42 lines
1.6 KiB
Markdown
42 lines
1.6 KiB
Markdown
# CODEX Platform Auth Task
|
||
|
||
## Goal
|
||
|
||
Построить NODE.DC platform auth architecture:
|
||
|
||
- Authentik как единый Identity Provider;
|
||
- Launcher как access/admin control plane;
|
||
- Plane fork как отдельное приложение;
|
||
- reverse proxy как внешний защитный слой;
|
||
- сохранение существующего Plane user и всех связанных данных;
|
||
- поддержка будущих приложений.
|
||
|
||
## Hard constraints
|
||
|
||
- Не класть Plane внутрь Launcher.
|
||
- Не делать единую `users` таблицу для всех приложений.
|
||
- Не ломать существующего Plane user.
|
||
- Не менять `owner`, `assignee`, `created_by`, `member` связи Plane без отдельной миграции.
|
||
- Не хранить service tokens во frontend.
|
||
- Не использовать reverse-proxy forward-auth как единственный долгосрочный auth mechanism для собственных приложений.
|
||
|
||
## Phase 0 result
|
||
|
||
Выполнены:
|
||
|
||
- discovery текущих путей Launcher и Task Manager;
|
||
- фиксация решения не переносить репозитории физически;
|
||
- platform skeleton;
|
||
- базовые документы архитектуры, auth model, local deployment, security и migration plan.
|
||
|
||
## Next phases
|
||
|
||
1. Local domains + reverse proxy.
|
||
2. Authentik bootstrap.
|
||
3. Launcher backend/BFF.
|
||
4. Launcher OIDC login and app filtering.
|
||
5. Launcher admin API and audit.
|
||
6. Plane OIDC integration.
|
||
7. Plane user migration command.
|
||
8. Security acceptance and staging path.
|