Konfiguration Authentication Code Flow (delegated) MS Graph API
Konfiguration in Squeeze
Diese Konfigurationsoberfläche wird ab der Version 2.3.0 bereitgestellt.
Wenn Sie diese Authentifizierungsmethode nutzen möchten, stellen Sie sicher, dass der Interne Job refresh-tokens aktiviert ist. Dies ist weiter unten im Artikel dokumentiert.
Wie man nun erkennt, kann man in der Konfigurations-Oberfläche unter Protokoll zwei Arten der Anbindung zu Microsoft(MS) Graph API wählen:
Für den delegierten Autorisierungsprozess wählen wir Microsoft Graph API Delegated. Im nächsten Schritt füllen wir die Felder Client ID, Client Secret die Tenant ID und die restlichen Felder.
Ordner - Konfiguration
Bei der Ordnerkonfiguration müssen Sie drei Ordner angeben
- Posteingang
Dieser Ordner wird regelmäßig überprüft, um die enthaltenen Emails zu importieren. - Verarbeitet
In diesen Ordner werden die erfolgreich importieren Emails verschoben. - Fehler
In diesen Ordner werden, die Emails abgelegt, die nicht importiert werden konnten (z.B. fehlende Anlagen)
Bei der Definition der Ordner achten Sie bitte darauf, dass die Namen der Ordner eindeutig sein müssen, da die Ordner in der Verzeichnisstruktur des Postfachs gesucht werden.
Ist ein konfigurierter Ordner nicht eindeutig kann es dies dazu führen, dass ein anderer Ordner genutzt wird, als der gewünschte.
Konfiguration in AAD (Azure Active Directory)
Weitere notwendige Schritte für ein reibungslosen Ablauf sind die Einrichtung einer Azure-Active-Directory Application
mit einem Client Secret. Die Globale Registrierung eines Mail-Dienstes der "Dexpro" im Azure-Active-Directory des Kunden, wird vorerst nicht angeboten.
Zudem muss darauf geachtet werden dass die Application folgende Scopes besitzt.
Anders als in den Permission für den Client Credential Flow ist jegliche Permission hier beschränkt auf den autorisierenden User.
Merke: Wenn auf ein Shared-Mailbox Postfach zugegriffen werden soll, muss das Shared-Mailbox Postfach unter Postfach eingetragen werden und die Application Permission Mail.Read.Write.Shared muss konfiguriert werden.
Denken Sie daran, dass die Shared-Mailbox auch Ihrer Email-Aktivierten Sicherheitsgruppe hinzugefügt wird, wenn Sie eine eingerichtet haben.
Ebenfalls ein maßgebender Unterschied zum Client Credential Flow ist hier die Verwendung einer Redirect URI.
Diese Redirect URI wird in der AzureActive-Directory unter der Application im Reiter Authentication angelegt:
Schema Redirect URI: https://Ihr.vollwertiger.DomainName/api/v2/importers/email/authenticate/end
Merke: Ein Squeeze Mandant benötigt immer eine Azure-Active-Directory Application mit jeweils einer Redirect URI.
Das bedeutet Sie müssen für jeden Mandanten eine Application anlegen.
Autorisierungsprozess Authentication Code Flow
hat man nun seine Application im AAD konfiguriert und alle notwendigen Daten in die Konfigurationsoberfläche getippt kann man nun seine Konfiguration abspeichern.
Nun öffnet sich ein weiteres Dialog Feld :
Das System hat Ihre Konfiguration gespeichert, den Prozess der Authentifizierung müssen Sie jedoch separat über einen Button in der Email Konfiguration starten. Hierfür wählen Sie bitte den folgenden Button:
Nach einem Klick auf diesen Button werden Sie nun zur Oberfläche von Microsoft weitergeleitet. Dort beginnt der Authentifizierungsprozess befolgen Sie die Anweisungen von Microsoft:
Geben Sie ihre Email-Adresse an.
Geben Sie Ihr Passwort ein:
Je nach Unternehmen werden Sie ebenfalls aufgefordert eine 2-Faktor-Authentifizierung durchzuführen.:
Sobald Sie Authentifiziert sind, werden die Berechtigungen abgefragt und Sie werden aufgefordert diese Berechtigungen zu bestätigen. Nach Ihrer Bestätigung leitet Microsoft umgehend zurück zur Squeeze-Oberfläche.
Die Oberfläche wird Ihnen nun anzeigen ob Squeeze nun Autorisiert ist oder ob ein Fehler aufgetreten ist:
Nun können Sie die Mail Verbindung testen Indem Sie den Mail Verbindungstest Button in der Oberfläche bedienen.
Job-Konfiguration
Die Verwendung dieses Authentifizierungsverfahrens erfordert, dass ein seperater Job aktiviert ist, welcher im Hintergrund die Zugriffsdaten für die Graph API aktuell hält.
Hierfür finden wir in der Administration unter "Skripte" das neue Skript mit den Namen refresh-tokens:
Dieses Skript kann man zu jedem Zeitpunkt manuell ausführen.
Sie müssen für dieses Skript einen Job einrichten, der häufig genug ausgeführt wird, um ein Ablaufen der Zugriffsdaten zu verhindern. Im Standard sind Refresh-Token von Microsoft 1 Tag lang gültig, es sollte also mehrmals am Tag versucht werden die Zugriffsdaten zu aktualisieren.
Wir empfehlen den Job jede Stunde auszuführen:
Cron-Ausdruck für den Job: */50 * * * *
Wie Jobs zu konfigurieren sind, ist hier dokumentiert:
Fragen und Antworten
Was passiert wenn der Job ausfällt ? |
Ist der Job durch unvorhersehbare Gründe nicht gelaufen so müssen Sie sich neu Authentifizieren mit dem Authentifizierung-Button in der Email-Konfiguration |
Kann ich einfach meine Postfach in der Konfiguration ändern und muss ich danach was tun ? |
Sobald Sie die Konfiguration ändern oder abspeichern, weist die Anwendung Sie darauf hin, ein neuen Authentifizierungsprozess einzuleiten. Lehnen Sie dieses Aufforderung ab. Haben Sie immernoch die Möglichkeit den Authentifizierungsbutton zu betätigen. |
Kann ich meine Azure-Active-Directory Application für mehrere Squeeze Mandanten nutzen ? |
Nein, die Verwendung einer Application (AAD) für mehrere Mandanten ist nicht Möglich, solange die Mandanten unter anderen Domänen erreichbar sind. test.mandant.squeeze.one
2 Mandant: test2.mandant.squeeze.one
In diesem Beispiel kann man keine Application verwenden, da wir pro Application nur einen Mandanten ansprechen können. Ein Authentifizierung bei Microsoft würde ggf. immer nur auf einen Mandanten laufen.
Du hast die Möglichkeit mehrere Postfächer mit der selben Application(AAD) zu nutzen, dort gibt es keine Begrenzungen.
|