Schritte unternehmen (beispielsweise Vikunja Tasks erzeugen, Mails verschicken, oder ähnlich)
--
--=== {{id name="DigitaleMitgliederverwaltung-Fall2:Digital+Makerspace"/}}Fall 2: Digital + Makerspace ===
--
--In diesem Fall kann die Unterschrift digital erfolgen, allerdings findet die Unterschrift im Makerspace statt. Beispiel hier ist die Ausgabe eines Schlüssels und das Schlüsselausgabeformular.
--
--Wir können nicht davon ausgehen, dass alle Personen ein mobiles Endgerät dabei haben, mit dem sie E-Mails abrufen und Unterschriften leisten können. Außerdem ist die Unterschrift Voraussetzung dafür, dass der Schlüssel auch tatsächlich eingebunden wird, die Unterschrift ist also mittig in einem Prozess eingebunden und erfordert ein unmittelbares Feedback ähnlich einer handschriftlichen Unterschrift.
--
--**Beispiele**: Ausgabeformular Schlüsselkarte / RFID Token
--
--Die folgende Grafik zeigt den Prozessablauf:
--
--{{confluence_drawio border="true" diagramName="Fall 2 Ablaufdiagramm" simpleViewer="false" links="auto" tbstyle="top" lbox="true" diagramWidth="1138" height="499" revision="2"/}}
--
--Die einzelnen Schritte hierbei sind:
--
--1. Ein autorisierter User meldet sich am Tablet an einer App an, entweder per Makerspace Login (Keycloak) oder per Keyfob. Dort hat der Benutzer dann mehrere Optionen, beispielsweise die Ausgabe eines Schlüssels. Dies erfordert irgendwo im Prozess, dass direkt vor Ort ein Dokument unterschrieben werden muss.
--1. Tablet sendet im Namen des angemeldeten Benutzers eine Anfrage ans Backend. Die Anfrage wird vom Backend verarbeitet. Danach...
--11. Speichert das Backend die Anfrage als Signature Request in der Datenbank
--11. Erstellt eine "Submission" in DocuSeal. Diese basiert auf einem Template und enthält so viele Daten wie möglich schon vorausgefüllt. Mindestens aber enthält die Submission den signierten QR Code (siehe unten).
--11. (((
--Die URL für das Dokument werden als Antwort des API Requests an das Tablet zurück geschickt. Dies enthält die Embed-URL, die direkt auf dem Tablet angezeigt werden kann. Beispiel:\\
--
--{{expand}}
--{{code language="json"}}
--[
--    {
--        "id": 430,
--        "uuid": "3845d527-ea14-402a-bd05-e85cd4b28a68",
--        "name": "Vorname Nachname",
--        ...
--        "role": "Mitglied",
--        "embed_src": "https://sign.makerspace-darmstadt.de/s/mMUEBY6Knz1vap"
--    },
--    {
--        "id": 431,
--        "uuid": "04cbbf45-e3eb-4956-b104-01c0315adc94",
--        "name": null,
--        ...
--        "role": "Verein",
--        "embed_src": "https://sign.makerspace-darmstadt.de/s/k5gvGuBjW5fkb1"
--    }
--]
--{{/code}}
--{{/expand}}
--)))
--1. Die beteiligten Personen unterschreiben direkt auf dem Tablet.
--1. Nachdem alle Parteien unterschrieben haben informiert Docuseal das Backend über ein Webhook. Das Backend markiert den Prozess als abgeschlossen und führt gegebenenfalls interne Schritte aus (Berechtigungen für ein User anlegen oder ähnliches). Der Vorgang kann auf dem Tablet direkt weitergeführt werden.
--1. Das Backend erstellt ein NATS Event mksp.backend.signature.completed, welches dann in N8n einen Workflow auslöst
--1. N8n lädt das von allen Parteien unterschriebene Dokument von Docuseal herunter
--1. N8n lädt das Dokument zu Paperless hoch. Dort wird es wie alle anderen Dokumente verarbeitet. Das Post Consumption Script (siehe unten) scannt das Dokument auf einen MKSP QR Code
--1. Wird ein MKSP QR Code gefunden passieren zwei Dinge:
--11. Die Paperless Meta Daten werden automatisch zugewiesen.
--11. Bei Bedarf (Konfiguration im QR Code) wird ein N8n Webhook ausgelöst
--1. (Optional): Wurde im vorherigen Schritt über den Webhook ein N8n Workflow ausgelöst, kann dieser nun weitere Schritte unternehmen (beispielsweise Vikunja Tasks erzeugen, Mails verschicken, oder ähnlich)
--
--=== {{id name="DigitaleMitgliederverwaltung-Fall3:Handschriftlich+Remote"/}}Fall 3: Handschriftlich + Remote ===
--
--In diesem Fall wird der Prozess durch einen Benutzer **remote ausgelöst, benötigt allerdings die Schriftform.** In diesem Fall wird dem Benutzer ein vorausgefülltes und mit QR Code versehenes Dokument zum Download angeboten, welches dann heruntergeladen, ausgedruckt, unterschrieben und eingereicht werden muss.
