Zum Inhalt springen

Wiki-Quellcode von Paperless NGX

Version 15.2 von Daniel Herrmann am 2026/02/22 11:35
Verstecke letzte Bearbeiter
Daniel Herrmann 1.1 1 Das Herzstück der digitalen Mitgliederakte bildet Paperless NGX. Es wird im Makerspace lokal betrieben und ist daher nur aus dem Netzwerk des Makerspaces oder [[per VPN>>path:/bin/view/IN/IT%20Infrastruktur/IT%20im%20Makerspace/%5BHOWTO%5D%20Makerspace%20VPN/]] erreichbar. Der Zugang zu Paperless ist über OpenID Connect an [[Keycloak>>path:/bin/view/IN/IT%20Infrastruktur/Services/Keycloak/]] gekoppelt, Zugang besteht nur für Mitglieder der Gruppen **Vorstand** und **Mitgliederverwaltung**.
2
Daniel Herrmann 6.2 3 = Paperless Übersicht =
Daniel Herrmann 1.1 4
5 **Dokumente** sind die primären Ressourcen in Paperless. Ein Dokument kann über mehrere Wege in Paperless aufgenommen werden (der Prozess wird **Ingestion** genannt):
6
7 * **Per E-Mail**: es sind zwei Mail-Adressen eingerichtet, eingehende Anhänge werden automatisch von Paperless verarbeitet. Die QR Code Verarbeitung (siehe unten) findet hier ebenfalls Anwendung.
8 ** Die Mitgliederverwaltung: [[mitglieder-dokumente@makerspace-darmstadt.de>>mailto:mitglieder-dokumente@makerspace-darmstadt.de]]
9 ** Den Vorstand: [[vorstand-dokumente@makerspace-darmstadt.de>>mailto:vorstand-dokumente@makerspace-darmstadt.de]]
10 * **Per Ordner**: Auf unserem NAS gibt es einen speziellen Ordner, der in Paperless eingebunden ist. Alle Dokumente, die in diesen Ordner gelegt werden, werden automatisch von Paperless verarbeitet. Dieser Ordner wird hauptsächlich vom Dokumentenscanner verwendet, der die gescannten Dokumente ablegt. Dies ermöglicht einen einfachen Scan mit einem einfachen Button, die Dokumente werden dann automatisch in Paperless erkannt
11 * **Per Weboberfläche**: Es ist ebenfalls möglich, Dokumente manuell über die Weboberfläche hinzuzufügen.
Daniel Herrmann 2.1 12
13 Die folgenden Grafik gibt eine Übersicht:
14
Daniel Herrmann 5.1 15 {{diagram reference="PROJ.Digitale Mitgliederverwaltung.Paperless NGX.Diagram" cached="false"/}}
Daniel Herrmann 2.1 16
Daniel Herrmann 6.2 17 Der Scanner ist so eingerichtet, dass nur zwei Buttons auf dem Display sichtbar sind:
18
19 * **SCAN Vorstand** - Platziert das Dokument in dem Consumption Ordner für den Vorstand, Rechte und Tags werden dann automatisch gesetzt
20 * **SCAN MV** - Platziert das Dokument in dem Consumption Ordner für die Mitgliederverwaltung, Rechte und Tags werden dann automatisch gesetzt
21
22 = Metadaten =
23
24 Jedem Dokument werden dann Meta-Daten zugeordnet, die eine spätere Suche und Zuordnung erleichtern. Diese Meta-Daten sind:
25
26 * **Korrespondent**: Im Prinzip der "Gesprächspartner", beispielsweise der Absender eines Briefs. Im Falle der Mitgliederverwaltung wird für jedes Mitglied und jeden registrierten Gast automatisch im Hintergrund ein Korrespondent angelegt. Die Korrespondenten heißen:
27 ** Für **Mitglieder**: //Vorname Nachname (#Mitgliedsnummer)//, also beispielsweise "//Daniel Herrmann (#250)//"
28 ** Für **Gäste**: //Vorname Nachname (GEindeutigeNummer)//, also beispielsweise "//Max Mustermann (G1244)//"
29 ** Bei **Vereinseintritt** und **Vereinsaustritt** werden die Korrespondenten automatisch umbenannt, auch Namensänderungen werden automatisch verarbeitet.
