Änderungen von Dokument Paperless NGX

Zuletzt geändert von Daniel Herrmann am 2026/02/22 11:41

Verwalten
- Kopieren
Aktionen
- Exportieren
- Druckvorschau
Ansichten

Von 13.1 nach 14.1 Von 16.1 nach 17.1

Von Version

14.1

bearbeitet von Daniel Herrmann
am 2025/10/24 20:20

Änderungskommentar: Neuen Anhang pencil.png hochladen

Auf Version

16.1

bearbeitet von Daniel Herrmann
am 2026/02/22 11:37

Änderungskommentar: Neuen Anhang Screenshot 2026-02-22 at 11.36.43.png hochladen

Rohform
Im Layout

Zusammenfassung

Seiteneigenschaften (1 geändert, 0 hinzugefügt, 0 gelöscht)
Anhänge (0 geändert, 1 hinzugefügt, 0 gelöscht)
- Screenshot 2026-02-22 at 11.36.43.png

Details

Seiteneigenschaften

Inhalt

@@ -62,17 +62,16 @@
  **Aus diesem Grund wird auf jedes Dokument einen spezieller QR Code aufgedruckt**. Der QR code wird vom Post-Consume Script verwendet um die Metadaten in Paperless zuzuordnen. Weiterhin können Daten übermittelt werden, die dann mittels Webhook an N8n übermittelt werden und dort im Workflow verwendet werden können. Der Aufbau orientiert sich an dem Aufbau eines **JSON Web Tokens (JWT).**
++=== Erzeugung des QR Codes ===
--=== Barcode erzeugen ===
++Der Prozess zur Erzeugung eines QR Codes funktioniert wie folgt:
--Der Prozess zur Erzeugung eines QR Codes ist wie folgt:
--
  * **Payload (Daten) festlegen**. Einige Werte sind verpflichtend, andere können nach Bedarf optional hinzugefügt werden.
--* JWT erzeugen und signieren. der JWT besteht aus drei Teilen:
++* **JWT** erzeugen und signieren. der JWT besteht aus drei Teilen:
  ** **Header**: **alg** (Algorithmus) und **typ** (JWT) sind verpflichtend. Zusätzlich fügen wir einen Timestamp, eine eindeutige ID und eine Gültigkeitsdauer hinzu.
  ** **Body**: beinhaltet die eigentlichen Daten.
  ** **Signature**: Mit Hilfe eines Secrets und wird die Signatur erzeugt und automatisch angehängt.
--* PDF417 code erzeugen: ein JWT ist per Definition URL safe und kann daher einfach in ein QR code umgewandelt werden.
++* **QR code erzeugen**: ein JWT ist per Definition URL safe und kann daher einfach in ein QR code umgewandelt werden.
  === Header ===
@@ -172,7 +172,6 @@
  {{success}}
  **Algorithmus**
--
  Von den meisten Libraries werden symmetrische und asymmetrische Signaturen unterstützt. Die Verwendung eines symmetrischen Algorithmus ist für uns einfacher.
  Für diesen Anwendungsfall nutzen wir **HS256** (HMAC mit SHA-256 Algorithmus).
@@ -271,12 +271,12 @@
  Unsere bevorzugte Library ist **pyjwt**. Diese ist auch in **paperless nativ vorhanden**, sodass wir uns für die Implementierung mittels **pyjwt** entschieden haben.
--=== PDF417 Code ===
++=== QR Code ===
  Als Format für den Code wurde PDF417 ausgewählt, da dieser mehr Platz und Fehlerkorrektur bietet. Weiterhin gibt es eine einfach zu nutzende Library für Python (Erzeugung) und PDF417 wird von ZXING unterstützt, welches in Paperless eingebettet ist. Ein solcher Barcode sieht beispielsweise so aus:
--[[image:/bin/download/PROJ/Digitale%20Mitgliederverwaltung/WebHome/barcode.jpg?height=250&rev=1.1||alt="barcode.jpg" height="250"]]
++[[image:barcode.jpg||height="250"]]
  Daraus kann dann eine Base64 basierte Repräsentation berechnet werden, die einfach in Docuseal hochgeladen werden kann.
@@ -288,4 +288,465 @@
