Änderungen von Dokument Digitale Mitgliederverwaltung

Zuletzt geändert von Daniel Herrmann am 2026/02/22 21:17

Verwalten
- Kopieren
Aktionen
- Exportieren
- Druckvorschau
Ansichten

Von 34.1 nach 33.1 Von 46.1 nach 45.1

Von Version

45.1

bearbeitet von Daniel Herrmann
am 2025/08/27 19:13

Änderungskommentar: Es gibt keinen Kommentar für diese Version

Auf Version

34.1

bearbeitet von Daniel Herrmann
am 2025/08/22 18:14

Änderungskommentar: Es gibt keinen Kommentar für diese Version

Rohform
Im Layout

Zusammenfassung

Seiteneigenschaften (1 geändert, 0 hinzugefügt, 0 gelöscht)
Objekte (1 geändert, 0 hinzugefügt, 0 gelöscht)
- Confluence.Code.ConfluencePageClass[0]

Details

Seiteneigenschaften

Inhalt

@@ -7,10 +7,6 @@
  zu diesem Zweck schaffen wir eine Platform basierend auf mehreren Open Source Software Produkten sowie einigen Hardware Produkten (NAS Speicher, Dokumentenscanner, PC Arbeitsplatz für die Mitgliederverwaltung).
--= {{id name="DigitaleMitgliederverwaltung-Inhaltsverzeichnis"/}}Inhaltsverzeichnis =
--
--{{toc/}}
--
  = {{id name="DigitaleMitgliederverwaltung-Hintergrundinformationen"/}}Hintergrundinformationen =
  Viele der Dokumente müssen von einer oder mehreren Partien unterschrieben werden. Wir unterscheiden dabei Dokumente mit geringem und hohem "Streitwert". Unsere Definition zielt hierbei auf eine Einschätzung ab, welcher Schaden dem Verein potentiell entstehen könnte und ob wir im Zweifel eine ordnungsgemäße Unterschrift vor Gericht beweisen können müssen. Beispielsweise hat der Lagervertrag (mögliche Schäden im 2-3 stelligen Eurobereich) einen anderen Stellenwert als beispielsweise ein Einweisungszettel (potentiell Personenschäden, dies kann in Millionen gehen).
@@ -425,7 +425,7 @@
  === {{id name="DigitaleMitgliederverwaltung-AblegenundVerarbeiten"/}}Ablegen und Verarbeiten ===
--Egal welcher Prozess angewandt wird, das Dokument muss am Ende in Paperless eingelesen und mit den Metadaten (siehe unten) versehen werden. Hier gibt es drei verschiedene Varianten:
++Egal welcher Prozess angewandt wird, das Dokument muss am Ende in Paperless eingelesen und mit den Meta-Daten (siehe unten) versehen werden. Hier gibt es drei verschiedene Varianten:
  (% class="wrapped" %)
  |=(% scope="col" %)(((
@@ -464,7 +464,7 @@
  Das Dokument wird von der Mitgliederverwaltung eingescannt und dann von Paperless verarbeitet
  )))
--In allen Fällen sollte das Dokument einen QR Code enthalten, der die automatische Zuordnung von Metadaten ermöglicht. Weiterhin wird vom Post-Consumption Script ein NATS Event für jedes erfolgreich erkannte Dokument erstellt, welches dann vom N8n verarbeitet werden kann. Darüber lassen sich beispielsweise Einweisungszettel im Backend erfassen.
++In allen Fällen sollte das Dokument einen QR Code enthalten, der die automatische Zuordnung von Meta-Daten ermöglicht. Weiterhin wird vom Post-Consumption Script ein NATS Event für jedes erfolgreich erkannte Dokument erstellt, welches dann vom N8n verarbeitet werden kann. Darüber lassen sich beispielsweise Einweisungszettel im Backend erfassen.
  = {{id name="DigitaleMitgliederverwaltung-TechnischesDesign"/}}Technisches Design =
@@ -716,7 +716,7 @@
  * **Per Ordner**: Auf unserem NAS gibt es einen speziellen Ordner, der in Paperless eingebunden ist. Alle Dokumente, die in diesen Ordner gelegt werden, werden automatisch von Paperless verarbeitet. Dieser Ordner wird hauptsächlich vom Dokumentenscanner verwendet, der die gescannten Dokumente ablegt. Dies ermöglicht einen einfachen Scan mit einem einfachen Button, die Dokumente werden dann automatisch in Paperless erkannt
  * **Per Weboberfläche**: Es ist ebenfalls möglich, Dokumente manuell über die Weboberfläche hinzuzufügen.
--== {{id name="DigitaleMitgliederverwaltung-ÜbersichtderMetadaten"/}}Übersicht der Metadaten ==
++== {{id name="DigitaleMitgliederverwaltung-Meta-Daten"/}}Meta-Daten ==
  Dokumente werden dann Meta-Daten zugeordnet, die eine spätere Suche und Zuordnung erleichtern. Diese Meta-Daten sind:
@@ -727,770 +727,186 @@
  * **Tags**: Einem Dokument können beliebig viele Tags zugewiesen werden. **Tags** dienen der einfacheren **Zuordnung** und dem **Wiederfinden** von Dokumenten. Es gibt allerdings auch spezielle Tags für Dokumente die eingelesen aber noch nicht bearbeitet wurden, so genannte "Inbox Tags":
