身為金融客戶的 IT 主管 / 交付工程師,我希望平台首次安裝後 30 分鐘內可以開好第一個 Admin 帳號並設定符合金融業 baseline 的密碼安全策略,以便後續團隊可以登入而不擔心金管會稽核時被質疑。
EN01 Epic 的 root:沒 Admin 沒人能進、沒 password policy 不通過金融業 baseline。Bootstrap 是金融客戶對產品的第一個 30 秒判斷點 — 卡住 = 簽約失敗。密碼策略是金管會稽核員必問三項之一(強度 / 鎖定 / 過期),後續所有需要密碼的流程(user 建立、改密、解鎖)都依賴這層存在。
auth capability:bootstrap 流程 + 密碼強度策略 + 鎖定機制 + 密碼到期 + Admin 緊急解鎖audit-log capability:append-only 寫入介面 + 身分動作事件 schema + 不可竄改保留Primary Capability: auth
Issue Title: 平台 bootstrap + 密碼安全策略
auth (new)audit-log (new)add-login-session)add-rbac)add-user-management)add-api-keys)add-sso)add-portal-shell)openspec/specs/auth/spec.md(首次出現)openspec/specs/audit-log/spec.md(首次出現)docs/product-guide/auth.md(首次出現)docs/product-guide/audit-log.md(首次出現)docs/journeys/S01-1-bootstrap.md(首次出現)docs/journeys/S01-7-security-policy.md(首次出現)docs/wireframes/add-auth-foundation/(4 頁:bootstrap / security-policy / change-password / locked)