feat(arbeitszeitcheck): enforce app-admin role gating and update docs

Restrict app administration to an optional allowlist of Nextcloud admins with middleware-based enforcement and clear 403 handling. Document the new admin setup flow and add focused Docker security test commands for role-gating verification.

Made-with: Cursor

Author: aSoftwareByDesignRepository

CHANGELOG.de.md

@@ -3,16 +3,20 @@
 ### Hinzugefügt
 
 - **Monatsabschluss: Karenz und Auto-Finalisierung**: Admin-Einstellung `month_closure_grace_days_after_eom` (0–90, Standard 0). Nach Monatsende haben Mitarbeitende so viele Kalendertage zur manuellen Finalisierung; ist der Monat danach noch offen, finalisiert ein täglicher Hintergrundauftrag automatisch (gleicher Snapshot wie manuell). Ausstehende Zeiteintragsfreigaben und offene Abwesenheits-Workflows blockieren die Auto-Finalisierung. Wiederöffnen bleibt Administrator:innen vorbehalten.
+- **App-Admin-Whitelist**: Neue Admin-Einstellung `app_admin_user_ids`, um die Administration von ArbeitszeitCheck auf eine ausgewählte Teilmenge der Nextcloud-Admins zu begrenzen. Leere Auswahl bleibt rückwärtskompatibel (alle Nextcloud-Admins dürfen die App verwalten).
+- **Docker-Testziel für Security-Role-Gating**: Verdrahtung von `scripts/test-security-role-gating-docker.sh` über `make test-security-role-gating-docker` und `composer test:security-role-gating:docker` für schnelle Autorisierungs-Regressionstests im Container-Setup.
 
 ### Geändert
 
 - **Monatsabschluss UX/API**: Klarere Karten-UI, sichtbares Erfolgs-/Fehlerfeedback (WCAG), serverseitiges `canFinalize` mit lokalisierten Sperrgründen; manuelle Finalisierung lehnt zukünftige Kalendermonate ab; Abwesenheits-Workflow (`pending`, `substitute_pending`, `substitute_declined`) zusätzlich zu ausstehenden Zeiteintragskorrekturen; API 401 bei fehlender Anmeldung wo passend; Admin: eigener Abschnitt „Monatsabschluss“; Karenzfeld bleibt editierbar mit Hinweis, dass der Wert gespeichert wird und bei aktivierter Funktion gilt; Wiederöffnen mit durchsuchbarer Mitarbeitenden-Auswahl und klarerer Rollenbeschreibung; Validierungsfehler mit höherem Kontrast über Themes hinweg. Auto-Finalize protokolliert Einzelfehler.
 - **Release-/Signatur-Workflow für Integritätsprüfung gehärtet**: `make release-signed` signiert jetzt den entpackten Release-Archivinhalt (nicht den lokalen Entwicklungs-Checkout), prüft verbotene Entwicklungs-Pfade und packt das signierte Archiv für Deployment/App-Store neu.
+- **Admin-Autorisierung zentral erzwungen**: Zugriffe auf `AdminController`-Routen werden jetzt per Middleware auf App-Admin-Rechte geprüft; nicht berechtigte angemeldete Nutzer erhalten eine konsistente 403-Seite.
 
 ### Dokumentation
 
 - **Deployment-Hinweise ergänzt**: Die Release-Dokumentation fordert nun explizit das Deployment aus dem signierten Tarball und beschreibt das typische Fehlerbild (`.git/*` / `node_modules/*`) bei versehentlicher Signierung eines Dev-Trees.
 - **Deployment-Helferskript**: `release/deploy-from-release.sh` hinzugefügt für Deployment aus signierten Release-Archiven mit Sicherheitsprüfungen (verbotene Pfade, erforderliche `signature.json`, optionales Disable/Enable und `occ integrity:check-app`).
+- **Admin-Betrieb**: Nutzer-/Entwicklerdokumentation ergänzt um Einrichtung der App-Admin-Whitelist, Rückfallverhalten bei leerer Auswahl und Verifikation des Role-Gatings im Docker-Testlauf.
 
 ## 1.1.12 – 2026-04-09
 

CHANGELOG.md

@@ -10,16 +10,20 @@ and this project adheres to [Semantic Versioning](https://semver.org/spec/v2.0.0
 ### Added
 
 - **Month closure grace period and auto-finalization**: Admin setting `month_closure_grace_days_after_eom` (0–90, default 0). After end-of-month, employees have that many calendar days to finalize manually; if the month is still open afterward, a daily background job finalizes it automatically (same snapshot as manual finalize). Pending time entry approvals and open absence workflow states block auto-finalization. Reopening remains admin-only.
+- **App-admin allowlist**: New admin setting `app_admin_user_ids` to restrict ArbeitszeitCheck administration to a selected subset of Nextcloud admins. Empty selection keeps backward-compatible behavior (all Nextcloud admins can administer the app).
+- **Security role-gating Docker test target**: Added `scripts/test-security-role-gating-docker.sh` wiring via `make test-security-role-gating-docker` and `composer test:security-role-gating:docker` for fast authorization regression checks in containerized setups.
 
