E2E Onboarding Test
- Super Admin Login und Kanzlei-Anlage.
- Kanzlei Admin Einladung und Annahme.
- Teammitglied Einladung.
- Mandant/Geschäftsführer fallbezogen einladen.
- Case-spezifischen Zugriff prüfen.
Security Before Real Data
Operationaler Gate für Montag-Demos, anonymisierte Pilotdaten und spätere Echtdaten-Freigabe. Keine Compliance-Zusage und keine Echtdatenfreigabe ohne vollständige Betreiberbestätigung.
Smoke-Check meldet erforderliche Env-Präsenz ohne Werte.
Anon-Key und Service-Role-Key werden nur als Rollenstatus geprüft, keine Werte werden angezeigt.
Basisdatenmodell und zentrale Tabellen erreichbar.
Bucket `legal-intake` muss existieren und public=false sein.
Kurzlebige Signed URLs für einen harmlosen Probe- oder Dokumentpfad geprüft.
Letzter Probe-Status: OK.
`npm run check:rls` prüft statische Migrationen.
`npm run check:rls:runtime` führt durch die Mandant/Kanzlei-Isolationsprüfung; Ergebnis manuell dokumentieren.
Audit Helper und Events für Upload, Download, CSV Import, Review und Reports vorhanden.
Mail ist non-blocking; letzter Test muss OK oder Fallback dokumentiert sein.
Custom SMTP konfiguriert: Health/Env-Signal prüfen. Rate Limits und Deliverability bleiben manuelle Supabase-Dashboard-Checks.
SPF, DKIM, DMARC sowie Gmail/GMX/Outlook-Test sind vor Pilotbetrieb manuell zu prüfen.
`npm run security:grep` grün im letzten Deploy.
PM2-Logs wurden ohne Secret-/Dokumentinhalt-Fund geprüft.
Interne Real-Pilot-Vorbereitung ist nicht Teil der öffentlichen Demo. Öffentliche Demos verwenden ausschließlich Fiktive Mandanten GmbH und Rechtsanwaltskanzlei Dr. Erich Müller. Status: Security Pending. Keine echten Dokumente hochladen bis Freigabe.
Interne Detailchecklisten sind nur für Betreiber/Owner bestimmt und nicht für öffentliche Demo-Unterlagen.
Vor dem ersten echten Dokument ein harmloses Test-PDF hochladen, Download über `/api/documents/[id]/download` prüfen und Audit-Log sowie Health-Status kontrollieren.
Automatischer App-Level-Test benötigt eine echte Test-Session. Ohne Login wird der manuelle Flow in `docs/REAL_CASE_ONBOARDING.md` verwendet.
Prüfen: `invitation_sent`, `invitation_accepted`, `login`, `case_accessed`, `document_uploaded`, `document_download_requested`. Nur Eventtypen und Zeiten anzeigen, keine Inhalte.
Real Data Ready bleibt blockiert, bis der Plattform-Owner im geschützten Fall den exakten Freigabesatz bestätigt. Die Bestätigung schreibt `confirmed_at`, `confirmed_by`, Checklisteneinträge und Audit-Event `real_data_readiness_confirmed`.