Authentifizierung

Auth JWT-basiert

Token-Typen

Der Edge Connector verwendet JWTs der nara‑Plattform, die enthalten:

• die Organisation, zu der der Connector gehört
• die User‑ oder Service‑Identität
• eine Admin‑Rolle für die Organisation (für die meisten Operationen erforderlich)

Tokens werden lokal in auth-token.json (oder einem eigenen Pfad) gespeichert und von CLI und Runtime wiederverwendet.

CLI-Authentifizierung (Server-Modus)

1. Erzeuge in der nara Webapp ein Admin‑Token für deine Organisation (API‑Token, Service‑User o. Ä.).

2. Führe auf der Zielmaschine aus:

   edge-connector auth --token "<ADMIN_JWT>"

3. Die CLI validiert das Token (Organisation, Rolle, Ablaufdatum) und schreibt auth-token.json neben deine Konfiguration (oder an den Pfad aus AUTH_TOKEN_PATH).

Wo das Token liegt

Standardmäßig schreibt die CLI auth-token.json ins aktuelle Arbeitsverzeichnis. Nutze AUTH_TOKEN_PATH, um es in ein dediziertes Secret‑Verzeichnis zu legen.

Desktop-Authentifizierungsflow

Desktop‑Connectoren automatisieren die Authentifizierung:

1. Die Runtime startet ohne Token und ruft einen Desktop‑Auth‑Endpoint auf der Plattform auf.
2. Der Benutzer durchläuft einen Browser‑Flow (Login, Organisationswahl).
3. Nach Freigabe stellt die Plattform ein Token aus, das an User und Organisation gebunden ist.
4. Die Runtime speichert das Token in auth-token.json und nutzt es bis zum Ablauf.

Läuft das Token ab, erneuert die Runtime es automatisch über denselben Flow (oder test‑spezifische Provisionierungsmechanismen).

Token rotieren und widerrufen

• Rotation:

  • Neues Admin‑Token in der Webapp erzeugen

  • Auf der Connector‑Maschine:

    edge-connector auth --token "<NEW_ADMIN_JWT>"

• Widerruf:

  • Token in der Webapp deaktivieren oder löschen
  • die lokale Token‑Datei entfernen (z. B. auth-token.json auf dem Host)

Keine Tokens zwischen Organisationen teilen

Tokens sind organisations‑spezifisch. Die Wiederverwendung über Mandantengrenzen hinweg bricht Isolation und kann von der Plattform abgelehnt werden.