 ### Changed
 
 - **Month closure UX and API**: Employee UI uses a clearer card layout, visible feedback for success/errors (WCAG-friendly), server-driven `canFinalize` with localized block reasons (feature off, future month, pending approvals). Manual finalize rejects future calendar months. Absence workflow (`pending`, `substitute_pending`, `substitute_declined`) is enforced alongside pending time entry corrections. Unauthorized API access returns 401 where appropriate. Admin settings: dedicated “Month closure” section; grace-days field stays editable with copy explaining it is saved even when closure is off; reopen uses searchable employee picker and clearer administrator vs. employee wording. Form validation error callouts use higher-contrast text and tinted surfaces across themes. Auto-finalize job logs per-user failures for operations.
 - **Release/signing workflow hardened for integrity checks**: `make release-signed` now signs the extracted release archive payload (not the local development checkout), validates forbidden development paths are excluded, and repacks the signed archive for deployment/App Store upload.
+- **Admin authorization enforcement**: Access to `AdminController` routes now uses middleware-level app-admin checks with a dedicated exception and a consistent 403 response page for authenticated users without app-admin rights.
 
 ### Documentation
 
 - **Deployment guidance**: Release docs now explicitly require production deployment from the signed tarball only and document the common integrity-failure pattern (`.git/*` / `node_modules/*` lists) caused by signing a dev tree.
 - **Deployment helper script**: Added `release/deploy-from-release.sh` to deploy from signed release archives with safety checks (forbidden path scan, required `signature.json`, optional app disable/enable and `occ integrity:check-app`).
+- **Admin operations**: User/developer docs now describe how to configure app-admin allowlisting, what the default fallback is, and how to verify authorization gating in Docker-based test runs.
 
 ## 1.1.12 - 2026-04-09
 

Makefile

@@ -8,7 +8,7 @@ archive_name = $(app_name)-$(version).tar.gz
 archive_path = $(release_dir)/$(archive_name)
 occ = ../../occ
 
-.PHONY: release verify-release verify-signature-manifest sign-release release-signed clean
+.PHONY: release verify-release verify-signature-manifest sign-release release-signed clean test-security-role-gating-docker
 
 release:
 	@echo "Building $(app_name) v$(version)..."
@@ -80,3 +80,6 @@ sign-release: verify-release
 
 release-signed: release sign-release verify-signature-manifest
 	@echo "Release build + Nextcloud signature complete."
+
+test-security-role-gating-docker:
+	@bash scripts/test-security-role-gating-docker.sh

composer.json

@@ -22,6 +22,7 @@
 	"scripts": {
 		"test": "phpunit",
 		"test:docker": "bash ../../docker/run-app-phpunit.sh arbeitszeitcheck",
+		"test:security-role-gating:docker": "bash scripts/test-security-role-gating-docker.sh",
 		"test:unit": "phpunit --testsuite unit",
 		"test:integration": "phpunit --testsuite integration",
 		"test:coverage": "phpunit --coverage-html tests/coverage",

docs/Developer-Documentation.en.md

@@ -1,7 +1,7 @@
 # Developer Documentation – ArbeitszeitCheck
 
 **Version:** 1.1.12  
-**Last Updated:** 2026-04-12
+**Last Updated:** 2026-04-13
 
 This guide is for developers who want to contribute to ArbeitszeitCheck or integrate with it.
 