--
--**Beispiele**: Einweisungszettel für reine Online-Einweisungen
--
--{{confluence_drawio border="true" diagramName="Fall 3 Ablaufdiagramm_" simpleViewer="false" links="auto" tbstyle="top" lbox="true" diagramWidth="1159" height="467" revision="2"/}}
--
--Die einzelnen Schritte hierbei sind:
--
--1. User löst eine Aktion auf der Homepage aus, die ein Dokument erfordert. Beispielsweise hat der User eine Online-Einweisung beendet und muss dafür nun den Einweisungszettel unterschreiben.
--1. Die Anfrage wird vom Backend verarbeitet. Hierbei werden sowohl die Rechte geprüft (Lager kann nur von Mitgliedern verwendet werden, der ein neuer Übungsleitervertrag kann nur von Vorstand oder Mitgliederverwaltung angestoßen werden). Danach
--11. Speichert das Backend die Anfrage als Signature Request in der Datenbank
--11. Erstellt eine "Submission" in DocuSeal. Diese basiert auf einem Template und enthält so viele Daten wie möglich schon vorausgefüllt. Mindestens aber enthält die Submission den signierten QR Code (siehe unten).
--11. Das vorausgefüllte Dokument wird im PDF Format heruntergeladen und die Submission wird direkt wieder archived.
--1. Das vorausgefüllte PDF wird als Antwort auf die Anfrage an die Website zum Download angeboten. Der Benutzer druckt das PDF aus.
--1. (Optional): Ein regelmäßig laufender Cronjob prüft die laufenden Verfahren. Nach einer Woche Inaktivität wird der Unterschriftprozess abgebrochen, 48 Stunden vorher wird eine Erinnerung verschickt
--1. Das ausgedruckte Dokument wird vom Benutzer unterschrieben, wenn weitere Parteien notwendig sind, auch diesen zur Unterschrift vorgelegt.
--1. Ein Mitglied der Mitgliederverwaltung prüft das Dokument auf Korrektheit (dokumentenechte Unterschrift, vollständig ausgefüllt) und scannt es mit Hilfe des ScanSnap Scanners ein.
--1. Das Dokument landet automatisch auf einem Netzwerklaufwerk auf dem Makerspace NAS. Dort wird es von Paperless erkannt und automatisch verarbeitet. Das Post Consumption Script (siehe unten) scannt das Dokument auf einen MKSP QR Code
--1. Wird ein MKSP QR Code gefunden passieren zwei Dinge:
--11. Die Paperless Meta Daten werden automatisch zugewiesen.
--11. Es wird ein N8n Webhook ausgelöst
--1. Als Teil des N8n Workflows informiert N8n das Backend darüber, dass das Dokument eingescannt und verarbeitet wurde. Der Vorgang wird entsprechend in der Datenbank als erledigt markiert.
--1. (Optional): Wurde im vorherigen Schritt über den Webhook ein N8n Workflow ausgelöst, kann dieser nun weitere Schritte unternehmen (beispielsweise Vikunja Tasks erzeugen, Mails verschicken, oder ähnlich)
--
--=== {{id name="DigitaleMitgliederverwaltung-Fall4:Handschriftlich+Makerspace"/}}Fall 4: Handschriftlich + Makerspace ===
--
--In diesem Fall wird der Prozess durch einen Benutzer **im Makerspace ausgelöst und benötigt Schriftform.** In diesem Fall wird das Dokument im Makerspace erzeugt (soweit wie möglich vorausgefüllt und mit QR Code versehen) und direkt vor Ort ausgedruckt. Dort wird es dann unterschrieben und eingeworfen.
--
--**Beispiele**: Einweisungszettel für Vor-Ort Online-Einweisungen
--
--{{confluence_drawio border="true" diagramName="Fall 4 Ablaufdiagramm" simpleViewer="false" links="auto" tbstyle="top" lbox="true" diagramWidth="1208" height="523" revision="3"/}}
--
--Die einzelnen Schritte hierbei sind:
--
--1. Ein autorisierter User meldet sich am Tablet an einer App an, entweder per Makerspace Login (Keycloak) oder per Keyfob. Dort hat der Benutzer dann mehrere Optionen, beispielsweise die Erfassung von Einweisungs-Teilnehmer:innen.
--1. Tablet sendet im Namen des angemeldeten Benutzers eine Anfrage ans Backend. Die Anfrage wird vom Backend verarbeitet. Danach...
--11. Speichert das Backend die Anfrage als Signature Request in der Datenbank
--11. Erstellt mit Hilfe einer Docuseal Submission ein PDF Dokument. Dieses basiert auf einem Template und enthält so viele Daten wie möglich schon vorausgefüllt. Mindestens aber den signierten QR Code (siehe unten).
--1. Das Tablet druckt das oder die heruntergeladenen PDF Datei(en) aus.
--1. Die Parteien unterschreiben das Dokument handschriftlich und werfen es in den Briefkasten.
--1. Ein Mitglied der Mitgliederverwaltung prüft das Dokument auf Korrektheit (dokumentenechte Unterschrift, vollständig ausgefüllt) und scannt es mit Hilfe des ScanSnap Scanners ein.
--1. Das Dokument landet automatisch auf einem Netzwerklaufwerk auf dem Makerspace NAS. Dort wird es von Paperless erkannt und automatisch verarbeitet. Das Post Consumption Script (siehe unten) scannt das Dokument auf einen MKSP QR Code
--1. Wird ein MKSP QR Code gefunden passieren zwei Dinge:
--11. Die Paperless Meta Daten werden automatisch zugewiesen.
