Änderungen von Dokument Paperless NGX

Zuletzt geändert von Daniel Herrmann am 2026/02/22 11:41

Verwalten
- Kopieren
Aktionen
- Exportieren
- Druckvorschau
Ansichten

Von 11.1 nach 12.1 Von 15.1 nach 15.2

Von Version

12.1

bearbeitet von Daniel Herrmann
am 2025/10/24 20:20

Änderungskommentar: Neuen Anhang image-2025-8-25_10-19-25.png hochladen

Auf Version

15.1

bearbeitet von Daniel Herrmann
am 2025/10/24 20:21

Änderungskommentar: Es gibt keinen Kommentar für diese Version

Rohform
Im Layout

Zusammenfassung

Seiteneigenschaften (1 geändert, 0 hinzugefügt, 0 gelöscht)
Anhänge (0 geändert, 1 hinzugefügt, 0 gelöscht)
- information.png

Details

Seiteneigenschaften

Inhalt

@@ -276,7 +276,7 @@
  Als Format für den Code wurde PDF417 ausgewählt, da dieser mehr Platz und Fehlerkorrektur bietet. Weiterhin gibt es eine einfach zu nutzende Library für Python (Erzeugung) und PDF417 wird von ZXING unterstützt, welches in Paperless eingebettet ist. Ein solcher Barcode sieht beispielsweise so aus:
--[[image:/bin/download/PROJ/Digitale%20Mitgliederverwaltung/WebHome/barcode.jpg?height=250&rev=1.1||alt="barcode.jpg" height="250"]]
++[[image:barcode.jpg||height="250"]]
  Daraus kann dann eine Base64 basierte Repräsentation berechnet werden, die einfach in Docuseal hochgeladen werden kann.
@@ -288,4 +288,465 @@
  Die eigentliche Zuordnung der Meta-Daten erfolgt über ein so genanntes Post Consumption Script. Dieses befindet sich ebenfalls im Makerspace Gitlab: [[https:~~/~~/git.makerspace-darmstadt.de/makerspace-it-infrastructure/mitgliederverwaltung/paperless-post-consumption-script#>>url:https://git.makerspace-darmstadt.de/makerspace-it-infrastructure/mitgliederverwaltung/paperless-post-consumption-script]]
++== Paperless Berechtigungen ==
++Paperless NGX hat ein Berechtigungssystem, welches sich über fast alle Ressourcen erstreckt. Grundsätzlich gibt es **Benutzer** und **Gruppen**. Berechtigungen können dann global vergeben werden (Sichtbarkeit von Features) und zusätzlich auf Objektebene vergeben werden.
++
++=== Benutzer und Gruppen ===
++
++Paperless NGX ist so konfiguriert, dass sich Benutzer mit ihrem zentralen Makerspace Login anmelden können (OIDC über Keycloak). Eine Anmeldung mit lokalen Zugangsdaten ist nicht möglich. Bei der Anmeldung werden ebenfalls die Gruppen aus Keycloak übernommen, aber nur die folgenden:
++
++* **Vorstand**: Für die Mitglieder des Vorstands
++* **Mitgliederverwaltung**: Alle Personen, die mit der Verwaltung der Mitglieder betraut sind
++* **IT Admin**: IT Administratoren im Makerspace
++
++Nutzer, die keine dieser Gruppen angehören haben keine Rechte in Paperless. Sie können sich zwar anmelden, aber selbst die Willkommens-Seite erzeugt eine "Permission Denied" Fehlermeldung.
++
++=== Globale Berechtigungen ===