30 * **Tags**: Einem Dokument können beliebig viele Tags zugewiesen werden. **Tags** dienen der einfacheren **Zuordnung** und dem **Wiederfinden** von Dokumenten. Es gibt allerdings auch spezielle Tags für Dokumente die eingelesen aber noch nicht bearbeitet wurden, so genannte "Inbox Tags":
31 ** **Inbox Mitgliederverwaltung** - Alle **Dokumente** die **per Mail oder per Ordner** für die **Gruppe Mitgliederverwaltung** aufgenommen wurden und **nicht automatisch zugeordnet** werden konnten.
32 ** **Inbox Vorstand** - Alle **Dokumente** die **per Mail oder per Ordner** für die **Gruppe Vorstand** aufgenommen wurden und **nicht automatisch zugeordnet** werden konnten.
33 * **Dokumenten-Typen**: Einem Dokument wird exakt ein Typ zugewiesen. Dokumenten Typen sind im Prinzip einfache Gruppen. Für die Mitgliederverwaltung sind die Gruppen gemäß der folgenden Liste festgelegt, können aber natürlich bei Bedarf erweitert werden.
34 ** Mitgliedsantrag
35 ** SEPA Lastschriftmandat
36 ** Studienbescheinigung
37 ** Bestätigung Schlüsselausgabe
38 ** Verpflichtungserklärung Datenschutz
39 ** Übungsleitervertrag
40 ** Nutzungsvereinbarung Schulungsinhalte
41 ** Bestellung als Einweiser:in
42 ** Haftungsausschluss
43 ** Einweisungszettel
44 ** Lagervertrag Kistenlager
45 ** Lagervertrag Projektlager
46 * (((
47 **Storage Path**: Speicherpfade sind ein fortgeschrittenes Feature, welches kontrolliert, wie die Dateien im unterliegenden Dateisystem gespeichert werden. In der Regel arbeitet man nicht direkt mit den Dateien, aber wenn man aus lange Sicht mal aus Paperless NGX weg ziehen möchte kann es sinnvoll sein, die Dokumente in einer Struktur zu speichern, die man theoretisch auch manuell durchsuchen könnte. Details finden sich in der [[Dokumentation von Paperless zu File Name Handling>>url:https://docs.paperless-ngx.com/advanced_usage/#file-name-handling]].
48 )))
49
Daniel Herrmann 7.1 50 >Paperless checks the filename of a document whenever it is saved. Changing (or deleting) a [[storage path>>url:https://docs.paperless-ngx.com/advanced_usage/#storage-paths]] will automatically be reflected in the file system. However, when changing PAPERLESS_FILENAME_FORMAT you will need to manually run the [[document renamer>>url:https://docs.paperless-ngx.com/administration/#renamer]] to move any existing documents.
Daniel Herrmann 6.2 51
Daniel Herrmann 7.1 52 In unserem Fall kommen die folgenden Speicherpfade zum Einsatz:
Daniel Herrmann 6.2 53
Daniel Herrmann 7.2 54 |=Name|=Definition|=Sichtbar für|=Anwendung
55 |Mitglieder Einweisungszettel|~{~{ correspondent }}/Einweisungen/~{~{ document_type }}-~{~{ tag_list }}-~{~{ created }}-~{~{ doc_pk }}|Mitgliederverwaltung|Einweisungszettel
Daniel Herrmann 8.1 56 |Mitglieder Unterlagen|~{~{ correspondent }}/~{~{ document_type }}-~{~{ created }}-~{~{ doc_pk }}|Mitgliederverwaltung|Alle anderen Mitgliederdokumente
57 |Vorstand Dokumente|~{~{ created_year }}/~{~{ correspondent }}/~{~{ title }}|Vorstand|Alle Vorstandsdokumente
Daniel Herrmann 6.2 58
Daniel Herrmann 8.1 59 == Automatische Zuordnung von Metadaten ==
60
61 Paperless unterstützt die automatische Zuordnung von Metadaten basierend auf festen Strings. So kann man beispielsweise angeben, dass ein Dokumententyp "Haftungsausschluss" zugewiesen werden soll, wenn der String "Haftungsausschluss" irgendwo im Dokument vorkommt. Dies ist allerdings auf eine korrekte Funktion der Texterkennung angewiesen und funktioniert erfahrungsgemäß nur in manchen Fällen, sodass mindestens eine manuelle Überprüfung trotzdem notwendig kommt. Wenn beispielsweise ein Brief mit dem Satz "ich dachte, ich hätte den Haftungsausschluss bereits abgegeben, könntet ihr dies bitte prüfen" erfasst wird, würde der basierend auf der Regel ebenfalls kategorisiert werden.
