Versions Compared

Old Version 1

changes.mady.by.user Simone Conrad

Saved on

compared with

New Version Current

changes.mady.by.user Sebastian Schühl

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Um die Mailfunktion des KGS In order to be able to use the mail function of the tia® H5 Viewer nutzen zu können, muss das Unternehmen die Userverwaltung über , the company must have implemented user administration via Office 365/Azure realisiert haben.

Der The KGS tia® H5 Viewer ist in der Lage das is able to fill and open Office 365 Outlook Online selbstständig zu befüllen und zu öffnen. Hierzu müssen allerdings auf Azure Seite folgende Schritte durchgeführt werden:

Applikation anlegen

...

independently. However, the following steps must be carried out on the Azure side:

Creating an application

  1. Login at https://portal.azure.com/#home

Note

Der Administrator, der Zugang zum MSOffice weiten Azure Portal hat, muss folgende Berechtigungen besitzen:

  • App registrieren

  • Erteilen von API Berechtigungen

...

The administrator who has access to the MSOffice wide Azure portal must have the following authorizations:

  • Register the application

  • Granting API permissions

2. Navigate to "App registrations" → "New registration"

...

3. Einen Namen wählen und die Standard-Einstellungen beibehalten (hier als BeispielSelect a name and keep the default settings (for instance: emailapp-keycloak)

Info

Der Name kann später geändert werden, das in diesem Beispiel keycloak in dem Namen erscheint ist irrelevant, das Verfahren für Keycloak und direkt OIDC ist identisch was App-Registrierung angeht.

...

Konfiguration der Applikation

...

The name can be changed later, the fact that keycloak appears in the name in this example is irrelevant, the procedure for Keycloak and directly OIDC is identical as far as app registration is concerned.

...

Configuration of the application

Some settings must be made to the application.

Authentication:

...

image-20240628-112946.pngImage Added

Info

...

The path to the Keycloak realm is not required for OpenID Connect Only

...

Es sind zwei URIs, da die Authentifizierung von zwei Stellen ausgelöst wird.

Es handelt sich hierbei um Redirect-URIs, dies bedeutet, dass der Client von seinem Rechner Zugriff auf die hinterlegte Adresse netzwerktechnisch hat. Zusätzlich ist es notwendig, dass es sich um eine HTTPS Verbindung handelt.

Es handelt sich also um die Adresse auf die nach erfolgreichem Login zurückgesendet werden soll.

Bsp: https://IP-Adresse:HTTPS-Port/[Applikation]/contentserver (für CSV - “ContentServer inkl. Viewer”)

https://IP-Adresse:HTTPS-Port/[Applikation]/viewer (für V - “Viewer stand Alone” und für die Nutzung des Viewers aus SAP heraus)

Certificates & secrets

Wir benötigen für unsere Applikation ein Client secret. Dies kann auch als Applikationspasswort gesehen werden. Diese hat immer ein Ablaufdatum.

Das erstellte Client secret wird nur genau EINMAL in Klartext angezeigt beim erstellen. Es muss also direkt weggespeichert werden, da wir diesen brauchen, um uns an der App vom Viewer aus anzumelden.

...

API Permissions

Damit die Applikation nur die Berechtigungen erhält, die sich auch benötigt kann unter Azure die Berechtigungen detailliert beschränkt bzw. zugelassen werden. Die Email-Azure App muss drei Berechtigungen erhalten: Email Lesen und Schreiben, Email versenden und Userinformationen abrufen. Dies wird für OpenID Connect benötigt. Der Viewer ist somit in der Lage den vollständigen Namen des Users auszulesen oder die Email-Adresse etc.

Unter “API Permissions” müssen folgende Berechtigungen der Applikation erteilt werden

The following URIs must be maintained in the section “Redirect URIs” (this is the address to which you want to be sent back after a successful login):

  1. When using V - “Viewer standalone” and for using the tia® H5 Viewer from within SAP:

    • https://[IP-Address]:[HTTPS-Port]/[Applikation]/viewer

    • https://[IP-Address]:[HTTPS-Port]/[Applikation]/viewer/content

  2. When using CSV - “ContentServer incl. tia® H5 Viewer”, the following URI has to be added in addition as the authentication is triggered by two places:

    • https://[IP-Address]:[HTTPS-Port]/[Applikation]/contentserver

Info

The client must have access to the specified addresses in the network from its computer. HTTPS must also be used.

Certificates & secrets

We need a client secret for our application. This can also be seen as the application password. This always has an expiration date.

The created client secret is only displayed ONCE in plain text when it is created. It must therefore be saved directly, as we need it to log in to the app from the viewer.

...

API Permissions

To ensure that the application only receives the permissions it needs, the permissions can be restricted or allowed in detail under Azure. The Email Azure app must receive three authorizations: Read and write email, send email and retrieve user information. This is required for OpenID Connect. The viewer is therefore able to read the user's full name or email address, etc.

The following authorizations must be granted to the application under "API Permissions":

  • Mail.ReadWrite

  • Mail.Send

  • User.Read

Diese sind zu finden unter”Add a permission” → “Microsoft Graph” → “Delegated permissions” → “Mail” | “User”These can be found under "Add a permission" → "Microsoft Graph" → "Delegated permissions" → "Mail" | "User"

...

...

Final müssen die Berechtigungen wie folgt aussehen

The final authorizations must be as follows:

...

Overview

Für For KGS tia® H5 Viewer brauchen wir aus dieser Ansicht folgende Paramterwe need the following parameters from this view:

authority: Dies ist die Directory This is the directory (tenant) ID. Einzusehen unter “Overview”

...

Can be viewed under "Overview"

The parameter is made up as follows = BaseURL + Directory (tenant) ID

Bsp For instance: https://login.microsoftonline.com/tenantID

ClientId: Dies ist die Applikations Identität. Einzusehen unter “Overview”This is the application identity. Can be viewed under "Overview"

...

Info

msGraphEndpointHost: Dies ist der This is the Microsoft Graph API endpoint. Einzusehen unter “Endpoints” (Er ist aber immer “Can be viewed under "Endpoints" (but it is always "https://graph.microsoft.com ")

Info

secretKey: Dies ist der Secret den wir unter “Certificates & secrets” angelegt haben. Ist dieser nicht mehr einsehbar (da er vergessen wurde zu speichern) muss ein neuer angelegt werdenThis is the secret that we have created under "Certificates & secrets". If this can no longer be viewed (because it was forgotten to save), a new one must be created.