CCA-Hosting Architecture
🤖 Generated with Claude Code
Co-Authored-By: Claude (noreply@anthropic.com)
Overview​
CCA-Hosting = Interner Überbegriff für zwei gehostete Produkte:
| Produkt | Komponenten | SQL Server | VPN | Zielgruppe |
|---|---|---|---|---|
| CCA-Cloud Edition | CCA-Online + DB | SQL01 | Nein | Kunden ohne eigene Infrastruktur |
| CCA-Host-It | CCA-Online + DB + CCA9 | SQL02 | Ja | Kunden mit Desktop-Anforderungen |
System Context​
Applications​
CCA-Online​
| Aspekt | Details |
|---|---|
| Typ | ASP.NET Web-Applikation |
| Mandanten | Eine Instanz pro Kunde |
| Auth (Cloud Edition) | SQL-Login + SMS-Code |
| Auth (Host-It) | TOGETHER SSO (Passkey, ID-Austria) |
CCA9 Desktop​
| Aspekt | Details |
|---|---|
| Typ | Windows Desktop-Applikation |
| Verfügbarkeit | Nur CCA-Host-It |
| Verbindung | OpenVPN → SQL Server |
| Auth | TOGETHER SSO via CCA-Online |
Connection Flow:
- User startet CCA9
- OpenVPN-Verbindung zu
access.my.cca.online - TOGETHER SSO via CCA-Online
- CCA-Online liefert Connection String (User kennt Passwort nicht)
- CCA9 verbindet zu SQL Server
OMDSmanager​
| Aspekt | Details |
|---|---|
| Typ | ASP.NET Web-Applikation |
| Zweck | OMDS-Datenabgleich (Österreichischer Makler Datensatz) |
Integrations​
Microsoft 365​
| Dienst | API | Funktion |
|---|---|---|
| SharePoint | Graph API | Dokumentenablage (Polizzen, Korrespondenz, Scans) |
| Exchange | Graph API / EWS | E-Mail Import/Export, Kalender, Aufgaben |
Auth: OAuth2 via TOGETHER-IdP + RSA Site-Key → EntraId Federation → Graph API
TOGETHER Platform​
| Dienst | Funktion |
|---|---|
| Identity Provider | SSO für Host-It Kunden (Passkey, ID-Austria) |
| Tarifrechner | Tarifberechnung für Versicherungsprodukte |
Data Architecture​
- Eine Datenbank pro Kunde (vollständige Mandantentrennung)
- SQL-Authentifizierung mit randomisierten Passwörtern
- Kunden haben keinen direkten DB-Zugriff (außer Host-It via VPN)
Security Boundaries​
| Zone | Zugang | Beschreibung |
|---|---|---|
| DMZ | Internet (HTTPS) | WAF filtert Traffic |
| VPN | Authentifizierte Clients | Nur für Host-It Kunden |
| APP | Nur intern | Webserver nicht direkt erreichbar |
| DB | Nur von APP + VPN (SQL02) | SQL01 bewusst ohne VPN-Zugang |
Wichtig: SQL01 (Cloud Edition) ist bewusst NICHT über VPN erreichbar - Sicherheitsbarriere für Kunden mit schwächerer Auth.
Related Documentation​
| Dokument | Inhalt |
|---|---|
| INFRASTRUCTURE.md | Azure Resources, Netzwerk-Topologie |
| DECISIONS.md | Architecture Decision Records |
| TOGETHER-Login Setup (PDF) | Auth-Flows für CCAOnline + CCA9 |
| Betriebskonzept (cca.cca-hosting-docs) | Sizing, Backup, DR, Monitoring, Prozesse |