  Die eigentliche Zuordnung der Meta-Daten erfolgt über ein so genanntes Post Consumption Script. Dieses befindet sich ebenfalls im Makerspace Gitlab: [[https:~~/~~/git.makerspace-darmstadt.de/makerspace-it-infrastructure/mitgliederverwaltung/paperless-post-consumption-script#>>url:https://git.makerspace-darmstadt.de/makerspace-it-infrastructure/mitgliederverwaltung/paperless-post-consumption-script]]
++== Paperless Berechtigungen ==
++Paperless NGX hat ein Berechtigungssystem, welches sich über fast alle Ressourcen erstreckt. Grundsätzlich gibt es **Benutzer** und **Gruppen**. Berechtigungen können dann global vergeben werden (Sichtbarkeit von Features) und zusätzlich auf Objektebene vergeben werden.
++
++=== Benutzer und Gruppen ===
++
++Paperless NGX ist so konfiguriert, dass sich Benutzer mit ihrem zentralen Makerspace Login anmelden können (OIDC über Keycloak). Eine Anmeldung mit lokalen Zugangsdaten ist nicht möglich. Bei der Anmeldung werden ebenfalls die Gruppen aus Keycloak übernommen, aber nur die folgenden:
++
++* **Vorstand**: Für die Mitglieder des Vorstands
++* **Mitgliederverwaltung**: Alle Personen, die mit der Verwaltung der Mitglieder betraut sind
++* **IT Admin**: IT Administratoren im Makerspace
++
++Nutzer, die keine dieser Gruppen angehören haben keine Rechte in Paperless. Sie können sich zwar anmelden, aber selbst die Willkommens-Seite erzeugt eine "Permission Denied" Fehlermeldung.
++
++=== Globale Berechtigungen ===
++
++Berechtigungen werden grundsätzlich nicht auf Benutzerebene konfiguriert, sondern ausschließlich auf Gruppenebene. So wird sichergestellt, dass bei der Änderung einer Gruppenzugehörigkeit auch die damit verbundenen Rechte entzogen oder gewährt werden, ohne dass eine manuelle Änderung notwendig ist. Die folgende Tabelle gibt eine Übersicht der konfigurierten globalen Berechtigungen pro Gruppe:
++
++|=(((
++Berechtigung
++)))|=(((
++Beschreibung
++)))|=(((
++Mitgliederverwaltung
++)))|=(((
++Vorstand
++)))|=(((
++IT Admin
++)))|=(((
++Notiz
++)))
++|=(((
++Document
++)))|(((
++Sehen und bearbeiten von Dokumenten.
++)))|(((
++ALLE
++)))|(((
++ALLE
++)))|(((
++KEINE
++)))|(((
++Wird zusätzlich durch Berechtigungen auf Objekt-Level eingeschränkt
++)))
++|=(((
++Tag
++)))|(((
++Sehen und bearbeiten von Tags.
++)))|(((
++Anzeigen
++)))|(((
++ALLE
++)))|(((
++ALLE
++)))|(((
++Wird zusätzlich durch Berechtigungen auf Objekt-Level eingeschränkt
++)))
++|=(((
++Correspondent
++)))|(((
++Sehen und bearbeiten von Korrespondenten
++)))|(((
++Anzeigen
++)))|(((
++ALLE
++)))|(((
++ALLE
++)))|(((
++Wird zusätzlich durch Berechtigungen auf Objekt-Level eingeschränkt
++)))
++|=(((
++DocumentType
++)))|(((
++Sehen und bearbeiten von Dokument-Typen
++)))|(((
++Anzeigen
++)))|(((
++ALLE
++)))|(((
++ALLE
++)))|(((
++Wird zusätzlich durch Berechtigungen auf Objekt-Level eingeschränkt
++)))
++|=(((
++StoragePath
++)))|(((
++Sehen und bearbeiten von Speicherpfaden
++)))|(((
++Anzeigen
++)))|(((
++Anzeigen
++)))|(((
++ALLE
++)))|(((
++Wird zusätzlich durch Berechtigungen auf Objekt-Level eingeschränkt
++)))
++|=(((
++SavedView
++)))|(((
++Ansichten erzeugen und speichern
++)))|(((
++ALLE
++)))|(((
++ALLE
++)))|(((
++KEINE
++)))|(((
++
++)))
++|=(((
++PaperlessTask
++)))|(((
++Dateiaufgaben einsehen und löschen