--11. Es wird ein N8n Webhook ausgelöst
--1. Als Teil des N8n Workflows informiert N8n das Backend darüber, dass das Dokument eingescannt und verarbeitet wurde. Der Vorgang wird entsprechend in der Datenbank als erledigt markiert.
--1. (Optional): Wurde im vorherigen Schritt über den Webhook ein N8n Workflow ausgelöst, kann dieser nun weitere Schritte unternehmen (beispielsweise Vikunja Tasks erzeugen, Mails verschicken, oder ähnlich)
--
  = {{id name="DigitaleMitgliederverwaltung-PaperlessNGX"/}}Paperless NGX =
  Das Herzstück der digitalen Mitgliederakte bildet Paperless NGX. Es wird im Makerspace lokal betrieben und ist daher nur aus dem Netzwerk des Makerspaces oder [[per VPN>>confluencePage:page:IN.[HOWTO] Makerspace VPN]] erreichbar. Der Zugang zu Paperless ist über OpenID Connect an [[confluencePage:page:IN.Keycloak]] gekoppelt, Zugang besteht nur für Mitglieder der Gruppen **Vorstand** und **Mitgliederverwaltung**.
@@ -727,7 +727,6 @@
  **Dokumenten-Typen**: Einem Dokument wird exakt ein Typ zugewiesen. Dokumenten Typen sind im Prinzip einfache Gruppen. Für die Mitgliederverwaltung sind die Gruppen gemäß der folgenden Tabelle festgelegt, können aber natürlich bei Bedarf erweitert werden. Neben einem Namen haben die Dokumente einen Match String. Kommt dieser eindeutig (exakter Match) irgendwo im Dokument vor, wird der Typ automatisch zugewiesen.
  \\
--(% class="wrapped" %)
  |=(% scope="col" %)(((
  Name
  )))|=(% scope="col" %)(((
@@ -806,697 +806,56 @@
  Paperless unterstützt die automatische Zuordnung von Metadaten basierend auf festen Strings. So kann man beispielsweise angeben, dass ein Dokumententyp "Haftungsausschluss" zugewiesen werden soll, wenn der String "Haftungsausschluss" irgendwo im Dokument vorkommt. Dies ist allerdings auf eine korrekte Funktion der Texterkennung angewiesen und funktioniert erfahrungsgemäß nur in manchen Fällen, sodass mindestens eine manuelle Überprüfung trotzdem notwendig kommt. Wenn beispielsweise ein Brief mit dem Satz "ich dachte, ich hätte den Haftungsausschluss bereits abgegeben, könntet ihr dies bitte prüfen" erfasst wird, würde der basierend auf der Regel ebenfalls kategorisiert werden.
--**Aus diesem Grund wird auf jedes Dokument einen spezieller QR Code aufgedruckt**. Der QR code wird vom Post-Consume Script verwendet um die Metadaten in Paperless zuzuordnen. Weiterhin können Daten übermittelt werden, die dann mittels Webhook an N8n übermittelt werden und dort im Workflow verwendet werden können. Der Aufbau orientiert sich an dem Aufbau eines **JSON Web Tokens (JWT).**
++Aus diesem Grund nutzen wir einen speziellen QR Code in einem für den Makerspace spezifischen Format, welches nachstehend detailliert beschrieben wird.
--=== {{id name="DigitaleMitgliederverwaltung-Barcodeerzeugen"/}}(% style="color:var(--ds-text-accent-purple-bolder,#352c63);" %)Barcode erzeugen(%%) ===
++{{code language="json"}}
++{
++    "payload": {
++        "timestamp": "YYYY-MM-DDTHH:mm:ss",
++        "correspondent": "Daniel Herrmann (#250)",
++        "type": "mksp-doc-sepamandat",
++        "tags": [
++            "tag1",
++            "tag2"
++        ],
++"storage_path": "Mitgliederverwaltung"
++    },
++    "sig": "signature over the entire payload block"
++}
++{{/code}}
--(% style="color:var(--ds-text-accent-purple-bolder,#352c63);" %)Der Prozess zur Erzeugung eines QR Codes ist wie folgt:
++Die beiden Einträge **payload** und **sig** sind **Pflichtfelder**. Innerhalb der Payload muss der **timestamp** **vorhanden** sein, alle anderen Felder sind optional, jedoch muss mindestens eins angegeben werden. Der QR Code kann dann - insbesondere bei der Digitalen Unterschrift oder bei Workflows, wo die Formulare ohnehin on demand erzeugt werden bereits mit allen Daten bestückt werden. In Paperless gibt es dann ein Postconsume Script, welches den QR Code ausliest, die Signatur prüft und - falls die Signatur korrekt ist - automatisch die Meta-Daten übernimmt.
--* **Payload (Daten) festlegen**. Einige Werte sind verpflichtend, andere können nach Bedarf optional hinzugefügt werden.
--* JWT erzeugen und signieren. der JWT besteht aus drei Teilen:
--** **Header**: **alg** (Algorithmus) und **typ** (JWT) sind verpflichtend. Zusätzlich fügen wir einen Timestamp, eine eindeutige ID und eine Gültigkeitsdauer hinzu.
--** **Body**: beinhaltet die eigentlichen Daten.
--** **Signature**: Mit Hilfe eines Secrets und wird die Signatur erzeugt und automatisch angehängt.
