codeanker · axelrindle · Feb 22, 2026 · Feb 12, 2026 · Feb 12, 2026 · Feb 12, 2026
diff --git a/apps/api/email/gliederung-access-request-decision.mjml b/apps/api/email/gliederung-access-request-decision.mjml
@@ -0,0 +1,11 @@
+{{#> layout }}
+
+<mj-text
+  font-size="16px"
+  line-height="1.5"
+>
+  {{#if decision}} Deinem Zugriffsantrag auf die Gliederung {{ gliederung }} wurde zugestimmt. {{else}} Dein
+  Zugriffsantrag auf die Gliederung {{ gliederung }} wurde abgelehnt. {{/if}}
+</mj-text>
+
+{{/layout}}
diff --git a/apps/api/email/gliederung-access-request-info.mjml b/apps/api/email/gliederung-access-request-info.mjml
@@ -0,0 +1,18 @@
+{{#> layout }}
+
+<mj-text
+  font-size="16px"
+  line-height="1.5"
+>
+  {{ name }} hat soeben einen Antrag auf Zugriff auf die Gliederung {{ gliederung }} gestellt. Bitte prüft den Antrag
+  und bestätigt diesen, damit {{ name }} Zugriff auf die Ausschreibungen eurer Gliederung erhält.
+</mj-text>
+
+<mj-text
+  font-size="16px"
+  line-height="1.5"
+>
+  Nutzt für die Bestätigung oder Ablehnung des Antrags bitte folgenden Link: {{ confirmLink }}
+</mj-text>
+
+{{/layout}}
diff --git a/apps/api/prisma/migrations/20260210201607_gliederung_email/migration.sql b/apps/api/prisma/migrations/20260210201607_gliederung_email/migration.sql
@@ -0,0 +1,2 @@
+-- AlterTable
+ALTER TABLE "Gliederung" ADD COLUMN     "email" TEXT;
diff --git a/apps/api/prisma/migrations/20260212170951_gliederung_access_request/migration.sql b/apps/api/prisma/migrations/20260212170951_gliederung_access_request/migration.sql
@@ -0,0 +1,11 @@
+/*
+  Warnings:
+
+  - Added the required column `createdAt` to the `GliederungToAccount` table without a default value. This is not possible if the table is not empty.
+
+*/
+-- AlterTable
+ALTER TABLE "GliederungToAccount" ADD COLUMN     "confirmByGliederungToken" TEXT,
+ADD COLUMN     "confirmedAt" TIMESTAMP(3),
+ADD COLUMN     "confirmedByGliederung" BOOLEAN NOT NULL DEFAULT false,
+ADD COLUMN     "createdAt" TIMESTAMP(3) NOT NULL;
diff --git a/apps/api/prisma/migrations/20260222141132_rename_field_from_email_to_domain/migration.sql b/apps/api/prisma/migrations/20260222141132_rename_field_from_email_to_domain/migration.sql
@@ -0,0 +1,9 @@
+/*
+  Warnings:
+
+  - You are about to drop the column `email` on the `Gliederung` table. All the data in the column will be lost.
+
+*/
+-- AlterTable
+ALTER TABLE "Gliederung" DROP COLUMN "email",
+ADD COLUMN     "domain" TEXT;
diff --git a/apps/api/prisma/schema/Gliederung.prisma b/apps/api/prisma/schema/Gliederung.prisma
@@ -2,6 +2,7 @@ model Gliederung {
   id                   String                @id @default(uuid(7))
   name                 String
   edv                  String                @unique
+  domain               String?
   unterveranstaltungen Unterveranstaltung[]
   personen             Person[]
   GliederungToAccount  GliederungToAccount[]

diff --git a/apps/api/prisma/schema/GliederungToAccount.prisma b/apps/api/prisma/schema/GliederungToAccount.prisma
@@ -6,11 +6,16 @@ enum GliederungAccountRole {
 
 model GliederungToAccount {
   id           Int                   @id @default(autoincrement())
+  createdAt    DateTime
   gliederungId String
   gliederung   Gliederung            @relation(fields: [gliederungId], references: [id], onDelete: Cascade)
   accountId    String
   account      Account               @relation(fields: [accountId], references: [id], onDelete: Cascade)
   role         GliederungAccountRole
 
