Toute la configuration se fait via des variables d’environnement.
| Variable | Requis | Défaut | Description |
|---|
BASE_URL | ✅ | — | URL publique de l’instance Taco (ex. https://taco.example.com) |
BETTER_AUTH_SECRET | ✅ | — | Secret aléatoire de 32 octets pour signer les sessions. Générer avec npm run auth:secret |
PLAN_TIER | — | lite | lite, team ou business. Intégré à l’image Docker au moment du build |
| Variable | Requis | Défaut | Description |
|---|
DATABASE_URL | ✅ | — | Chaîne de connexion PostgreSQL (ex. pgsql://user:pass@host:5432/taco) |
DATABASE_DIALECT | — | postgresql | Dialecte de base de données. Seul postgresql est pris en charge |
DATABASE_CLIENT | — | postgresql | Client de base de données. Seul postgresql est pris en charge |
| Variable | Requis | Défaut | Description |
|---|
EMAIL_FROM | ✅ | — | Adresse d’expéditeur (ex. Taco <noreply@example.com>) |
EMAIL_SERVER | ✅ | — | Chaîne de connexion SMTP (ex. smtps://user:pass@smtp.example.com) |
Protège le tableau de bord Taco lui-même derrière un fournisseur OIDC en amont.
| Variable | Requis | Défaut | Description |
|---|
AUTH_CLIENT_OPENID_CONFIGURATION_URL | — | — | URL de découverte du fournisseur OIDC en amont |
AUTH_CLIENT_ID | — | — | Client ID OIDC pour la connexion propre à Taco |
AUTH_CLIENT_SECRET | — | — | Secret client OIDC |
AUTH_CLIENT_SCOPE | — | openid profile email | Scopes demandés |
| Variable | Requis | Défaut | Description |
|---|
OPENID_PROVIDER | ✅ | — | Backend de provisionnement : ory, auth0, entra ou rfc7592 |
Identifiants génériques utilisés par Taco pour appeler l’API de gestion du fournisseur sélectionné. Non nécessaires pour Auth0 ou Entra ID, qui utilisent leurs propres variables spécifiques (voir ci-dessous).
| Variable | Requis | Défaut | Description |
|---|
OPENID_PROVIDER_AUTH_TYPE | — | — | none ou client_credentials |
OPENID_PROVIDER_AUTH_ISSUER | si client_credentials | — | Émetteur du endpoint de token pour obtenir les jetons admin |
OPENID_PROVIDER_AUTH_CLIENT_ID | si client_credentials | — | Client ID admin |
OPENID_PROVIDER_AUTH_CLIENT_SECRET | si client_credentials | — | Secret client admin |
OPENID_PROVIDER_AUTH_TOKEN_METHOD | — | client_secret_post | client_secret_post ou client_secret_basic |
OPENID_PROVIDER_AUTH_SCOPE | — | — | Scope demandé pour le jeton d’accès admin |
OPENID_PROVIDER_AUTH_AUDIENCE | — | — | Audience demandée pour le jeton d’accès admin |
| Variable | Requis | Défaut | Description |
|---|
ORY_BASE_URL | ✅ | — | URL de base de l’Admin API Hydra (ex. http://localhost:4445) |
| Variable | Requis | Défaut | Description |
|---|
AUTH0_DOMAIN | ✅ | — | Domaine de votre tenant Auth0 (ex. your-tenant.auth0.com) |
Utilise OPENID_PROVIDER_AUTH_CLIENT_ID / OPENID_PROVIDER_AUTH_CLIENT_SECRET ci-dessus comme identifiants de l’application M2M de la Management API.
| Variable | Requis | Défaut | Description |
|---|
ENTRA_TENANT_ID | ✅ | — | ID du tenant (répertoire) |
ENTRA_CLIENT_ID | ✅ | — | Application (client) ID de l’app registration utilisée par Taco pour Microsoft Graph |
ENTRA_CLIENT_SECRET | ✅ | — | Secret client de cette app registration |
ENTRA_SIGN_IN_AUDIENCE | — | AzureADMyOrg | AzureADMyOrg, AzureADMultipleOrgs ou AzureADandPersonalMicrosoftAccount |
| Variable | Requis | Défaut | Description |
|---|
RFC7592_BASE_URL | ✅ | — | URL de base du serveur d’autorisation. Taco utilise {RFC7592_BASE_URL}/register comme endpoint d’enregistrement |
| Variable | Requis | Défaut | Description |
|---|
STATS_CRON_SECRET | ✅ | — | Jeton porteur requis par POST /api/cron/aggregation |
STATS_AGGREGATION_INTERVAL_MINUTES | — | 1440 | Niveau Business uniquement — intervalle d’agrégation en minutes |
STATS_WEBHOOK_SECRET | — | — | Optionnel — valide les payloads entrants vers /api/events/ingest |