# CODEX Platform Auth Task

## Goal

Построить NODE.DC platform auth architecture:

- Authentik как единый Identity Provider;
- Launcher как access/admin control plane;
- Plane fork как отдельное приложение;
- reverse proxy как внешний защитный слой;
- сохранение существующего Plane user и всех связанных данных;
- поддержка будущих приложений.

## Hard constraints

- Не класть Plane внутрь Launcher.
- Не делать единую `users` таблицу для всех приложений.
- Не ломать существующего Plane user.
- Не менять `owner`, `assignee`, `created_by`, `member` связи Plane без отдельной миграции.
- Не хранить service tokens во frontend.
- Не использовать reverse-proxy forward-auth как единственный долгосрочный auth mechanism для собственных приложений.

## Phase 0 result

Выполнены:

- discovery текущих путей Launcher и Task Manager;
- фиксация решения не переносить репозитории физически;
- platform skeleton;
- базовые документы архитектуры, auth model, local deployment, security и migration plan.

## Next phases

1. Local domains + reverse proxy.
2. Authentik bootstrap.
3. Launcher backend/BFF.
4. Launcher OIDC login and app filtering.
5. Launcher admin API and audit.
6. Plane OIDC integration.
7. Plane user migration command.
8. Security acceptance and staging path.