AA_APP_USER
Status: Entwurf · Quelle: Spec-Erweiterung RBAC/ACL · Spec-Kandidat: ja
Zweck
Repräsentiert eine über OIDC authentifizierte natürliche Person. Ein AA_APP_USER wird beim ersten erfolgreichen Login provisioniert (Just-in-Time, offen) oder vom Administrator angelegt.
Felder
| Feld | Typ | Pflicht | Hinweise |
|---|---|---|---|
id | uuid | ja | PK |
external_id | text | ja | OIDC sub-Claim |
issuer | text | ja | OIDC Issuer-URL |
email | text | nein | aus Token, nicht eindeutig je Issuer |
display_name | text | nein | aus Token (name/preferred_username) |
is_active | boolean | ja | default true |
metadata | jsonb | ja | default '{}', Objekt-Constraint |
created_at, created_by, updated_at, updated_by | – | – | Audit-Felder |
deleted_at, deleted_by | timestamptz/text | nein | Soft Delete |
Constraints
app_user_metadata_is_object_chkapp_user_external_id_per_issuer_ukUNIQUE (issuer,external_id)
Indizes
ix_app_user_emailpartial auflower(email)(nur aktive)
Verhalten
- Service löst OIDC-Token zu
AA_APP_USER.idüber(issuer, external_id)auf. - Soft-gelöschte oder
is_active=falseBenutzer werden vom Auth-Pfad als unbekannt behandelt (401/403).