feat: add GitHub and Microsoft 365 integration documentation and permissions details

Author: juliankoehn

content/docs/catalogs/index.mdx

@@ -3,7 +3,7 @@ title: Kataloge
 description: Übersicht der unterstützten Frameworks und Compliance-Kataloge in Kopexa
 ---
 
-# Frameworks & Kataloge
+## Frameworks & Kataloge
 
 Kopexa unterstützt eine Vielzahl an **Compliance-, Sicherheits- und Datenschutz-Frameworks**.  
 Diese Kataloge liefern **Controls (Kontrollen)** und **Best Practices**, um regulatorische und normative Anforderungen strukturiert umzusetzen.

content/docs/integrations/github/index.mdx

@@ -0,0 +1,80 @@
+---
+title: GitHub Integration
+description: Synchronisation von Repositories, Organisationen und Security-Daten aus GitHub – plus Ausblick auf geplante Automatisierungen
+---
+
+Mit der **GitHub-Integration** verbindet Kopexa dein GitHub-Organisation-Konto und synchronisiert automatisch relevante Informationen.  
+Ziel: **Sichtbarkeit über alle Repositories und Projekte** herstellen und diese direkt mit **Assets, Risiken und Kontrollen** verknüpfen.
+
+## Warum GitHub in Kopexa?
+
+- **Zentrale Übersicht:** Alle Repos und Projekte als **Assets** im Inventory.
+- **Audit-Ready:** Überblick über Berechtigungen, Organisation, verwendete Technologien.
+- **Compliance-Verknüpfung:** Repos mit Risiken, Policies und Kontrollen verbinden.
+- **DSGVO/NIS2/ISO**: Nachvollziehbarkeit, wo Quellcode liegt, wer Zugriff hat, welche Sicherheitsmaßnahmen bestehen.
+
+<Callout title="Gut zu wissen">
+Die GitHub-Integration ist aktuell **read-only**.  
+Kopexa schreibt keine Änderungen an deine Repositories, Nutzer oder Organisationseinstellungen.
+</Callout>
+
+## Welche Daten werden heute synchronisiert?
+
+- **Organisation & Mitglieder:** GitHub-Organisation(en), User und Teams (optional).
+- **Repositories:** Name, Beschreibung, Sichtbarkeit (public/private), Owner.
+- **Repo-Assets:** Automatische Abbildung als **Assets** im Inventory.
+- **Metadaten:** Themen wie Default-Branch, letzte Commits, ob ein Repository archiviert ist.
+
+Diese Daten sind die Basis für Risikoanalysen, z. B.: „Welche kritischen Assets liegen in public Repos? Wer hat Zugriff?“
+
+## Roadmap & Zukunft: Security-Automatisierung
+
+Wir arbeiten daran, **weit über reine Sichtbarkeit hinauszugehen**. Geplante Features (opt-in):
+
+- **Branch Protection Checks:** Automatische Überprüfung, ob Branch Protection Rules aktiv sind (z. B. PR-Reviews, Status-Checks).
+- **Vulnerability Scanning:** Anbindung an GitHub Advanced Security und Dependabot-Daten, um bekannte Schwachstellen zu erfassen.
+- **Secret Scanning:** Erkennung von geleakten Secrets/Keys in Repositories.
+- **Best-Practice-Reports:** Abgleich mit OWASP DevSecOps und ISO 27001 Annex A Controls (z. B. „Secure SDLC“, „Code Integrity“).
+
+Diese Daten können zukünftig **automatisiert als Evidenz** für Kontrollen dienen (z. B. „Alle kritischen Repos haben Branch Protection aktiv“).
+
+<Callout title="Roadmap">
+Die Security-Automation befindet sich auf unserer **Produkt-Roadmap**.  
+Wir starten mit **read-only Checks**, später folgen **optionale Remediation-Workflows** (z. B. automatisierte Branch-Protection-Policies).
+</Callout>
+
+## Einrichtung & Berechtigungen
+
+Aktuell erfolgt die Verbindung via **GitHub OAuth App / PAT (Personal Access Token)** mit Lesezugriff auf:
+
+- `repo` (Leserechte für Organisation/Repos)
+- `read:org` (Leserechte für Organisations- und Team-Mitglieder)
+- `admin:repo_hook` (optional für Webhook-basierte Events, Roadmap-Feature)
+
+
+## Datenschutz & Sicherheit
+
+- **Read-only Zugriff:** Keine Schreibaktionen an deinen Repos oder Organisationseinstellungen.
+- **Space-Isolation:** Jede Kopexa-Space ist mandantengetrennt.
+- **Widerruf jederzeit:** Zugriff über GitHub Settings entziehbar.
+
+## Mapping in Kopexa
+
+- **Repos → Assets:** Jedes Repo wird als Asset angelegt, kann mit Risiken und Kontrollen verknüpft werden.
+- **Owner → People:** GitHub-Nutzer können in Inventory „People“ gemappt werden.
+- **Policies:** Verknüpfe Kontrollen wie „Secure SDLC“ oder „Branch Protection aktiv“ direkt mit den Repos.
+
+<Mermaid
+  chart={`
+graph TD
+  A[GitHub Org] --> B[Repos als Assets]
+  B --> C[Risiken]
+  B --> D[Kontrollen]
+  D --> E["Evidenz (z.B. Branch Protection Check)"]
+  style A fill:#e0f2fe,stroke:#3b82f6
+  style B fill:#ecfdf5,stroke:#10b981
+  style C fill:#fff7ed,stroke:#fb923c
+  style D fill:#e5e7eb,stroke:#9ca3af
+  style E fill:#fde68a,stroke:#f59e0b
+`}
+ />

