Um die Mailfunktion des KGS tia® H5 Viewer nutzen zu können, muss das Unternehmen die Userverwaltung über Office 365/Azure realisiert haben.
Der KGS tia® H5 Viewer ist in der Lage das Office 365 Outlook Online selbstständig zu befüllen und zu öffnen. Hierzu müssen allerdings auf Azure Seite folgende Schritte durchgeführt werden:
Applikation anlegen
Einloggen unter https://portal.azure.com/#home
Der Administrator, der Zugang zum MSOffice weiten Azure Portal hat, muss folgende Berechtigungen besitzen:
App registrieren
Erteilen von API Berechtigungen
2. Navigieren unter “App registrations” → “New registration”
3. Einen Namen wählen und die Standard-Einstellungen beibehalten (hier als Beispiel: emailapp-keycloak)
Der Name kann später geändert werden, das in diesem Beispiel keycloak in dem Namen erscheint ist irrelevant, das Verfahren für Keycloak und direkt OIDC ist identisch was App-Registrierung angeht.
Konfiguration der Applikation
Es müssen einige Einstellungen an der Applikation vorgenommen werden.
Authentication:
Für OpenID Connect Only wird der Pfad zum Keycloak-Realm nicht benötigt
Es sind zwei URIs, da die Authentifizierung von zwei Stellen ausgelöst wird.
Es handelt sich hierbei um Redirect-URIs, dies bedeutet, dass der Client von seinem Rechner Zugriff auf die hinterlegte Adresse netzwerktechnisch hat. Zusätzlich ist es notwendig, dass es sich um eine HTTPS Verbindung handelt.
Es handelt sich also um die Adresse auf die nach erfolgreichem Login zurückgesendet werden soll.
Bsp: https://IP-Adresse:HTTPS-Port/[Applikation]/contentserver (für CSV - “ContentServer inkl. Viewer”)
https://IP-Adresse:HTTPS-Port/[Applikation]/viewer (für V - “Viewer stand Alone” und für die Nutzung des Viewers aus SAP heraus)
Certificates & secrets
Wir benötigen für unsere Applikation ein Client secret. Dies kann auch als Applikationspasswort gesehen werden. Diese hat immer ein Ablaufdatum.
Das erstellte Client secret wird nur genau EINMAL in Klartext angezeigt beim erstellen. Es muss also direkt weggespeichert werden, da wir diesen brauchen, um uns an der App vom Viewer aus anzumelden.
API Permissions
Damit die Applikation nur die Berechtigungen erhält, die sich auch benötigt kann unter Azure die Berechtigungen detailliert beschränkt bzw. zugelassen werden. Die Email-Azure App muss drei Berechtigungen erhalten: Email Lesen und Schreiben, Email versenden und Userinformationen abrufen. Dies wird für OpenID Connect benötigt. Der Viewer ist somit in der Lage den vollständigen Namen des Users auszulesen oder die Email-Adresse etc.
Unter “API Permissions” müssen folgende Berechtigungen der Applikation erteilt werden:
Mail.ReadWrite
Mail.Send
User.Read
Diese sind zu finden unter”Add a permission” → “Microsoft Graph” → “Delegated permissions” → “Mail” | “User”
…
Final müssen die Berechtigungen wie folgt aussehen:
Overview
Für KGS tia® H5 Viewer brauchen wir aus dieser Ansicht folgende Paramter:
authority: Dies ist die Directory (tenant) ID. Einzusehen unter “Overview”
Der Parameter setzt sich wie folgt zusammen = BasisURL + Directory (tenant) ID
Bsp: https://login.microsoftonline.com/tenantID
ClientId: Dies ist die Applikations Identität. Einzusehen unter “Overview”
msGraphEndpointHost: Dies ist der Microsoft Graph API endpoint. Einzusehen unter “Endpoints” (Er ist aber immer “https://graph.microsoft.com”)
secretKey: Dies ist der Secret den wir unter “Certificates & secrets” angelegt haben. Ist dieser nicht mehr einsehbar (da er vergessen wurde zu speichern) muss ein neuer angelegt werden.