62
63 **Aus diesem Grund wird auf jedes Dokument einen spezieller QR Code aufgedruckt**. Der QR code wird vom Post-Consume Script verwendet um die Metadaten in Paperless zuzuordnen. Weiterhin können Daten übermittelt werden, die dann mittels Webhook an N8n übermittelt werden und dort im Workflow verwendet werden können. Der Aufbau orientiert sich an dem Aufbau eines **JSON Web Tokens (JWT).**
64
Daniel Herrmann 15.2 65 === Erzeugung des QR Codes ===
Daniel Herrmann 8.1 66
Daniel Herrmann 15.2 67 Der Prozess zur Erzeugung eines QR Codes funktioniert wie folgt:
Daniel Herrmann 9.2 68
69 * **Payload (Daten) festlegen**. Einige Werte sind verpflichtend, andere können nach Bedarf optional hinzugefügt werden.
Daniel Herrmann 15.2 70 * **JWT** erzeugen und signieren. der JWT besteht aus drei Teilen:
Daniel Herrmann 9.2 71 ** **Header**: **alg** (Algorithmus) und **typ** (JWT) sind verpflichtend. Zusätzlich fügen wir einen Timestamp, eine eindeutige ID und eine Gültigkeitsdauer hinzu.
72 ** **Body**: beinhaltet die eigentlichen Daten.
73 ** **Signature**: Mit Hilfe eines Secrets und wird die Signatur erzeugt und automatisch angehängt.
Daniel Herrmann 15.2 74 * **QR code erzeugen**: ein JWT ist per Definition URL safe und kann daher einfach in ein QR code umgewandelt werden.
Daniel Herrmann 9.2 75
76 === Header ===
77
78 Der Header enthält wichtige Meta-Daten, diese werden von der JWT Library automatisch erzeugt und beschreiben in der Regel den verwendeten Key-Typ.
79
80 === Body ===
81
82 Die folgenden Claims sind im Body verfügbar.
83
84 |=(((
85 Claim
86 )))|=(((
87 Type
88 )))|=(((
89 Pflicht
90 )))|=(((
91 Beschreibung
92 )))
93 |(((
94 id
95 )))|(((
96 UUID4
97 )))|(((
98 ✅️
99 )))|(((
100 Eindeutige ID dieses Dokuments
101 )))
102 |(((
103 time
104 )))|(((
105 Zahl
106 )))|(((
107 ✅️
108 )))|(((
109 UTC Linux-Timestamp an dem das Dokument und der QR Code erzeugt wurden
110 )))
111 |(((
112 exp
113 )))|(((
114 Zahl
115 )))|(((
116 ✅️
117 )))|(((
118 UTC Linux-Timestamp der angibt, bis wann das Dokument gültig ist.
119 )))
120 |(((
121 typ
122 )))|(((
123 String
124 )))|(((
125 ✅️
126 )))|(((
127 Typ des Dokuments basierend auf der unten definierten Liste.
128 )))
129 |mode|String|✅️ |Kann entweder "digital" oder "manual" sein und bestimmt, ob N8n den unterschriebenen Vertrag ans Backend meldet.
