# Teamviev AD Hook

Teamviev bleibt standardmaessig ohne Login benutzbar. Fuer Active Directory oder SSO ist ein Hook vorbereitet.

## Standardbetrieb

- Ohne AD/SSO ist `auth.mode` gleich `anonymous`.
- Session-IDs, Chat, Bildschirmfreigabe und Zuschauer bleiben wie bisher nutzbar.
- Sender-Aktionen werden trotzdem ueber einen lokalen Host-Token geschuetzt.

## AD/SSO-Betrieb

Die API erkennt serverseitig folgende Variablen:

- `REMOTE_USER`
- `AUTH_USER`
- `LOGON_USER`

Diese werden typischerweise von IIS, Apache, Reverse Proxy oder einem SSO-Gateway gesetzt.

## Proxy-Header

Header wie `X-Auth-User` sind bewusst standardmaessig aus. Sie duerfen nur verwendet werden, wenn ein vertrauenswuerdiger Reverse Proxy davor steht und externe Clients diese Header nicht selbst setzen koennen.

Aktivierung im PHP-Kontext:

```php
define('TEAMVIEV_TRUST_PROXY_AUTH', true);
```

Danach werden zusaetzlich erkannt:

- `X-Auth-User`
- `X-Forwarded-User`
- `Remote-User`

## Naechste Ausbaustufe

- AD-Gruppe `Teamviev-Sender` darf Sessions starten.
- AD-Gruppe `Teamviev-Admin` darf Audit und Health sehen.
- MFA am SSO-Gateway erzwingen.
- Host-Token bleibt trotzdem aktiv, damit ein Zuschauer nicht Sender-Aktionen ausfuehren kann.