# Anforderungen für Microsoft Entra ID (Azure AD) App-Registrierung [31388f42]

## 1. Projektübersicht
Um den Zugriff auf die interne **Gemini Business Suite** (KI-gestützte Tools für Marketing, Sales und Datenanalyse) abzusichern, soll eine Authentifizierung über Microsoft OAuth2 (Entra ID) implementiert werden. Dies ermöglicht den Mitarbeitern einen sicheren Single-Sign-On (SSO) mit ihren bestehenden Unternehmenskonten.

**Verantwortliches Administratorkonto:** `info@robo-planet.de`

## 2. Technische Anforderungen an die App-Registrierung

Bitte registrieren Sie eine neue Anwendung im Microsoft Entra ID (Azure AD) Portal mit den folgenden Parametern:

### 2.1 Grundkonfiguration
*   **Name der Anwendung:** Gemini Business Suite (oder nach IT-Vorgabe)
*   **Anwendungstyp:** Webanwendung
*   **Unterstützte Kontotypen:** Nur Konten in diesem Organisationsverzeichnis (Single Tenant)

### 2.2 Redirect-URIs (WICHTIG)
Die Anwendung benötigt die folgenden Redirect-URIs für den Authentifizierungsprozess. Da die Produktionsumgebung rein intern läuft, sind hier interne Hostnames zulässig.

*   **Entwicklung (Aktuell):** `http://floke-ai.duckdns.org:8090/auth/callback`
*   **Produktion (Intern):** `http://<INTERNE-IP-ODER-HOSTNAME>:8090/auth/callback` 
    *(Bitte den internen Hostnamen/IP des Linux-Servers eintragen, sobald verfügbar)*
*   **Lokal (Fallback):** `http://localhost:8090/auth/callback`

### 2.3 API-Berechtigungen (Scopes)
Die Anwendung benötigt lediglich Lesezugriff auf das Basisprofil des Benutzers, um die Identität zu verifizieren:
*   `Microsoft Graph` -> `Delegierte Berechtigungen` -> `User.Read`
*   `openid`
*   `profile`
*   `email`

### 2.4 Authentifizierungsmethode
*   **Client Secret:** Es wird ein "Client Secret" für die sichere serverseitige Authentifizierung benötigt.
*   **ID-Tokens:** Bitte aktivieren Sie die Ausstellung von ID-Tokens für Hybrid-Flows (falls erforderlich).

## 3. Netzwerk & Firewall (Wichtig für Produktion)

Da der Produktionsserver isoliert im internen Netz läuft, beachten Sie bitte folgende Firewall-Regeln:

1.  **Eingehend (Ingress):**
    *   Es ist **KEIN** Zugriff aus dem Internet auf den Server erforderlich.
    *   Der Server muss lediglich für die internen Mitarbeiter (Client-Browser) erreichbar sein (Port 8090/HTTP).

2.  **Ausgehend (Egress):**
    *   Der Server (Backend) benötigt ausgehenden Zugriff auf **Port 443 (HTTPS)** zu folgenden Microsoft-Diensten, um Token zu validieren:
        *   `login.microsoftonline.com`
        *   `graph.microsoft.com`

## 4. Benötigte Informationen von der IT
Nach der erfolgreichen Registrierung benötigen wir die folgenden Informationen, um die Anwendung zu konfigurieren:

1.  **Anwendungs-ID (Client ID):** `______________________________________`
2.  **Verzeichnis-ID (Tenant ID):** `______________________________________`
3.  **Client-Geheimnis (Client Secret):** `______________________________________` (Bitte sicher übermitteln)

---
*Erstellt am: 26. Februar 2026*
*Task-ID: [31388f42]*