130 |(((
131 cor
132 )))|(((
133 String
134 )))|(((
135 ❌️
136 )))|(((
137 Optional: Name des Korrespondenten, dem das Dokument zugeordnet werden soll
138 )))
139 |(((
140 tags
141 )))|(((
142 List[String]
143 )))|(((
144 ❌️
145 )))|(((
146 Liste an Tags, die dem Dokument zugeordnet werden soll
147 )))
148 |(((
149 spth
150 )))|(((
151 String
152 )))|(((
153 ❌️
154 )))|(((
155 Storage Path, das dem Dokument zugeordnet werden soll
156 )))
157 |(((
158 opt
159 )))|(((
160 dict
161 )))|(((
162 ❌️
163 )))|(((
164 Optionale Attribute, die mit eincodiert werden und dem N8n Workflow übergeben werden.
165 )))
166
167 === Footer ===
168
169 Der Footer wird automatisch erzeugt und erhält eine Signatur über den Header und den Body, basierend auf einem Algorithmus und einer Signatur.
170
171 {{success}}
172 **Algorithmus**
173
174 Von den meisten Libraries werden symmetrische und asymmetrische Signaturen unterstützt. Die Verwendung eines symmetrischen Algorithmus ist für uns einfacher.
175
176 Für diesen Anwendungsfall nutzen wir **HS256** (HMAC mit SHA-256 Algorithmus).
177 {{/success}}
178
179 === Auswahl der Library ===
180
181 Die Implementierung für die Erzeugung und das Validieren erfolgt in Python. Dies hat den Hintergrund, dass sowohl unser Backend als auch Paperless NGX (und damit das Post-Consumption Script) in Python implementiert ist. Es gibt verschiedene Libraries, die betrachtet wurden:
182
183 |=(((
184 Name
185 )))|=(((
186 CVE
187 )))|=(((
188 Github
189 )))|=(((
190 GH⭐
191 )))|=(((
192 Letztes Release
193 )))|=(((
194 Offene Issues
195 )))|=(((
196 Dokumentation
197 )))|=(((
198 Qualität Dokumentation
199 )))|=(((
200 In Backend vorhanden?
201 )))|=(((
202 In Paperless vorhanden?
203 )))
204 |(((
205 python-jose
206 )))|(((
207 3/0
208 )))|(((
209 [[https:~~/~~/github.com/mpdavis/python-jose>>url:https://github.com/mpdavis/python-jose]]
210 )))|(((
211 1.7k
212 )))|(((
213 28.05.2025
214 )))|(((
215 83
216 )))|(((
217 [[https:~~/~~/python-jose.readthedocs.io/en/latest/>>url:https://python-jose.readthedocs.io/en/latest/]]
218 )))|(((
219 ⛔ Wenige Bespiele, API Dokumentation fehlt komplett
220 )))|(((
221 ❌️
222 )))|(((
223 ❌️
224 )))
225 |(((
226 pyJWT
227 )))|(((
228 4/0
229 )))|(((
230 [[https:~~/~~/github.com/jpadilla/pyjwt>>url:https://github.com/jpadilla/pyjwt]]
231 )))|(((
232 5.4k
233 )))|(((
234 28.11.2024
235 )))|(((
236 30
237 )))|(((
238 [[https:~~/~~/pyjwt.readthedocs.io>>url:https://pyjwt.readthedocs.io]]
239 )))|(((
240 ➕️ Gute Dokumentation, API, Beispiele, Changelog
241 )))|(((
242 ✅️ 2.10.1
243 Dep von firebase
244 )))|(((
245 ✅️ 2.10.1
246 )))
247 |(((
248 JWCrypto
249 )))|(((
250 5/0
251 )))|(((
252 [[https:~~/~~/github.com/latchset/jwcrypto>>url:https://github.com/latchset/jwcrypto]]
253 )))|(((
254 465
255 )))|(((
256 06.03.2024
257 )))|(((
258 8
259 )))|(((
260 [[https:~~/~~/jwcrypto.readthedocs.io>>url:https://jwcrypto.readthedocs.io]]
261 )))|(((
262 ➕️ API Doc, einige Beispiele
263 )))|(((
264 ✅️ 1.5.6
265 Dep von python-keycloak
266 )))|(((
267 ❌️
268 )))
269
270 Unsere bevorzugte Library ist **pyjwt**. Diese ist auch in **paperless nativ vorhanden**, sodass wir uns für die Implementierung mittels **pyjwt** entschieden haben.
