Floke/Brancheneinstufung2
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

docs: update IT requirements with account info and network details [31388f42]

Browse Source
This commit is contained in:
Floke
2026-02-26 14:24:25 +00:00
parent 7ac82eceb8
commit 3ebf234105
1 changed files with 22 additions and 5 deletions
Download Patch File Download Diff File Expand all files Collapse all files

27
ANFORDERUNGEN_IT_OAUTH.md
View File

@@ -3,6 +3,8 @@
## 1. Projektübersicht
Um den Zugriff auf die interne **Gemini Business Suite** (KI-gestützte Tools für Marketing, Sales und Datenanalyse) abzusichern, soll eine Authentifizierung über Microsoft OAuth2 (Entra ID) implementiert werden. Dies ermöglicht den Mitarbeitern einen sicheren Single-Sign-On (SSO) mit ihren bestehenden Unternehmenskonten.
**Verantwortliches Administratorkonto:** `info@robo-planet.de`
## 2. Technische Anforderungen an die App-Registrierung
Bitte registrieren Sie eine neue Anwendung im Microsoft Entra ID (Azure AD) Portal mit den folgenden Parametern:
@@ -13,10 +15,12 @@ Bitte registrieren Sie eine neue Anwendung im Microsoft Entra ID (Azure AD) Port
* **Unterstützte Kontotypen:** Nur Konten in diesem Organisationsverzeichnis (Single Tenant)
### 2.2 Redirect-URIs (WICHTIG)
Die Anwendung benötigt die folgenden Redirect-URIs für den Authentifizierungsprozess:
Die Anwendung benötigt die folgenden Redirect-URIs für den Authentifizierungsprozess. Da die Produktionsumgebung rein intern läuft, sind hier interne Hostnames zulässig.
* **Produktion:** `https://tools.roboplanet.de/auth/callback` (Platzhalter, bitte durch tatsächliche Domain ersetzen)
* **Entwicklung/Lokal:** `http://localhost:8090/auth/callback`
* **Entwicklung (Aktuell):** `http://floke-ai.duckdns.org:8090/auth/callback`
* **Produktion (Intern):** `http://<INTERNE-IP-ODER-HOSTNAME>:8090/auth/callback`
*(Bitte den internen Hostnamen/IP des Linux-Servers eintragen, sobald verfügbar)*
* **Lokal (Fallback):** `http://localhost:8090/auth/callback`
### 2.3 API-Berechtigungen (Scopes)
Die Anwendung benötigt lediglich Lesezugriff auf das Basisprofil des Benutzers, um die Identität zu verifizieren:
@@ -26,10 +30,23 @@ Die Anwendung benötigt lediglich Lesezugriff auf das Basisprofil des Benutzers,
* `email`
### 2.4 Authentifizierungsmethode
* **Client Secret:** Es wird ein "Client Secret" für die serverseitige Authentifizierung benötigt.
* **Client Secret:** Es wird ein "Client Secret" für die sichere serverseitige Authentifizierung benötigt.
* **ID-Tokens:** Bitte aktivieren Sie die Ausstellung von ID-Tokens für Hybrid-Flows (falls erforderlich).
## 3. Benötigte Informationen von der IT
## 3. Netzwerk & Firewall (Wichtig für Produktion)
Da der Produktionsserver isoliert im internen Netz läuft, beachten Sie bitte folgende Firewall-Regeln:
1. **Eingehend (Ingress):**
* Es ist **KEIN** Zugriff aus dem Internet auf den Server erforderlich.
* Der Server muss lediglich für die internen Mitarbeiter (Client-Browser) erreichbar sein (Port 8090/HTTP).
2. **Ausgehend (Egress):**
* Der Server (Backend) benötigt ausgehenden Zugriff auf **Port 443 (HTTPS)** zu folgenden Microsoft-Diensten, um Token zu validieren:
* `login.microsoftonline.com`
* `graph.microsoft.com`
## 4. Benötigte Informationen von der IT
Nach der erfolgreichen Registrierung benötigen wir die folgenden Informationen, um die Anwendung zu konfigurieren:
1. **Anwendungs-ID (Client ID):** `______________________________________`