Zum Inhalt springen

Änderungen von Dokument Paperless NGX

Zuletzt geändert von Daniel Herrmann am 2026/02/22 11:41
Von Version Icon 17.1
bearbeitet von Daniel Herrmann
am 2026/02/22 11:41
Änderungskommentar: Es gibt keinen Kommentar für diese Version
Auf Version Icon 13.1 Icon
bearbeitet von Daniel Herrmann
am 2025/10/24 20:20
Änderungskommentar: Neuen Anhang information.png hochladen

Zusammenfassung

Details

Icon Seiteneigenschaften
Inhalt
... ... @@ -62,16 +62,17 @@
62 62  
63 63  **Aus diesem Grund wird auf jedes Dokument einen spezieller QR Code aufgedruckt**. Der QR code wird vom Post-Consume Script verwendet um die Metadaten in Paperless zuzuordnen. Weiterhin können Daten übermittelt werden, die dann mittels Webhook an N8n übermittelt werden und dort im Workflow verwendet werden können. Der Aufbau orientiert sich an dem Aufbau eines **JSON Web Tokens (JWT).**
64 64  
65 -=== Erzeugung des QR Codes ===
66 66  
67 -Der Prozess zur Erzeugung eines QR Codes funktioniert wie folgt:
66 +=== Barcode erzeugen ===
68 68  
68 +Der Prozess zur Erzeugung eines QR Codes ist wie folgt:
69 +
69 69  * **Payload (Daten) festlegen**. Einige Werte sind verpflichtend, andere können nach Bedarf optional hinzugefügt werden.
70 -* **JWT** erzeugen und signieren. der JWT besteht aus drei Teilen:
71 +* JWT erzeugen und signieren. der JWT besteht aus drei Teilen:
71 71  ** **Header**: **alg** (Algorithmus) und **typ** (JWT) sind verpflichtend. Zusätzlich fügen wir einen Timestamp, eine eindeutige ID und eine Gültigkeitsdauer hinzu.
72 72  ** **Body**: beinhaltet die eigentlichen Daten.
73 73  ** **Signature**: Mit Hilfe eines Secrets und wird die Signatur erzeugt und automatisch angehängt.
74 -* **QR code erzeugen**: ein JWT ist per Definition URL safe und kann daher einfach in ein QR code umgewandelt werden.
75 +* PDF417 code erzeugen: ein JWT ist per Definition URL safe und kann daher einfach in ein QR code umgewandelt werden.
75 75  
76 76  === Header ===
77 77  
... ... @@ -171,6 +171,7 @@
171 171  {{success}}
172 172  **Algorithmus**
173 173  
175 +
174 174  Von den meisten Libraries werden symmetrische und asymmetrische Signaturen unterstützt. Die Verwendung eines symmetrischen Algorithmus ist für uns einfacher.
175 175  
176 176  Für diesen Anwendungsfall nutzen wir **HS256** (HMAC mit SHA-256 Algorithmus).
... ... @@ -269,484 +269,21 @@
269 269  
270 270  Unsere bevorzugte Library ist **pyjwt**. Diese ist auch in **paperless nativ vorhanden**, sodass wir uns für die Implementierung mittels **pyjwt** entschieden haben.
271 271  
272 -=== QR Code ===
274 +=== PDF417 Code ===
273 273  
274 -Als Format für den Code wurde ein Standard QR Code ausgewählt, da dieser mehr Platz und Fehlerkorrektur bietet. Es wurde ebenfalls mit PDF417 Codes experimentiert, jedoch funktioniert die Erkennung mit Python Libraries nur sehr schlecht. Ein QR Code sieht beispielsweise so aus:
276 +Als Format für den Code wurde PDF417 ausgewählt, da dieser mehr Platz und Fehlerkorrektur bietet. Weiterhin gibt es eine einfach zu nutzende Library r Python (Erzeugung) und PDF417 wird von ZXING unterstützt, welches in Paperless eingebettet ist. Ein solcher Barcode sieht beispielsweise so aus:
275 275  
276 -[[image:Screenshot 2026-02-22 at 11.36.43.png||height="150"]]
277 277  
278 -=== Post Consumption Script ===
279 +[[image:/bin/download/PROJ/Digitale%20Mitgliederverwaltung/WebHome/barcode.jpg?height=250&rev=1.1||alt="barcode.jpg" height="250"]]
279 279  
280 -Die eigentliche Zuordnung der Meta-Daten erfolgt über ein so genanntes Post Consumption Script. Dieses befindet sich ebenfalls im Makerspace Gitlab: [[https:~~/~~/git.makerspace-darmstadt.de/makerspace-it-infrastructure/mitgliederverwaltung/paperless-post-consumption-script#>>url:https://git.makerspace-darmstadt.de/makerspace-it-infrastructure/mitgliederverwaltung/paperless-post-consumption-script]]
281 +Daraus kann dann eine Base64 basierte Repräsentation berechnet werden, die einfach in Docuseal hochgeladen werden kann.