271
Daniel Herrmann 15.2 272 === QR Code ===
Daniel Herrmann 9.2 273
274 Als Format für den Code wurde PDF417 ausgewählt, da dieser mehr Platz und Fehlerkorrektur bietet. Weiterhin gibt es eine einfach zu nutzende Library für Python (Erzeugung) und PDF417 wird von ZXING unterstützt, welches in Paperless eingebettet ist. Ein solcher Barcode sieht beispielsweise so aus:
275
276
Daniel Herrmann 15.1 277 [[image:barcode.jpg||height="250"]]
Daniel Herrmann 9.2 278
279 Daraus kann dann eine Base64 basierte Repräsentation berechnet werden, die einfach in Docuseal hochgeladen werden kann.
280
281 === Referenz-Implementierung ===
282
283 Eine Referenz-Implementierung befindet sich im Makerspace Gitlab: [[https:~~/~~/git.makerspace-darmstadt.de/makerspace-it-infrastructure/mitgliederverwaltung/paperless-pdf417-reference>>url:https://git.makerspace-darmstadt.de/makerspace-it-infrastructure/mitgliederverwaltung/paperless-pdf417-reference]]
284
285 === Post Consumption Script ===
286
287 Die eigentliche Zuordnung der Meta-Daten erfolgt über ein so genanntes Post Consumption Script. Dieses befindet sich ebenfalls im Makerspace Gitlab: [[https:~~/~~/git.makerspace-darmstadt.de/makerspace-it-infrastructure/mitgliederverwaltung/paperless-post-consumption-script#>>url:https://git.makerspace-darmstadt.de/makerspace-it-infrastructure/mitgliederverwaltung/paperless-post-consumption-script]]
288
Daniel Herrmann 15.1 289 == Paperless Berechtigungen ==
Daniel Herrmann 9.2 290
Daniel Herrmann 15.1 291 Paperless NGX hat ein Berechtigungssystem, welches sich über fast alle Ressourcen erstreckt. Grundsätzlich gibt es **Benutzer** und **Gruppen**. Berechtigungen können dann global vergeben werden (Sichtbarkeit von Features) und zusätzlich auf Objektebene vergeben werden.
292
293 === Benutzer und Gruppen ===
294
295 Paperless NGX ist so konfiguriert, dass sich Benutzer mit ihrem zentralen Makerspace Login anmelden können (OIDC über Keycloak). Eine Anmeldung mit lokalen Zugangsdaten ist nicht möglich. Bei der Anmeldung werden ebenfalls die Gruppen aus Keycloak übernommen, aber nur die folgenden:
296
297 * **Vorstand**: Für die Mitglieder des Vorstands
298 * **Mitgliederverwaltung**: Alle Personen, die mit der Verwaltung der Mitglieder betraut sind
299 * **IT Admin**: IT Administratoren im Makerspace
300
301 Nutzer, die keine dieser Gruppen angehören haben keine Rechte in Paperless. Sie können sich zwar anmelden, aber selbst die Willkommens-Seite erzeugt eine "Permission Denied" Fehlermeldung.
302
303 === Globale Berechtigungen ===
304
305 Berechtigungen werden grundsätzlich nicht auf Benutzerebene konfiguriert, sondern ausschließlich auf Gruppenebene. So wird sichergestellt, dass bei der Änderung einer Gruppenzugehörigkeit auch die damit verbundenen Rechte entzogen oder gewährt werden, ohne dass eine manuelle Änderung notwendig ist. Die folgende Tabelle gibt eine Übersicht der konfigurierten globalen Berechtigungen pro Gruppe:
306
307 |=(((
308 Berechtigung
309 )))|=(((
310 Beschreibung
311 )))|=(((
312 Mitgliederverwaltung
313 )))|=(((
314 Vorstand
315 )))|=(((
316 IT Admin
317 )))|=(((
318 Notiz
319 )))