++
++Berechtigungen werden grundsätzlich nicht auf Benutzerebene konfiguriert, sondern ausschließlich auf Gruppenebene. So wird sichergestellt, dass bei der Änderung einer Gruppenzugehörigkeit auch die damit verbundenen Rechte entzogen oder gewährt werden, ohne dass eine manuelle Änderung notwendig ist. Die folgende Tabelle gibt eine Übersicht der konfigurierten globalen Berechtigungen pro Gruppe:
++
++|=(((
++Berechtigung
++)))|=(((
++Beschreibung
++)))|=(((
++Mitgliederverwaltung
++)))|=(((
++Vorstand
++)))|=(((
++IT Admin
++)))|=(((
++Notiz
++)))
++|=(((
++Document
++)))|(((
++Sehen und bearbeiten von Dokumenten.
++)))|(((
++ALLE
++)))|(((
++ALLE
++)))|(((
++KEINE
++)))|(((
++Wird zusätzlich durch Berechtigungen auf Objekt-Level eingeschränkt
++)))
++|=(((
++Tag
++)))|(((
++Sehen und bearbeiten von Tags.
++)))|(((
++Anzeigen
++)))|(((
++ALLE
++)))|(((
++ALLE
++)))|(((
++Wird zusätzlich durch Berechtigungen auf Objekt-Level eingeschränkt
++)))
++|=(((
++Correspondent
++)))|(((
++Sehen und bearbeiten von Korrespondenten
++)))|(((
++Anzeigen
++)))|(((
++ALLE
++)))|(((
++ALLE
++)))|(((
++Wird zusätzlich durch Berechtigungen auf Objekt-Level eingeschränkt
++)))
++|=(((
++DocumentType
++)))|(((
++Sehen und bearbeiten von Dokument-Typen
++)))|(((
++Anzeigen
++)))|(((
++ALLE
++)))|(((
++ALLE
++)))|(((
++Wird zusätzlich durch Berechtigungen auf Objekt-Level eingeschränkt
++)))
++|=(((
++StoragePath
++)))|(((
++Sehen und bearbeiten von Speicherpfaden
++)))|(((
++Anzeigen
++)))|(((
++Anzeigen
++)))|(((
++ALLE
++)))|(((
++Wird zusätzlich durch Berechtigungen auf Objekt-Level eingeschränkt
++)))
++|=(((
++SavedView
++)))|(((
++Ansichten erzeugen und speichern
++)))|(((
++ALLE
++)))|(((
++ALLE
++)))|(((
++KEINE
++)))|(((
++
++)))
++|=(((
++PaperlessTask
++)))|(((
++Dateiaufgaben einsehen und löschen
++)))|(((
++KEINE
++)))|(((
++KEINE
++)))|(((
++ALLE
++)))|(((
++
++)))
++|=(((
++AppConfig
++)))|(((
++Konfiguration von Paperless NGX selbst
++)))|(((
++KEINE
++)))|(((
++KEINE
++)))|(((
++ALLE
++)))|(((
++
++)))
++|=(((
++UISettings
++)))|(((
++Persönliche Anzeigeeinstellungen ändern
++)))|(((
++ALLE
++)))|(((
++ALLE
++)))|(((
++ALLE
++)))|(((
++
++)))
++|=(((
++History
++)))|(((
++Dokumenten-Audit Log anzeigen oder ändern
++)))|(((
++Anzeigen
++)))|(((
++Anzeigen
++)))|(((
++KEINE
++)))|(((
++Nur für Dokumente, auf die Zugriff gewährt wurde.
++)))
++|=(((
++Note
++)))|(((
++Notizen zu Dokumenten einsehen oder ändern
++)))|(((
++ALLE
++)))|(((
++ALLE
++)))|(((
++KEINE
++)))|(((
++Nur für Dokumente, auf die Zugriff gewährt wurde.
++)))
++|=(((
++MailAccount
++)))|(((
++Mail-Accounts verwalten
++)))|(((
++KEINE
++)))|(((
++Anzeigen
++)))|(((
++ALLE
++)))|(((
++
++)))
++|=(((
++MailRule
++)))|(((
++Verarbeitungsregeln für eingehende Mails bearbeiten