  ** (% style="color:var(--ds-icon-success,#22a06b);" %)**Inbox Mitgliederverwaltung**(%%) - Alle **Dokumente** die **per Mail oder per Ordner** für die **Gruppe Mitgliederverwaltung** aufgenommen wurden und **nicht automatisch zugeordnet** werden konnten.
  ** (% style="color:var(--ds-icon-accent-blue,#1d7afc);" %)**Inbox Vorstand**(%%) - Alle **Dokumente** die **per Mail oder per Ordner** für die **Gruppe Vorstand** aufgenommen wurden und **nicht automatisch zugeordnet** werden konnten.
--* **Dokumenten-Typen**: Einem Dokument wird exakt ein Typ zugewiesen. Dokumenten Typen sind im Prinzip einfache Gruppen. Für die Mitgliederverwaltung sind die Gruppen gemäß der folgenden Liste festgelegt, können aber natürlich bei Bedarf erweitert werden.
--** Mitgliedsantrag
--** SEPA Lastschriftmandat
--** Studienbescheinigung
--** Bestätigung Schlüsselausgabe
--** Verpflichtungserklärung Datenschutz
--** Übungsleitervertrag
--** Nutzungsvereinbarung Schulungsinhalte
--** Bestellung als Einweiser:in
--** Haftungsausschluss
--** Einweisungszettel
--** Lagervertrag Kistenlager
--** Lagervertrag Projektlager
  * (((
--**Storage Path**: Speicherpfade sind ein fortgeschrittenes Feature, welches kontrolliert, wie die Dateien im unterliegenden Dateisystem gespeichert werden. In der Regel arbeitet man nicht direkt mit den Dateien, aber wenn man aus lange Sicht mal aus Paperless NGX weg ziehen möchte kann es sinnvoll sein, die Dokumente in einer Struktur zu speichern, die man theoretisch auch manuell durchsuchen könnte. Details finden sich in der [[Dokumentation von Paperless zu File Name Handling>>url:https://docs.paperless-ngx.com/advanced_usage/#file-name-handling||shape="rect"]].
--\\{{info title="Verhalten von Paperless"}}(% style="text-decoration: none;color:var(--ds-text-accent-purple-bolder,#352c63);" %)Paperless checks the filename of a document whenever it is saved. Changing (or deleting) a (%%)[[storage path>>url:https://docs.paperless-ngx.com/advanced_usage/#storage-paths||style="text-decoration: none;" shape="rect"]](% style="text-decoration: none;color:var(--ds-text-accent-purple-bolder,#352c63);" %) will automatically be reflected in the file system. However, when changing (% style="text-decoration: none;" %){{code language="none"}}PAPERLESS_FILENAME_FORMAT{{/code}}(% style="text-decoration: none;color:var(--ds-text-accent-purple-bolder,#352c63);" %) you will need to manually run the (%%)[[
--
--{{code language="none"}}
--document renamer
--{{/code}}>>url:https://docs.paperless-ngx.com/administration/#renamer||style="text-decoration: none;" shape="rect"]](% style="text-decoration: none;color:var(--ds-text-accent-purple-bolder,#352c63);" %) to move any existing documents.{{/info}}
--In unserem Fall kommen die folgenden Speicherpfade zum Einsatz:
++**Dokumenten-Typen**: Einem Dokument wird exakt ein Typ zugewiesen. Dokumenten Typen sind im Prinzip einfache Gruppen. Für die Mitgliederverwaltung sind die Gruppen gemäß der folgenden Tabelle festgelegt, können aber natürlich bei Bedarf erweitert werden. Neben einem Namen haben die Dokumente einen Match String. Kommt dieser eindeutig (exakter Match) irgendwo im Dokument vor, wird der Typ automatisch zugewiesen.
  \\
++(% class="wrapped" %)
  |=(% scope="col" %)(((
  Name
  )))|=(% scope="col" %)(((
--Definition
--)))|=(% scope="col" %)(((
--Sichtbar für
--)))|=(% scope="col" %)(((
--Anwendung
++Exact Match String
  )))
  |(((
--Mitglieder Einweisungszettel
++Mitgliedsantrag
  )))|(((
--(% class="code" %)
--(((
--~{~{ correspondent }}/Einweisungen/~{~{ document_type }}-~{~{ tag_list }}-~{~{ created }}-~{~{ doc_pk }}
++mksp-doc-mitgliedsantrag
  )))
--)))|(((
--Mitgliederverwaltung
--)))|(((
--Einweisungszettel
--)))
  |(((
--Mitglieder Unterlagen
++SEPA Lastschriftmandat
  )))|(((
--(% class="code" %)
--(((
--~{~{ correspondent }}/~{~{ document_type }}-~{~{ created }}-~{~{ doc_pk }}
++mksp-doc-sepamandat
  )))
--)))|(((
--Mitgliederverwaltung
--)))|(((
--Alle anderen Mitgliederdokumente
--)))
  |(((
--Vorstand Dokumente
++Studienbescheinigung
  )))|(((
--(% class="code" %)
--(((
--~{~{ created_year }}/~{~{ correspondent }}/~{~{ title }}
++mksp-doc-studienbescheinigung
  )))
--)))|(((
--Vorstand
--)))|(((
--Alle Vorstandsdokumente
--)))
--)))
--
--== {{id name="DigitaleMitgliederverwaltung-AutomatischeZuordnungvonMetadaten"/}}Automatische Zuordnung von Metadaten ==
--
