Zum Inhalt springen

Wiki-Quellcode von Paperless NGX

Version 15.1 von Daniel Herrmann am 2025/10/24 20:21
Verstecke letzte Bearbeiter
Daniel Herrmann 1.1 1 Das Herzstück der digitalen Mitgliederakte bildet Paperless NGX. Es wird im Makerspace lokal betrieben und ist daher nur aus dem Netzwerk des Makerspaces oder [[per VPN>>path:/bin/view/IN/IT%20Infrastruktur/IT%20im%20Makerspace/%5BHOWTO%5D%20Makerspace%20VPN/]] erreichbar. Der Zugang zu Paperless ist über OpenID Connect an [[Keycloak>>path:/bin/view/IN/IT%20Infrastruktur/Services/Keycloak/]] gekoppelt, Zugang besteht nur für Mitglieder der Gruppen **Vorstand** und **Mitgliederverwaltung**.
2
Daniel Herrmann 6.2 3 = Paperless Übersicht =
Daniel Herrmann 1.1 4
5 **Dokumente** sind die primären Ressourcen in Paperless. Ein Dokument kann über mehrere Wege in Paperless aufgenommen werden (der Prozess wird **Ingestion** genannt):
6
7 * **Per E-Mail**: es sind zwei Mail-Adressen eingerichtet, eingehende Anhänge werden automatisch von Paperless verarbeitet. Die QR Code Verarbeitung (siehe unten) findet hier ebenfalls Anwendung.
8 ** Die Mitgliederverwaltung: [[mitglieder-dokumente@makerspace-darmstadt.de>>mailto:mitglieder-dokumente@makerspace-darmstadt.de]]
9 ** Den Vorstand: [[vorstand-dokumente@makerspace-darmstadt.de>>mailto:vorstand-dokumente@makerspace-darmstadt.de]]
10 * **Per Ordner**: Auf unserem NAS gibt es einen speziellen Ordner, der in Paperless eingebunden ist. Alle Dokumente, die in diesen Ordner gelegt werden, werden automatisch von Paperless verarbeitet. Dieser Ordner wird hauptsächlich vom Dokumentenscanner verwendet, der die gescannten Dokumente ablegt. Dies ermöglicht einen einfachen Scan mit einem einfachen Button, die Dokumente werden dann automatisch in Paperless erkannt
11 * **Per Weboberfläche**: Es ist ebenfalls möglich, Dokumente manuell über die Weboberfläche hinzuzufügen.
Daniel Herrmann 2.1 12
13 Die folgenden Grafik gibt eine Übersicht:
14
Daniel Herrmann 5.1 15 {{diagram reference="PROJ.Digitale Mitgliederverwaltung.Paperless NGX.Diagram" cached="false"/}}
Daniel Herrmann 2.1 16
Daniel Herrmann 6.2 17 Der Scanner ist so eingerichtet, dass nur zwei Buttons auf dem Display sichtbar sind:
18
19 * **SCAN Vorstand** - Platziert das Dokument in dem Consumption Ordner für den Vorstand, Rechte und Tags werden dann automatisch gesetzt
20 * **SCAN MV** - Platziert das Dokument in dem Consumption Ordner für die Mitgliederverwaltung, Rechte und Tags werden dann automatisch gesetzt
21
22 = Metadaten =
23
24 Jedem Dokument werden dann Meta-Daten zugeordnet, die eine spätere Suche und Zuordnung erleichtern. Diese Meta-Daten sind:
25
26 * **Korrespondent**: Im Prinzip der "Gesprächspartner", beispielsweise der Absender eines Briefs. Im Falle der Mitgliederverwaltung wird für jedes Mitglied und jeden registrierten Gast automatisch im Hintergrund ein Korrespondent angelegt. Die Korrespondenten heißen:
27 ** Für **Mitglieder**: //Vorname Nachname (#Mitgliedsnummer)//, also beispielsweise "//Daniel Herrmann (#250)//"
28 ** Für **Gäste**: //Vorname Nachname (GEindeutigeNummer)//, also beispielsweise "//Max Mustermann (G1244)//"
29 ** Bei **Vereinseintritt** und **Vereinsaustritt** werden die Korrespondenten automatisch umbenannt, auch Namensänderungen werden automatisch verarbeitet.
