OAuth2

Ein OAuth2-Anbieter kann bei E-Mail-Konten für IMAP sowie Microsoft Exchange Online und bei Online-Besprechungen mit Microsoft Teams für den Einsatz der jeweiligen Funktionen angelegt werden.

• Beide Anwendungen sind im Microsoft Azure-Portal zu registrieren. Bitte informieren Sie sich ggf. in der entsprechenden Dokumentation von Microsoft.

Anschließend werden die Parameter aus beiden Registrierungen im Bereich Sonstiges im Register OAuth2 eingetragen.

Dann kann die Authentifizierungsmethode beim Anlegen oder Ändern eines E-Mail-Kontos verwendet werden und Benutzer können Online-Besprechungen einsetzen.

Einstellung für Port

Nachdem sich ein Benutzer im Browser auf der entsprechenden Seite für OAuth2 angemeldet hat, wird die Antwort durch Azure über eine Redirect URL wie etwa localhost:Port weitergegeben.

Ohne spezielle Einstellung wird ein zufälliger Port verwendet. Schränken Sie den Bereich bis zu einem bestimmten Port ein, um Einschränkungen durch die Firewall auf einem Rechner zu berücksichtigen.

Weitere Informationen über Redirekt URL finden Sie in der entsprechenden Dokumentation von Microsoft.

Besonderheiten bei E-Mail-Konten für Microsoft Exchange Online

Abhängig vom gewählten Kontotyp werden die Schnittstellen für die Authentifizierung von Benutzern und für den Abruf von Access- und Refresh-Tokens bei Microsoft mit unterschiedlichen Parametern aufgerufen. Bitte informieren Sie sich ggf. in der entsprechenden Dokumentation von Microsoft.

In das Feld Mandanten-ID muss ein von Microsoft vorgegebenen Wert eingetragen werden.

• Nur Konten in diesem Organisationsverzeichnis (nur "Standardverzeichnis" – einzelner Mandant): Mandanten-ID Ihres Mandanten in Azure Active Directory
• Konten in einem beliebigen Organisationsverzeichnis (beliebiges Azure AD-Verzeichnis – mehrinstanzenfähig): organizations
• Konten in einem beliebigen Organisationsverzeichnis (beliebiges Azure AD-Verzeichnis – mehrinstanzenfähig) und persönliche Microsoft-Konten (z. B. Skype, Xbox): common
• Nur persönliche Microsoft-Konten: consumers
• Wird kein Wert im Feld Mandanten-ID eingetragen ist, wird automatisch common verwendet.

OAuth2-Anbieter für IMAP und SMTP

OAuth2 kann in CAS genesisWorld als Methode für die Authentifizierung bei E-Mail-Konten eingesetzt werden. Momentan wird Microsoft Exchange Online als OAuth2-Anbieter unterstützt. Da momentan nur dieser Anbieter unterstützt wird, sind auch nur Einstellungen für diesen Anbieter möglich.

Der Administrator legt in der Management Konsole die notwendigen Einstellungen für die Authentifizierungsmethode fest.

OAuth2 ist sowohl im Assistenten beim Anlegen eines E-Mails-Kontos als auch bei den Eigenschaften eines vorhandenen E-Mail-Kontos einstellbar.

OAuth2 wird bei allen Funktionen unterstützt, die IMAP- oder SMTP-Protokolle verwenden und ist daher in der Management Konsole, im Server Manager und im Konfigurationsassistent des Update-Diensts verfügbar. Die Basic-Authentifikation kann bei Exchange Online abgeschaltet werden.

Parameter für den OAuth2-Anbieter bei IMAP können in der Management Konsole, im Server Manager und im Konfigurationsassistent des Update-Diensts in einer Datei gespeichert und wieder geladen werden.

Falls CAS genesisWorld als Anwendung im Microsoft Azure-Portal registriert und das Recht Mail.Send für die Anwendung eingetragen ist, sollte keine neue Anwendung für SMTP registriert werden.

CAS genesisWorld als Anwendung für IMAP und SMTP registrieren

• Registrieren Sie die Anwendung CAS genesisWorld im Microsoft Azure-Portal.

Parameter für die zu registrierende Anwendung sind:

• Der beliebige Name kann zum Beispiel CAS genesisWorld-E-Mail sein.

Empfehlenswert im Azure-Portal ist das Benennen mit CAS genesisWorld als Beginn oder Bestandteil des Namens.