--Paperless unterstützt die automatische Zuordnung von Metadaten basierend auf festen Strings. So kann man beispielsweise angeben, dass ein Dokumententyp "Haftungsausschluss" zugewiesen werden soll, wenn der String "Haftungsausschluss" irgendwo im Dokument vorkommt. Dies ist allerdings auf eine korrekte Funktion der Texterkennung angewiesen und funktioniert erfahrungsgemäß nur in manchen Fällen, sodass mindestens eine manuelle Überprüfung trotzdem notwendig kommt. Wenn beispielsweise ein Brief mit dem Satz "ich dachte, ich hätte den Haftungsausschluss bereits abgegeben, könntet ihr dies bitte prüfen" erfasst wird, würde der basierend auf der Regel ebenfalls kategorisiert werden.
--
--**Aus diesem Grund wird auf jedes Dokument einen spezieller QR Code aufgedruckt**. Der QR code wird vom Post-Consume Script verwendet um die Metadaten in Paperless zuzuordnen. Weiterhin können Daten übermittelt werden, die dann mittels Webhook an N8n übermittelt werden und dort im Workflow verwendet werden können. Der Aufbau orientiert sich an dem Aufbau eines **JSON Web Tokens (JWT).**
--
--=== {{id name="DigitaleMitgliederverwaltung-Barcodeerzeugen"/}}(% style="color:var(--ds-text-accent-purple-bolder,#352c63);" %)Barcode erzeugen(%%) ===
--
--(% style="color:var(--ds-text-accent-purple-bolder,#352c63);" %)Der Prozess zur Erzeugung eines QR Codes ist wie folgt:
--
--* **Payload (Daten) festlegen**. Einige Werte sind verpflichtend, andere können nach Bedarf optional hinzugefügt werden.
--* JWT erzeugen und signieren. der JWT besteht aus drei Teilen:
--** **Header**: **alg** (Algorithmus) und **typ** (JWT) sind verpflichtend. Zusätzlich fügen wir einen Timestamp, eine eindeutige ID und eine Gültigkeitsdauer hinzu.
--** **Body**: beinhaltet die eigentlichen Daten.
--** **Signature**: Mit Hilfe eines Secrets und wird die Signatur erzeugt und automatisch angehängt.
--* PDF417 code erzeugen: ein JWT ist per Definition URL safe und kann daher einfach in ein QR code umgewandelt werden.
--
--=== {{id name="DigitaleMitgliederverwaltung-Header"/}}Header ===
--
--Der Header enthält wichtige Meta-Daten, diese werden von der JWT Library automatisch erzeugt und beschreiben in der Regel den verwendeten Key-Typ.
--
--=== {{id name="DigitaleMitgliederverwaltung-Body"/}}Body ===
--
--Die folgenden Claims sind im Body verfügbar:
--
--|=(((
--Claim
--)))|=(((
--Type
--)))|=(((
--Pflicht
--)))|=(((
--Beschreibung
--)))
  |(((
--id
++Formular Schlüsselausgabe
  )))|(((
--UUID4
--)))|(((
--✅️
--)))|(((
--Eindeutige ID dieses Dokuments
++mksp-doc-schluesselausgabe
  )))
  |(((
--time
++Verpflichtungserklärung Datenschutz
  )))|(((
--Zahl
--)))|(((
--✅️
--)))|(((
--UTC Linux-Timestamp an dem das Dokument und der QR Code erzeugt wurden
++\\
  )))
  |(((
--exp
++Übungsleitervertrag
  )))|(((
--Zahl
--)))|(((
--✅️
--)))|(((
--UTC Linux-Timestamp der angibt, bis wann das Dokument gültig ist.
++\\
  )))
  |(((
--(% class="code" %)
--(((
--typ
--)))
++Nutzungsvereinbarung Schulungsinhalte
  )))|(((
--String
--)))|(((
--✅️
--)))|(((
--Typ des Dokuments basierend auf der unten definierten Liste.
++\\
  )))
  |(((
--(% class="code" %)
--(((
--cor
--)))
++Bestellung eines Einweisers
  )))|(((
--String
--)))|(((
--❌️
--)))|(((
--Optional: Name des Korrespondenten, dem das Dokument zugeordnet werden soll
++\\
  )))
  |(((
--tags
++Haftungsausschluss
  )))|(((
--List[String]
--)))|(((
--❌️
--)))|(((
--Liste an Tags, die dem Dokument zugeordnet werden soll
++\\
  )))
  |(((
--spth
++Einweisungszettel
  )))|(((
--String
--)))|(((
--❌️
--)))|(((
--Storage Path, das dem Dokument zugeordnet werden soll
++\\
  )))
  |(((
--opt
++Lagervertrag Kistenlager
  )))|(((
--dict
--)))|(((
--❌️
--)))|(((
--Optionale Attribute, die mit eincodiert werden und dem N8n Workflow übergeben werden.
++\\
  )))
--
--=== {{id name="DigitaleMitgliederverwaltung-Footer"/}}Footer ===
--
--Der Footer wird automatisch erzeugt und erhält eine Signatur über den Header und den Body, basierend auf einem Algorithmus und einer Signatur.
--
--{{confluence_tip title="Algorithmus"}}
--Von den meisten Libraries werden symmetrische und asymmetrische Signaturen unterstützt. Die Verwendung eines symmetrischen Algorithmus ist für uns einfacher.
--
--Für diesen Anwendungsfall nutzen wir (% style="text-decoration: none;color:var(--ds-text,#333333);" %)**HS256** (HMAC mit SHA-256 Algorithmus).
--{{/confluence_tip}}
--
--=== {{id name="DigitaleMitgliederverwaltung-AuswahlderLibrary"/}}Auswahl der Library ===
--
--Die Implementierung für die Erzeugung und das Validieren erfolgt in Python. Dies hat den Hintergrund, dass sowohl unser Backend als auch Paperless NGX (und damit das Post-Consumption Script) in Python implementiert ist. Es gibt verschiedene Libraries, die betrachtet wurden:
--
--|=(% scope="col" %)(((
--Name
--)))|=(% scope="col" %)(((
--CVE
--)))|=(% scope="col" %)(((
--Github
--)))|=(% scope="col" %)(((
--GH⭐
--)))|=(% scope="col" %)(((
--Letztes Release
--)))|=(% scope="col" %)(((
--Offene Issues
--)))|=(% scope="col" %)(((
--Dokumentation
--)))|=(% scope="col" %)(((
--Qualität Dokumentation
--)))|=(% scope="col" %)(((
--In Backend vorhanden?
--)))|=(% scope="col" %)(((
--In Paperless vorhanden?
--)))
  |(((
--python-jose
++Lagervertrag Projektlager
  )))|(((
--3/0
--)))|(((
--[[https:~~/~~/github.com/mpdavis/python-jose>>url:https://github.com/mpdavis/python-jose||shape="rect"]]
--)))|(((
--1.7k
--)))|(((
--28.05.2025
--)))|(((
--83
--)))|(((
--[[https:~~/~~/python-jose.readthedocs.io/en/latest/>>url:https://python-jose.readthedocs.io/en/latest/||shape="rect"]]
--)))|(((
--⛔  Wenige Bespiele, API Dokumentation fehlt komplett
--)))|(((
--❌️
--)))|(((
--❌️
++\\
  )))
--|(((
--pyJWT
--)))|(((
--4/0
--)))|(((
--[[https:~~/~~/github.com/jpadilla/pyjwt>>url:https://github.com/jpadilla/pyjwt||shape="rect"]]
--)))|(((
--5.4k
--)))|(((
--28.11.2024
--)))|(((
--30
--)))|(((
--[[https:~~/~~/pyjwt.readthedocs.io>>url:https://pyjwt.readthedocs.io||shape="rect"]]
--)))|(((
--➕️  Gute Dokumentation, API, Beispiele, Changelog
--)))|(((
--✅️  2.10.1
--Dep von firebase
--)))|(((
--✅️  2.10.1
  )))
--|(((
--JWCrypto
--)))|(((
--5/0
--)))|(((
--[[https:~~/~~/github.com/latchset/jwcrypto>>url:https://github.com/latchset/jwcrypto||shape="rect"]]
--)))|(((
--465
--)))|(((
--06.03.2024
--)))|(((
--8
--)))|(((
--[[https:~~/~~/jwcrypto.readthedocs.io>>url:https://jwcrypto.readthedocs.io||shape="rect"]]
--)))|(((
--➕️  API Doc, einige Beispiele
--)))|(((
--✅️  1.5.6
--Dep von python-keycloak
--)))|(((
--❌️
--)))
++* **Storage Path**: Speicherpfade sind ein etwas fortgeschrittenes Feature, welches kontrolliert, wie die Dateien im unterliegenden Dateisystem gespeichert werden. In der Regel arbeitet man nicht direkt mit den Dateien, aber wenn man aus lange Sicht mal aus Paperless NGX weg ziehen möchte kann es sinnvoll sein, die Dokumente in einer Struktur zu speichern, die man theoretisch auch manuell durchsuchen könnte. Details finden sich in der [[Dokumentation von Paperless zu File Name Handling>>url:https://docs.paperless-ngx.com/advanced_usage/#file-name-handling||shape="rect"]].
++\\{{info title="Verhalten von Paperless"}}(% style="text-decoration: none;color:var(--ds-text-accent-purple-bolder,#352c63);" %)Paperless checks the filename of a document whenever it is saved. Changing (or deleting) a (%%)[[storage path>>url:https://docs.paperless-ngx.com/advanced_usage/#storage-paths||style="text-decoration: none;" shape="rect"]](% style="text-decoration: none;color:var(--ds-text-accent-purple-bolder,#352c63);" %) will automatically be reflected in the file system. However, when changing (% style="text-decoration: none;" %){{code language="none"}}PAPERLESS_FILENAME_FORMAT{{/code}}(% style="text-decoration: none;color:var(--ds-text-accent-purple-bolder,#352c63);" %) you will need to manually run the (%%)[[
--Unsere bevorzugte Library ist **pyjwt**. Diese ist auch in **paperless nativ vorhanden**, sodass wir uns für die Implementierung mittels **pyjwt** entschieden haben.
++{{code language="none"}}
++document renamer
++{{/code}}>>url:https://docs.paperless-ngx.com/administration/#renamer||style="text-decoration: none;" shape="rect"]](% style="text-decoration: none;color:var(--ds-text-accent-purple-bolder,#352c63);" %) to move any existing documents.{{/info}}
++TODO: Define Storage Path
--=== {{id name="DigitaleMitgliederverwaltung-PDF417Code"/}}PDF417 Code ===
++== {{id name="DigitaleMitgliederverwaltung-AutomatischeZuordnungvonMetadaten"/}}Automatische Zuordnung von Metadaten ==
--Als Format für den Code wurde PDF417 ausgewählt, da dieser mehr Platz und Fehlerkorrektur bietet. Weiterhin gibt es eine einfach zu nutzende Library für Python (Erzeugung) und PDF417 wird von (% style="text-decoration: none;color:var(--ds-text-accent-purple-bolder,#352c63);" %)ZXING unterstützt, welches in Paperless eingebettet ist. Ein solcher Barcode sieht beispielsweise so aus:
++Paperless unterstützt die automatische Zuordnung von Metadaten basierend auf festen Strings. So kann man beispielsweise angeben, dass ein Dokumententyp "Haftungsausschluss" zugewiesen werden soll, wenn der String "Haftungsausschluss" irgendwo im Dokument vorkommt. Dies ist allerdings auf eine korrekte Funktion der Texterkennung angewiesen und funktioniert erfahrungsgemäß nur in manchen Fällen, sodass mindestens eine manuelle Überprüfung trotzdem notwendig kommt. Wenn beispielsweise ein Brief mit dem Satz "ich dachte, ich hätte den Haftungsausschluss bereits abgegeben, könntet ihr dies bitte prüfen" erfasst wird, würde der basierend auf der Regel ebenfalls kategorisiert werden.
--(% style="text-decoration: none;color:var(--ds-text-accent-purple-bolder,#352c63);" %)[[image:attach:barcode.jpg||height="250"]]
++Aus diesem Grund nutzen wir einen speziellen QR Code in einem für den Makerspace spezifischen Format, welches nachstehend detailliert beschrieben wird.
--(% style="text-decoration: none;color:var(--ds-text-accent-purple-bolder,#352c63);" %)Daraus kann dann eine Base64 basierte Repräsentation berechnet werden, die einfach in Docuseal hochgeladen werden kann.
++{{code language="json"}}
++{
++    "payload": {
++        "timestamp": "YYYY-MM-DDTHH:mm:ss",
++        "uuid": "260171c3-c71c-4da2-b13e-bf1386fe9eac",
++        "correspondent": "Daniel Herrmann (#250)",
++        "type": "mksp-doc-sepamandat",
++        "tags": [
++            "tag1",
++            "tag2"
++        ],
++"storage_path": "Mitgliederverwaltung"
++    },
++    "sig": "signature over the entire payload block"
++}
++{{/code}}
--=== {{id name="DigitaleMitgliederverwaltung-Referenz-Implementierung"/}}Referenz-Implementierung ===
++Die beiden Einträge **payload** und **sig** sind **Pflichtfelder**. Innerhalb der Payload müssen der **timestamp** **und die UUID** **vorhanden** sein, alle anderen Felder sind optional, jedoch muss mindestens eins angegeben werden. Der QR Code kann dann - insbesondere bei der Digitalen Unterschrift oder bei Workflows, wo die Formulare ohnehin on demand erzeugt werden bereits mit allen Daten bestückt werden. In Paperless gibt es dann ein Postconsume Script, welches den QR Code ausliest, die Signatur prüft und - falls die Signatur korrekt ist - automatisch die Meta-Daten übernimmt.
--Eine Referenz-Implementierung befindet sich im Makerspace Gitlab: [[https:~~/~~/git.makerspace-darmstadt.de/makerspace-it-infrastructure/mitgliederverwaltung/paperless-pdf417-reference>>url:https://git.makerspace-darmstadt.de/makerspace-it-infrastructure/mitgliederverwaltung/paperless-pdf417-reference||shape="rect"]]
++=== {{id name="DigitaleMitgliederverwaltung-Signatur"/}}Signatur ===
--=== {{id name="DigitaleMitgliederverwaltung-PostConsumptionScript"/}}Post Consumption Script ===
++Die Signatur wird kryptographisch mit Hilfe asymmetrischen Verschlüsselung erzeugt. Wir erzeugen ein RSA 2048 Key Pair. Der öffentliche Schlüssel steht Paperless zur Verfügung, sodass Paperless die Signaturen verifizieren kann. Der private Teil des Schlüssels wird von den Makerspace-Systemem verwendet, welche die Formulare erzeugen. Im Detail:
--Die eigentliche Zuordnung der Meta-Daten erfolgt über ein so genanntes Post Consumption Script. Dieses befindet sich ebenfalls im Makerspace Gitlab: [[https:~~/~~/git.makerspace-darmstadt.de/makerspace-it-infrastructure/mitgliederverwaltung/paperless-post-consumption-script#>>url:https://git.makerspace-darmstadt.de/makerspace-it-infrastructure/mitgliederverwaltung/paperless-post-consumption-script||shape="rect"]]
++* **Key-Pair**: 2048 bit Schlüssellänge, RSA, 65537 Exponent
++* **Signatur**: SHA256 Signatur, PKCS1v15 Padding
++* (((
++**Payload**: Als Payload wird nur der Inhalt der Payload verwendet, als **JSON String ohne Whitespaces, byte encoded in UTF-8.** Das oben genannte Beispiel würde die Signatur über den folgenden String erstellen:
++\\
--== {{id name="DigitaleMitgliederverwaltung-PaperlessBerechtigungen"/}}Paperless Berechtigungen ==
++{{code language="json"}}
++{"payload":{"correspondent":"Daniel Herrmann (#250)","type":"SEPA Mandat","tags":["tag1","tag2"]},"timestamp":"YYYY-MM-DDTHH:mm:ss","sig":"this-would-be-the-signature-appended-to-the-data"}
++{{/code}}
--Paperless NGX hat ein Berechtigungssystem, welches sich über fast alle Ressourcen erstreckt. Grundsätzlich gibt es **Benutzer** und **Gruppen**. Berechtigungen können dann global vergeben werden (Sichtbarkeit von Features) und zusätzlich auf Objektebene vergeben werden.
--=== {{id name="DigitaleMitgliederverwaltung-BenutzerundGruppen"/}}Benutzer und Gruppen ===
--