281 281  
282 -Das Script macht drei Dinge:
283 +=== Referenz-Implementierung ===
283 283  
284 -* Es scannt jedes neue Dokument nach eingebetteten QR Codes
285 -* Jeder gefundene Code wird versucht als JWT zu Parsen. Fehler werden ignoriert
286 -* Wird ein Code erfolgreich geparsed, wird die Signatur validiert. Wenn erfolgreich:
287 -** werden die Meta-Daten über die Paperless API zugewiesen
288 -** ein N8n Workflow "[[Paperless Document Consumed>>url:https://n8n.mksp-da.de/workflow/4HYqb15erC7Q9vYK/executions/27908]]" wird ausgeführt. Dieser erhält den Inhalt des QR Code als Parameter (inklusive eventuell übermittelter zusätzlicher Daten) und kann automatisch Aktionen ausführen - so wird beispielsweise der Signaturvorgang im Backend als "beendet" markiert.
289 -** Je nach Signatur-Typ löst das Backend dann automatisch Folgeaktionen aus.
285 +Eine Referenz-Implementierung befindet sich im Makerspace Gitlab: [[https:~~/~~/git.makerspace-darmstadt.de/makerspace-it-infrastructure/mitgliederverwaltung/paperless-pdf417-reference>>url:https://git.makerspace-darmstadt.de/makerspace-it-infrastructure/mitgliederverwaltung/paperless-pdf417-reference]]
290 290  
291 -== Paperless Berechtigungen ==
287 +=== Post Consumption Script ===
292 292  
293 -Paperless NGX hat ein Berechtigungssystem, welches sich über fast alle Ressourcen erstreckt. Grundsätzlich gibt es **Benutzer** und **Gruppen**. Berechtigungen können dann global vergeben werden (Sichtbarkeit von Features) und zusätzlich auf Objektebene vergeben werden.
289 +Die eigentliche Zuordnung der Meta-Daten erfolgt über ein so genanntes Post Consumption Script. Dieses befindet sich ebenfalls im Makerspace Gitlab: [[https:~~/~~/git.makerspace-darmstadt.de/makerspace-it-infrastructure/mitgliederverwaltung/paperless-post-consumption-script#>>url:https://git.makerspace-darmstadt.de/makerspace-it-infrastructure/mitgliederverwaltung/paperless-post-consumption-script]]
294 294  
295 -=== Benutzer und Gruppen ===
296 296  
297 -Paperless NGX ist so konfiguriert, dass sich Benutzer mit ihrem zentralen Makerspace Login anmelden können (OIDC über Keycloak). Eine Anmeldung mit lokalen Zugangsdaten ist nicht möglich. Bei der Anmeldung werden ebenfalls die Gruppen aus Keycloak übernommen, aber nur die folgenden:
298 -
299 -* **Vorstand**: Für die Mitglieder des Vorstands
300 -* **Mitgliederverwaltung**: Alle Personen, die mit der Verwaltung der Mitglieder betraut sind
301 -* **IT Admin**: IT Administratoren im Makerspace
302 -
303 -Nutzer, die keine dieser Gruppen angehören haben keine Rechte in Paperless. Sie können sich zwar anmelden, aber selbst die Willkommens-Seite erzeugt eine "Permission Denied" Fehlermeldung.
304 -
305 -=== Globale Berechtigungen ===
306 -
307 -Berechtigungen werden grundsätzlich nicht auf Benutzerebene konfiguriert, sondern ausschließlich auf Gruppenebene. So wird sichergestellt, dass bei der Änderung einer Gruppenzugehörigkeit auch die damit verbundenen Rechte entzogen oder gewährt werden, ohne dass eine manuelle Änderung notwendig ist. Die folgende Tabelle gibt eine Übersicht der konfigurierten globalen Berechtigungen pro Gruppe:
308 -
309 -|=(((
310 -Berechtigung
311 -)))|=(((
312 -Beschreibung
313 -)))|=(((
314 -Mitgliederverwaltung
315 -)))|=(((
316 -Vorstand
317 -)))|=(((
318 -IT Admin
319 -)))|=(((
320 -Notiz
321 -)))
322 -|=(((
323 -Document
324 -)))|(((
325 -Sehen und bearbeiten von Dokumenten.