320 |=(((
321 Document
322 )))|(((
323 Sehen und bearbeiten von Dokumenten.
324 )))|(((
325 ALLE
326 )))|(((
327 ALLE
328 )))|(((
329 KEINE
330 )))|(((
331 Wird zusätzlich durch Berechtigungen auf Objekt-Level eingeschränkt
332 )))
333 |=(((
334 Tag
335 )))|(((
336 Sehen und bearbeiten von Tags.
337 )))|(((
338 Anzeigen
339 )))|(((
340 ALLE
341 )))|(((
342 ALLE
343 )))|(((
344 Wird zusätzlich durch Berechtigungen auf Objekt-Level eingeschränkt
345 )))
346 |=(((
347 Correspondent
348 )))|(((
349 Sehen und bearbeiten von Korrespondenten
350 )))|(((
351 Anzeigen
352 )))|(((
353 ALLE
354 )))|(((
355 ALLE
356 )))|(((
357 Wird zusätzlich durch Berechtigungen auf Objekt-Level eingeschränkt
358 )))
359 |=(((
360 DocumentType
361 )))|(((
362 Sehen und bearbeiten von Dokument-Typen
363 )))|(((
364 Anzeigen
365 )))|(((
366 ALLE
367 )))|(((
368 ALLE
369 )))|(((
370 Wird zusätzlich durch Berechtigungen auf Objekt-Level eingeschränkt
371 )))
372 |=(((
373 StoragePath
374 )))|(((
375 Sehen und bearbeiten von Speicherpfaden
376 )))|(((
377 Anzeigen
378 )))|(((
379 Anzeigen
380 )))|(((
381 ALLE
382 )))|(((
383 Wird zusätzlich durch Berechtigungen auf Objekt-Level eingeschränkt
384 )))
385 |=(((
386 SavedView
387 )))|(((
388 Ansichten erzeugen und speichern
389 )))|(((
390 ALLE
391 )))|(((
392 ALLE
393 )))|(((
394 KEINE
395 )))|(((
396
397 )))
398 |=(((
399 PaperlessTask
400 )))|(((
401 Dateiaufgaben einsehen und löschen
402 )))|(((
403 KEINE
404 )))|(((
405 KEINE
406 )))|(((
407 ALLE
408 )))|(((
409
410 )))
411 |=(((
412 AppConfig
413 )))|(((
414 Konfiguration von Paperless NGX selbst
415 )))|(((
416 KEINE
417 )))|(((
418 KEINE
419 )))|(((
420 ALLE
421 )))|(((
422
423 )))
424 |=(((
425 UISettings
426 )))|(((
427 Persönliche Anzeigeeinstellungen ändern
428 )))|(((
429 ALLE
430 )))|(((
431 ALLE
432 )))|(((
433 ALLE
434 )))|(((
435
436 )))
437 |=(((
438 History
439 )))|(((
440 Dokumenten-Audit Log anzeigen oder ändern
441 )))|(((
442 Anzeigen
443 )))|(((
444 Anzeigen
445 )))|(((
446 KEINE
447 )))|(((
448 Nur für Dokumente, auf die Zugriff gewährt wurde.
449 )))