30 * **Tags**: Einem Dokument können beliebig viele Tags zugewiesen werden. **Tags** dienen der einfacheren **Zuordnung** und dem **Wiederfinden** von Dokumenten. Es gibt allerdings auch spezielle Tags für Dokumente die eingelesen aber noch nicht bearbeitet wurden, so genannte "Inbox Tags":
31 ** **Inbox Mitgliederverwaltung** - Alle **Dokumente** die **per Mail oder per Ordner** für die **Gruppe Mitgliederverwaltung** aufgenommen wurden und **nicht automatisch zugeordnet** werden konnten.
32 ** **Inbox Vorstand** - Alle **Dokumente** die **per Mail oder per Ordner** für die **Gruppe Vorstand** aufgenommen wurden und **nicht automatisch zugeordnet** werden konnten.
33 * **Dokumenten-Typen**: Einem Dokument wird exakt ein Typ zugewiesen. Dokumenten Typen sind im Prinzip einfache Gruppen. Für die Mitgliederverwaltung sind die Gruppen gemäß der folgenden Liste festgelegt, können aber natürlich bei Bedarf erweitert werden.
34 ** Mitgliedsantrag
35 ** SEPA Lastschriftmandat
36 ** Studienbescheinigung
37 ** Bestätigung Schlüsselausgabe
38 ** Verpflichtungserklärung Datenschutz
39 ** Übungsleitervertrag
40 ** Nutzungsvereinbarung Schulungsinhalte
41 ** Bestellung als Einweiser:in
42 ** Haftungsausschluss
43 ** Einweisungszettel
44 ** Lagervertrag Kistenlager
45 ** Lagervertrag Projektlager
46 * (((
47 **Storage Path**: Speicherpfade sind ein fortgeschrittenes Feature, welches kontrolliert, wie die Dateien im unterliegenden Dateisystem gespeichert werden. In der Regel arbeitet man nicht direkt mit den Dateien, aber wenn man aus lange Sicht mal aus Paperless NGX weg ziehen möchte kann es sinnvoll sein, die Dokumente in einer Struktur zu speichern, die man theoretisch auch manuell durchsuchen könnte. Details finden sich in der [[Dokumentation von Paperless zu File Name Handling>>url:https://docs.paperless-ngx.com/advanced_usage/#file-name-handling]].
48 )))
49
Daniel Herrmann 7.1 50 >Paperless checks the filename of a document whenever it is saved. Changing (or deleting) a [[storage path>>url:https://docs.paperless-ngx.com/advanced_usage/#storage-paths]] will automatically be reflected in the file system. However, when changing PAPERLESS_FILENAME_FORMAT you will need to manually run the [[document renamer>>url:https://docs.paperless-ngx.com/administration/#renamer]] to move any existing documents.
Daniel Herrmann 6.2 51
Daniel Herrmann 7.1 52 In unserem Fall kommen die folgenden Speicherpfade zum Einsatz:
Daniel Herrmann 6.2 53
Daniel Herrmann 7.2 54 |=Name|=Definition|=Sichtbar für|=Anwendung
55 |Mitglieder Einweisungszettel|~{~{ correspondent }}/Einweisungen/~{~{ document_type }}-~{~{ tag_list }}-~{~{ created }}-~{~{ doc_pk }}|Mitgliederverwaltung|Einweisungszettel
Daniel Herrmann 8.1 56 |Mitglieder Unterlagen|~{~{ correspondent }}/~{~{ document_type }}-~{~{ created }}-~{~{ doc_pk }}|Mitgliederverwaltung|Alle anderen Mitgliederdokumente
57 |Vorstand Dokumente|~{~{ created_year }}/~{~{ correspondent }}/~{~{ title }}|Vorstand|Alle Vorstandsdokumente
Daniel Herrmann 6.2 58
Daniel Herrmann 8.1 59 == Automatische Zuordnung von Metadaten ==
60
61 Paperless unterstützt die automatische Zuordnung von Metadaten basierend auf festen Strings. So kann man beispielsweise angeben, dass ein Dokumententyp "Haftungsausschluss" zugewiesen werden soll, wenn der String "Haftungsausschluss" irgendwo im Dokument vorkommt. Dies ist allerdings auf eine korrekte Funktion der Texterkennung angewiesen und funktioniert erfahrungsgemäß nur in manchen Fällen, sodass mindestens eine manuelle Überprüfung trotzdem notwendig kommt. Wenn beispielsweise ein Brief mit dem Satz "ich dachte, ich hätte den Haftungsausschluss bereits abgegeben, könntet ihr dies bitte prüfen" erfasst wird, würde der basierend auf der Regel ebenfalls kategorisiert werden.
