Zum Inhalt springen

Änderungen von Dokument Paperless NGX

Zuletzt geändert von Daniel Herrmann am 2026/02/22 11:41
Von Version Icon 14.1 Icon
bearbeitet von Daniel Herrmann
am 2025/10/24 20:20
Änderungskommentar: Neuen Anhang pencil.png hochladen
Auf Version Icon 15.1 Icon
bearbeitet von Daniel Herrmann
am 2025/10/24 20:21
Änderungskommentar: Es gibt keinen Kommentar für diese Version

Zusammenfassung

Details

Icon Seiteneigenschaften
Inhalt
... ... @@ -276,7 +276,7 @@
276 276  Als Format für den Code wurde PDF417 ausgewählt, da dieser mehr Platz und Fehlerkorrektur bietet. Weiterhin gibt es eine einfach zu nutzende Library für Python (Erzeugung) und PDF417 wird von ZXING unterstützt, welches in Paperless eingebettet ist. Ein solcher Barcode sieht beispielsweise so aus:
277 277  
278 278  
279 -[[image:/bin/download/PROJ/Digitale%20Mitgliederverwaltung/WebHome/barcode.jpg?height=250&rev=1.1||alt="barcode.jpg" height="250"]]
279 +[[image:barcode.jpg||height="250"]]
280 280  
281 281  Daraus kann dann eine Base64 basierte Repräsentation berechnet werden, die einfach in Docuseal hochgeladen werden kann.
282 282  
... ... @@ -288,4 +288,465 @@
288 288  
289 289  Die eigentliche Zuordnung der Meta-Daten erfolgt über ein so genanntes Post Consumption Script. Dieses befindet sich ebenfalls im Makerspace Gitlab: [[https:~~/~~/git.makerspace-darmstadt.de/makerspace-it-infrastructure/mitgliederverwaltung/paperless-post-consumption-script#>>url:https://git.makerspace-darmstadt.de/makerspace-it-infrastructure/mitgliederverwaltung/paperless-post-consumption-script]]
290 290  
291 +== Paperless Berechtigungen ==
291 291  
293 +Paperless NGX hat ein Berechtigungssystem, welches sich über fast alle Ressourcen erstreckt. Grundsätzlich gibt es **Benutzer** und **Gruppen**. Berechtigungen können dann global vergeben werden (Sichtbarkeit von Features) und zusätzlich auf Objektebene vergeben werden.
294 +
295 +=== Benutzer und Gruppen ===
296 +
297 +Paperless NGX ist so konfiguriert, dass sich Benutzer mit ihrem zentralen Makerspace Login anmelden können (OIDC über Keycloak). Eine Anmeldung mit lokalen Zugangsdaten ist nicht möglich. Bei der Anmeldung werden ebenfalls die Gruppen aus Keycloak übernommen, aber nur die folgenden:
298 +
299 +* **Vorstand**: Für die Mitglieder des Vorstands
300 +* **Mitgliederverwaltung**: Alle Personen, die mit der Verwaltung der Mitglieder betraut sind
301 +* **IT Admin**: IT Administratoren im Makerspace
302 +
303 +Nutzer, die keine dieser Gruppen angehören haben keine Rechte in Paperless. Sie können sich zwar anmelden, aber selbst die Willkommens-Seite erzeugt eine "Permission Denied" Fehlermeldung.
304 +
305 +=== Globale Berechtigungen ===
306 +
307 +Berechtigungen werden grundsätzlich nicht auf Benutzerebene konfiguriert, sondern ausschließlich auf Gruppenebene. So wird sichergestellt, dass bei der Änderung einer Gruppenzugehörigkeit auch die damit verbundenen Rechte entzogen oder gewährt werden, ohne dass eine manuelle Änderung notwendig ist. Die folgende Tabelle gibt eine Übersicht der konfigurierten globalen Berechtigungen pro Gruppe:
308 +
309 +|=(((
310 +Berechtigung
311 +)))|=(((
312 +Beschreibung
313 +)))|=(((
314 +Mitgliederverwaltung
315 +)))|=(((
316 +Vorstand
317 +)))|=(((
318 +IT Admin
319 +)))|=(((
320 +Notiz
321 +)))
322 +|=(((
323 +Document
324 +)))|(((
325 +Sehen und bearbeiten von Dokumenten.