450 |=(((
451 Note
452 )))|(((
453 Notizen zu Dokumenten einsehen oder ändern
454 )))|(((
455 ALLE
456 )))|(((
457 ALLE
458 )))|(((
459 KEINE
460 )))|(((
461 Nur für Dokumente, auf die Zugriff gewährt wurde.
462 )))
463 |=(((
464 MailAccount
465 )))|(((
466 Mail-Accounts verwalten
467 )))|(((
468 KEINE
469 )))|(((
470 Anzeigen
471 )))|(((
472 ALLE
473 )))|(((
474
475 )))
476 |=(((
477 MailRule
478 )))|(((
479 Verarbeitungsregeln für eingehende Mails bearbeiten
480 )))|(((
481 KEINE
482 )))|(((
483 ALLE
484 )))|(((
485 ALLE
486 )))|(((
487
488 )))
489 |=(((
490 User
491 )))|(((
492 Benutzer einsehen oder verwalten
493 )))|(((
494 KEINE
495 )))|(((
496 Anzeigen
497 )))|(((
498 ALLE
499 )))|(((
500
501 )))
502 |=(((
503 Group
504 )))|(((
505 Gruppen einsehen oder verwalten
506 )))|(((
507 KEINE
508 )))|(((
509 Anzeigen
510 )))|(((
511 ALLE
512 )))|(((
513
514 )))
515 |=(((
516 ShareLink
517 )))|(((
518 Öffentliche Share-Links erstellen oder verwalten
519 )))|(((
520 KEINE
521 )))|(((
522 KEINE
523 )))|(((
524 KEINE
525 )))|(((
526
527 )))
528 |=(((
529 CustomField
530 )))|(((
531 Custom Fields einsehen oder verwalten
532 )))|(((
533 Anzeigen
534 )))|(((
535 Anzeigen
536 )))|(((
537 ALLE
538 )))|(((
539
540 )))
541 |=(((
542 Workflow
543 )))|(((
544 Workflows für neue Dokumente einsehen oder verwalten
545 )))|(((
546 KEINE
547 )))|(((
548 KEINE
549 )))|(((
550 ALLE
551 )))|(((
552
553 )))
554
555 === Objekt-Berechtigungen ===
556
557 Zusätzlich zu den globalen Berechtigungen können für alle Objekte noch Berechtigungen auf Objekt-Level konfiguriert werden. Dabei werden globale Regeln zuerst geprüft, danach zusätzlich die Objekt-Berechtigungen. Jedes Objekt (egal ob Dokument, Korrespondent, Tag, Dokumenten-Typ) hat zwei wichtige Einstellungen:
558
559 * Owner / Eigentümer: Das Objekt gehört diesem Benutzer. Der Owner hat immer alle Berechtigungen für das Objekt
560 * Zusätzliche Berechtigungen:
561 ** Es können getrennt voneinander Berechtigungen zum Anzeigen und Bearbeiten vergeben werden
562 ** Diese Berechtigungen können jeweils für einzelne Benutzer oder für Gruppen gewährt werden
563
564 Das sieht im Frontend beispielsweise so aus:
565
566 [[image:image-2025-8-25_10-19-25.png||height="250"]]
567
568 {{info}}
569 **Berechtigungen**
570
571 Es sind grundsätzlich sowohl globale als auch objekt-spezifische Berechtigungen notwendig. Wenn ein Benutzer ein Objekt bearbeiten ansehen oder bearbeiten möchte ergibt sich daher die folgende Matrix:
572 {{/info}}
573
574 |=(((
575 Globale Berechtigung
576 )))|=(((
577 Owner
578 )))|=(((
579 Objekt-Berechtigung
580 )))|=(((
581 Ergebnis
582 )))
583 |(((
584 ❌️
585 )))|(((
586 Egal
587 )))|(((
588 Egal
589 )))|(((
590 ❌️
591 )))
592 |(((
593 ✅️
594 )))|(((
595 ✅️
596 )))|(((
597 Egal
598 )))|(((
599 ✅️
600 )))
601 |(((
602 ✅️
603 )))|(((
604 ❌️
605 )))|(((
606 ❌️
607 )))|(((
608 ❌️
609 )))
610 |(((
611 ✅️
612 )))|(((
613 ❌️
614 )))|(((
615 ✅️
616 )))|(((
617 ✅️
618 )))
619
620 Mit anderen Worten, um eine Aktion auszuführen, muss ein Benutzer (a) die globale Berechtigung haben **UND** (b) Owner sein **ODER** Objekt-Berechtigungen haben.
621
622 === Lokale Owner ===
623
624 Jedes Objekt in Paperless muss einen Owner haben. Damit der Owner nicht ein realer Benutzer ist, der gegebenenfalls den Vorstand / Mitgliederverwaltung oder Verein verlassen könnte, werden lokale Benutzer angelegt. Diese halten lediglich die Owner Rolle für die Ressourcen, können aber nicht für den Login verwendet werden.