++)))|(((
++KEINE
++)))|(((
++ALLE
++)))|(((
++ALLE
++)))|(((
++
++)))
++|=(((
++User
++)))|(((
++Benutzer einsehen oder verwalten
++)))|(((
++KEINE
++)))|(((
++Anzeigen
++)))|(((
++ALLE
++)))|(((
++
++)))
++|=(((
++Group
++)))|(((
++Gruppen einsehen oder verwalten
++)))|(((
++KEINE
++)))|(((
++Anzeigen
++)))|(((
++ALLE
++)))|(((
++
++)))
++|=(((
++ShareLink
++)))|(((
++Öffentliche Share-Links erstellen oder verwalten
++)))|(((
++KEINE
++)))|(((
++KEINE
++)))|(((
++KEINE
++)))|(((
++
++)))
++|=(((
++CustomField
++)))|(((
++Custom Fields einsehen oder verwalten
++)))|(((
++Anzeigen
++)))|(((
++Anzeigen
++)))|(((
++ALLE
++)))|(((
++
++)))
++|=(((
++Workflow
++)))|(((
++Workflows für neue Dokumente einsehen oder verwalten
++)))|(((
++KEINE
++)))|(((
++KEINE
++)))|(((
++ALLE
++)))|(((
++
++)))
++
++=== Objekt-Berechtigungen ===
++
++Zusätzlich zu den globalen Berechtigungen können für alle Objekte noch Berechtigungen auf Objekt-Level konfiguriert werden. Dabei werden globale Regeln zuerst geprüft, danach zusätzlich die Objekt-Berechtigungen. Jedes Objekt (egal ob Dokument, Korrespondent, Tag, Dokumenten-Typ) hat zwei wichtige Einstellungen:
++
++* Owner / Eigentümer: Das Objekt gehört diesem Benutzer. Der Owner hat immer alle Berechtigungen für das Objekt
++* Zusätzliche Berechtigungen:
++** Es können getrennt voneinander Berechtigungen zum Anzeigen und Bearbeiten vergeben werden
++** Diese Berechtigungen können jeweils für einzelne Benutzer oder für Gruppen gewährt werden
++
++Das sieht im Frontend beispielsweise so aus:
++
++[[image:image-2025-8-25_10-19-25.png||height="250"]]
++
++{{info}}
++**Berechtigungen**
++
++Es sind grundsätzlich sowohl globale als auch objekt-spezifische Berechtigungen notwendig. Wenn ein Benutzer ein Objekt bearbeiten ansehen oder bearbeiten möchte ergibt sich daher die folgende Matrix:
++{{/info}}
++
++|=(((
++Globale Berechtigung
++)))|=(((
++Owner
++)))|=(((
++Objekt-Berechtigung
++)))|=(((
++Ergebnis
++)))
++|(((
++❌️
++)))|(((
++Egal
++)))|(((
++Egal
++)))|(((
++❌️
++)))
++|(((
++✅️
++)))|(((
++✅️
++)))|(((
++Egal
++)))|(((
++✅️
++)))
++|(((
++✅️
++)))|(((
++❌️
++)))|(((
++❌️
++)))|(((
++❌️
++)))
++|(((
++✅️
++)))|(((
++❌️
++)))|(((
++✅️
++)))|(((
++✅️
++)))
++
++Mit anderen Worten, um eine Aktion auszuführen, muss ein Benutzer (a) die globale Berechtigung haben **UND** (b) Owner sein **ODER** Objekt-Berechtigungen haben.
++
++=== Lokale Owner ===
++
++Jedes Objekt in Paperless muss einen Owner haben. Damit der Owner nicht ein realer Benutzer ist, der gegebenenfalls den Vorstand / Mitgliederverwaltung oder Verein verlassen könnte, werden lokale Benutzer angelegt. Diese halten lediglich die Owner Rolle für die Ressourcen, können aber nicht für den Login verwendet werden.
++
++|=(((
++Benutzer
++)))|=(((