--Paperless NGX ist so konfiguriert, dass sich Benutzer mit ihrem zentralen Makerspace Login anmelden können (OIDC über Keycloak). Eine Anmeldung mit lokalen Zugangsdaten ist nicht möglich. Bei der Anmeldung werden ebenfalls die Gruppen aus Keycloak übernommen, aber nur die folgenden:
--
--* **Vorstand**: Für die Mitglieder des Vorstands
--* **Mitgliederverwaltung**: Alle Personen, die mit der Verwaltung der Mitglieder betraut sind
--* **IT Admin**: IT Administratoren im Makerspace
--
--Nutzer, die keine dieser Gruppen angehören haben keine Rechte in Paperless. Sie können sich zwar anmelden, aber selbst die Willkommens-Seite erzeugt eine "Permission Denied" Fehlermeldung.
--
--=== {{id name="DigitaleMitgliederverwaltung-GlobaleBerechtigungen"/}}Globale Berechtigungen ===
--
--Berechtigungen werden grundsätzlich nicht auf Benutzerebene konfiguriert, sondern ausschließlich auf Gruppenebene. So wird sichergestellt, dass bei der Änderung einer Gruppenzugehörigkeit auch die damit verbundenen Rechte entzogen oder gewährt werden, ohne dass eine manuelle Änderung notwendig ist. Die folgende Tabelle gibt eine Übersicht der konfigurierten globalen Berechtigungen pro Gruppe:
--
--|=(% scope="row" %)(((
--Berechtigung
--)))|=(% scope="col" %)(((
--Beschreibung
--)))|=(% scope="col" %)(((
--Mitgliederverwaltung
--)))|=(% scope="col" %)(((
--Vorstand
--)))|=(% scope="col" %)(((
--IT Admin
--)))|=(% scope="col" %)(((
--Notiz
--)))
--|=(% scope="row" %)(((
--Document
--)))|(((
--Sehen und bearbeiten von Dokumenten.
--)))|(((
--ALLE
--)))|(((
--ALLE
--)))|(((
--KEINE
--)))|(((
--Wird zusätzlich durch Berechtigungen auf Objekt-Level eingeschränkt
--)))
--|=(% scope="row" %)(((
--Tag
--)))|(((
--Sehen und bearbeiten von Tags.
--)))|(((
--Anzeigen
--)))|(((
--ALLE
--)))|(((
--ALLE
--)))|(((
--Wird zusätzlich durch Berechtigungen auf Objekt-Level eingeschränkt
--)))
--|=(% scope="row" %)(((
--Correspondent
--)))|(((
--Sehen und bearbeiten von Korrespondenten
--)))|(((
--Anzeigen
--)))|(((
--ALLE
--)))|(((
--ALLE
--)))|(((
--Wird zusätzlich durch Berechtigungen auf Objekt-Level eingeschränkt
--)))
--|=(% scope="row" %)(((
--DocumentType
--)))|(((
--Sehen und bearbeiten von Dokument-Typen
--)))|(((
--Anzeigen
--)))|(((
--ALLE
--)))|(((
--ALLE
--)))|(((
--Wird zusätzlich durch Berechtigungen auf Objekt-Level eingeschränkt
--)))
--|=(% scope="row" %)(((
--StoragePath
--)))|(((
--Sehen und bearbeiten von Speicherpfaden
--)))|(((
--Anzeigen
--)))|(((
--Anzeigen
--)))|(((
--ALLE
--)))|(((
--Wird zusätzlich durch Berechtigungen auf Objekt-Level eingeschränkt
--)))
--|=(% scope="row" %)(((
--SavedView
--)))|(((
--Ansichten erzeugen und speichern
--)))|(((
--ALLE
--)))|(((
--ALLE
--)))|(((
--KEINE
--)))|(((
++Als Referenz, die in Python wäre der Input der Signatur:
  \\
--)))
--|=(% scope="row" %)(((
--PaperlessTask
--)))|(((
--Dateiaufgaben einsehen und löschen
--)))|(((
--KEINE
--)))|(((
--KEINE
--)))|(((
--ALLE
--)))|(((
--\\
--)))
--|=(% scope="row" %)(((
--AppConfig
--)))|(((
--Konfiguration von Paperless NGX selbst
--)))|(((
--KEINE
--)))|(((
--KEINE
--)))|(((
--ALLE
--)))|(((
--\\
--)))
--|=(% scope="row" %)(((
--UISettings
--)))|(((
--Persönliche Anzeigeeinstellungen ändern
--)))|(((
--ALLE
--)))|(((
--ALLE
--)))|(((
--ALLE
--)))|(((
--\\
--)))
--|=(% scope="row" %)(((
--History
--)))|(((
--Dokumenten-Audit Log anzeigen oder ändern
--)))|(((
--Anzeigen
--)))|(((
--Anzeigen
--)))|(((
--KEINE
--)))|(((
--Nur für Dokumente, auf die Zugriff gewährt wurde.
--)))
--|=(% scope="row" %)(((
--Note
--)))|(((
--Notizen zu Dokumenten einsehen oder ändern
--)))|(((
--ALLE
--)))|(((
--ALLE
--)))|(((
--KEINE
--)))|(((
--Nur für Dokumente, auf die Zugriff gewährt wurde.
--)))
--|=(% scope="row" %)(((
--MailAccount
--)))|(((
--Mail-Accounts verwalten
--)))|(((
--KEINE
--)))|(((
--Anzeigen
--)))|(((
--ALLE
--)))|(((
--\\
--)))
--|=(% scope="row" %)(((
--MailRule
--)))|(((
--Verarbeitungsregeln für eingehende Mails bearbeiten
--)))|(((
--KEINE
--)))|(((
--ALLE
--)))|(((
--ALLE
--)))|(((
--\\
--)))
--|=(% scope="row" %)(((
--User
--)))|(((
--Benutzer einsehen oder verwalten
--)))|(((
--KEINE
--)))|(((
--Anzeigen
--)))|(((
--ALLE
--)))|(((
--\\
--)))
--|=(% scope="row" %)(((
--Group
--)))|(((
--Gruppen einsehen oder verwalten
--)))|(((
--KEINE
--)))|(((
--Anzeigen
--)))|(((
--ALLE
--)))|(((
--\\
--)))
--|=(% scope="row" %)(((
--ShareLink
--)))|(((
--Öffentliche Share-Links erstellen oder verwalten
--)))|(((
--KEINE
--)))|(((
--KEINE
--)))|(((