@@ -699,6 +699,13 @@ docker compose exec -T nextcloud-app bash -lc "cd /var/www/html/custom_apps/arbe
 docker compose exec -T nextcloud-app bash -lc "cd /var/www/html/custom_apps/arbeitszeitcheck && composer test:integration"
 ```
 
+Run focused security role-gating checks in Docker:
+```bash
+make test-security-role-gating-docker
+# or
+composer test:security-role-gating:docker
+```
+
 Run JS unit tests inside the Nextcloud container:
 ```bash
 docker compose exec -T nextcloud bash -lc "cd /var/www/html/custom_apps/arbeitszeitcheck && npm ci && npm test"
@@ -835,6 +842,14 @@ public function getEntry(int $id): JSONResponse
 }
 ```
 
+### App-admin authorization model
+
+- The app distinguishes between **Nextcloud platform admins** and optional **ArbeitszeitCheck app admins**.
+- Config key: `app_admin_user_ids` (`Constants::CONFIG_APP_ADMIN_USER_IDS`) stores a JSON array of allowed user IDs.
+- Empty list is intentionally backward compatible: all Nextcloud admins are app admins.
+- `AppAdminMiddleware` is registered in `Application::register()` and gates `AdminController` methods centrally.
+- Unauthorized access to admin pages throws `NotAppAdminException` and resolves to a 403 response.
+
 ### SQL Injection Prevention
 
 Always use parameterized queries:

docs/README.md

@@ -6,8 +6,8 @@ This folder contains the documentation included with ArbeitszeitCheck for admini
 
 | Document | Description |
 |----------|-------------|
-| [User-Manual.en.md](User-Manual.en.md) | Short end-user guide (calendar vs Nextcloud Calendar, absences, roles, revision-safe month closure including optional grace period and auto-finalization) |
-| [User-Manual.de.md](User-Manual.de.md) | Kurzanleitung für Endnutzer (Deutsch), inkl. Monatsnachweis mit Karenz und Auto-Finalisierung |
+| [User-Manual.en.md](User-Manual.en.md) | Short end-user/admin guide (calendar vs Nextcloud Calendar, absences, roles, app-admin allowlist usage, revision-safe month closure including optional grace period and auto-finalization) |
+| [User-Manual.de.md](User-Manual.de.md) | Kurzanleitung für Endnutzer/Admins (Deutsch), inkl. App-Admin-Whitelist sowie Monatsnachweis mit Karenz und Auto-Finalisierung |
 | [GDPR-Compliance-Guide.en.md](GDPR-Compliance-Guide.en.md) | How to operate ArbeitszeitCheck in a GDPR-compliant way (legal basis, data minimization, employee rights, retention) |
 | [Compliance-Implementation.en.md](Compliance-Implementation.en.md) | Technical implementation of ArbZG compliance checks (breaks, rest periods, real-time vs batch) |
 | [Compliance-Implementation.de.md](Compliance-Implementation.de.md) | Same content in German |

docs/User-Manual.de.md

@@ -35,9 +35,19 @@ Alle Daten verbleiben in Ihrer **Nextcloud-Instanz**.
 - **Vertretung** (falls genutzt): Eindeckung für Abwesenheiten bestätigen oder ablehnen.
 - **Führungskraft / Team**: Abwesenheiten genehmigen, Teamübersichten je nach Rechten.
 - **Administratorin / Administrator**: Globale Einstellungen, Nutzer, Feiertage, Compliance-Optionen, Exporte.
+- **App-Administrator:in (optionale Einschränkung)**: Ihre Organisation kann die ArbeitszeitCheck-Administration auf ausgewählte Nextcloud-Admins begrenzen. Ist das gesetzt, bleiben andere Nextcloud-Admins zwar Plattform-Admins, erhalten in den ArbeitszeitCheck-Adminseiten aber „Zugriff verweigert“.
 
 Die genauen Rechte hängen von Nextcloud-Gruppen und der App-Konfiguration ab.
 
+### Für Administrator:innen: App-Administrator:innen konfigurieren
+
+1. Öffnen Sie **ArbeitszeitCheck → Admin-Einstellungen**.
+2. Wählen Sie im Bereich **App-Administratoren (ArbeitszeitCheck)** die Nextcloud-Admin-Konten aus, die diese App verwalten dürfen.
+3. Speichern Sie die Einstellungen.
+4. Lassen Sie die Liste leer, wenn das rückwärtskompatible Standardverhalten gelten soll (**alle** Nextcloud-Admins dürfen ArbeitszeitCheck verwalten).
+
+Im Auswahldialog erscheinen nur Konten aus der Nextcloud-`admin`-Gruppe.
+
 ---
 
 ## 4. Alltägliche Aufgaben

docs/User-Manual.en.md

@@ -35,9 +35,19 @@ All data stays in your **Nextcloud** instance.
 - **Substitute** (if used): Approve or reject coverage for an absence.
 - **Manager / team lead**: Approve absences for team members, see team views where permitted.
 - **Administrator**: Global settings, users, holidays, compliance options, exports.
+- **App administrator (optional restriction)**: Your organization can limit ArbeitszeitCheck administration to selected Nextcloud admins only. If this is configured, other Nextcloud admins may still be platform admins but will see access denied for ArbeitszeitCheck admin pages.
 
 Exact permissions depend on your Nextcloud groups and app configuration.
 