content/docs/integrations/index.mdx

@@ -0,0 +1,44 @@
+---
+title: Überblick
+description: Überblick über Kopexa-Integrationen – SSO, Datenquellen und Automatisierungen
+---
+
+## Integrationen in Kopexa
+
+Kopexa ist nicht nur eine isolierte Plattform, sondern lässt sich **nahtlos in deine bestehende IT-Landschaft einfügen**.  
+Integrationen helfen dir, **Datenflüsse zu automatisieren**, **Aufgaben zu vereinfachen** und **Compliance-Nachweise direkt aus den genutzten Systemen** zu ziehen.
+
+## Warum sind Integrationen wichtig?
+
+- **Automatisierung statt Handarbeit:** Keine Excel-Listen oder manuelles Copy-Paste – Kopexa zieht Informationen direkt aus deinen Tools.
+- **Audit-Sicherheit:** Verknüpfe Nachweise (z. B. MFA-Status, Benutzerlisten) direkt aus angebundenen Systemen.
+- **Single Source of Truth:** Einheitliche Datenbasis für **Risiken, Kontrollen, Assets und Nachweise**, ohne Inkonsistenzen.
+- **Schnellere Onboardings:** Mit SSO und Directory-Integrationen sind Nutzer automatisch provisioniert und rollenbasiert berechtigt.
+
+## Was findest du hier?
+
+Dieser Bereich zeigt dir, wie du Kopexa mit wichtigen Systemen verbindest:
+
+- **Identity & Access:**
+  - **SSO & Directory** – z. B. Entra ID (Azure AD), Okta, Keycloak.  
+    Nutzer werden automatisch synchronisiert; SAML-Login für alle Pläne.
+- **Cloud & Infrastruktur:**
+  - Anbindung von **Microsoft 365**, **GitHub**, **AWS/Azure/OVH** für Inventory- und Evidence-Daten.
+- **Security & Monitoring:**
+  - Import von **Pen-Test-Berichten**, **Vulnerability-Scannern**, **SIEM/Logging-Systemen**.
+- **Vendor & Supply Chain:**
+  - Automatisches Laden von **Zertifikaten**, **AVV**, **Fragebogendaten** über APIs.
+- **Ticketing & Collaboration:**
+  - Sync mit **Jira**, **ServiceNow** oder **Slack/MS Teams** für Work-Items und Benachrichtigungen.
+
+## Wie läuft eine Integration ab?
+
+1. **Wähle die Integration** – z. B. SSO, Inventory oder Vendor-Sync.
+2. **Richte sie in Kopexa ein** – oft nur API-Key/SSO-Metadaten notwendig.
+3. **Mappe die Daten** – z. B. welches Feld im externen System welchem Asset/Control in Kopexa entspricht.
+4. **Nutze die Daten live** – z. B. MFA-Quoten aus Azure, Zertifikatsstatus aus Vendor-Portalen, Benutzerlisten aus M365.
+
+<Callout title="Sicherheit & Datenschutz">
+Alle Integrationen sind **DSGVO-konform**, arbeiten mit **verschlüsselter Übertragung** und **rollenbasiertem Zugriff**.  
+Wir speichern nur die für Compliance relevanten Daten. Du behältst jederzeit die Kontrolle, was angebunden wird.
+</Callout>

content/docs/integrations/meta.json

@@ -0,0 +1,11 @@
+{
+    "title": "Integrationen",
+    "root": true,
+    "pages": [
+        "index",
+        "---Identity & Access---",
+        "microsoft-365",
+        "---Developer & Code---",
+        "github"
+    ]
+}