Durch ein solches Benennen werden die 2 Perspektiven des Blicks vom Azure-Portal auf CAS genesisWorld und von CAS genesisWorld auf das Azure-Portal berücksichtigt.

• Unterstützte Kontotypen werden beim Registrieren angezeigt. Dabei kann jeder Kontotyp gewählt werden.
• Umleitungs-URL

Art der Anwendung: Web

Umleitungs-URI der Anwendung: http://localhost

• Lassen Sie die Anwendungs-ID-URL vom Microsoft Azure-Portal generieren.
• Lassen Sie den geheimen Clientschlüssel vom Microsoft Azure-Portal generieren und kopieren Sie diesen Schlüssel aus dem Feld Wert.

Das sofortige Kopieren des Werts nach dem Generieren ist wichtig, weil der Clientschlüssel später nicht mehr angezeigt wird.

• Wählen Sie API-Berechtigungen, dann delegierte Berechtigungen und legen Sie dann die Berechtigungen wie Lesen, Schreiben und Senden bei E-Mail-Konten fest.

Für Exchange online sind folgende delegierte Berechtigungen notwendig:

IMAP.AccessAsUser.All

offline_access

SMTP.Send

Parameter der Anwendung im Bereich Sonstiges eintragen

Neu öffnet das Fenster Eigenschaften des OAuth2-Anbieters.

• Im Feld Titel geben Sie einen beliebigen Namen ein.

Geben Sie z. B. Exchange Online ein. So berücksichten Sie die Perspektive von CAS genesisWorld auf das Azure-Portal und dies ist empfehlenswert, da bei den Einstellungen für das E-Mail-Konto der Titel angezeigt wird.

• Der Eintrag im Feld OAuth2-Anbieter kann nicht geändert werden.
• Geben Sie eine Anwendungs-ID (Client) ein, die als Anwendungs-ID-URL im Microsoft Azure-Portal generiert wurde.
• Geben Sie als Geheimer Clientschlüssel den Eintrag an, der im Microsoft Azure-Portal generiert wurde und im Feld Wert steht.
• Bei Port (Port-Bereich) geben Sie einen Bereich ein, für den Ausnahmen in der Firewall festgelegt sein müssen.

Bei der OAuth2-Authentifizierung erfolgt technisch ein Rückruf aus dem dafür geöffneten Browserfenster an CAS genesisWorld, um die vom Mailanbieter erhaltene Sendeberechtigung zu übertragen. Dafür wird lokal kurzzeitig ein TCP-Port geöffnet.

Durch die Ausnahme in der Firewall werden die Anfragen über TCP-Ports nicht blockiert und der Zugriff auf diese Ports aus dem Internet braucht nicht freigeschaltet werden.

• In Datei speichern und die gespeicherten Parameter Anwendungs-ID, Geheimer Clientschlüssel und Port/Port-Bereich wieder laden ist in der Management Konsole, im Server Manager und im Konfigurationsassistent des Update-Diensts möglich.

Authentifizierungsmethode einsetzen

Nach dem Fertigstellen eines E-Mail-Kontos mit dem Assistenten bzw. beim Schließen der Eigenschaften eines E-Mail-Kontos öffnet sich die Anmeldungsseite des E-Mail-Kontos beim OAuth2-Anbieter.

Das Anmelden beim OAuth2-Anbieter kann übersprungen werden und alle Einstellungen für ein Konto können trotzdem gespeichert werden.

Ob eine gültige Authentifizierung des Benutzers beim OAuth2-Anbieter vorhanden ist, wird bei einem Zugriff mit dem E-Mail-Konto überprüft. Dies erfolgt über den E-Mail-Client von CAS genesisWorld beispielsweise beim Anzeigen von E-Mails, Öffnen von E-Mailansichten oder durch serverseitige E-Mail-Regeln.

Der Administrator kann E-Mail-Konten und das Standardkonto für Benutzer vorgeben oder nicht. Benutzer können je nach den Einstellungen des Administrators selbst E-Mail-Konten und das Standardkonto anlegen oder nicht und ggf. vorgegebene Konten ändern.

Damit können Sie E-Mail-Konten als Administrator anlegen und das Authentifizieren beim OAuth2-Anbieter durchführen, Anmeldenamen sowie Kennworte vergeben und den Benutzern mitteilen. Kennwörter können dann Benutzer in CAS genesisWorld, für Windows und beim OAuth2-Anbieter ändern. Alternativ erfolgen diese Schritte vollständig oder teilweise durch Benutzer.