62
63 **Aus diesem Grund wird auf jedes Dokument einen spezieller QR Code aufgedruckt**. Der QR code wird vom Post-Consume Script verwendet um die Metadaten in Paperless zuzuordnen. Weiterhin können Daten übermittelt werden, die dann mittels Webhook an N8n übermittelt werden und dort im Workflow verwendet werden können. Der Aufbau orientiert sich an dem Aufbau eines **JSON Web Tokens (JWT).**
64
65
Daniel Herrmann 9.2 66 === Barcode erzeugen ===
67
68 Der Prozess zur Erzeugung eines QR Codes ist wie folgt:
69
70 * **Payload (Daten) festlegen**. Einige Werte sind verpflichtend, andere können nach Bedarf optional hinzugefügt werden.
71 * JWT erzeugen und signieren. der JWT besteht aus drei Teilen:
72 ** **Header**: **alg** (Algorithmus) und **typ** (JWT) sind verpflichtend. Zusätzlich fügen wir einen Timestamp, eine eindeutige ID und eine Gültigkeitsdauer hinzu.
73 ** **Body**: beinhaltet die eigentlichen Daten.
74 ** **Signature**: Mit Hilfe eines Secrets und wird die Signatur erzeugt und automatisch angehängt.
75 * PDF417 code erzeugen: ein JWT ist per Definition URL safe und kann daher einfach in ein QR code umgewandelt werden.
76
77 === Header ===
78
79 Der Header enthält wichtige Meta-Daten, diese werden von der JWT Library automatisch erzeugt und beschreiben in der Regel den verwendeten Key-Typ.
80
81 === Body ===
82
83 Die folgenden Claims sind im Body verfügbar.
84
85 |=(((
86 Claim
87 )))|=(((
88 Type
89 )))|=(((
90 Pflicht
91 )))|=(((
92 Beschreibung
93 )))
94 |(((
95 id
96 )))|(((
97 UUID4
98 )))|(((
99 ✅️
100 )))|(((
101 Eindeutige ID dieses Dokuments
102 )))
103 |(((
104 time
105 )))|(((
106 Zahl
107 )))|(((
108 ✅️
109 )))|(((
110 UTC Linux-Timestamp an dem das Dokument und der QR Code erzeugt wurden
111 )))
112 |(((
113 exp
114 )))|(((
115 Zahl
116 )))|(((
117 ✅️
118 )))|(((
119 UTC Linux-Timestamp der angibt, bis wann das Dokument gültig ist.
120 )))
121 |(((
122 typ
123 )))|(((
124 String
125 )))|(((
126 ✅️
127 )))|(((
128 Typ des Dokuments basierend auf der unten definierten Liste.
129 )))
130 |mode|String|✅️ |Kann entweder "digital" oder "manual" sein und bestimmt, ob N8n den unterschriebenen Vertrag ans Backend meldet.