326 -)))|(((
327 -ALLE
328 -)))|(((
329 -ALLE
330 -)))|(((
331 -KEINE
332 -)))|(((
333 -Wird zusätzlich durch Berechtigungen auf Objekt-Level eingeschränkt
334 -)))
335 -|=(((
336 -Tag
337 -)))|(((
338 -Sehen und bearbeiten von Tags.
339 -)))|(((
340 -Anzeigen
341 -)))|(((
342 -ALLE
343 -)))|(((
344 -ALLE
345 -)))|(((
346 -Wird zusätzlich durch Berechtigungen auf Objekt-Level eingeschränkt
347 -)))
348 -|=(((
349 -Correspondent
350 -)))|(((
351 -Sehen und bearbeiten von Korrespondenten
352 -)))|(((
353 -Anzeigen
354 -)))|(((
355 -ALLE
356 -)))|(((
357 -ALLE
358 -)))|(((
359 -Wird zusätzlich durch Berechtigungen auf Objekt-Level eingeschränkt
360 -)))
361 -|=(((
362 -DocumentType
363 -)))|(((
364 -Sehen und bearbeiten von Dokument-Typen
365 -)))|(((
366 -Anzeigen
367 -)))|(((
368 -ALLE
369 -)))|(((
370 -ALLE
371 -)))|(((
372 -Wird zusätzlich durch Berechtigungen auf Objekt-Level eingeschränkt
373 -)))
374 -|=(((
375 -StoragePath
376 -)))|(((
377 -Sehen und bearbeiten von Speicherpfaden
378 -)))|(((
379 -Anzeigen
380 -)))|(((
381 -Anzeigen
382 -)))|(((
383 -ALLE
384 -)))|(((
385 -Wird zusätzlich durch Berechtigungen auf Objekt-Level eingeschränkt
386 -)))
387 -|=(((
388 -SavedView
389 -)))|(((
390 -Ansichten erzeugen und speichern
391 -)))|(((
392 -ALLE
393 -)))|(((
394 -ALLE
395 -)))|(((
396 -KEINE
397 -)))|(((
398 -
399 -)))
400 -|=(((
401 -PaperlessTask
402 -)))|(((
403 -Dateiaufgaben einsehen und löschen
404 -)))|(((
405 -KEINE
406 -)))|(((
407 -KEINE
408 -)))|(((
409 -ALLE
410 -)))|(((
411 -
412 -)))
413 -|=(((
414 -AppConfig
415 -)))|(((
416 -Konfiguration von Paperless NGX selbst
417 -)))|(((
418 -KEINE
419 -)))|(((
420 -KEINE
421 -)))|(((
422 -ALLE
423 -)))|(((
424 -
425 -)))
426 -|=(((
427 -UISettings
428 -)))|(((
429 -Persönliche Anzeigeeinstellungen ändern
430 -)))|(((
431 -ALLE
432 -)))|(((
433 -ALLE
434 -)))|(((
435 -ALLE
436 -)))|(((
437 -
438 -)))
439 -|=(((
440 -History
441 -)))|(((
442 -Dokumenten-Audit Log anzeigen oder ändern
443 -)))|(((
444 -Anzeigen
445 -)))|(((
446 -Anzeigen
447 -)))|(((
448 -KEINE
449 -)))|(((
450 -Nur für Dokumente, auf die Zugriff gewährt wurde.
451 -)))
452 -|=(((
453 -Note
454 -)))|(((
455 -Notizen zu Dokumenten einsehen oder ändern
456 -)))|(((
457 -ALLE
458 -)))|(((
459 -ALLE
460 -)))|(((
461 -KEINE
462 -)))|(((
463 -Nur für Dokumente, auf die Zugriff gewährt wurde.
