From 3ebf234105478604452af367b2b42c6ce4f88e3f Mon Sep 17 00:00:00 2001 From: Floke Date: Thu, 26 Feb 2026 14:24:25 +0000 Subject: [PATCH] docs: update IT requirements with account info and network details [31388f42] --- ANFORDERUNGEN_IT_OAUTH.md | 27 ++++++++++++++++++++++----- 1 file changed, 22 insertions(+), 5 deletions(-) diff --git a/ANFORDERUNGEN_IT_OAUTH.md b/ANFORDERUNGEN_IT_OAUTH.md index 58b04a34..33f8a534 100644 --- a/ANFORDERUNGEN_IT_OAUTH.md +++ b/ANFORDERUNGEN_IT_OAUTH.md @@ -3,6 +3,8 @@ ## 1. Projektübersicht Um den Zugriff auf die interne **Gemini Business Suite** (KI-gestützte Tools für Marketing, Sales und Datenanalyse) abzusichern, soll eine Authentifizierung über Microsoft OAuth2 (Entra ID) implementiert werden. Dies ermöglicht den Mitarbeitern einen sicheren Single-Sign-On (SSO) mit ihren bestehenden Unternehmenskonten. +**Verantwortliches Administratorkonto:** `info@robo-planet.de` + ## 2. Technische Anforderungen an die App-Registrierung Bitte registrieren Sie eine neue Anwendung im Microsoft Entra ID (Azure AD) Portal mit den folgenden Parametern: @@ -13,10 +15,12 @@ Bitte registrieren Sie eine neue Anwendung im Microsoft Entra ID (Azure AD) Port * **Unterstützte Kontotypen:** Nur Konten in diesem Organisationsverzeichnis (Single Tenant) ### 2.2 Redirect-URIs (WICHTIG) -Die Anwendung benötigt die folgenden Redirect-URIs für den Authentifizierungsprozess: +Die Anwendung benötigt die folgenden Redirect-URIs für den Authentifizierungsprozess. Da die Produktionsumgebung rein intern läuft, sind hier interne Hostnames zulässig. -* **Produktion:** `https://tools.roboplanet.de/auth/callback` (Platzhalter, bitte durch tatsächliche Domain ersetzen) -* **Entwicklung/Lokal:** `http://localhost:8090/auth/callback` +* **Entwicklung (Aktuell):** `http://floke-ai.duckdns.org:8090/auth/callback` +* **Produktion (Intern):** `http://:8090/auth/callback` + *(Bitte den internen Hostnamen/IP des Linux-Servers eintragen, sobald verfügbar)* +* **Lokal (Fallback):** `http://localhost:8090/auth/callback` ### 2.3 API-Berechtigungen (Scopes) Die Anwendung benötigt lediglich Lesezugriff auf das Basisprofil des Benutzers, um die Identität zu verifizieren: @@ -26,10 +30,23 @@ Die Anwendung benötigt lediglich Lesezugriff auf das Basisprofil des Benutzers, * `email` ### 2.4 Authentifizierungsmethode -* **Client Secret:** Es wird ein "Client Secret" für die serverseitige Authentifizierung benötigt. +* **Client Secret:** Es wird ein "Client Secret" für die sichere serverseitige Authentifizierung benötigt. * **ID-Tokens:** Bitte aktivieren Sie die Ausstellung von ID-Tokens für Hybrid-Flows (falls erforderlich). -## 3. Benötigte Informationen von der IT +## 3. Netzwerk & Firewall (Wichtig für Produktion) + +Da der Produktionsserver isoliert im internen Netz läuft, beachten Sie bitte folgende Firewall-Regeln: + +1. **Eingehend (Ingress):** + * Es ist **KEIN** Zugriff aus dem Internet auf den Server erforderlich. + * Der Server muss lediglich für die internen Mitarbeiter (Client-Browser) erreichbar sein (Port 8090/HTTP). + +2. **Ausgehend (Egress):** + * Der Server (Backend) benötigt ausgehenden Zugriff auf **Port 443 (HTTPS)** zu folgenden Microsoft-Diensten, um Token zu validieren: + * `login.microsoftonline.com` + * `graph.microsoft.com` + +## 4. Benötigte Informationen von der IT Nach der erfolgreichen Registrierung benötigen wir die folgenden Informationen, um die Anwendung zu konfigurieren: 1. **Anwendungs-ID (Client ID):** `______________________________________`