131 |(((
132 cor
133 )))|(((
134 String
135 )))|(((
136 ❌️
137 )))|(((
138 Optional: Name des Korrespondenten, dem das Dokument zugeordnet werden soll
139 )))
140 |(((
141 tags
142 )))|(((
143 List[String]
144 )))|(((
145 ❌️
146 )))|(((
147 Liste an Tags, die dem Dokument zugeordnet werden soll
148 )))
149 |(((
150 spth
151 )))|(((
152 String
153 )))|(((
154 ❌️
155 )))|(((
156 Storage Path, das dem Dokument zugeordnet werden soll
157 )))
158 |(((
159 opt
160 )))|(((
161 dict
162 )))|(((
163 ❌️
164 )))|(((
165 Optionale Attribute, die mit eincodiert werden und dem N8n Workflow übergeben werden.
166 )))
167
168 === Footer ===
169
170 Der Footer wird automatisch erzeugt und erhält eine Signatur über den Header und den Body, basierend auf einem Algorithmus und einer Signatur.
171
172 {{success}}
173 **Algorithmus**
174
175
176 Von den meisten Libraries werden symmetrische und asymmetrische Signaturen unterstützt. Die Verwendung eines symmetrischen Algorithmus ist für uns einfacher.
177
178 Für diesen Anwendungsfall nutzen wir **HS256** (HMAC mit SHA-256 Algorithmus).
179 {{/success}}
180
181 === Auswahl der Library ===
182
183 Die Implementierung für die Erzeugung und das Validieren erfolgt in Python. Dies hat den Hintergrund, dass sowohl unser Backend als auch Paperless NGX (und damit das Post-Consumption Script) in Python implementiert ist. Es gibt verschiedene Libraries, die betrachtet wurden:
184
185 |=(((
186 Name
187 )))|=(((
188 CVE
189 )))|=(((
190 Github
191 )))|=(((
192 GH⭐
193 )))|=(((
194 Letztes Release
195 )))|=(((
196 Offene Issues
197 )))|=(((
198 Dokumentation
199 )))|=(((
200 Qualität Dokumentation
201 )))|=(((
202 In Backend vorhanden?
203 )))|=(((
204 In Paperless vorhanden?
205 )))
206 |(((
207 python-jose
208 )))|(((
209 3/0
210 )))|(((
211 [[https:~~/~~/github.com/mpdavis/python-jose>>url:https://github.com/mpdavis/python-jose]]
212 )))|(((
213 1.7k
214 )))|(((
215 28.05.2025
216 )))|(((
217 83
218 )))|(((
219 [[https:~~/~~/python-jose.readthedocs.io/en/latest/>>url:https://python-jose.readthedocs.io/en/latest/]]
220 )))|(((
221 ⛔ Wenige Bespiele, API Dokumentation fehlt komplett
222 )))|(((
223 ❌️
224 )))|(((
225 ❌️
226 )))
227 |(((
228 pyJWT
229 )))|(((
230 4/0
231 )))|(((
232 [[https:~~/~~/github.com/jpadilla/pyjwt>>url:https://github.com/jpadilla/pyjwt]]
233 )))|(((
234 5.4k
235 )))|(((
236 28.11.2024
237 )))|(((
238 30
239 )))|(((
240 [[https:~~/~~/pyjwt.readthedocs.io>>url:https://pyjwt.readthedocs.io]]
241 )))|(((
242 ➕️ Gute Dokumentation, API, Beispiele, Changelog
243 )))|(((
244 ✅️ 2.10.1
245 Dep von firebase
246 )))|(((
247 ✅️ 2.10.1
248 )))
249 |(((
250 JWCrypto
251 )))|(((
252 5/0
253 )))|(((
254 [[https:~~/~~/github.com/latchset/jwcrypto>>url:https://github.com/latchset/jwcrypto]]
255 )))|(((
256 465
257 )))|(((
258 06.03.2024
259 )))|(((
260 8
261 )))|(((
262 [[https:~~/~~/jwcrypto.readthedocs.io>>url:https://jwcrypto.readthedocs.io]]
263 )))|(((
264 ➕️ API Doc, einige Beispiele
265 )))|(((
266 ✅️ 1.5.6
267 Dep von python-keycloak
268 )))|(((
269 ❌️
270 )))
271
272 Unsere bevorzugte Library ist **pyjwt**. Diese ist auch in **paperless nativ vorhanden**, sodass wir uns für die Implementierung mittels **pyjwt** entschieden haben.