--KEINE
--)))|(((
--\\
--)))
--|=(% scope="row" %)(((
--CustomField
--)))|(((
--Custom Fields einsehen oder verwalten
--)))|(((
--Anzeigen
--)))|(((
--Anzeigen
--)))|(((
--ALLE
--)))|(((
--\\
--)))
--|=(% scope="row" %)(((
--Workflow
--)))|(((
--Workflows für neue Dokumente einsehen oder verwalten
--)))|(((
--KEINE
--)))|(((
--KEINE
--)))|(((
--ALLE
--)))|(((
--\\
--)))
--=== {{id name="DigitaleMitgliederverwaltung-Objekt-Berechtigungen"/}}Objekt-Berechtigungen ===
++{{code language="python"}}
++import json
--Zusätzlich zu den globalen Berechtigungen können für alle Objekte noch Berechtigungen auf Objekt-Level konfiguriert werden. Dabei werden globale Regeln zuerst geprüft, danach zusätzlich die Objekt-Berechtigungen. Jedes Objekt (egal ob Dokument, Korrespondent, Tag, Dokumenten-Typ) hat zwei wichtige Einstellungen:
--
--* Owner / Eigentümer: Das Objekt gehört diesem Benutzer. Der Owner hat immer alle Berechtigungen für das Objekt
--* Zusätzliche Berechtigungen:
--** Es können getrennt voneinander Berechtigungen zum Anzeigen und Bearbeiten vergeben werden
--** Diese Berechtigungen können jeweils für einzelne Benutzer oder für Gruppen gewährt werden
--
--Das sieht im Frontend beispielsweise so aus:
--
--[[image:attach:image-2025-8-25_10-19-25.png||thumbnail="true" height="250"]]
--
--{{info title="Berechtigungen"}}
--Es sind grundsätzlich sowohl globale als auch objekt-spezifische Berechtigungen notwendig. Wenn ein Benutzer ein Objekt bearbeiten ansehen oder bearbeiten möchte ergibt sich daher die folgende Matrix:
--
--|=(% scope="col" %)(((
--Globale Berechtigung
--)))|=(% scope="col" %)(((
--Owner
--)))|=(% scope="col" %)(((
--Objekt-Berechtigung
--)))|=(% scope="col" %)(((
--Ergebnis
++input_data = {'payload': {'correspondent': 'Daniel Herrmann (#250)', 'type': 'SEPA Mandat', 'tags': ['tag1', 'tag2']}, 'timestamp': 'YYYY-MM-DDTHH:mm:ss', 'sig': 'this-would-be-the-signature-appended-to-the-data'}
++signature_data = json.dumps(input_data, separators=(',', ':')).encode('utf-8')
++{{/code}}
  )))
--|(((
--❌️
--)))|(((
--Egal
--)))|(((
--Egal
--)))|(((
--❌️
--)))
--|(((
--✅️
--)))|(((
--✅️
--)))|(((
--Egal
--)))|(((
--✅️
--)))
--|(((
--✅️
--)))|(((
--❌️
--)))|(((
--❌️
--)))|(((
--❌️
--)))
--|(((
--✅️
--)))|(((
--❌️
--)))|(((
--✅️
--)))|(((
--✅️
--)))
--Mit anderen Worten, um eine Aktion auszuführen, muss ein Benutzer (a) die globale Berechtigung haben **UND** (b) Owner sein **ODER** Objekt-Berechtigungen haben.
--{{/info}}
++\\
--=== {{id name="DigitaleMitgliederverwaltung-LokaleOwner"/}}Lokale Owner ===
++== {{id name="DigitaleMitgliederverwaltung-TechnischesSetup"/}}Technisches Setup ==
--Jedes Objekt in Paperless muss einen Owner haben. Damit der Owner nicht ein realer Benutzer ist, der gegebenenfalls den Vorstand / Mitgliederverwaltung oder Verein verlassen könnte, werden lokale Benutzer angelegt. Diese halten lediglich die Owner Rolle für die Ressourcen, können aber nicht für den Login verwendet werden.
++Owner: zwei Owner
++Docs: Owner = grp owner, View + Edit jeweilige Gruppen
++Correspondent: owner = grp owner, view = jeweilige Gruppe, edit = it admin
++Tag: owner = grp owner, view = jeweilige Gruppe, edit = it admin
++Doc Type: owner = grp owner, view = jeweilige Gruppe, edit = it admin
--|=(% scope="row" %)(((
--Benutzer
--)))|=(% scope="col" %)(((
--Verwendet für
--)))
--|=(% scope="row" %)(((
--mksp-mv-owner
--)))|(((
--Alle Objekte (Dokumente, Dokumenttypen, Tags, Korrespondenten und Speicherpfade), die dem Use-Case **Mitgliederverwaltung** zugewiesen sind
--)))
--|=(% scope="row" %)(((
--mksp-vs-owner
--)))|(((
--Alle Objekte (Dokumente, Dokumenttypen, Tags, Korrespondenten und Speicherpfade), die dem Use-Case **Vorstandspost** zugewiesen sind
--)))
++TODO
--=== {{id name="DigitaleMitgliederverwaltung-Standard-Objekt-Berechtigungen"/}}Standard-Objekt-Berechtigungen ===
--
--Basierend auf den hier beschrieben Regeln werden für Objekte die folgenden Berechtigungen gesetzt:
--
--|=(% rowspan="2" scope="rowgroup" %)(((
--Objekt
  \\
--)))|=(% colspan="3" scope="colgroup" %)(((
--Mitgliederverwaltung
--)))|=(% rowspan="7" scope="rowgroup" %)(((
--\\
--)))|=(% colspan="3" scope="colgroup" %)(((
--Vorstandspost
--)))
--|=(% scope="col" %)(((
--Owner
--)))|=(% scope="col" %)(((
--Anzeigen
--)))|=(% scope="col" %)(((
--Bearbeiten
--)))|=(((
--Owner
--)))|=(((
--Anzeigen
--)))|=(((
--Bearbeiten
--)))
--|=(% scope="row" %)(((
--Dokument
--)))|(((
--mksp-mv-owner
--)))|(((
