Zum Hauptinhalt springen
Die gesamte Konfiguration erfolgt über Environment-Variablen in der .env-Datei. Kopiere .env.example nach .env und fülle deine Werte ein.

Domain-Konfiguration

VariablePflichtStandardBeschreibung
HOSTJatale.localHostname ohne Protokoll (wird für Docker-Netzwerk und E-Mails genutzt).
SITE_URLJahttps://tale.localvollständige kanonische URL mit Protokoll (für externe Links und Auth-Callbacks).
BASE_PATHNeinBasis-Pfad für Subpath-Deployments (z. B. /app). Leer lassen bei Root-Deployments.
SITE_URL muss der URL entsprechen, die Nutzer im Browser aufrufen, inklusive nicht-standardmäßiger Ports (z. B. https://example.com:8443).

TLS/SSL

VariablePflichtStandardBeschreibung
TLS_MODENeinselfsignedZertifikatsverwaltung: selfsigned, letsencrypt oder external.
TLS_EMAILNeinE-Mail für Let’s-Encrypt-Benachrichtigungen (für Produktion empfohlen).
  • selfsigned: selbstsignierte Zertifikate für Entwicklung. Browser zeigt eine Warnung.
  • letsencrypt: kostenlose vertrauenswürdige Zertifikate von Let’s Encrypt. Benötigt eine gültige öffentliche Domain und die Ports 80/443 offen.
  • external: TLS wird vom externen Reverse-Proxy erledigt. Caddy lauscht nur auf HTTP.

Sicherheits-Secrets

VariablePflichtBeschreibung
BETTER_AUTH_SECRETJaSignatur-Schlüssel für Auth-Sessions. Erzeugen mit: openssl rand -base64 32.
ENCRYPTION_SECRET_HEXJaVerschlüsselungsschlüssel für sensible Daten. Erzeugen mit: openssl rand -hex 32.
INSTANCE_SECRETNeinConvex-Instanz-Secret. Erzeugen mit: openssl rand -hex 32.
Wichtig: .env.example enthält Beispiel-Secrets. Diese musst du vor dem Start durch eigene Werte ersetzen, auch in der lokalen Entwicklung.

KI-Anbieter

Die Anbieter-Konfiguration (API-Schlüssel, Base-URLs, Modelle) erfolgt über Dateien im Verzeichnis providers/, nicht über Environment-Variablen. Siehe Seite Einstellungen > Anbieter in der Management-UI oder bearbeite die Anbieter-JSON-Dateien direkt.
  • providers/<name>.json — öffentliche Konfiguration (Base-URL, Modelle, Tags).
  • providers/<name>.secrets.json — SOPS-verschlüsselte API-Schlüssel (automatisch von tale init erzeugt).

Datenbank

VariablePflichtStandardBeschreibung
DB_PASSWORDJaPasswort für die mitgelieferte PostgreSQL-Datenbank.
POSTGRES_URLNeinÜberschreibt die automatisch erzeugte DB-Connection-URL. Falls nicht gesetzt, wird sie als postgresql://tale:${DB_PASSWORD}@db:5432 gebildet.
RAG_DATABASE_URLNeinÜberschreibt die DB-URL für den RAG-Dienst (muss den DB-Namen enthalten, z. B. postgresql://...host/tale_knowledge).
CRAWLER_DATABASE_URLNeinÜberschreibt die DB-URL für den Crawler-Dienst (muss den DB-Namen enthalten, z. B. postgresql://...host/tale_knowledge).
Zum Einsatz einer externen PostgreSQL-Instanz statt des mitgelieferten Containers siehe Externe Datenbank nutzen.

Error-Tracking

VariablePflichtStandardBeschreibung
SENTRY_DSNNeinSentry-DSN für Error-Tracking. Kompatibel mit GlitchTip und Bugsink.
Falls nicht gesetzt, ist Error-Tracking deaktiviert und Fehler erscheinen nur in Docker-Logs.

Monitoring

VariablePflichtStandardBeschreibung
METRICS_BEARER_TOKENNeinBearer-Token für externen Zugriff auf Prometheus-Metriken.
Wenn leer, liefern alle /metrics/*-Endpoints 401. Siehe Operations für Endpoint-Details.

Dienst-URLs

In Docker Compose automatisch gesetzt, lassen sich aber für eigene Setups überschreiben:
VariableStandardBeschreibung
CRAWLER_URLhttp://crawler:8002Crawler-Dienst für Website-Crawling.
RAG_URLhttp://rag:8001RAG-Dienst für Dokumenten-Indizierung und -Suche.

Docker-Deployment

VariablePflichtStandardBeschreibung
PULL_POLICYNeinAuf always setzen, um vorgebaute Images von GitHub zu nutzen.
VERSIONNeinImage-Version-Tag (z. B. latest, v1.0.0). Genutzt mit PULL_POLICY=always.

Microsoft Entra ID SSO

Diese Variablen sind nur nötig, wenn du SSO über Environment-Variablen konfigurierst statt über die In-App-UI Einstellungen > Integrationen.
VariablePflichtBeschreibung
AUTH_MICROSOFT_ENTRA_ID_IDNeinMicrosoft-Entra-ID-Application (Client) ID.
AUTH_MICROSOFT_ENTRA_ID_SECRETNeinMicrosoft-Entra-ID-Client-Secret.
AUTH_MICROSOFT_ENTRA_ID_TENANT_IDNeinMicrosoft-Entra-ID-Tenant-ID.

Trusted-Headers-Authentifizierung

VariablePflichtBeschreibung
TRUSTED_HEADERS_ENABLEDNeinAuf true setzen, um Trusted-Headers-Auth zu aktivieren.
TRUSTED_HEADERS_INTERNAL_SECRETNeinGemeinsames Secret zur Prüfung von Trusted-Header-Requests (Defense-in-Depth).
TRUSTED_EMAIL_HEADERNeinHeader-Name für die E-Mail des Nutzers (Standard: Remote-Email).
TRUSTED_NAME_HEADERNeinHeader-Name für den Anzeigenamen des Nutzers (Standard: Remote-Name).
TRUSTED_ROLE_HEADERNeinHeader-Name für die Rolle des Nutzers (Standard: Remote-Role).
TRUSTED_TEAMS_HEADERNeinHeader-Name für die Teams des Nutzers (Standard: Remote-Teams).
Siehe die Authentifizierungs-Anleitung für Details zur Konfiguration von Trusted Headers.
Last modified on April 19, 2026