--* PDF417 code erzeugen: ein JWT ist per Definition URL safe und kann daher einfach in ein QR code umgewandelt werden.
++=== {{id name="DigitaleMitgliederverwaltung-Signatur"/}}Signatur ===
--=== {{id name="DigitaleMitgliederverwaltung-Header"/}}Header ===
++Die Signatur wird kryptographisch mit Hilfe asymmetrischen Verschlüsselung erzeugt. Wir erzeugen ein RSA 2048 Key Pair. Der öffentliche Schlüssel steht Paperless zur Verfügung, sodass Paperless die Signaturen verifizieren kann. Der private Teil des Schlüssels wird von den Makerspace-Systemem verwendet, welche die Formulare erzeugen. Im Detail:
--Der Header enthält wichtige Meta-Daten, diese werden von der JWT Library automatisch erzeugt und beschreiben in der Regel den verwendeten Key-Typ.
++* **Key-Pair**: 2048 bit Schlüssellänge, RSA, 65537 Exponent
++* **Signatur**: SHA256 Signatur, PKCS1v15 Padding
++* (((
++**Payload**: Als Payload wird nur der Inhalt der Payload verwendet, als **JSON String ohne Whitespaces, byte encoded in UTF-8.** Das oben genannte Beispiel würde die Signatur über den folgenden String erstellen:
++\\
--=== {{id name="DigitaleMitgliederverwaltung-Body"/}}Body ===
++{{code language="json"}}
++{"payload":{"correspondent":"Daniel Herrmann (#250)","type":"SEPA Mandat","tags":["tag1","tag2"]},"timestamp":"YYYY-MM-DDTHH:mm:ss","sig":"this-would-be-the-signature-appended-to-the-data"}
++{{/code}}
--Die folgenden Claims sind im Body verfügbar:
--(% class="" %)|=(((
--Claim
--)))|=(((
--Type
--)))|=(((
--Pflicht
--)))|=(((
--Beschreibung
--)))
--|(((
--id
--)))|(((
--UUID4
--)))|(((
--✅️
--)))|(((
--Eindeutige ID dieses Dokuments
--)))
--|(((
--time
--)))|(((
--Zahl
--)))|(((
--✅️
--)))|(((
--UTC Linux-Timestamp an dem das Dokument und der QR Code erzeugt wurden
--)))
--|(((
--exp
--)))|(((
--Zahl
--)))|(((
--✅️
--)))|(((
--UTC Linux-Timestamp der angibt, bis wann das Dokument gültig ist.
--)))
--(% class="" %)|(((
--(% class="code" %)
--(((
--typ
--)))
--)))|(((
--String
--)))|(((
--✅️
--)))|(((
--Typ des Dokuments basierend auf der unten definierten Liste.
--)))
--(% class="" %)|(((
--(% class="code" %)
--(((
--cor
--)))
--)))|(((
--String
--)))|(((
--❌️
--)))|(((
--Optional: Name des Korrespondenten, dem das Dokument zugeordnet werden soll
--)))
--(% class="" %)|(((
--tags
--)))|(((
--List[String]
--)))|(((
--❌️
--)))|(((
--Liste an Tags, die dem Dokument zugeordnet werden soll
--)))
--|(((
--spth
--)))|(((
--String
--)))|(((
--❌️
--)))|(((
--Storage Path, das dem Dokument zugeordnet werden soll
--)))
--|(((
--opt
--)))|(((
--dict
--)))|(((
--❌️
--)))|(((
--Optionale Attribute, die mit eincodiert werden und dem N8n Workflow übergeben werden.
--)))
--
--=== {{id name="DigitaleMitgliederverwaltung-Footer"/}}Footer ===
--
--Der Footer wird automatisch erzeugt und erhält eine Signatur über den Header und den Body, basierend auf einem Algorithmus und einer Signatur.
--
--{{confluence_tip title="Algorithmus"}}
--Von den meisten Libraries werden symmetrische und asymmetrische Signaturen unterstützt. Die Verwendung eines symmetrischen Algorithmus ist für uns einfacher.
--
--Für diesen Anwendungsfall nutzen wir (% style="text-decoration: none;color:var(--ds-text,#333333);" %)**HS256** (HMAC mit SHA-256 Algorithmus).
--{{/confluence_tip}}
--
--=== {{id name="DigitaleMitgliederverwaltung-AuswahlderLibrary"/}}Auswahl der Library ===
--
--Die Implementierung für die Erzeugung und das Validieren erfolgt in Python. Dies hat den Hintergrund, dass sowohl unser Backend als auch Paperless NGX (und damit das Post-Consumption Script) in Python implementiert ist. Es gibt verschiedene Libraries, die betrachtet wurden:
--
--|=(% scope="col" %)(((
--Name
--)))|=(% scope="col" %)(((
--CVE
--)))|=(% scope="col" %)(((
--Github
--)))|=(% scope="col" %)(((
--GH⭐
--)))|=(% scope="col" %)(((
--Letztes Release
--)))|=(% scope="col" %)(((
--Offene Issues
--)))|=(% scope="col" %)(((
--Dokumentation
--)))|=(% scope="col" %)(((
--Qualität Dokumentation
--)))|=(% scope="col" %)(((
--In Backend vorhanden?
--)))|=(% scope="col" %)(((
--In Paperless vorhanden?
