1. Home
  2. Administration
  3. Systemeinstellungen
  4. Konfigurationen der Azure AD für Single Sign-on, Mail-Crawler und Kalendersynchronisierungen
  1. Home
  2. Administration
  3. Konfigurationen der Azure AD für Single Sign-on, Mail-Crawler und Kalendersynchronisierungen
Searching...

Konfigurationen der Azure AD für Single Sign-on, Mail-Crawler und Kalendersynchronisierungen

Inhalte

In diesem Dokument werden die Notwendigen Schritte zur Einrichtung des Azure AD Logins für Tesseron aufgeführt.

App-Registrierung in https://portal.azure.com/ 

Von der Startseite aus müssen wir von Azure Active Directory auf den App-Registrierung Reiter. Auf der App-Registrierung können wir die Option „Neue Registrierung“ auswählen.
Dort werden wir in einen Wizard weitergeleitet, der wie folgt ausgefüllt werden muss.

Wichtig in diesem Punkt ist die Umleitungs-URI.
Sie setzt sich aus https://{instanzUrl}/Auth/signin-oidc zusammen und beachtet Groß/Kleinschreibung. Daher müssen die folgenden beiden Links angegeben werden:

  • https://{instanzUrl}/Auth/signin-oidc
  • https://{instanzUrl}/auth/signin-oidc
  • https://{instanzUrl}/Auth/signin-mail
  • https://{instanzUrl}/auth/signin-mail

Bitte ersetzen Sie {instanzURL} mit der URL Ihrer Tesseron Instanz.

Nach erfolgreicher Anlage werden wir auf das Dashboard der App weitergeleitet.

Authentifizierungseinstellungen

Vom App-Dashboard aus muss links der Menüpunkt „Authentifizierung“ ausgewählt werden.
Hier kann bei bedarf auch nochmal die Umleitungs-URI angepasst werden.

Unter der Überschrift Implizite Genehmigung und Hybridflows folgende Checkboxen angehakt werden.

  • Zugriffstoken (werden für implizite Flows verwendet)
  • ID-Token (werden für implizite und Hybridflows verwendet)

Die Einstellungsseite sollte dann folgendermaßen aussehen:

Autorisierung Informationen für Tesseron

Tesseron benötigt drei Informationen von der App, diese findet man über das Dashboard der App.

  1. Anwendungs-ID (Client)
    Die kann wird auf dem Dashboard direkt angezeigt (siehe Bild, Punkt 1)
  2. OpenID Connect-Metadatendokument
    Die Url für das Metadatendokument können wir über Endpunkte einblenden. (siehe Bild, Punkt 2)
  3. OAuth 2.0 Autoritätsendpunkt
    Der Authoritätsenpunkt wird leider nicht direkt angezeigt, kann aber aus dem Feld OAuth 2.0-Autorisierungsendpunkt (v2)
    entnommen werden indem der Part „/authorize“ entfernt wird. (siehe Bild, Punkt 3)

Nachdem die Informationen ins Tesseron übertragen wurden können sich Interne Benutzer über Azure AD Anmelden.

Desktopflows aktivieren

Vom App-Dashboard aus muss rechts der Menüpunkt „Authentifizierung“ ausgewählt werden. Von dort aus müssen Sie zur Sektion „Erweiterte Einstellungen“ runter scrollen.

Hier muss die Option „Desktopflows aktivieren“ aktiviert werden.

Anwendungsrechte erlauben

Vom App-Dashboard aus muss rechts der Menüpunkt API-Berechtigungen ausgewählt werden.

Unter „+ Berechtigung Hinzufügen“ muss nun „Microsoft Graph API“ ausgewählt werden. Wählen Sie daraufhin „Delegierte Berechtigungen“. Aus dieser Liste werden die folgenden Rechte benötigt:

  • Verwendung der Kalenderfunktionen im Ticket
    • Calendars.Read
    • Calendars.Read.Shared
    • Calendars.ReadBasic
    • Calendars.ReadBasic.All
    • Calendars.ReadWrite
    • Place.Read.All (benötigt eine Administratorzustimmung)
  • Verwendung der Statusanzeige von Benutzern
    • Presence.Read
    • Presence.Read.All
    • User.Read
    • User.ReadBasic.All

Für die Verwendung des Mail-Crawlers über IMAP müssen die folgenden delegierten Berechtigungen hinzugefügt werden:

  • EWS.AccessAsUser.All
  • IMAP.AccessAsUser.All
  • Mail.Read
  • Mail.ReadBasic
  • Mail.ReadBasic.All
  • Mail.ReadWrite
  • Mail.Send

Für die Verwendung des Mail-Crawlers über die Microsoft Graph API müssen die folgenden Anwendungsberechtigungen hinzugefügt werden:

  • Mail.Read
  • Mail.ReadBasic
  • Mail.ReadBasic.All
  • Mail.ReadWrite
  • Mail.Send

Die Tabelle sollte anschließend wie folgt aussehen.

Geheimen Schlüssel konfigurieren

Vom App-Dashboard aus muss links der Menüpunkt „Zertifikate & Geheimnisse“ ausgewählt werden. Anschließend muss auf den Tab „Geheime Clientschlüssel“ navigiert werden. Daraufhin müssen Sie dem Wizard von „Neuer geheimer Clientschlüssel“ folgen. Anschließend sollte der neue Schlüssel wie folgt in der Tabelle angezeigt werden:

Achtung! Der „Wert“ wird nur während der Erstellung angezeigt.

Der geheime Clientschlüssel muss vor Ablauf seiner Gültigkeit manuell erneuert werden, da sonst die Authentifizierung via Single Sign-On nicht mehr funktioniert.

Tesseron Konfiguration anpassen

Die Konfiguration kann nur über den Administrator Account angepasst werden. Um auf die Einstellungsseite hierfür zu gelangen, navigieren Sie in den System Einstellungen auf Anmeldungen & Sicherheit. Daraufhin muss der Clientschlüssel in Tesseron unter Anwendungs-Schlüssel hinterlegt werden. Zusätzlich muss auch die Service Integration aktiviert werden.

Administrative Einwilligung

Der Auth Service benötigt die Profil Informationen des Benutzers, daher werden Benutzer bei der erstmaligen Anmeldung aufgefordert, die Berichtigung dieser Informationen zu erteilen.

Administratoren können diese Einwilligung auch Unternehmensweit erteilen.
Vom App-Dashboard aus muss rechts der Menüpunkt API-Berechtigungen ausgewählt werden. Dort gibt es die Option Administratorzustimmung für „Name des Unternehmens“ erteilen

Updated on 17. Oktober 2024
Was this article helpful?
Yes No

Related Articles

Leave a Comment