464 -)))
465 -|=(((
466 -MailAccount
467 -)))|(((
468 -Mail-Accounts verwalten
469 -)))|(((
470 -KEINE
471 -)))|(((
472 -Anzeigen
473 -)))|(((
474 -ALLE
475 -)))|(((
476 -
477 -)))
478 -|=(((
479 -MailRule
480 -)))|(((
481 -Verarbeitungsregeln für eingehende Mails bearbeiten
482 -)))|(((
483 -KEINE
484 -)))|(((
485 -ALLE
486 -)))|(((
487 -ALLE
488 -)))|(((
489 -
490 -)))
491 -|=(((
492 -User
493 -)))|(((
494 -Benutzer einsehen oder verwalten
495 -)))|(((
496 -KEINE
497 -)))|(((
498 -Anzeigen
499 -)))|(((
500 -ALLE
501 -)))|(((
502 -
503 -)))
504 -|=(((
505 -Group
506 -)))|(((
507 -Gruppen einsehen oder verwalten
508 -)))|(((
509 -KEINE
510 -)))|(((
511 -Anzeigen
512 -)))|(((
513 -ALLE
514 -)))|(((
515 -
516 -)))
517 -|=(((
518 -ShareLink
519 -)))|(((
520 -Öffentliche Share-Links erstellen oder verwalten
521 -)))|(((
522 -KEINE
523 -)))|(((
524 -KEINE
525 -)))|(((
526 -KEINE
527 -)))|(((
528 -
529 -)))
530 -|=(((
531 -CustomField
532 -)))|(((
533 -Custom Fields einsehen oder verwalten
534 -)))|(((
535 -Anzeigen
536 -)))|(((
537 -Anzeigen
538 -)))|(((
539 -ALLE
540 -)))|(((
541 -
542 -)))
543 -|=(((
544 -Workflow
545 -)))|(((
546 -Workflows für neue Dokumente einsehen oder verwalten
547 -)))|(((
548 -KEINE
549 -)))|(((
550 -KEINE
551 -)))|(((
552 -ALLE
553 -)))|(((
554 -
555 -)))
556 -
557 -=== Objekt-Berechtigungen ===
558 -
559 -Zusätzlich zu den globalen Berechtigungen können für alle Objekte noch Berechtigungen auf Objekt-Level konfiguriert werden. Dabei werden globale Regeln zuerst geprüft, danach zusätzlich die Objekt-Berechtigungen. Jedes Objekt (egal ob Dokument, Korrespondent, Tag, Dokumenten-Typ) hat zwei wichtige Einstellungen:
560 -
561 -* Owner / Eigentümer: Das Objekt gehört diesem Benutzer. Der Owner hat immer alle Berechtigungen für das Objekt
562 -* Zusätzliche Berechtigungen:
563 -** Es können getrennt voneinander Berechtigungen zum Anzeigen und Bearbeiten vergeben werden
564 -** Diese Berechtigungen können jeweils für einzelne Benutzer oder für Gruppen gewährt werden
565 -
566 -Das sieht im Frontend beispielsweise so aus:
567 -
568 -[[image:image-2025-8-25_10-19-25.png||height="250"]]
569 -
570 -{{info}}
571 -**Berechtigungen**
572 -
573 -Es sind grundsätzlich sowohl globale als auch objekt-spezifische Berechtigungen notwendig. Wenn ein Benutzer ein Objekt bearbeiten ansehen oder bearbeiten möchte ergibt sich daher die folgende Matrix:
574 -{{/info}}
575 -
576 -|=(((
577 -Globale Berechtigung
578 -)))|=(((
579 -Owner
580 -)))|=(((
581 -Objekt-Berechtigung
582 -)))|=(((
583 -Ergebnis
584 -)))
585 -|(((
586 -❌️
587 -)))|(((
588 -Egal
589 -)))|(((
590 -Egal
591 -)))|(((
592 -❌️
593 -)))
594 -|(((
595 -✅️
596 -)))|(((
597 -✅️
598 -)))|(((
599 -Egal
600 -)))|(((
601 -✅️
602 -)))
603 -|(((
604 -✅️
605 -)))|(((
606 -❌️
607 -)))|(((
608 -❌️
609 -)))|(((
610 -❌️
611 -)))
612 -|(((
613 -✅️
614 -)))|(((
615 -❌️
616 -)))|(((
617 -✅️
618 -)))|(((
619 -✅️
620 -)))
621 -
622 -Mit anderen Worten, um eine Aktion auszuführen, muss ein Benutzer (a) die globale Berechtigung haben **UND** (b) Owner sein **ODER** Objekt-Berechtigungen haben.
623 -
624 -=== Lokale Owner ===
625 -
626 -Jedes Objekt in Paperless muss einen Owner haben. Damit der Owner nicht ein realer Benutzer ist, der gegebenenfalls den Vorstand / Mitgliederverwaltung oder Verein verlassen könnte, werden lokale Benutzer angelegt. Diese halten lediglich die Owner Rolle für die Ressourcen, können aber nicht für den Login verwendet werden.