273
274 === PDF417 Code ===
275
276 Als Format für den Code wurde PDF417 ausgewählt, da dieser mehr Platz und Fehlerkorrektur bietet. Weiterhin gibt es eine einfach zu nutzende Library für Python (Erzeugung) und PDF417 wird von ZXING unterstützt, welches in Paperless eingebettet ist. Ein solcher Barcode sieht beispielsweise so aus:
277
278
Daniel Herrmann 15.1 279 [[image:barcode.jpg||height="250"]]
Daniel Herrmann 9.2 280
281 Daraus kann dann eine Base64 basierte Repräsentation berechnet werden, die einfach in Docuseal hochgeladen werden kann.
282
283 === Referenz-Implementierung ===
284
285 Eine Referenz-Implementierung befindet sich im Makerspace Gitlab: [[https:~~/~~/git.makerspace-darmstadt.de/makerspace-it-infrastructure/mitgliederverwaltung/paperless-pdf417-reference>>url:https://git.makerspace-darmstadt.de/makerspace-it-infrastructure/mitgliederverwaltung/paperless-pdf417-reference]]
286
287 === Post Consumption Script ===
288
289 Die eigentliche Zuordnung der Meta-Daten erfolgt über ein so genanntes Post Consumption Script. Dieses befindet sich ebenfalls im Makerspace Gitlab: [[https:~~/~~/git.makerspace-darmstadt.de/makerspace-it-infrastructure/mitgliederverwaltung/paperless-post-consumption-script#>>url:https://git.makerspace-darmstadt.de/makerspace-it-infrastructure/mitgliederverwaltung/paperless-post-consumption-script]]
290
Daniel Herrmann 15.1 291 == Paperless Berechtigungen ==
Daniel Herrmann 9.2 292
Daniel Herrmann 15.1 293 Paperless NGX hat ein Berechtigungssystem, welches sich über fast alle Ressourcen erstreckt. Grundsätzlich gibt es **Benutzer** und **Gruppen**. Berechtigungen können dann global vergeben werden (Sichtbarkeit von Features) und zusätzlich auf Objektebene vergeben werden.
294
295 === Benutzer und Gruppen ===
296
297 Paperless NGX ist so konfiguriert, dass sich Benutzer mit ihrem zentralen Makerspace Login anmelden können (OIDC über Keycloak). Eine Anmeldung mit lokalen Zugangsdaten ist nicht möglich. Bei der Anmeldung werden ebenfalls die Gruppen aus Keycloak übernommen, aber nur die folgenden:
298
299 * **Vorstand**: Für die Mitglieder des Vorstands
300 * **Mitgliederverwaltung**: Alle Personen, die mit der Verwaltung der Mitglieder betraut sind
301 * **IT Admin**: IT Administratoren im Makerspace
302
303 Nutzer, die keine dieser Gruppen angehören haben keine Rechte in Paperless. Sie können sich zwar anmelden, aber selbst die Willkommens-Seite erzeugt eine "Permission Denied" Fehlermeldung.
304
305 === Globale Berechtigungen ===
306
307 Berechtigungen werden grundsätzlich nicht auf Benutzerebene konfiguriert, sondern ausschließlich auf Gruppenebene. So wird sichergestellt, dass bei der Änderung einer Gruppenzugehörigkeit auch die damit verbundenen Rechte entzogen oder gewährt werden, ohne dass eine manuelle Änderung notwendig ist. Die folgende Tabelle gibt eine Übersicht der konfigurierten globalen Berechtigungen pro Gruppe:
308
309 |=(((
310 Berechtigung
311 )))|=(((
312 Beschreibung
313 )))|=(((
314 Mitgliederverwaltung
315 )))|=(((
316 Vorstand
317 )))|=(((
318 IT Admin
319 )))|=(((
320 Notiz
321 )))