326 +)))|(((
327 +ALLE
328 +)))|(((
329 +ALLE
330 +)))|(((
331 +KEINE
332 +)))|(((
333 +Wird zusätzlich durch Berechtigungen auf Objekt-Level eingeschränkt
334 +)))
335 +|=(((
336 +Tag
337 +)))|(((
338 +Sehen und bearbeiten von Tags.
339 +)))|(((
340 +Anzeigen
341 +)))|(((
342 +ALLE
343 +)))|(((
344 +ALLE
345 +)))|(((
346 +Wird zusätzlich durch Berechtigungen auf Objekt-Level eingeschränkt
347 +)))
348 +|=(((
349 +Correspondent
350 +)))|(((
351 +Sehen und bearbeiten von Korrespondenten
352 +)))|(((
353 +Anzeigen
354 +)))|(((
355 +ALLE
356 +)))|(((
357 +ALLE
358 +)))|(((
359 +Wird zusätzlich durch Berechtigungen auf Objekt-Level eingeschränkt
360 +)))
361 +|=(((
362 +DocumentType
363 +)))|(((
364 +Sehen und bearbeiten von Dokument-Typen
365 +)))|(((
366 +Anzeigen
367 +)))|(((
368 +ALLE
369 +)))|(((
370 +ALLE
371 +)))|(((
372 +Wird zusätzlich durch Berechtigungen auf Objekt-Level eingeschränkt
373 +)))
374 +|=(((
375 +StoragePath
376 +)))|(((
377 +Sehen und bearbeiten von Speicherpfaden
378 +)))|(((
379 +Anzeigen
380 +)))|(((
381 +Anzeigen
382 +)))|(((
383 +ALLE
384 +)))|(((
385 +Wird zusätzlich durch Berechtigungen auf Objekt-Level eingeschränkt
386 +)))
387 +|=(((
388 +SavedView
389 +)))|(((
390 +Ansichten erzeugen und speichern
391 +)))|(((
392 +ALLE
393 +)))|(((
394 +ALLE
395 +)))|(((
396 +KEINE
397 +)))|(((
398 +
399 +)))
400 +|=(((
401 +PaperlessTask
402 +)))|(((
403 +Dateiaufgaben einsehen und löschen
404 +)))|(((
405 +KEINE
406 +)))|(((
407 +KEINE
408 +)))|(((
409 +ALLE
410 +)))|(((
411 +
412 +)))
413 +|=(((
414 +AppConfig
415 +)))|(((
416 +Konfiguration von Paperless NGX selbst
417 +)))|(((
418 +KEINE
419 +)))|(((
420 +KEINE
421 +)))|(((
422 +ALLE
423 +)))|(((
424 +
425 +)))
426 +|=(((
427 +UISettings
428 +)))|(((
429 +Persönliche Anzeigeeinstellungen ändern
430 +)))|(((
431 +ALLE
432 +)))|(((
433 +ALLE
434 +)))|(((
435 +ALLE
436 +)))|(((
437 +
438 +)))
439 +|=(((
440 +History
441 +)))|(((
442 +Dokumenten-Audit Log anzeigen oder ändern
443 +)))|(((
444 +Anzeigen
445 +)))|(((
446 +Anzeigen
447 +)))|(((
448 +KEINE
449 +)))|(((
450 +Nur für Dokumente, auf die Zugriff gewährt wurde.
451 +)))
452 +|=(((
453 +Note
454 +)))|(((
455 +Notizen zu Dokumenten einsehen oder ändern
456 +)))|(((
457 +ALLE
458 +)))|(((
459 +ALLE
460 +)))|(((
461 +KEINE
462 +)))|(((
463 +Nur für Dokumente, auf die Zugriff gewährt wurde.