+  confirmedAt              DateTime?
+  confirmByGliederungToken String?
+  confirmedByGliederung    Boolean   @default(false)
+
   @@unique([gliederungId, accountId])
 }
diff --git a/apps/api/prisma/seeders/anmeldungen.ts b/apps/api/prisma/seeders/anmeldungen.ts
@@ -35,19 +35,24 @@ async function create(prisma: PrismaClient, unterveranstaltung: Unterveranstaltu
     description: 'address created via db seeder',
   })
 
+  // Make sure the email isn't NOT based on the person's name
+  const firstName = faker.person.firstName()
+  const lastName = faker.person.lastName()
+  const mail = faker.internet.email({ firstName, lastName })
+
   const account = await prisma.account.create({
     data: {
-      email: faker.internet.email(),
+      email: mail,
       role: 'USER',
       activatedAt: new Date(),
       status: 'AKTIV',
       person: {
         create: {
-          firstname: faker.person.firstName(),
-          lastname: faker.person.lastName(),
+          firstname: firstName,
+          lastname: lastName,
           birthday: faker.date.birthdate({ min: 12, max: 30, mode: 'age' }),
           gender: faker.helpers.enumValue(Gender),
-          email: faker.internet.email(),
+          email: mail,
           telefon: faker.string.numeric('+49151########'),
           essgewohnheit: faker.helpers.enumValue(Essgewohnheit),
           nahrungsmittelIntoleranzen: faker.helpers.arrayElements(Object.values(NahrungsmittelIntoleranz)),

diff --git a/apps/api/prisma/seeders/gliederungen.ts b/apps/api/prisma/seeders/gliederungen.ts
diff --git a/apps/api/src/authentication.ts b/apps/api/src/authentication.ts
@@ -18,12 +18,17 @@ export const { getEntityIdFromHeader, authenticationLogin, sign } = createAuthen
         activationToken: true,
       },
     })
-    if (account === null) throw new Error('Es konnte kein Account gefunden werden.')
-    if (account.activationToken !== null)
-      throw new Error('Account noch nicht bestätigt, bitte bestätige deine E-Mail-Adresse.')
-    if (account.status !== 'AKTIV')
-      throw new Error('Dein Account ist noch nicht von einem Administrator freigeschaltet worden.')
-    if (account.password === null) throw new Error('Account has no password')
+
+    if (account === null) {
+      throw new Error('Es konnte kein Account gefunden werden.')
+    }
+    if (account.status !== 'AKTIV') {
+      throw new Error('Dein Account ist nicht aktiviert. Bitte prüfe dein E-Mail Postfach, ob du den Account noch aktivieren musst. Wende dich ansonsten an deine Gliederung.')
+    }
+    if (account.password === null) {
+      throw new Error('Der Account hat kein Passwort, wahrscheinlich hast du dich über das ISC angemeldet.')
+    }
+
     return {
       id: account.id,
       password: account.password,

diff --git a/apps/api/src/cli/inquireGenerateService.ts b/apps/api/src/cli/inquireGenerateService.ts
@@ -1,5 +1,4 @@
 /* eslint-disable @typescript-eslint/no-unsafe-argument */
-/* eslint-disable @typescript-eslint/no-unsafe-assignment */
 /* eslint-disable @typescript-eslint/no-unsafe-member-access */
 import inquirer from 'inquirer'
 

diff --git a/apps/api/src/config.ts b/apps/api/src/config.ts
@@ -5,6 +5,7 @@ import type { StringValue } from '@codeanker/authentication'
 import { FileProvider } from '@prisma/client'
 import config from 'config'
 import { z } from 'zod'
+import { zEmptyStringAsUndefined } from './util/zod.js'
 
 const __filename = fileURLToPath(import.meta.url)
 const __dirname = path.dirname(__filename)
@@ -37,16 +38,7 @@ export const configSchema = z.strictObject({
     dlrg: z.strictObject({
       issuer: z.string().url(),
       clientId: z.string(),
-      clientSecret: z
-        .string()
-        .optional()
-        .transform((v) => {
-          const trimmed = v?.trim()
-          if (trimmed === undefined || trimmed.length === 0) {
-            return undefined
-          }
-          return trimmed
-        }),
+      clientSecret: z.string().optional().transform(zEmptyStringAsUndefined),
       allowInsecure: z.coerce.boolean(),
     }),
   }),