content/docs/integrations/microsoft-365/images/permissions.png

@@ -0,0 +1,72 @@
+---
+title: Microsoft 365 / Entra ID Integration
+description: Automatisierte Synchronisation von Benutzern, Apps, Policies und Security-Daten aus Entra ID (Microsoft 365) für ISMS, DSMS und Audits
+---
+
+Mit der **Microsoft 365 / Entra ID Integration** holt Kopexa automatisch alle relevanten Compliance-Daten aus deiner Entra-ID-Umgebung.  
+Das spart manuelle Arbeit und schafft **auditfeste Evidenzen** für ISO 27001, NIS2, DSGVO, TISAX® und andere Frameworks.
+
+---
+
+## Warum diese Integration?
+
+- **Automatisierte Evidenz:** Keine Screenshots, keine Excel-Listen – Kopexa ruft per API relevante Daten ab.
+- **ISMS & DSMS verbinden:** Benutzerverwaltung, MFA, Policies und Subprozessoren als **Controls/TOMs** mappen.
+- **Supply-Chain-Risiken managen:** Übersicht über Enterprise Apps, Consent Policies und Drittanbieter-Zugriffe.
+- **Audit-Ready:** Zugriff auf Audit Logs & Security Events als Nachweis für Kontrollen.
+
+<Callout title="Gut zu wissen">
+Alle Daten werden **read-only** abgerufen und verschlüsselt gespeichert.  
+Kopexa schreibt **keine Änderungen** in deine Microsoft-Umgebung und du kannst den Zugriff jederzeit entziehen.
+</Callout>
+
+## Welche Daten werden synchronisiert?
+
+Nach Einrichtung zieht Kopexa automatisiert u. a.:
+
+- **Accounts & Personen:** Benutzer, Gruppen, Rollen inkl. MFA-Status
+- **Apps & Service Principals:** registrierte Enterprise Apps, Berechtigungen & Consents
+- **Security-Policies:** Conditional Access, Identity Provider Einstellungen, Intune Policies
+- **Audit-Logs & Security Events:** Anmeldeprotokolle, Sicherheitsvorfälle (als Incident-Evidenz)
+- **Consent & Grant Policies:** Welche Apps haben welche Rechte?
+- **Optional:** SharePoint/OneDrive Site Collections (Metadaten für Datenlokation/DSGVO)
+
+Diese Informationen fließen in **Inventory (People/Apps)**, **Risiken**, **Kontrollen** und **Incidents** ein.
+
+## Berechtigungen & Scopes
+
+Bei der Einrichtung musst du als Entra-ID-Administrator einmalig Berechtigungen (Admin Consent) erteilen.  
+Die Liste der Scopes erscheint in Microsoft wie auf diesem Screenshot:
+
+![Permissions Dialog](./images/permissions.png)
+
+Eine ausführliche Übersicht, welche Scopes warum benötigt werden, findest du hier:  
+[**Berechtigungen (Permissions)**](./permissions.mdx)
+
+## Setup und Einrichtung
+
+1. **Integration starten:** In Kopexa unter *Integrationen → Microsoft 365* auswählen.
+2. **Admin Consent:** Mit einem Entra-ID-Admin einloggen, Berechtigungen akzeptieren (siehe Screenshot).
+3. **Sync:** Kopexa ruft die Daten read-only ab; keine manuelle Konfiguration erforderlich.
+4. **Mapping:** Nutzer, Apps und Policies werden automatisch in Kopexa-Module übernommen.
+
+
+## Datenschutz & Sicherheit
+
+- **Read-only:** Kein Schreibzugriff in Entra oder M365.
+- **Space-Isolation:** Daten pro Kopexa-Space getrennt.
+- **Verschlüsselung:** Alle Daten werden verschlüsselt gespeichert.
+- **Widerruf:** Zugriff jederzeit in Entra ID entziehbar.
+
+<Callout title="Transparenz">
+Kopexa nutzt die [Microsoft Graph API](https://learn.microsoft.com/en-us/graph/permissions-reference).  
+Die vollständige Liste der genutzten Endpunkte findest du in [Permissions](./permissions.mdx).
+</Callout>
+
+---
+
+## Weiterführende Inhalte
+
+- [Berechtigungen & Scopes](./permissions.mdx) – welche Daten und warum
+- [Integrations-Übersicht](../index.mdx) – weitere Integrationen (z. B. GitHub)
+