464 +)))
465 +|=(((
466 +MailAccount
467 +)))|(((
468 +Mail-Accounts verwalten
469 +)))|(((
470 +KEINE
471 +)))|(((
472 +Anzeigen
473 +)))|(((
474 +ALLE
475 +)))|(((
476 +
477 +)))
478 +|=(((
479 +MailRule
480 +)))|(((
481 +Verarbeitungsregeln für eingehende Mails bearbeiten
482 +)))|(((
483 +KEINE
484 +)))|(((
485 +ALLE
486 +)))|(((
487 +ALLE
488 +)))|(((
489 +
490 +)))
491 +|=(((
492 +User
493 +)))|(((
494 +Benutzer einsehen oder verwalten
495 +)))|(((
496 +KEINE
497 +)))|(((
498 +Anzeigen
499 +)))|(((
500 +ALLE
501 +)))|(((
502 +
503 +)))
504 +|=(((
505 +Group
506 +)))|(((
507 +Gruppen einsehen oder verwalten
508 +)))|(((
509 +KEINE
510 +)))|(((
511 +Anzeigen
512 +)))|(((
513 +ALLE
514 +)))|(((
515 +
516 +)))
517 +|=(((
518 +ShareLink
519 +)))|(((
520 +Öffentliche Share-Links erstellen oder verwalten
521 +)))|(((
522 +KEINE
523 +)))|(((
524 +KEINE
525 +)))|(((
526 +KEINE
527 +)))|(((
528 +
529 +)))
530 +|=(((
531 +CustomField
532 +)))|(((
533 +Custom Fields einsehen oder verwalten
534 +)))|(((
535 +Anzeigen
536 +)))|(((
537 +Anzeigen
538 +)))|(((
539 +ALLE
540 +)))|(((
541 +
542 +)))
543 +|=(((
544 +Workflow
545 +)))|(((
546 +Workflows für neue Dokumente einsehen oder verwalten
547 +)))|(((
548 +KEINE
549 +)))|(((
550 +KEINE
551 +)))|(((
552 +ALLE
553 +)))|(((
554 +
555 +)))
556 +
557 +=== Objekt-Berechtigungen ===
558 +
559 +Zusätzlich zu den globalen Berechtigungen können für alle Objekte noch Berechtigungen auf Objekt-Level konfiguriert werden. Dabei werden globale Regeln zuerst geprüft, danach zusätzlich die Objekt-Berechtigungen. Jedes Objekt (egal ob Dokument, Korrespondent, Tag, Dokumenten-Typ) hat zwei wichtige Einstellungen:
560 +
561 +* Owner / Eigentümer: Das Objekt gehört diesem Benutzer. Der Owner hat immer alle Berechtigungen für das Objekt
562 +* Zusätzliche Berechtigungen:
563 +** Es können getrennt voneinander Berechtigungen zum Anzeigen und Bearbeiten vergeben werden
564 +** Diese Berechtigungen können jeweils für einzelne Benutzer oder für Gruppen gewährt werden
565 +
566 +Das sieht im Frontend beispielsweise so aus:
567 +
568 +[[image:image-2025-8-25_10-19-25.png||height="250"]]
569 +
570 +{{info}}
571 +**Berechtigungen**
572 +
573 +Es sind grundsätzlich sowohl globale als auch objekt-spezifische Berechtigungen notwendig. Wenn ein Benutzer ein Objekt bearbeiten ansehen oder bearbeiten möchte ergibt sich daher die folgende Matrix:
574 +{{/info}}
575 +
576 +|=(((
577 +Globale Berechtigung
578 +)))|=(((
579 +Owner
580 +)))|=(((
581 +Objekt-Berechtigung
582 +)))|=(((
583 +Ergebnis
584 +)))
585 +|(((
586 +❌️
587 +)))|(((
588 +Egal
589 +)))|(((
590 +Egal
591 +)))|(((
592 +❌️
593 +)))
594 +|(((
595 +✅️
596 +)))|(((
597 +✅️
598 +)))|(((
599 +Egal
600 +)))|(((
601 +✅️
602 +)))
603 +|(((
604 +✅️
605 +)))|(((
606 +❌️
607 +)))|(((
608 +❌️
609 +)))|(((
610 +❌️
611 +)))
612 +|(((
613 +✅️
614 +)))|(((
615 +❌️
616 +)))|(((
617 +✅️
618 +)))|(((
619 +✅️
620 +)))
621 +
622 +Mit anderen Worten, um eine Aktion auszuführen, muss ein Benutzer (a) die globale Berechtigung haben **UND** (b) Owner sein **ODER** Objekt-Berechtigungen haben.
623 +
624 +=== Lokale Owner ===
625 +
626 +Jedes Objekt in Paperless muss einen Owner haben. Damit der Owner nicht ein realer Benutzer ist, der gegebenenfalls den Vorstand / Mitgliederverwaltung oder Verein verlassen könnte, werden lokale Benutzer angelegt. Diese halten lediglich die Owner Rolle für die Ressourcen, können aber nicht für den Login verwendet werden.