627 -
628 -|=(((
629 -Benutzer
630 -)))|=(((
631 -Verwendet für
632 -)))
633 -|=(((
634 -mksp-mv-owner
635 -)))|(((
636 -Alle Objekte (Dokumente, Dokumenttypen, Tags, Korrespondenten und Speicherpfade), die dem Use-Case **Mitgliederverwaltung** zugewiesen sind
637 -)))
638 -|=(((
639 -mksp-vs-owner
640 -)))|(((
641 -Alle Objekte (Dokumente, Dokumenttypen, Tags, Korrespondenten und Speicherpfade), die dem Use-Case **Vorstandspost** zugewiesen sind
642 -)))
643 -
644 -=== Standard-Objekt-Berechtigungen ===
645 -
646 -Basierend auf den hier beschrieben Regeln werden für Objekte die folgenden Berechtigungen gesetzt:
647 -
648 -|=(% rowspan="2" %)(((
649 -Objekt
650 -
651 -)))|=(% colspan="3" %)(((
652 -Mitgliederverwaltung
653 -)))|=(% rowspan="7" %)(((
654 -
655 -)))|=(% colspan="3" %)(((
656 -Vorstandspost
657 -)))
658 -|=(((
659 -Owner
660 -)))|=(((
661 -Anzeigen
662 -)))|=(((
663 -Bearbeiten
664 -)))|=(((
665 -Owner
666 -)))|=(((
667 -Anzeigen
668 -)))|=(((
669 -Bearbeiten
670 -)))
671 -|=(((
672 -Dokument
673 -)))|(((
674 -mksp-mv-owner
675 -)))|(((
676 -Mitgliederverwaltung
677 -)))|(((
678 -Mitgliederverwaltung
679 -)))|(((
680 -mksp-vs-owner
681 -)))|(((
682 -Vorstand
683 -)))|(((
684 -Vorstand
685 -)))
686 -|=(((
687 -Dokumenttyp
688 -)))|(((
689 -mksp-mv-owner
690 -)))|(((
691 -Mitgliederverwaltung, IT Admin
692 -)))|(((
693 -IT Admin
694 -)))|(((
695 -mksp-vs-owner
696 -)))|(((
697 -Vorstand
698 -)))|(((
699 -Vorstand
700 -)))
701 -|=(((
702 -Tag
703 -)))|(((
704 -mksp-mv-owner
705 -)))|(((
706 -Mitgliederverwaltung, IT Admin
707 -)))|(((
708 -IT Admin
709 -)))|(((
710 -mksp-vs-owner
711 -)))|(((
712 -Vorstand
713 -)))|(((
714 -Vorstand
715 -)))
716 -|=(((
717 -Korrespondent
718 -)))|(((
719 -mksp-mv-owner
720 -)))|(((
721 -Mitgliederverwaltung, IT Admin
722 -)))|(((
723 -IT Admin
724 -)))|(((
725 -mksp-vs-owner
726 -)))|(((
727 -Vorstand
728 -)))|(((
729 -Vorstand
730 -)))
731 -|=(((
732 -Speicherpfad
733 -)))|(((
734 -mksp-mv-owner
735 -)))|(((
736 -Mitgliederverwaltung, IT Admin
737 -)))|(((
738 -IT Admin
739 -)))|(((
740 -mksp-vs-owner
741 -)))|(((
742 -Vorstand
743 -)))|(((
744 -IT Admin
745 -)))
746 -
747 -== Workflows ==
748 -
749 -Paperless Workflows können zur Automatisierung verschiedener Tasks eingesetzt werden. In diesem Fall werden zwei Fälle damit abgedeckt:
750 -
751 -* Beim Hinzufügen der Dokumente via Webinterface **wird standardmäßig der angemeldete Nutzer als Owner des Dokuments festgelegt**. Damit haben andere Mitglieder der gleichen Gruppe (Beispielsweise Vorstand oder Mitgliederverwaltung) kein Zugriff auf die so hinzugefügten Dokumente. Aus diesem Grund setzt einer der Workflow die entsprechend notwendigen Berechtigungen.
752 -* Einscannen von Dokumenten soll sowohl für die Mitgliederverwaltung als auch für den Vorstand möglich sein und der richtigen Gruppe zugeordnet werden. Wir haben dafür zwei unterschiedliche Ordner aus dem NAS angelegt. Der Dokumentenscanner kann Dokumente in einen der beiden Ordner legen, wir nutzen Workflows um auch hier die richtigen Berechtigungen zu setzen.
Icon Screenshot 2026-02-22 at 11.36.43.png
Author
... ... @@ -1,1 +1,0 @@
1 -XWiki.dherrman
Größe
... ... @@ -1,1 +1,0 @@
1 -217.5 KB
Inhalt Icon