--)))
--|(((
--python-jose
--)))|(((
--3/0
--)))|(((
--[[https:~~/~~/github.com/mpdavis/python-jose>>url:https://github.com/mpdavis/python-jose||shape="rect"]]
--)))|(((
--1.7k
--)))|(((
--28.05.2025
--)))|(((
--83
--)))|(((
--[[https:~~/~~/python-jose.readthedocs.io/en/latest/>>url:https://python-jose.readthedocs.io/en/latest/||shape="rect"]]
--)))|(((
--⛔  Wenige Bespiele, API Dokumentation fehlt komplett
--)))|(((
--❌️
--)))|(((
--❌️
--)))
--|(((
--pyJWT
--)))|(((
--4/0
--)))|(((
--[[https:~~/~~/github.com/jpadilla/pyjwt>>url:https://github.com/jpadilla/pyjwt||shape="rect"]]
--)))|(((
--5.4k
--)))|(((
--28.11.2024
--)))|(((
--30
--)))|(((
--[[https:~~/~~/pyjwt.readthedocs.io>>url:https://pyjwt.readthedocs.io||shape="rect"]]
--)))|(((
--➕️  Gute Dokumentation, API, Beispiele, Changelog
--)))|(((
--✅️  2.10.1
--Dep von firebase
--)))|(((
--✅️  2.10.1
--)))
--|(((
--JWCrypto
--)))|(((
--5/0
--)))|(((
--[[https:~~/~~/github.com/latchset/jwcrypto>>url:https://github.com/latchset/jwcrypto||shape="rect"]]
--)))|(((
--465
--)))|(((
--06.03.2024
--)))|(((
--8
--)))|(((
--[[https:~~/~~/jwcrypto.readthedocs.io>>url:https://jwcrypto.readthedocs.io||shape="rect"]]
--)))|(((
--➕️  API Doc, einige Beispiele
--)))|(((
--✅️  1.5.6
--Dep von python-keycloak
--)))|(((
--❌️
--)))
--
--Unsere bevorzugte Library ist **pyjwt**. Diese ist auch in **paperless nativ vorhanden**, sodass wir uns für die Implementierung mittels **pyjwt** entschieden haben.
--
--=== {{id name="DigitaleMitgliederverwaltung-PDF417Code"/}}PDF417 Code ===
--
--Als Format für den Code wurde PDF417 ausgewählt, da dieser mehr Platz und Fehlerkorrektur bietet. Weiterhin gibt es eine einfach zu nutzende Library für Python (Erzeugung) und PDF417 wird von (% style="text-decoration: none;color:var(--ds-text-accent-purple-bolder,#352c63);" %)ZXING unterstützt, welches in Paperless eingebettet ist. Ein solcher Barcode sieht beispielsweise so aus:
--
--(% style="text-decoration: none;color:var(--ds-text-accent-purple-bolder,#352c63);" %)[[image:attach:barcode.jpg||height="250"]]
--
--(% style="text-decoration: none;color:var(--ds-text-accent-purple-bolder,#352c63);" %)Daraus kann dann eine Base64 basierte Repräsentation berechnet werden, die einfach in Docuseal hochgeladen werden kann.
--
--=== {{id name="DigitaleMitgliederverwaltung-Referenz-Implementierung"/}}Referenz-Implementierung ===
--
--Eine Referenz-Implementierung befindet sich im Makerspace Gitlab: [[https:~~/~~/git.makerspace-darmstadt.de/makerspace-it-infrastructure/paperless-pdf417-reference>>url:https://git.makerspace-darmstadt.de/makerspace-it-infrastructure/paperless-pdf417-reference||shape="rect"]]
--
--== {{id name="DigitaleMitgliederverwaltung-PaperlessBerechtigungen"/}}Paperless Berechtigungen ==
--
--Paperless NGX hat ein Berechtigungssystem, welches sich über fast alle Ressourcen erstreckt. Grundsätzlich gibt es **Benutzer** und **Gruppen**. Berechtigungen können dann global vergeben werden (Sichtbarkeit von Features) und zusätzlich auf Objektebene vergeben werden.
--
--=== {{id name="DigitaleMitgliederverwaltung-BenutzerundGruppen"/}}Benutzer und Gruppen ===
--
--Paperless NGX ist so konfiguriert, dass sich Benutzer mit ihrem zentralen Makerspace Login anmelden können (OIDC über Keycloak). Eine Anmeldung mit lokalen Zugangsdaten ist nicht möglich. Bei der Anmeldung werden ebenfalls die Gruppen aus Keycloak übernommen, aber nur die folgenden:
--
--* **Vorstand**: Für die Mitglieder des Vorstands
--* **Mitgliederverwaltung**: Alle Personen, die mit der Verwaltung der Mitglieder betraut sind
--* **IT Admin**: IT Administratoren im Makerspace
--
--Nutzer, die keine dieser Gruppen angehören haben keine Rechte in Paperless. Sie können sich zwar anmelden, aber selbst die Willkommens-Seite erzeugt eine "Permission Denied" Fehlermeldung.