625
626 |=(((
627 Benutzer
628 )))|=(((
629 Verwendet für
630 )))
631 |=(((
632 mksp-mv-owner
633 )))|(((
634 Alle Objekte (Dokumente, Dokumenttypen, Tags, Korrespondenten und Speicherpfade), die dem Use-Case **Mitgliederverwaltung** zugewiesen sind
635 )))
636 |=(((
637 mksp-vs-owner
638 )))|(((
639 Alle Objekte (Dokumente, Dokumenttypen, Tags, Korrespondenten und Speicherpfade), die dem Use-Case **Vorstandspost** zugewiesen sind
640 )))
641
642 === Standard-Objekt-Berechtigungen ===
643
644 Basierend auf den hier beschrieben Regeln werden für Objekte die folgenden Berechtigungen gesetzt:
645
646 |=(% rowspan="2" %)(((
647 Objekt
648
649 )))|=(% colspan="3" %)(((
650 Mitgliederverwaltung
651 )))|=(% rowspan="7" %)(((
652
653 )))|=(% colspan="3" %)(((
654 Vorstandspost
655 )))
656 |=(((
657 Owner
658 )))|=(((
659 Anzeigen
660 )))|=(((
661 Bearbeiten
662 )))|=(((
663 Owner
664 )))|=(((
665 Anzeigen
666 )))|=(((
667 Bearbeiten
668 )))
669 |=(((
670 Dokument
671 )))|(((
672 mksp-mv-owner
673 )))|(((
674 Mitgliederverwaltung
675 )))|(((
676 Mitgliederverwaltung
677 )))|(((
678 mksp-vs-owner
679 )))|(((
680 Vorstand
681 )))|(((
682 Vorstand
683 )))
684 |=(((
685 Dokumenttyp
686 )))|(((
687 mksp-mv-owner
688 )))|(((
689 Mitgliederverwaltung, IT Admin
690 )))|(((
691 IT Admin
692 )))|(((
693 mksp-vs-owner
694 )))|(((
695 Vorstand
696 )))|(((
697 Vorstand
698 )))
699 |=(((
700 Tag
701 )))|(((
702 mksp-mv-owner
703 )))|(((
704 Mitgliederverwaltung, IT Admin
705 )))|(((
706 IT Admin
707 )))|(((
708 mksp-vs-owner
709 )))|(((
710 Vorstand
711 )))|(((
712 Vorstand
713 )))
714 |=(((
715 Korrespondent
716 )))|(((
717 mksp-mv-owner
718 )))|(((
719 Mitgliederverwaltung, IT Admin
720 )))|(((
721 IT Admin
722 )))|(((
723 mksp-vs-owner
724 )))|(((
725 Vorstand
726 )))|(((
727 Vorstand
728 )))
729 |=(((
730 Speicherpfad
731 )))|(((
732 mksp-mv-owner
733 )))|(((
734 Mitgliederverwaltung, IT Admin
735 )))|(((
736 IT Admin
737 )))|(((
738 mksp-vs-owner
739 )))|(((
740 Vorstand
741 )))|(((
742 IT Admin
743 )))
744
745 == Workflows ==
746
747 Paperless Workflows können zur Automatisierung verschiedener Tasks eingesetzt werden. In diesem Fall werden zwei Fälle damit abgedeckt:
748
749 * Beim Hinzufügen der Dokumente via Webinterface **wird standardmäßig der angemeldete Nutzer als Owner des Dokuments festgelegt**. Damit haben andere Mitglieder der gleichen Gruppe (Beispielsweise Vorstand oder Mitgliederverwaltung) kein Zugriff auf die so hinzugefügten Dokumente. Aus diesem Grund setzt einer der Workflow die entsprechend notwendigen Berechtigungen.
750 * Einscannen von Dokumenten soll sowohl für die Mitgliederverwaltung als auch für den Vorstand möglich sein und der richtigen Gruppe zugeordnet werden. Wir haben dafür zwei unterschiedliche Ordner aus dem NAS angelegt. Der Dokumentenscanner kann Dokumente in einen der beiden Ordner legen, wir nutzen Workflows um auch hier die richtigen Berechtigungen zu setzen.