content/docs/integrations/microsoft-365/index.mdx

@@ -0,0 +1,56 @@
+---
+title: Berechtigungen
+description: Welche Entra ID Graph-API-Berechtigungen benötigt Kopexa und wofür werden sie genutzt?
+---
+
+## Berechtigungen & Scopes – Microsoft 365 / Entra ID
+
+Beim Einrichten der Microsoft 365 / Entra ID Integration siehst du eine Liste von Berechtigungen, die Kopexa anfordert.  
+Diese Berechtigungen sind **ausschließlich lesend (read-only)** und dienen dem **automatisierten Abruf von Compliance-relevanten Daten**.  
+
+Kopexa führt **keine Änderungen** in deinem Entra ID-Tenant durch, schreibt keine Werte zurück und hat **keine administrativen Schreibrechte**.
+
+## Angefragte Scopes und deren Zweck
+
+Folgende Graph-API-Scopes werden abgefragt, um typische Compliance-Nachweise abzubilden.  
+Hier einige Beispiele:
+
+- **`Read all audit log data`** – Abruf von Audit Logs (z. B. Anmelde- und Admin-Protokolle) als Evidenz für Kontrollen wie „Zugriffe werden protokolliert und überwacht“.
+- **`Read Microsoft Intune device configuration and policies`** – Übersicht über Gerätekonfiguration und Mobile-Device-Policies (für Mobile Security / BYOD-Nachweise).
+- **`Read directory data` & `Read identity providers`** – Auslesen von Benutzern, Gruppen, Domänen und Identity-Provider-Konfiguration (z. B. um MFA-Abdeckung und Rollenmodelle zu belegen).
+- **`Read your organization's policies` & `Read conditional access policies`** – Abruf von Richtlinien und Conditional-Access-Regeln (z. B. MFA-Pflicht, Zugriffssteuerung).
+- **`Read consent and permission grant policies`** – Überblick, welche Apps/Integrationen Berechtigungen haben (Supply-Chain-Risiko & Drittanbieterbewertung).
+- **`Read your organization's security actions` & `Read security events`** – Security-Alerts und Reaktionen abrufen (für Incident-Management und Lessons Learned).
+- **`Have full control of all site collections`** *(optional)* – Metadaten zu SharePoint/OneDrive-Sites auslesen, z. B. Datenlokationen und Verantwortliche (keine Datei-Inhalte!).
+- **`Sign in and read user profile`** – Technischer Basis-Scope für den Graph-Zugriff und User-Identifizierung.
+
+<Callout title="Warum werden diese Berechtigungen benötigt?">
+Frameworks wie **NIS2**, **ISO 27001** oder **TISAX®** verlangen Nachweise über Benutzerverwaltung, MFA, Zugriffskontrollen, Subprozessoren und Security Events.  
+Durch diese Scopes kann Kopexa relevante Daten automatisiert abrufen und in deinem ISMS/DSMS bereitstellen – ohne manuelle Screenshots oder Excel-Listen.
+</Callout>
+
+## Datennutzung & Datenschutz
+
+- Alle abgerufenen Daten werden **verschlüsselt gespeichert** und **Space-isoliert verarbeitet**.
+- Kopexa nutzt die Daten ausschließlich **read-only** für Compliance-Zwecke (z. B. zur Erstellung von Reports, Evidenzen und Risikoanalysen).
+- **Kein Export an Dritte** ohne dein Zutun: Du behältst jederzeit die Kontrolle, wann und mit wem Daten geteilt werden.
+- **Widerruf jederzeit möglich**: Du kannst die erteilten Berechtigungen in Entra ID/Microsoft 365 jederzeit entziehen oder die Integration in Kopexa deaktivieren.
+
+## Transparenz & Dokumentation
+
+Kopexa verwendet die **Microsoft Graph API**.  
+Eine vollständige Liste aller genutzten Endpunkte inkl. offizieller Microsoft-Dokumentation findest du hier:
+
+- [Microsoft Graph Permissions Reference](https://learn.microsoft.com/en-us/graph/permissions-reference)
+
+<Callout title="Hinweis">
+Für Audits kannst du jederzeit exportieren, **welche Scopes freigegeben wurden**, wann der Zugriff eingerichtet wurde und wie die Daten innerhalb Kopexa verwendet werden.
+</Callout>
+
+## Sicherheit & Audit-Fit
+
+- **Least Privilege**: Es werden nur die Scopes angefragt, die für die vereinbarten Compliance-Nachweise notwendig sind.  
+- **Nachvollziehbarkeit**: Alle Datenflüsse sind im Audit-Trail dokumentiert (wer hat wann welchen Import angestoßen).
+- **Kein Vendor Lock-in**: Du behältst die Hoheit über deine Entra-ID-Daten; die Integration ist optional und kann jederzeit widerrufen werden.
+
+Mit diesen Berechtigungen wird eine saubere Brücke zwischen deiner Microsoft-365-Umgebung und Kopexa geschaffen – für automatisierte, prüfbare und **audit-sichere Compliance-Nachweise** ohne manuellen Aufwand.

content/docs/integrations/microsoft-365/permissions.mdx

@@ -1,6 +1,7 @@
 {
     "pages": [
         "platform",
-        "catalogs"
+        "catalogs",
+        "integrations"
     ]
 }

content/docs/meta.json

@@ -18,6 +18,7 @@ export const docs = defineDocs({
 });
 
 export default defineConfig({
+	lastModifiedTime: "git",
 	mdxOptions: {
 		rehypePlugins: (v) => [rehypeCode, ...v],
 	},