„Schritt – für – Schritt“ Anleitung
M 365 Integration
Es wird für die Kommunikation die API von M365 genutzt. Für die Nutzungsmöglichkeit führen Sie nachfolgend beschriebene Schritte aus.
App-Registrierung
Melden Sie sich am Azur Admin Center anfügen Sie eine neue App-Registrierung über „App-Registrierung-Neue Registrierung“ hinzu.
Vergeben Sie einen Namen und achten Sie darauf, dass die Option „Nur Konten in diesem Organisationsverzeichnis…“ aktiviert ist.
Nach diesem Schritt bestätigen Sie die Registrierung der Anwendung.
API-Berechtigungen
Nachdem die Anwendung registriert wurde, müssen für die von venabo genutzten Bereiche Berechtigungen vergeben werden. Wählen Sie dazu unter App-Registrierung die vorher angelegte Registrierung aus.
Es werden Berechtigungen für „Microsoft Graph“ und „Office 365 Exchange Online“ benötigt. Über den Button „Berechtigung hinzufügen“ können die Berechtigungen nach Auswahl des Bereiches hinzugefügt werden. Fügen Sie die Berechtigungen je nach Bedarf hinzu.
Hinweis: Wenn Sie M365 nur für den Austausch von Mails verwenden möchten, müssen Sie lediglich die Rechte der Spalte „Nur Mails“ vergeben.
Berechtigungen für Microsoft Graph
Es werden zwei Arten von Berechtigungen benötigt (Delegierte Berechtigungen und Anwendungsberechtigungen).
| Anwendungsberechtigungen (6 Berechtigungen): | |
| Berechtigung | |
| Calendars.ReadWrite | |
| CallRecords.Read.All | |
| Group.Read.All | |
| User.Read.All | |
| CallRecords.Read.All | |
| CrossTenantInformation.ReadBasic.All | |
| Delegierte Berechtigungen (10 Berechtigungen) | |
| Berechtigung | |
| ChannelMessage.Read.All | |
| ChannelMessage.Send | |
| Chat.Create | |
| Chat.ReadWrite | |
| ChatMessage.Read | |
| ChatMessage.Send | |
| GroupMember.Read.All | |
| IMAP.AccessAsUser.All | |
| offline_access | |
| SMTP.Send | |
Zustimmung für die Berechtigungen
Abschließend muss der Vergabe der Berechtigung noch zugestimmt werden. Das erfolgt in zwei Bereichen.
Administratorzustimmung
Erteilen Sie die Zustimmung über die Schaltfläche „Administratorzustimmung für „xxx“ erteilen.
Unternehmensanwendung
Klicken Sie auf den Link „Unternehmensanwendungen“ im unteren Bereich der API-Berechtigungen und klicken Sie ebenfalls auf die Schaltfläche „Administratorzustimmung für „xxx“. Nach erfolgreicher Anmeldung bestätigen Sie den Dialog mit „Akzeptieren“.
Web – Authentifizierung
Wählen Sie erneut über das Azure-Directory die vorher angelegte App-Registrierung aus. Über den Menüpunkt „Authentifizierung“ fügen Sie mit der Schaltfläche „Plattform hinzufügen“ eine neue Authentifizierung hinzu.
Achten Sie darauf, dass Sie als Webanwendung „Web“ auswählen.
Für die Konfiguration der Anwendung sind die Angaben „Umleitungs-URIs“ und „URL für Front-Channel-Abmeldung“ erforderlich. Achten Sie darauf, dass Sie Ihre Server-Adresse verwenden.
Umleitungs-URIs: https://IHRSERVER.venabo.cloud/microsoft_sso
URL für Front-Channel-Abmeldung: https://IHRSERVER.venabo.cloud/logout
Hinterlegen Sie die Angaben und achten Sie zusätzlich darauf, dass die Optionen „Zugriffstoken (werden für implizite Flows verwendet)“ und „ID-Token (werden für implizite und Hybridflows verwendet)“ aktiviert sind.