--
--=== {{id name="DigitaleMitgliederverwaltung-GlobaleBerechtigungen"/}}Globale Berechtigungen ===
--
--Berechtigungen werden grundsätzlich nicht auf Benutzerebene konfiguriert, sondern ausschließlich auf Gruppenebene. So wird sichergestellt, dass bei der Änderung einer Gruppenzugehörigkeit auch die damit verbundenen Rechte entzogen oder gewährt werden, ohne dass eine manuelle Änderung notwendig ist. Die folgende Tabelle gibt eine Übersicht der konfigurierten globalen Berechtigungen pro Gruppe:
--
--|=(% scope="row" %)(((
--Berechtigung
--)))|=(% scope="col" %)(((
--Beschreibung
--)))|=(% scope="col" %)(((
--Mitgliederverwaltung
--)))|=(% scope="col" %)(((
--Vorstand
--)))|=(% scope="col" %)(((
--IT Admin
--)))|=(% scope="col" %)(((
--Notiz
--)))
--|=(% scope="row" %)(((
--Document
--)))|(((
--Sehen und bearbeiten von Dokumenten.
--)))|(((
--ALLE
--)))|(((
--ALLE
--)))|(((
--KEINE
--)))|(((
--Wird zusätzlich durch Berechtigungen auf Objekt-Level eingeschränkt
--)))
--|=(% scope="row" %)(((
--Tag
--)))|(((
--Sehen und bearbeiten von Tags.
--)))|(((
--Anzeigen
--)))|(((
--ALLE
--)))|(((
--ALLE
--)))|(((
--Wird zusätzlich durch Berechtigungen auf Objekt-Level eingeschränkt
--)))
--|=(% scope="row" %)(((
--Correspondent
--)))|(((
--Sehen und bearbeiten von Korrespondenten
--)))|(((
--Anzeigen
--)))|(((
--ALLE
--)))|(((
--ALLE
--)))|(((
--Wird zusätzlich durch Berechtigungen auf Objekt-Level eingeschränkt
--)))
--|=(% scope="row" %)(((
--DocumentType
--)))|(((
--Sehen und bearbeiten von Dokument-Typen
--)))|(((
--Anzeigen
--)))|(((
--ALLE
--)))|(((
--ALLE
--)))|(((
--Wird zusätzlich durch Berechtigungen auf Objekt-Level eingeschränkt
--)))
--|=(% scope="row" %)(((
--StoragePath
--)))|(((
--Sehen und bearbeiten von Speicherpfaden
--)))|(((
--Anzeigen
--)))|(((
--Anzeigen
--)))|(((
--ALLE
--)))|(((
--Wird zusätzlich durch Berechtigungen auf Objekt-Level eingeschränkt
--)))
--|=(% scope="row" %)(((
--SavedView
--)))|(((
--Ansichten erzeugen und speichern
--)))|(((
--ALLE
--)))|(((
--ALLE
--)))|(((
--KEINE
--)))|(((
++Als Referenz, die in Python wäre der Input der Signatur:
  \\
--)))
--|=(% scope="row" %)(((
--PaperlessTask
--)))|(((
--Dateiaufgaben einsehen und löschen
--)))|(((
--KEINE
--)))|(((
--KEINE
--)))|(((
--ALLE
--)))|(((
--\\
--)))
--|=(% scope="row" %)(((
--AppConfig
--)))|(((
--Konfiguration von Paperless NGX selbst
--)))|(((
--KEINE
--)))|(((
--KEINE
--)))|(((
--ALLE
--)))|(((
--\\
--)))
--|=(% scope="row" %)(((
--UISettings
--)))|(((
--Persönliche Anzeigeeinstellungen ändern
--)))|(((
--ALLE
--)))|(((
--ALLE
--)))|(((
--ALLE
--)))|(((
--\\
--)))
--|=(% scope="row" %)(((
--History
--)))|(((
--Dokumenten-Audit Log anzeigen oder ändern
--)))|(((
--Anzeigen
--)))|(((
--Anzeigen
--)))|(((
--KEINE
--)))|(((
--Nur für Dokumente, auf die Zugriff gewährt wurde.
--)))
--|=(% scope="row" %)(((
--Note
--)))|(((
--Notizen zu Dokumenten einsehen oder ändern
--)))|(((
--ALLE
--)))|(((
--ALLE
--)))|(((
--KEINE
--)))|(((
--Nur für Dokumente, auf die Zugriff gewährt wurde.