++)))|(((
++KEINE
++)))|(((
++KEINE
++)))|(((
++ALLE
++)))|(((
++
++)))
++|=(((
++AppConfig
++)))|(((
++Konfiguration von Paperless NGX selbst
++)))|(((
++KEINE
++)))|(((
++KEINE
++)))|(((
++ALLE
++)))|(((
++
++)))
++|=(((
++UISettings
++)))|(((
++Persönliche Anzeigeeinstellungen ändern
++)))|(((
++ALLE
++)))|(((
++ALLE
++)))|(((
++ALLE
++)))|(((
++
++)))
++|=(((
++History
++)))|(((
++Dokumenten-Audit Log anzeigen oder ändern
++)))|(((
++Anzeigen
++)))|(((
++Anzeigen
++)))|(((
++KEINE
++)))|(((
++Nur für Dokumente, auf die Zugriff gewährt wurde.
++)))
++|=(((
++Note
++)))|(((
++Notizen zu Dokumenten einsehen oder ändern
++)))|(((
++ALLE
++)))|(((
++ALLE
++)))|(((
++KEINE
++)))|(((
++Nur für Dokumente, auf die Zugriff gewährt wurde.
++)))
++|=(((
++MailAccount
++)))|(((
++Mail-Accounts verwalten
++)))|(((
++KEINE
++)))|(((
++Anzeigen
++)))|(((
++ALLE
++)))|(((
++
++)))
++|=(((
++MailRule
++)))|(((
++Verarbeitungsregeln für eingehende Mails bearbeiten
++)))|(((
++KEINE
++)))|(((
++ALLE
++)))|(((
++ALLE
++)))|(((
++
++)))
++|=(((
++User
++)))|(((
++Benutzer einsehen oder verwalten
++)))|(((
++KEINE
++)))|(((
++Anzeigen
++)))|(((
++ALLE
++)))|(((
++
++)))
++|=(((
++Group
++)))|(((
++Gruppen einsehen oder verwalten
++)))|(((
++KEINE
++)))|(((
++Anzeigen
++)))|(((
++ALLE
++)))|(((
++
++)))
++|=(((
++ShareLink
++)))|(((
++Öffentliche Share-Links erstellen oder verwalten
++)))|(((
++KEINE
++)))|(((
++KEINE
++)))|(((
++KEINE
++)))|(((
++
++)))
++|=(((
++CustomField
++)))|(((
++Custom Fields einsehen oder verwalten
++)))|(((
++Anzeigen
++)))|(((
++Anzeigen
++)))|(((
++ALLE
++)))|(((
++
++)))
++|=(((
++Workflow
++)))|(((
++Workflows für neue Dokumente einsehen oder verwalten
++)))|(((
++KEINE
++)))|(((
++KEINE
++)))|(((
++ALLE
++)))|(((
++
++)))
++
++=== Objekt-Berechtigungen ===
++
++Zusätzlich zu den globalen Berechtigungen können für alle Objekte noch Berechtigungen auf Objekt-Level konfiguriert werden. Dabei werden globale Regeln zuerst geprüft, danach zusätzlich die Objekt-Berechtigungen. Jedes Objekt (egal ob Dokument, Korrespondent, Tag, Dokumenten-Typ) hat zwei wichtige Einstellungen:
++
++* Owner / Eigentümer: Das Objekt gehört diesem Benutzer. Der Owner hat immer alle Berechtigungen für das Objekt
++* Zusätzliche Berechtigungen:
++** Es können getrennt voneinander Berechtigungen zum Anzeigen und Bearbeiten vergeben werden
++** Diese Berechtigungen können jeweils für einzelne Benutzer oder für Gruppen gewährt werden
++
++Das sieht im Frontend beispielsweise so aus:
++
++[[image:image-2025-8-25_10-19-25.png||height="250"]]
++
++{{info}}
++**Berechtigungen**
++
++Es sind grundsätzlich sowohl globale als auch objekt-spezifische Berechtigungen notwendig. Wenn ein Benutzer ein Objekt bearbeiten ansehen oder bearbeiten möchte ergibt sich daher die folgende Matrix:
++{{/info}}
++
++|=(((
++Globale Berechtigung
++)))|=(((
++Owner
++)))|=(((
++Objekt-Berechtigung
++)))|=(((
++Ergebnis
++)))
++|(((
++❌️
++)))|(((
++Egal
++)))|(((
++Egal
++)))|(((
++❌️
++)))
++|(((
++✅️
++)))|(((
++✅️
++)))|(((
++Egal
++)))|(((
++✅️
++)))
++|(((
++✅️
++)))|(((
++❌️
++)))|(((
++❌️
++)))|(((
++❌️
++)))
++|(((
++✅️
++)))|(((
++❌️
++)))|(((
++✅️
++)))|(((
++✅️
++)))
++