Ergänzen Sie die Umleitungs-URI um nachfolgende Angaben.
https://IHRSERVER.venabo.cloud/oauth/azure_system_user
https://IHRSERVER.venabo.cloud/oauth/azure_process_user
https://IHRSERVER.venabo.cloud/oauth/azure_ticket_user
https://IHRSERVER.venabo.cloud/oauth/azure_smtp_user
Zertifikate und Geheimnisse
Zur Kommunikation wird ein „Geheimer Clientschlüssel“ benötigt. Dieser kann für die App-Registrierung unter „Zertifikate & Geheimnisse“ angelegt werden.
Vergeben Sie einen beliebigen Namen und wählen Sie eine Gültigkeit von 24 Monaten aus.
ACHTUNG!
Nach der Anlage wird Ihnen der Schlüssel nur einmal angezeigt. Kopieren Sie den Schlüssel aus dem Feld „Wert“. Dieser wird später in den nachfolgenden Schritten benötigt.
Sollten Sie den Schlüssel nicht kopiert haben, müssen Sie diesen Schritt wiederholen.
– Einrichtung in venabo –
Öffnen Sie unter Verwaltung die Systemkonfiguration und wählen den Reiter „Microsoft 365“ aus.
Fügen Sie den vorher kopierten Schlüssel in das Feld „Client Secret“ ein.
Die Client-ID finden Sie in der App-Registrierung im Azure Admin Center unter Übersicht.
Kopieren Sie diesen Schlüssel und fügen Sie diesen in das Feld „Client ID“ ein.
Zusätzlich müssen noch weitere Endpunkte hinterlegt werden. Diese finden Sie ebenfalls in der App-Registrierung unter Endpunkte.
Kopieren Sie einfach den Endpunkt und fügen diesen an der entsprechenden Stelle in der Systemkonfiguration ein.
Venabo Endpunkt Microsoft
Token-Endpunkt OAuth 2.0 Token-Endpunkt (v2)
Authentifizierungsendpunkt OAuth
2.0 Autorisierungsendpunkt (v2)
OpenID-Endpunkt OpenID Connect-Metadatendokument
Endpunkte Microsoft 365
Nehmen Sie die folgenden Endpunkte:
… und fügen diese in venabo ein unter:
Senden und Empfang von Mails
Öffnen Sie unter Verwaltung die Systemkonfiguration und wählen den Reiter „EMail“ und oder bzw. „Ticket“.
Aktivieren Sie die Option „Office 365 Auth“ und wählen Sie dann die Schaltfläche „Speichern“ aus. Erst nach erfolgreichem Speichern können Sie den Azure Benutzer hinterlegen.
Klicken Sie dazu auf den Link und melden sich mit dem Benutzer an, dem das Postfach gehört.
Wiederholen Sie diesen Schritt auch für „Ticket“.
Teams/Kalenderabgleich
Für die Nutzung von Teams und den Kalenderabgleich muss ein Azure-Systembenutzer für den Abgleich hinterlegt werden. Öffnen Sie dazu unter Verwaltung die Systemkonfiguration und wählen Sie den Reiter „Microsoft 365“ aus.
Über den Link „Azure Systembenutzer festlegen“ können Sie wie auch unter „Senden und Empfangen von Mails“ beschrieben einen Benutzer hinterlegen.
Die Systemkonfiguration ist abgeschlossen. Detailinformationen zu den einzelnen Funktionen finden Sie hier in unserer Hilfe.
API-Berechtigungen
Azure-AD-Connect zur Synchronisation
Anmeldung können fehlschlagen, wenn die Active Directory Federation Services (ADFS) und Web Application Proxy (WAP)- Dienste anders genutzt werden.
Das erfordert bei den Microsoft Graph Berechtigungen zusätzliche API-Berechtigungen (Task Read, TaskReadWrite) sowie weitere ADFS / Azure Konfigurationen.