NODEDC_PLATFORM/tasks/CODEX_PLATFORM_AUTH_TASK.md

CODEX Platform Auth Task

Goal

Построить NODE.DC platform auth architecture:

• Authentik как единый Identity Provider;
• Launcher как access/admin control plane;
• Plane fork как отдельное приложение;
• reverse proxy как внешний защитный слой;
• сохранение существующего Plane user и всех связанных данных;
• поддержка будущих приложений.

Hard constraints

• Не класть Plane внутрь Launcher.
• Не делать единую users таблицу для всех приложений.
• Не ломать существующего Plane user.
• Не менять owner, assignee, created_by, member связи Plane без отдельной миграции.
• Не хранить service tokens во frontend.
• Не использовать reverse-proxy forward-auth как единственный долгосрочный auth mechanism для собственных приложений.

Phase 0 result

Выполнены:

• discovery текущих путей Launcher и Task Manager;
• фиксация решения не переносить репозитории физически;
• platform skeleton;
• базовые документы архитектуры, auth model, local deployment, security и migration plan.

Next phases

1. Local domains + reverse proxy.
2. Authentik bootstrap.
3. Launcher backend/BFF.
4. Launcher OIDC login and app filtering.
5. Launcher admin API and audit.
6. Plane OIDC integration.
7. Plane user migration command.
8. Security acceptance and staging path.