--)))
--|=(% scope="row" %)(((
--MailAccount
--)))|(((
--Mail-Accounts verwalten
--)))|(((
--KEINE
--)))|(((
--Anzeigen
--)))|(((
--ALLE
--)))|(((
--\\
--)))
--|=(% scope="row" %)(((
--MailRule
--)))|(((
--Verarbeitungsregeln für eingehende Mails bearbeiten
--)))|(((
--KEINE
--)))|(((
--ALLE
--)))|(((
--ALLE
--)))|(((
--\\
--)))
--|=(% scope="row" %)(((
--User
--)))|(((
--Benutzer einsehen oder verwalten
--)))|(((
--KEINE
--)))|(((
--Anzeigen
--)))|(((
--ALLE
--)))|(((
--\\
--)))
--|=(% scope="row" %)(((
--Group
--)))|(((
--Gruppen einsehen oder verwalten
--)))|(((
--KEINE
--)))|(((
--Anzeigen
--)))|(((
--ALLE
--)))|(((
--\\
--)))
--|=(% scope="row" %)(((
--ShareLink
--)))|(((
--Öffentliche Share-Links erstellen oder verwalten
--)))|(((
--KEINE
--)))|(((
--KEINE
--)))|(((
--KEINE
--)))|(((
--\\
--)))
--|=(% scope="row" %)(((
--CustomField
--)))|(((
--Custom Fields einsehen oder verwalten
--)))|(((
--Anzeigen
--)))|(((
--Anzeigen
--)))|(((
--ALLE
--)))|(((
--\\
--)))
--|=(% scope="row" %)(((
--Workflow
--)))|(((
--Workflows für neue Dokumente einsehen oder verwalten
--)))|(((
--KEINE
--)))|(((
--KEINE
--)))|(((
--ALLE
--)))|(((
--\\
--)))
--=== {{id name="DigitaleMitgliederverwaltung-Objekt-Berechtigungen"/}}Objekt-Berechtigungen ===
++{{code language="python"}}
++import json
--Zusätzlich zu den globalen Berechtigungen können für alle Objekte noch Berechtigungen auf Objekt-Level konfiguriert werden. Dabei werden globale Regeln zuerst geprüft, danach zusätzlich die Objekt-Berechtigungen. Jedes Objekt (egal ob Dokument, Korrespondent, Tag, Dokumenten-Typ) hat zwei wichtige Einstellungen:
--
--* Owner / Eigentümer: Das Objekt gehört diesem Benutzer. Der Owner hat immer alle Berechtigungen für das Objekt
--* Zusätzliche Berechtigungen:
--** Es können getrennt voneinander Berechtigungen zum Anzeigen und Bearbeiten vergeben werden
--** Diese Berechtigungen können jeweils für einzelne Benutzer oder für Gruppen gewährt werden
--
--Das sieht im Frontend beispielsweise so aus:
--
--[[image:attach:image-2025-8-25_10-19-25.png||thumbnail="true" height="250"]]
--
--{{info title="Berechtigungen"}}
--Es sind grundsätzlich sowohl globale als auch objekt-spezifische Berechtigungen notwendig. Wenn ein Benutzer ein Objekt bearbeiten ansehen oder bearbeiten möchte ergibt sich daher die folgende Matrix:
--
--|=(% scope="col" %)(((
--Globale Berechtigung
--)))|=(% scope="col" %)(((
--Owner
--)))|=(% scope="col" %)(((
--Objekt-Berechtigung
--)))|=(% scope="col" %)(((
--Ergebnis
++input_data = {'payload': {'correspondent': 'Daniel Herrmann (#250)', 'type': 'SEPA Mandat', 'tags': ['tag1', 'tag2']}, 'timestamp': 'YYYY-MM-DDTHH:mm:ss', 'sig': 'this-would-be-the-signature-appended-to-the-data'}
++signature_data = json.dumps(input_data, separators=(',', ':')).encode('utf-8')
++{{/code}}
  )))
--|(((
--❌️
--)))|(((
--Egal
--)))|(((
--Egal
--)))|(((
--❌️
--)))
--|(((
--✅️
--)))|(((
--✅️
--)))|(((
--Egal
--)))|(((
--✅️
--)))
--|(((
--✅️
--)))|(((
--❌️
--)))|(((
--❌️
--)))|(((
--❌️
--)))
--|(((
--✅️
--)))|(((
--❌️
--)))|(((
--✅️
--)))|(((
--✅️
--)))
--Mit anderen Worten, um eine Aktion auszuführen, muss ein Benutzer (a) die globale Berechtigung haben **UND** (b) Owner sein **ODER** Objekt-Berechtigungen haben.
--{{/info}}
--
--=== {{id name="DigitaleMitgliederverwaltung-LokaleOwner"/}}Lokale Owner ===
--
--Jedes Objekt in Paperless muss einen Owner haben. Damit der Owner nicht ein realer Benutzer ist, der gegebenenfalls den Vorstand / Mitgliederverwaltung oder Verein verlassen könnte, werden lokale Benutzer angelegt. Diese halten lediglich die Owner Rolle für die Ressourcen, können aber nicht für den Login verwendet werden.