322 |=(((
323 Document
324 )))|(((
325 Sehen und bearbeiten von Dokumenten.
326 )))|(((
327 ALLE
328 )))|(((
329 ALLE
330 )))|(((
331 KEINE
332 )))|(((
333 Wird zusätzlich durch Berechtigungen auf Objekt-Level eingeschränkt
334 )))
335 |=(((
336 Tag
337 )))|(((
338 Sehen und bearbeiten von Tags.
339 )))|(((
340 Anzeigen
341 )))|(((
342 ALLE
343 )))|(((
344 ALLE
345 )))|(((
346 Wird zusätzlich durch Berechtigungen auf Objekt-Level eingeschränkt
347 )))
348 |=(((
349 Correspondent
350 )))|(((
351 Sehen und bearbeiten von Korrespondenten
352 )))|(((
353 Anzeigen
354 )))|(((
355 ALLE
356 )))|(((
357 ALLE
358 )))|(((
359 Wird zusätzlich durch Berechtigungen auf Objekt-Level eingeschränkt
360 )))
361 |=(((
362 DocumentType
363 )))|(((
364 Sehen und bearbeiten von Dokument-Typen
365 )))|(((
366 Anzeigen
367 )))|(((
368 ALLE
369 )))|(((
370 ALLE
371 )))|(((
372 Wird zusätzlich durch Berechtigungen auf Objekt-Level eingeschränkt
373 )))
374 |=(((
375 StoragePath
376 )))|(((
377 Sehen und bearbeiten von Speicherpfaden
378 )))|(((
379 Anzeigen
380 )))|(((
381 Anzeigen
382 )))|(((
383 ALLE
384 )))|(((
385 Wird zusätzlich durch Berechtigungen auf Objekt-Level eingeschränkt
386 )))
387 |=(((
388 SavedView
389 )))|(((
390 Ansichten erzeugen und speichern
391 )))|(((
392 ALLE
393 )))|(((
394 ALLE
395 )))|(((
396 KEINE
397 )))|(((
398
399 )))
400 |=(((
401 PaperlessTask
402 )))|(((
403 Dateiaufgaben einsehen und löschen
404 )))|(((
405 KEINE
406 )))|(((
407 KEINE
408 )))|(((
409 ALLE
410 )))|(((
411
412 )))
413 |=(((
414 AppConfig
415 )))|(((
416 Konfiguration von Paperless NGX selbst
417 )))|(((
418 KEINE
419 )))|(((
420 KEINE
421 )))|(((
422 ALLE
423 )))|(((
424
425 )))
426 |=(((
427 UISettings
428 )))|(((
429 Persönliche Anzeigeeinstellungen ändern
430 )))|(((
431 ALLE
432 )))|(((
433 ALLE
434 )))|(((
435 ALLE
436 )))|(((
437
438 )))
439 |=(((
440 History
441 )))|(((
442 Dokumenten-Audit Log anzeigen oder ändern
443 )))|(((
444 Anzeigen
445 )))|(((
446 Anzeigen
447 )))|(((
448 KEINE
449 )))|(((
450 Nur für Dokumente, auf die Zugriff gewährt wurde.
451 )))