627 +
628 +|=(((
629 +Benutzer
630 +)))|=(((
631 +Verwendet für
632 +)))
633 +|=(((
634 +mksp-mv-owner
635 +)))|(((
636 +Alle Objekte (Dokumente, Dokumenttypen, Tags, Korrespondenten und Speicherpfade), die dem Use-Case **Mitgliederverwaltung** zugewiesen sind
637 +)))
638 +|=(((
639 +mksp-vs-owner
640 +)))|(((
641 +Alle Objekte (Dokumente, Dokumenttypen, Tags, Korrespondenten und Speicherpfade), die dem Use-Case **Vorstandspost** zugewiesen sind
642 +)))
643 +
644 +=== Standard-Objekt-Berechtigungen ===
645 +
646 +Basierend auf den hier beschrieben Regeln werden für Objekte die folgenden Berechtigungen gesetzt:
647 +
648 +|=(% rowspan="2" %)(((
649 +Objekt
650 +
651 +)))|=(% colspan="3" %)(((
652 +Mitgliederverwaltung
653 +)))|=(% rowspan="7" %)(((
654 +
655 +)))|=(% colspan="3" %)(((
656 +Vorstandspost
657 +)))
658 +|=(((
659 +Owner
660 +)))|=(((
661 +Anzeigen
662 +)))|=(((
663 +Bearbeiten
664 +)))|=(((
665 +Owner
666 +)))|=(((
667 +Anzeigen
668 +)))|=(((
669 +Bearbeiten
670 +)))
671 +|=(((
672 +Dokument
673 +)))|(((
674 +mksp-mv-owner
675 +)))|(((
676 +Mitgliederverwaltung
677 +)))|(((
678 +Mitgliederverwaltung
679 +)))|(((
680 +mksp-vs-owner
681 +)))|(((
682 +Vorstand
683 +)))|(((
684 +Vorstand
685 +)))
686 +|=(((
687 +Dokumenttyp
688 +)))|(((
689 +mksp-mv-owner
690 +)))|(((
691 +Mitgliederverwaltung, IT Admin
692 +)))|(((
693 +IT Admin
694 +)))|(((
695 +mksp-vs-owner
696 +)))|(((
697 +Vorstand
698 +)))|(((
699 +Vorstand
700 +)))
701 +|=(((
702 +Tag
703 +)))|(((
704 +mksp-mv-owner
705 +)))|(((
706 +Mitgliederverwaltung, IT Admin
707 +)))|(((
708 +IT Admin
709 +)))|(((
710 +mksp-vs-owner
711 +)))|(((
712 +Vorstand
713 +)))|(((
714 +Vorstand
715 +)))
716 +|=(((
717 +Korrespondent
718 +)))|(((
719 +mksp-mv-owner
720 +)))|(((
721 +Mitgliederverwaltung, IT Admin
722 +)))|(((
723 +IT Admin
724 +)))|(((
725 +mksp-vs-owner
726 +)))|(((
727 +Vorstand
728 +)))|(((
729 +Vorstand
730 +)))
731 +|=(((
732 +Speicherpfad
733 +)))|(((
734 +mksp-mv-owner
735 +)))|(((
736 +Mitgliederverwaltung, IT Admin
737 +)))|(((
738 +IT Admin
739 +)))|(((
740 +mksp-vs-owner
741 +)))|(((
742 +Vorstand
743 +)))|(((
744 +IT Admin
745 +)))
746 +
747 +== Workflows ==
748 +
749 +Paperless Workflows können zur Automatisierung verschiedener Tasks eingesetzt werden. In diesem Fall werden zwei Fälle damit abgedeckt:
750 +
751 +* Beim Hinzufügen der Dokumente via Webinterface **wird standardmäßig der angemeldete Nutzer als Owner des Dokuments festgelegt**. Damit haben andere Mitglieder der gleichen Gruppe (Beispielsweise Vorstand oder Mitgliederverwaltung) kein Zugriff auf die so hinzugefügten Dokumente. Aus diesem Grund setzt einer der Workflow die entsprechend notwendigen Berechtigungen.
752 +* Einscannen von Dokumenten soll sowohl für die Mitgliederverwaltung als auch für den Vorstand möglich sein und der richtigen Gruppe zugeordnet werden. Wir haben dafür zwei unterschiedliche Ordner aus dem NAS angelegt. Der Dokumentenscanner kann Dokumente in einen der beiden Ordner legen, wir nutzen Workflows um auch hier die richtigen Berechtigungen zu setzen.