• Benutzer/Register E-Mail-Einstellungen

OAuth2-Anbieter für Microsoft Teams

Online-Besprechungen können im Desktop-Client und in CAS genesisWorld Web für Microsoft Teams angelegt und organisiert werden. Dafür ist im Datensatzfenster eines Termins die Option Online-Besprechung vorhanden.

In der Management Konsole ist dafür der OAuth2-Anbieter festzulegen.

Die Parameter für die zu registrierende CAS genesisWorld-Anwendung sind:

• Der beliebige Name kann zum Beispiel CAS genesisWorld-Teams sein.
• Unterstützte Kontotypen werden beim Registrieren angezeigt. Dabei kann jeder Kontotyp gewählt werden.
• Umleitungs-URI

Art der Anwendung: Öffentlicher Client/nativ

Umleitungs-URI der Anwendung: http://localhost:3017

• Lassen Sie die Anwendungs-ID-URI vom Microsoft Azure-Portal generieren.
• Lassen Sie den geheimen Clientschlüssel vom Microsoft Azure-Portal generieren und kopieren Sie den Schlüssel aus dem Feld Wert.

Das sofortige Kopieren nach dem Generieren ist wichtig, weil der Clientschlüssel später nicht mehr angezeigt wird.

• Legen Sie API-Berechtigungen fest:

API: Microsoft Graph

Art von Berechtigungen: Anwendungsberechtigungen

Berechtigungen: Calendars.ReadWrite und User.Read.All

Das Recht User.Read ist nicht ausreichend. User.Read.All ist notwendig.

Die Administratorzustimmung für die hinzugefügten Rechte muss erteilt werden.

In der Management Konsole sind beim OAuth2-Anbieter für Online-Besprechunge folgende Parameter einzutragen:

• Titel: Beliebiger Text
• OAuth2-Anbieter: Microsoft Teams
• Anwendungs-ID: Anwendungs-ID (Client) der in Azure Portal registrierten Anwendung
• Geheime Clientschlüssel: Geheime Clientschlüssel der in Azure Portal registrierten Anwendung aus dem Feld Wert
• Mandanten ID

Weitere Einstellungen und Voraussetzungen

• Damit Besprechungen in Microsoft Teams angelegt werden können, sind folgende Voraussetzungen notwendig:

Der UserPrincipalName des Organisators der Online-Besprechung im Microsoft Azure-Portal muss mit der E-Mail-Adresse des Organisators in CAS genesisWorld übereinstimmen.

Nur Konten aus einem Organisationsverzeichnis im Microsoft Azure-Portal werden unterstützt.

• Damit Reaktionen übernommen werden können, müssen iCal-Dateien in entsprechenden E-Mails enthalten sein. Ist das für Reaktionen auf Einladungen von Microsoft Teams nicht der Fall, aktivieren Sie bei Exchange online die entsprechende Option für IMAP.
• Für Online-Besprechungen sind Einstellungen für externe Teilehmer bei Terminen und für das Einladungsmanagement notwendig.

• Bereich Sonstiges/Aktivitäten/Register Termine

Fehlermeldung: CalenderID unknown

Beim Speichern einer Online-Besprechung können Probleme bei Microsoft Teams auftreten mit dem StatusCode: -101; StatusText: CalenderID unknown.

In diesem Fall ist die Abfrage des Kalenders von Microsoft Teams mit dem aktuellen Benutzerkonto von CAS genesisWorld nicht möglich. Prüfen Sie folgende mögliche Ursachen:

• Die E-Mail-Adresse für das Benutzerkonto in CAS genesisWorld entspricht nicht dem UserPrincipalName (UPN) in Azure.
• Das Benutzerkonto in Azure ist nicht korrekt lizenziert.

Tragen Sie für den Benutzer die entsprechenden Lizenzen für Microsoft Teams und den Kalender von Exchange online ein.

Beachten Sie, dass die Wirksamkeit von Änderung in Azure bis zu 24 Stunden dauern kann.

• Dem Benutzer von Azure ist möglicherweise kein Exchange online-Postfach, sondern ein Exchange on premise-Postfach bei einem Hybrid-Modus für Exchange Server zugewiesen.

Verschieben Sie das Postfach von on premise nach online. Dann kann durch CAS genesisWorld der Kalender des Benutzers abgefragt werden.