+### For administrators: how to configure app administrators
+
+1. Open **ArbeitszeitCheck → Admin settings**.
+2. In **App administrators (ArbeitszeitCheck)**, search/select the Nextcloud admin accounts that should manage this app.
+3. Save settings.
+4. Leave the list empty if you want the backward-compatible default (**all** Nextcloud admins can administer ArbeitszeitCheck).
+
+Only users in Nextcloud's `admin` group are eligible in this picker.
+
 ---
 
 ## 4. Everyday tasks

js/admin-settings.js

@@ -40,9 +40,63 @@
         });
 
         initMonthReopenUserPicker();
+        initAppAdminsPicker();
         initAccessGroupsPicker();
     }
 
+    function initAppAdminsPicker() {
+        const search = Utils.$('#appAdminUsersSearch');
+        const list = Utils.$('#appAdminUsersList');
+        const empty = Utils.$('#appAdminUsersEmpty');
+        const countEl = Utils.$('#appAdminUsersCount');
+        const l10n = window.ArbeitszeitCheck && window.ArbeitszeitCheck.l10n ? window.ArbeitszeitCheck.l10n : {};
+        if (!search || !list) {
+            return;
+        }
+
+        const items = Array.prototype.slice.call(list.querySelectorAll('.access-groups-item'));
+        const checkboxes = Array.prototype.slice.call(list.querySelectorAll('input[name="appAdminUserIds[]"]'));
+
+        function updateCount() {
+            if (!countEl) {
+                return;
+            }
+            const selectedCount = checkboxes.filter(function(box) { return box.checked; }).length;
+            if (selectedCount === 0) {
+                countEl.textContent = l10n.appAdminsAllAdmins || 'No app admins selected (all Nextcloud admins are allowed).';
+                return;
+            }
+            const template = l10n.appAdminsSelected || '%s app admin(s) selected';
+            countEl.textContent = template.indexOf('%s') !== -1
+                ? template.replace('%s', String(selectedCount))
+                : String(selectedCount) + ' ' + template;
+        }
+
+        function applyFilter() {
+            const q = String(search.value || '').trim().toLowerCase();
+            let visible = 0;
+            items.forEach(function(item) {
+                const haystack = String(item.getAttribute('data-app-admin-search') || '');
+                const show = q === '' || haystack.indexOf(q) !== -1;
+                item.hidden = !show;
+                if (show) {
+                    visible++;
+                }
+            });
+            if (empty) {
+                empty.hidden = visible !== 0;
+            }
+        }
+
+        Utils.on(search, 'input', applyFilter);
+        checkboxes.forEach(function(box) {
+            Utils.on(box, 'change', updateCount);
+        });
+
+        updateCount();
+        applyFilter();
+    }
+
     function initAccessGroupsPicker() {
         const search = Utils.$('#accessAllowedGroupsSearch');
         const list = Utils.$('#accessAllowedGroupsList');
@@ -136,6 +190,11 @@
             ? []
             : (Array.isArray(accessGroupsRaw) ? accessGroupsRaw : [accessGroupsRaw]);
         delete formData['accessAllowedGroups[]'];
+        const appAdminRaw = formData['appAdminUserIds[]'];
+        formData.appAdminUserIds = appAdminRaw === undefined
+            ? []
+            : (Array.isArray(appAdminRaw) ? appAdminRaw : [appAdminRaw]);
+        delete formData['appAdminUserIds[]'];
 
         // Convert numbers (use defaults on invalid/empty)
         const num = (v, def) => { const n = parseFloat(v); return (Number.isFinite(n) ? n : def); };

lib/AppInfo/Application.php

@@ -17,6 +17,7 @@
 use OCA\ArbeitszeitCheck\Listener\LoadSidebarScripts;
 use OCA\ArbeitszeitCheck\Listener\CSPListener;
 use OCA\ArbeitszeitCheck\Listener\UserDeletedListener;
+use OCA\ArbeitszeitCheck\Middleware\AppAdminMiddleware;
 use OCA\ArbeitszeitCheck\Notification\Notifier;
 use OCA\ArbeitszeitCheck\Service\TimeTrackingService;
 use OCA\ArbeitszeitCheck\Service\AbsenceService;
@@ -64,6 +65,7 @@ public function register(IRegistrationContext $context): void {
 
 		// Register notification provider
 		$context->registerNotifierService(Notifier::class);
+		$context->registerMiddleware(AppAdminMiddleware::class);
 
 		// Register event listeners
 		$context->registerEventListener(LoadSidebar::class, LoadSidebarScripts::class);
@@ -373,6 +375,7 @@ public function register(IRegistrationContext $context): void {
 			return new PermissionService(
 				$c->query(\OCP\IGroupManager::class),
 				$c->query(\OCP\App\IAppManager::class),
+				$c->query(\OCP\IConfig::class),
 				$c->query(\OCP\IUserManager::class),
 				$c->query(TeamResolverService::class),
 				$c->query(\Psr\Log\LoggerInterface::class)