452 |=(((
453 Note
454 )))|(((
455 Notizen zu Dokumenten einsehen oder ändern
456 )))|(((
457 ALLE
458 )))|(((
459 ALLE
460 )))|(((
461 KEINE
462 )))|(((
463 Nur für Dokumente, auf die Zugriff gewährt wurde.
464 )))
465 |=(((
466 MailAccount
467 )))|(((
468 Mail-Accounts verwalten
469 )))|(((
470 KEINE
471 )))|(((
472 Anzeigen
473 )))|(((
474 ALLE
475 )))|(((
476
477 )))
478 |=(((
479 MailRule
480 )))|(((
481 Verarbeitungsregeln für eingehende Mails bearbeiten
482 )))|(((
483 KEINE
484 )))|(((
485 ALLE
486 )))|(((
487 ALLE
488 )))|(((
489
490 )))
491 |=(((
492 User
493 )))|(((
494 Benutzer einsehen oder verwalten
495 )))|(((
496 KEINE
497 )))|(((
498 Anzeigen
499 )))|(((
500 ALLE
501 )))|(((
502
503 )))
504 |=(((
505 Group
506 )))|(((
507 Gruppen einsehen oder verwalten
508 )))|(((
509 KEINE
510 )))|(((
511 Anzeigen
512 )))|(((
513 ALLE
514 )))|(((
515
516 )))
517 |=(((
518 ShareLink
519 )))|(((
520 Öffentliche Share-Links erstellen oder verwalten
521 )))|(((
522 KEINE
523 )))|(((
524 KEINE
525 )))|(((
526 KEINE
527 )))|(((
528
529 )))
530 |=(((
531 CustomField
532 )))|(((
533 Custom Fields einsehen oder verwalten
534 )))|(((
535 Anzeigen
536 )))|(((
537 Anzeigen
538 )))|(((
539 ALLE
540 )))|(((
541
542 )))
543 |=(((
544 Workflow
545 )))|(((
546 Workflows für neue Dokumente einsehen oder verwalten
547 )))|(((
548 KEINE
549 )))|(((
550 KEINE
551 )))|(((
552 ALLE
553 )))|(((
554
555 )))
556
557 === Objekt-Berechtigungen ===
558
559 Zusätzlich zu den globalen Berechtigungen können für alle Objekte noch Berechtigungen auf Objekt-Level konfiguriert werden. Dabei werden globale Regeln zuerst geprüft, danach zusätzlich die Objekt-Berechtigungen. Jedes Objekt (egal ob Dokument, Korrespondent, Tag, Dokumenten-Typ) hat zwei wichtige Einstellungen:
560
561 * Owner / Eigentümer: Das Objekt gehört diesem Benutzer. Der Owner hat immer alle Berechtigungen für das Objekt
562 * Zusätzliche Berechtigungen:
563 ** Es können getrennt voneinander Berechtigungen zum Anzeigen und Bearbeiten vergeben werden
564 ** Diese Berechtigungen können jeweils für einzelne Benutzer oder für Gruppen gewährt werden
565
566 Das sieht im Frontend beispielsweise so aus:
567
568 [[image:image-2025-8-25_10-19-25.png||height="250"]]
569
570 {{info}}
571 **Berechtigungen**
572
573 Es sind grundsätzlich sowohl globale als auch objekt-spezifische Berechtigungen notwendig. Wenn ein Benutzer ein Objekt bearbeiten ansehen oder bearbeiten möchte ergibt sich daher die folgende Matrix:
574 {{/info}}
575
576 |=(((
577 Globale Berechtigung
578 )))|=(((
579 Owner
580 )))|=(((
581 Objekt-Berechtigung
582 )))|=(((
583 Ergebnis
584 )))
585 |(((
586 ❌️
587 )))|(((
588 Egal
589 )))|(((
590 Egal
591 )))|(((
592 ❌️
593 )))
594 |(((
595 ✅️
596 )))|(((
597 ✅️
598 )))|(((
599 Egal
600 )))|(((
601 ✅️
602 )))
603 |(((
604 ✅️
605 )))|(((
606 ❌️
607 )))|(((
608 ❌️
609 )))|(((
610 ❌️
611 )))
612 |(((
613 ✅️
614 )))|(((
615 ❌️
616 )))|(((
617 ✅️
618 )))|(((
619 ✅️
620 )))
621
622 Mit anderen Worten, um eine Aktion auszuführen, muss ein Benutzer (a) die globale Berechtigung haben **UND** (b) Owner sein **ODER** Objekt-Berechtigungen haben.
623
624 === Lokale Owner ===
625
626 Jedes Objekt in Paperless muss einen Owner haben. Damit der Owner nicht ein realer Benutzer ist, der gegebenenfalls den Vorstand / Mitgliederverwaltung oder Verein verlassen könnte, werden lokale Benutzer angelegt. Diese halten lediglich die Owner Rolle für die Ressourcen, können aber nicht für den Login verwendet werden.