--Mitgliederverwaltung
--)))|(((
--Mitgliederverwaltung
--)))|(((
--mksp-vs-owner
--)))|(((
--Vorstand
--)))|(((
--Vorstand
--)))
--|=(% scope="row" %)(((
--Dokumenttyp
--)))|(((
--mksp-mv-owner
--)))|(((
--Mitgliederverwaltung, IT Admin
--)))|(((
--IT Admin
--)))|(((
--mksp-vs-owner
--)))|(((
--Vorstand
--)))|(((
--Vorstand
--)))
--|=(% scope="row" %)(((
--Tag
--)))|(((
--mksp-mv-owner
--)))|(((
--Mitgliederverwaltung, IT Admin
--)))|(((
--IT Admin
--)))|(((
--mksp-vs-owner
--)))|(((
--Vorstand
--)))|(((
--Vorstand
--)))
--|=(% scope="row" %)(((
--Korrespondent
--)))|(((
--mksp-mv-owner
--)))|(((
--Mitgliederverwaltung, IT Admin
--)))|(((
--IT Admin
--)))|(((
--mksp-vs-owner
--)))|(((
--Vorstand
--)))|(((
--Vorstand
--)))
--|=(% scope="row" %)(((
--Speicherpfad
--)))|(((
--mksp-mv-owner
--)))|(((
--Mitgliederverwaltung, IT Admin
--)))|(((
--IT Admin
--)))|(((
--mksp-vs-owner
--)))|(((
--Vorstand
--)))|(((
--IT Admin
--)))
--== {{id name="DigitaleMitgliederverwaltung-Workflows"/}}Workflows ==
++=== {{id name="DigitaleMitgliederverwaltung-AusFace2Faceam20.8(DH,YS)"/}}Aus Face 2 Face am 20.8  (DH,YS) ===
--Paperless Workflows können zur Automatisierung verschiedener Tasks eingesetzt werden. In diesem Fall werden zwei Fälle damit abgedeckt:
++* Schritt 1: Einweisungszettel erzeugen
++** Checkliste in Directus hinterlegen, eine pro Einweisung
++** N8n Workflow, welches die Liste aus Directus herunterlädt und Template mit Puppetteer Script Node erzeugen
++** Aus diesem Template dann ein DocuSeal Template erstellen
++* Schritt 2: Zettel für Einweisungen generieren
++** Tablet für Einweiser im makerspace
++** Authentifizierung über Token an der Freigabebox
++*** Neue Maschine, User schaltet die Maschine "Tablet" frei
++*** Datenbank erzeugt JWT und signiert es mit einem RSA Priv Key
++*** Wird als Payload in der MQTT unlock message mitgeschickt
++** Tablet nutzt dieses Token für API Requests gegen Homepage Backend
++** Backend wird um weitere Middleware angepasst, die dieses Token für manche Endpoints akzeptiert
++** Einweiser:in bekommt aktive Einweisung angezeigt und kann Teilnehmer Entfernern (no-show) oder hinzufügen (spontan)
++*** Option eine Einweisung ohne Rechnungsstellung vorzunehmen
++** PDFs werden automatisch ausgedruckt
++*** Tablet triggert einen Backend endpoint
++**** übergibt teilnehmer als parameter (auth über token) und
++**** erzeugt die entsprechenden PDFs in DocuSeal
++**** Gibt PDF als Return
++*** Tablet kann PDF über Netzwerk print drucken
++* Schritt 3: Einweisungen erfassen
++** QR code wird in Schritt 2 aufgedruckt und enthält:
++*** Einweisung
++*** Datum
++*** Einweiser
++*** Teilnehmer
++*** Flag Rechnung
++** Dokument wird über ScanSnap eingescannt und automatisch an paperless übergeben
++** Paperless Post Consume erkennt den QR Code, validiert ihn und löst über einen Webook einen Flow in N8n aus
++** N8n erstellt dann einen temporären Eintrag im Backend, ähnlich dem der heute bei "Einweisung erfassen" sichtbar ist
++** Die Mitgliederverwaltung hat dann x Tage Zeit, die Einträge zu korrigieren und zu prüfen (beispielsweise ob Voraussetzungen erfüllt sind)
++** Danach werden alle Schritte wie bisher ausgelöst (Berechtigung, Rechnung, Auszahlung an Einweiser, E-Mail Bestätigung, ...)
--* Beim Hinzufügen der Dokumente via Webinterface **wird standardmäßig der angemeldete Nutzer als Owner des Dokuments festgelegt**. Damit haben andere Mitglieder der gleichen Gruppe (Beispielsweise Vorstand oder Mitgliederverwaltung) kein Zugriff auf die so hinzugefügten Dokumente. Aus diesem Grund setzt einer der Workflow die entsprechend notwendigen Berechtigungen.
--* Einscannen von Dokumenten soll sowohl für die Mitgliederverwaltung als auch für den Vorstand möglich sein und der richtigen Gruppe zugeordnet werden. Wir haben dafür zwei unterschiedliche Ordner aus dem NAS angelegt. Der Dokumentenscanner kann Dokumente in einen der beiden Ordner legen, wir nutzen Workflows um auch hier die richtigen Berechtigungen zu setzen.
++TODO:
--= {{id name="DigitaleMitgliederverwaltung-OffenePunkte"/}}Offene Punkte =
--
  * Docuseal Logging + Monitoring
  * N8n Error Handling

Confluence.Code.ConfluencePageClass[0]

Id

@@ -1,1 +1,1 @@
--205586515
++202867281

URL

@@ -1,1 +1,1 @@
--https://wiki.makerspace-darmstadt.de/spaces/PROJ/pages/205586515/Digitale Mitgliederverwaltung
++https://wiki.makerspace-darmstadt.de/spaces/PROJ/pages/202867281/Digitale Mitgliederverwaltung