diff --git a/apps/api/src/context.ts b/apps/api/src/context.ts
@@ -1,4 +1,3 @@
-import type { Account } from '@prisma/client'
 import type { FetchCreateContextFnOptions } from '@trpc/server/adapters/fetch'
 import { getEntityIdFromHeader } from './authentication.js'
 import { logger } from './logger.js'
@@ -12,6 +11,33 @@ function getAuthorizationHeader(headers: FetchCreateContextFnOptions['req']['hea
   }
 }
 
+function getAccountById(accountId: string) {
+  return prisma.account.findFirst({
+    where: {
+      id: accountId,
+    },
+    select: {
+      id: true,
+      activatedAt: true,
+      email: true,
+      role: true,
+      status: true,
+      GliederungToAccount: {
+        select: {
+          confirmedByGliederung: true,
+          role: true,
+        },
+      },
+      person: {
+        select: {
+          firstname: true,
+          lastname: true,
+        },
+      },
+    },
+  })
+}
+
 export async function createContext({ req }: FetchCreateContextFnOptions): Promise<Context> {
   try {
     const authorization = getAuthorizationHeader(req.headers)
@@ -26,11 +52,7 @@ export async function createContext({ req }: FetchCreateContextFnOptions): Promi
       }
     }
 
-    const account = await prisma.account.findFirst({
-      where: {
-        id: accountId,
-      },
-    })
+    const account = await getAccountById(accountId)
 
     if (account === null) {
       return {
@@ -64,7 +86,7 @@ type AuthContext =
   | {
       authenticated: true
       accountId: string
-      account: Account
+      account: NonNullable<Awaited<ReturnType<typeof getAccountById>>>
     }
 
 export type Context = AuthContext
diff --git a/apps/api/src/services/access/access.createForGliederung.ts b/apps/api/src/services/access/access.createForGliederung.ts
@@ -0,0 +1,68 @@
+import { z } from 'zod'
+import { defineProtectedMutateProcedure } from '../../types/defineProcedure.js'
+import prisma from '../../prisma.js'
+
+export const createAccessForGliederungProcedure = defineProtectedMutateProcedure({
+  key: 'createForGliederung',
+  roleIds: ['ADMIN'],
+  inputSchema: z.strictObject({
+    accountId: z.string().uuid(),
+    gliederungId: z.string().uuid(),
+  }),
+  handler: async ({ ctx, input }) => {
+    await prisma.$transaction(async (tx) => {
+      const record = await tx.gliederungToAccount.create({
+        data: {
+          createdAt: new Date(),
+          confirmedAt: new Date(),
+          confirmedByGliederung: true,
+          role: 'DELEGATIONSLEITER',
+          gliederungId: input.gliederungId,
+          accountId: input.accountId,
+        },
+        select: {
+          id: true,
+          account: {
+            select: {
+              email: true,
+              person: {
+                select: {
+                  firstname: true,
+                  lastname: true,
+                },
+              },
+            },
+          },
+          gliederung: {
+            select: {
+              name: true,
+            },
+          },
+        },
+      })
+      await tx.account.update({
+        where: {
+          id: input.accountId,
+        },
+        data: {
+          role: 'GLIEDERUNG_ADMIN',
+        },
+      })
+
+      const description = `
+      Der Account von ${record.account.person.firstname} ${record.account.person.lastname} (${record.account.email}) hat
+      jetzt Zugriff auf die Gliederung ${record.gliederung.name}
+      `
+      await tx.activity.create({
+        data: {
+          type: 'CREATE',
+          subjectType: 'gliederungtoaccount',
+          subjectId: `${record.id}`,
+          causerId: ctx.accountId,
+          createdAt: new Date(),
+          description,
+        },
+      })
+    })
+  },
+})
Original file line number	Diff line number	Diff line change
		@@ -0,0 +1,2 @@
		-- AlterTable
		ALTER TABLE "Gliederung" ADD COLUMN "email" TEXT;