--
--|=(% scope="row" %)(((
--Benutzer
--)))|=(% scope="col" %)(((
--Verwendet für
--)))
--|=(% scope="row" %)(((
--mksp-mv-owner
--)))|(((
--Alle Objekte (Dokumente, Dokumenttypen, Tags, Korrespondenten und Speicherpfade), die dem Use-Case **Mitgliederverwaltung** zugewiesen sind
--)))
--|=(% scope="row" %)(((
--mksp-vs-owner
--)))|(((
--Alle Objekte (Dokumente, Dokumenttypen, Tags, Korrespondenten und Speicherpfade), die dem Use-Case **Vorstandspost** zugewiesen sind
--)))
--
--=== {{id name="DigitaleMitgliederverwaltung-Standard-Objekt-Berechtigungen"/}}Standard-Objekt-Berechtigungen ===
--
--Basierend auf den hier beschrieben Regeln werden für Objekte die folgenden Berechtigungen gesetzt:
--
--|=(% scope="rowgroup" %)(((
--Objekt
--)))|=(% colspan="3" scope="colgroup" %)(((
--Mitgliederverwaltung
--)))|=(% scope="row" %)(((
  \\
--)))|=(% colspan="3" scope="colgroup" %)(((
--Vorstandspost
--)))
--|=(% scope="rowgroup" %)(((
--Objekt
--)))|=(% scope="col" %)(((
--Owner
--)))|=(% scope="col" %)(((
--Anzeigen
--)))|=(% scope="col" %)(((
--Bearbeiten
--)))|=(% scope="row" %)(((
--\\
--)))|=(((
--Owner
--)))|=(((
--Anzeigen
--)))|=(((
--Bearbeiten
--)))
--|=(% scope="row" %)(((
--Dokument
--)))|(((
--\\
--)))|(((
--\\
--)))|(((
--\\
--)))|=(% scope="row" %)(((
--\\
--)))|(((
--\\
--)))|(((
--\\
--)))|(((
--\\
--)))
--|=(% scope="row" %)(((
--Dokumenttyp
--)))|(((
--\\
--)))|(((
--\\
--)))|(((
--\\
--)))|=(% scope="row" %)(((
--\\
--)))|(((
--\\
--)))|(((
--\\
--)))|(((
--\\
--)))
--|=(% scope="row" %)(((
--Tag
--)))|(((
--\\
--)))|(((
--\\
--)))|(((
--\\
--)))|=(% scope="row" %)(((
--\\
--)))|(((
--\\
--)))|(((
--\\
--)))|(((
--\\
--)))
--|=(% scope="row" %)(((
--Korrespondent
--)))|(((
--\\
--)))|(((
--\\
--)))|(((
--\\
--)))|=(% scope="row" %)(((
--\\
--)))|(((
--\\
--)))|(((
--\\
--)))|(((
--\\
--)))
--|=(% scope="row" %)(((
--Speicherpfad
--)))|(((
--\\
--)))|(((
--\\
--)))|(((
--\\
--)))|=(% scope="row" %)(((
--\\
--)))|(((
--\\
--)))|(((
--\\
--)))|(((
--\\
--)))
++== {{id name="DigitaleMitgliederverwaltung-TechnischesSetup"/}}Technisches Setup ==
++
  Owner: zwei Owner
  Docs: Owner = grp owner, View + Edit jeweilige Gruppen
  Correspondent: owner = grp owner, view = jeweilige Gruppe, edit = it admin
@@ -1503,7 +1503,43 @@
  Tag: owner = grp owner, view = jeweilige Gruppe, edit = it admin
  Doc Type: owner = grp owner, view = jeweilige Gruppe, edit = it admin
--= {{id name="DigitaleMitgliederverwaltung-OffenePunkte"/}}Offene Punkte =
++TODO
--* Docuseal Logging + Monitoring
--* N8n Error Handling
++\\
++
++=== {{id name="DigitaleMitgliederverwaltung-AusFace2Faceam20.8(DH,YS)"/}}Aus Face 2 Face am 20.8  (DH,YS) ===
++
++* Schritt 1: Einweisungszettel erzeugen
++** Checkliste in Directus hinterlegen, eine pro Einweisung
++** N8n Workflow, welches die Liste aus Directus herunterlädt und Template mit Puppetteer Script Node erzeugen
++** Aus diesem Template dann ein DocuSeal Template erstellen
++* Schritt 2: Zettel für Einweisungen generieren
++** Tablet für Einweiser im makerspace
++** Authentifizierung über Token an der Freigabebox
++*** Neue Maschine, User schaltet die Maschine "Tablet" frei
++*** Datenbank erzeugt JWT und signiert es mit einem RSA Priv Key
++*** Wird als Payload in der MQTT unlock message mitgeschickt
++** Tablet nutzt dieses Token für API Requests gegen Homepage Backend
++** Backend wird um weitere Middleware angepasst, die dieses Token für manche Endpoints akzeptiert
++** Einweiser:in bekommt aktive Einweisung angezeigt und kann Teilnehmer Entfernern (no-show) oder hinzufügen (spontan)
++*** Option eine Einweisung ohne Rechnungsstellung vorzunehmen
++** PDFs werden automatisch ausgedruckt
++*** Tablet triggert einen Backend endpoint
++**** übergibt teilnehmer als parameter (auth über token) und
++**** erzeugt die entsprechenden PDFs in DocuSeal
++**** Gibt PDF als Return
++*** Tablet kann PDF über Netzwerk print drucken
++* Schritt 3: Einweisungen erfassen
++** QR code wird in Schritt 2 aufgedruckt und enthält:
++*** Einweisung
++*** Datum
++*** Einweiser
++*** Teilnehmer
++*** Flag Rechnung
++** Dokument wird über ScanSnap eingescannt und automatisch an paperless übergeben
++** Paperless Post Consume erkennt den QR Code, validiert ihn und löst über einen Webook einen Flow in N8n aus
++** N8n erstellt dann einen temporären Eintrag im Backend, ähnlich dem der heute bei "Einweisung erfassen" sichtbar ist
++** Die Mitgliederverwaltung hat dann x Tage Zeit, die Einträge zu korrigieren und zu prüfen (beispielsweise ob Voraussetzungen erfüllt sind)
++** Danach werden alle Schritte wie bisher ausgelöst (Berechtigung, Rechnung, Auszahlung an Einweiser, E-Mail Bestätigung, ...)
++
++\\

Confluence.Code.ConfluencePageClass[0]

Id

@@ -1,1 +1,1 @@
--205586464
++202866925

URL

@@ -1,1 +1,1 @@
--https://wiki.makerspace-darmstadt.de/spaces/PROJ/pages/205586464/Digitale Mitgliederverwaltung
++https://wiki.makerspace-darmstadt.de/spaces/PROJ/pages/202866925/Digitale Mitgliederverwaltung