++Verwendet für
++)))
++|=(((
++mksp-mv-owner
++)))|(((
++Alle Objekte (Dokumente, Dokumenttypen, Tags, Korrespondenten und Speicherpfade), die dem Use-Case **Mitgliederverwaltung** zugewiesen sind
++)))
++|=(((
++mksp-vs-owner
++)))|(((
++Alle Objekte (Dokumente, Dokumenttypen, Tags, Korrespondenten und Speicherpfade), die dem Use-Case **Vorstandspost** zugewiesen sind
++)))
++
++=== Standard-Objekt-Berechtigungen ===
++
++Basierend auf den hier beschrieben Regeln werden für Objekte die folgenden Berechtigungen gesetzt:
++
++|=(% rowspan="2" %)(((
++Objekt
++
++)))|=(% colspan="3" %)(((
++Mitgliederverwaltung
++)))|=(% rowspan="7" %)(((
++
++)))|=(% colspan="3" %)(((
++Vorstandspost
++)))
++|=(((
++Owner
++)))|=(((
++Anzeigen
++)))|=(((
++Bearbeiten
++)))|=(((
++Owner
++)))|=(((
++Anzeigen
++)))|=(((
++Bearbeiten
++)))
++|=(((
++Dokument
++)))|(((
++mksp-mv-owner
++)))|(((
++Mitgliederverwaltung
++)))|(((
++Mitgliederverwaltung
++)))|(((
++mksp-vs-owner
++)))|(((
++Vorstand
++)))|(((
++Vorstand
++)))
++|=(((
++Dokumenttyp
++)))|(((
++mksp-mv-owner
++)))|(((
++Mitgliederverwaltung, IT Admin
++)))|(((
++IT Admin
++)))|(((
++mksp-vs-owner
++)))|(((
++Vorstand
++)))|(((
++Vorstand
++)))
++|=(((
++Tag
++)))|(((
++mksp-mv-owner
++)))|(((
++Mitgliederverwaltung, IT Admin
++)))|(((
++IT Admin
++)))|(((
++mksp-vs-owner
++)))|(((
++Vorstand
++)))|(((
++Vorstand
++)))
++|=(((
++Korrespondent
++)))|(((
++mksp-mv-owner
++)))|(((
++Mitgliederverwaltung, IT Admin
++)))|(((
++IT Admin
++)))|(((
++mksp-vs-owner
++)))|(((
++Vorstand
++)))|(((
++Vorstand
++)))
++|=(((
++Speicherpfad
++)))|(((
++mksp-mv-owner
++)))|(((
++Mitgliederverwaltung, IT Admin
++)))|(((
++IT Admin
++)))|(((
++mksp-vs-owner
++)))|(((
++Vorstand
++)))|(((
++IT Admin
++)))
++
++== Workflows ==
++
++Paperless Workflows können zur Automatisierung verschiedener Tasks eingesetzt werden. In diesem Fall werden zwei Fälle damit abgedeckt:
++
++* Beim Hinzufügen der Dokumente via Webinterface **wird standardmäßig der angemeldete Nutzer als Owner des Dokuments festgelegt**. Damit haben andere Mitglieder der gleichen Gruppe (Beispielsweise Vorstand oder Mitgliederverwaltung) kein Zugriff auf die so hinzugefügten Dokumente. Aus diesem Grund setzt einer der Workflow die entsprechend notwendigen Berechtigungen.
++* Einscannen von Dokumenten soll sowohl für die Mitgliederverwaltung als auch für den Vorstand möglich sein und der richtigen Gruppe zugeordnet werden. Wir haben dafür zwei unterschiedliche Ordner aus dem NAS angelegt. Der Dokumentenscanner kann Dokumente in einen der beiden Ordner legen, wir nutzen Workflows um auch hier die richtigen Berechtigungen zu setzen.

information.png

Author

...	...	@@ -1,0 +1,1 @@
	1	+XWiki.dherrman

Größe

...	...	@@ -1,0 +1,1 @@
	1	+723 bytes

Inhalt