627
628 |=(((
629 Benutzer
630 )))|=(((
631 Verwendet für
632 )))
633 |=(((
634 mksp-mv-owner
635 )))|(((
636 Alle Objekte (Dokumente, Dokumenttypen, Tags, Korrespondenten und Speicherpfade), die dem Use-Case **Mitgliederverwaltung** zugewiesen sind
637 )))
638 |=(((
639 mksp-vs-owner
640 )))|(((
641 Alle Objekte (Dokumente, Dokumenttypen, Tags, Korrespondenten und Speicherpfade), die dem Use-Case **Vorstandspost** zugewiesen sind
642 )))
643
644 === Standard-Objekt-Berechtigungen ===
645
646 Basierend auf den hier beschrieben Regeln werden für Objekte die folgenden Berechtigungen gesetzt:
647
648 |=(% rowspan="2" %)(((
649 Objekt
650
651 )))|=(% colspan="3" %)(((
652 Mitgliederverwaltung
653 )))|=(% rowspan="7" %)(((
654
655 )))|=(% colspan="3" %)(((
656 Vorstandspost
657 )))
658 |=(((
659 Owner
660 )))|=(((
661 Anzeigen
662 )))|=(((
663 Bearbeiten
664 )))|=(((
665 Owner
666 )))|=(((
667 Anzeigen
668 )))|=(((
669 Bearbeiten
670 )))
671 |=(((
672 Dokument
673 )))|(((
674 mksp-mv-owner
675 )))|(((
676 Mitgliederverwaltung
677 )))|(((
678 Mitgliederverwaltung
679 )))|(((
680 mksp-vs-owner
681 )))|(((
682 Vorstand
683 )))|(((
684 Vorstand
685 )))
686 |=(((
687 Dokumenttyp
688 )))|(((
689 mksp-mv-owner
690 )))|(((
691 Mitgliederverwaltung, IT Admin
692 )))|(((
693 IT Admin
694 )))|(((
695 mksp-vs-owner
696 )))|(((
697 Vorstand
698 )))|(((
699 Vorstand
700 )))
701 |=(((
702 Tag
703 )))|(((
704 mksp-mv-owner
705 )))|(((
706 Mitgliederverwaltung, IT Admin
707 )))|(((
708 IT Admin
709 )))|(((
710 mksp-vs-owner
711 )))|(((
712 Vorstand
713 )))|(((
714 Vorstand
715 )))
716 |=(((
717 Korrespondent
718 )))|(((
719 mksp-mv-owner
720 )))|(((
721 Mitgliederverwaltung, IT Admin
722 )))|(((
723 IT Admin
724 )))|(((
725 mksp-vs-owner
726 )))|(((
727 Vorstand
728 )))|(((
729 Vorstand
730 )))
731 |=(((
732 Speicherpfad
733 )))|(((
734 mksp-mv-owner
735 )))|(((
736 Mitgliederverwaltung, IT Admin
737 )))|(((
738 IT Admin
739 )))|(((
740 mksp-vs-owner
741 )))|(((
742 Vorstand
743 )))|(((
744 IT Admin
745 )))
746
747 == Workflows ==
748
749 Paperless Workflows können zur Automatisierung verschiedener Tasks eingesetzt werden. In diesem Fall werden zwei Fälle damit abgedeckt:
750
751 * Beim Hinzufügen der Dokumente via Webinterface **wird standardmäßig der angemeldete Nutzer als Owner des Dokuments festgelegt**. Damit haben andere Mitglieder der gleichen Gruppe (Beispielsweise Vorstand oder Mitgliederverwaltung) kein Zugriff auf die so hinzugefügten Dokumente. Aus diesem Grund setzt einer der Workflow die entsprechend notwendigen Berechtigungen.
752 * Einscannen von Dokumenten soll sowohl für die Mitgliederverwaltung als auch für den Vorstand möglich sein und der richtigen Gruppe zugeordnet werden. Wir haben dafür zwei unterschiedliche Ordner aus dem NAS angelegt. Der Dokumentenscanner kann Dokumente in einen der beiden Ordner legen, wir nutzen Workflows um auch hier die richtigen Berechtigungen zu setzen.