++Mit anderen Worten, um eine Aktion auszuführen, muss ein Benutzer (a) die globale Berechtigung haben **UND** (b) Owner sein **ODER** Objekt-Berechtigungen haben.
++
++=== Lokale Owner ===
++
++Jedes Objekt in Paperless muss einen Owner haben. Damit der Owner nicht ein realer Benutzer ist, der gegebenenfalls den Vorstand / Mitgliederverwaltung oder Verein verlassen könnte, werden lokale Benutzer angelegt. Diese halten lediglich die Owner Rolle für die Ressourcen, können aber nicht für den Login verwendet werden.
++
++|=(((
++Benutzer
++)))|=(((
++Verwendet für
++)))
++|=(((
++mksp-mv-owner
++)))|(((
++Alle Objekte (Dokumente, Dokumenttypen, Tags, Korrespondenten und Speicherpfade), die dem Use-Case **Mitgliederverwaltung** zugewiesen sind
++)))
++|=(((
++mksp-vs-owner
++)))|(((
++Alle Objekte (Dokumente, Dokumenttypen, Tags, Korrespondenten und Speicherpfade), die dem Use-Case **Vorstandspost** zugewiesen sind
++)))
++
++=== Standard-Objekt-Berechtigungen ===
++
++Basierend auf den hier beschrieben Regeln werden für Objekte die folgenden Berechtigungen gesetzt:
++
++|=(% rowspan="2" %)(((
++Objekt
++
++)))|=(% colspan="3" %)(((
++Mitgliederverwaltung
++)))|=(% rowspan="7" %)(((
++
++)))|=(% colspan="3" %)(((
++Vorstandspost
++)))
++|=(((
++Owner
++)))|=(((
++Anzeigen
++)))|=(((
++Bearbeiten
++)))|=(((
++Owner
++)))|=(((
++Anzeigen
++)))|=(((
++Bearbeiten
++)))
++|=(((
++Dokument
++)))|(((
++mksp-mv-owner
++)))|(((
++Mitgliederverwaltung
++)))|(((
++Mitgliederverwaltung
++)))|(((
++mksp-vs-owner
++)))|(((
++Vorstand
++)))|(((
++Vorstand
++)))
++|=(((
++Dokumenttyp
++)))|(((
++mksp-mv-owner
++)))|(((
++Mitgliederverwaltung, IT Admin
++)))|(((
++IT Admin
++)))|(((
++mksp-vs-owner
++)))|(((
++Vorstand
++)))|(((
++Vorstand
++)))
++|=(((
++Tag
++)))|(((
++mksp-mv-owner
++)))|(((
++Mitgliederverwaltung, IT Admin
++)))|(((
++IT Admin
++)))|(((
++mksp-vs-owner
++)))|(((
++Vorstand
++)))|(((
++Vorstand
++)))
++|=(((
++Korrespondent
++)))|(((
++mksp-mv-owner
++)))|(((
++Mitgliederverwaltung, IT Admin
++)))|(((
++IT Admin
++)))|(((
++mksp-vs-owner
++)))|(((
++Vorstand
++)))|(((
++Vorstand
++)))
++|=(((
++Speicherpfad
++)))|(((
++mksp-mv-owner
++)))|(((
++Mitgliederverwaltung, IT Admin
++)))|(((
++IT Admin
++)))|(((
++mksp-vs-owner
++)))|(((
++Vorstand
++)))|(((
++IT Admin
++)))
++
++== Workflows ==
++
++Paperless Workflows können zur Automatisierung verschiedener Tasks eingesetzt werden. In diesem Fall werden zwei Fälle damit abgedeckt:
++
++* Beim Hinzufügen der Dokumente via Webinterface **wird standardmäßig der angemeldete Nutzer als Owner des Dokuments festgelegt**. Damit haben andere Mitglieder der gleichen Gruppe (Beispielsweise Vorstand oder Mitgliederverwaltung) kein Zugriff auf die so hinzugefügten Dokumente. Aus diesem Grund setzt einer der Workflow die entsprechend notwendigen Berechtigungen.
++* Einscannen von Dokumenten soll sowohl für die Mitgliederverwaltung als auch für den Vorstand möglich sein und der richtigen Gruppe zugeordnet werden. Wir haben dafür zwei unterschiedliche Ordner aus dem NAS angelegt. Der Dokumentenscanner kann Dokumente in einen der beiden Ordner legen, wir nutzen Workflows um auch hier die richtigen Berechtigungen zu setzen.

Screenshot 2026-02-22 at 11.36.43.png

Author

...	...	@@ -1,0 +1,1 @@
	1	+XWiki.dherrman

Größe

...	...	@@ -1,0 +1,1 @@
	1	+217.5 KB

Inhalt