RAG SyncX in Kombination mit Office 365 und der 2-Faktor-Authentifizierung

 

RAG SyncX – App‘ muss über das Active Directory als neue Applikation registriert werden. Von dieser Registrierung benötigen wir folgende Daten:

  • Application (client) ID
  • Directory (tenant) ID
  • Client Secret erstellen

ACHTUNG: hier benötigen wir den Wert unter Value

 

Damit RAG SyncX auf die Konten zugreifen und synchronisieren kann, müssen folgende API Berechtigungen für die App gesetzt werden:

  • Office 365 Exchange Online (Application permission): full_access_as_app
  • Windows Azure Service Management API (Delegated permissions): user_impersonation

Die nachfolgende Anleitung zeigt Schritt für Schritt, wie Azure konfiguriert werden muss, damit RAG SyncX läuft.
Wenn Sie für die EDV der Kanzlei zuständig sind, melden Sie sich bei Azure an. Das Portal öffnet sich auf dem Dashboard
 


RAG SyncX in MS Azure registrieren


Links vom eigentlichen Dashboard befindet sich ein Verzeichnis. Rufen Sie das Azure Active Directory auf. Dies ist der zentrale Bereich für die Registrierung und die folgenden Schritte.
Rechts neben dem Verzeichnis blendet sich ein Unterverzeichnis ein.
Klicken Sie auf App Registrierungen und dann auf den Neue-Registrierung-Button.

Es blendet sich der Bereich "Anwendung registrieren" ein. Tragen Sie im Eingabefeld "Name" den Namen der Anwendung ein. Verwenden Sie in Azure sinnvollerweise die Bezeichnung "RAG SyncX-App", obwohl dies nicht zwingend erforderlich ist.

Unter dem Eingabefeld für den Namen befindet sich der Abschnitt "Unterstützte Kontotypen". Die erste Option ist automatisch ausgewählt: Nur Konten in diesem Organisationsverzeichnis (nur "ihre-kanzlei-domäne.de" -einzelner Mandant).
Wählen Sie im markierten Drop-down-Menü "Öffentlicher Client / native (mobile ...)" aus und bestätigen Sie die Eingaben mit einem Klick auf den Registrieren-Button. 



Berechtigen und konfigurieren


Nach der Registrierung blendet sich automatisch Übersicht des Azure Active Directory mit der Zusammenfassung ein.
Die Zusammenfassung enthält die Daten, die Sie später in RAG SyncX hinterlegen müssen:

  • Anwendungs-ID (Client) = Application (client) ID
  • Verzeichnis-ID (Mandant) = Directory (Tenant) ID


Klicken Sie auf den Link unter "Clientanmeldeinformationen", um (wie nachfolgend beschrieben) ein Clientgeheimnis zu erstellen.



 

Zertifikate und Geheimnisse


Es blendet sich der Bereich Zertifikate und Geheimnisse ein.


Klicken Sie auf "Neuer geheimer Clientschlüssel". Der Clientschlüssel ist eine Art zweiter Authentifizierungsschlüssel, für den ein Formular auszufüllen ist.

Tragen Sie im Formular eine beliebige Beschreibung ein. Stellen Sie eine Laufzeit im Dropdown-Menü des Feldes Gültig bis ein. Wenn Sie die Azure-Daten in RAG SyncX möglichst selten aktualisieren wollen, empfiehlt
es sich, eine Laufzeit von 24 Monaten einzustellen.

Klicken Sie nun auf den Hinzufügen-Button ganz weit unterhalb der beiden Eingabemöglichkeiten,
um die Anlage des Clientgeheimnisses abzuschließen. Es wird dann der geheime Clientschlüssel angezeigt.

 

Der Wert des Clientgeheimnisses ist die wichtige Angabe, nicht die Geheime ID. Sie benötigen den Wert für das Eingabefeld Client Secret in RAG SyncX.

ACHTUNG! Beachten Sie den in Azur versteckten Warnhinweis (Info-i) neben der Spaltenüberschrift Wert: Die Werte des geheimen Kundenschlüssels können nicht angezeigt werden, außer unmittelbar nach der Erstellung. Stellen Sie sicher, dass Sie den geheimen Schlüssel nach der Erstellung speichern, bevor Sie die Seite verlassen!

 

 

API-Berechtigungen


Damit RAG SyncX auf die Konten zugreifen und synchronisieren kann, müssen zwei Berechtigungen für die App gesetzt werden.


1. Berechtigung für: Office 365 Exchange Online


Rufen Sie die API Berechtigungen auf. Klicken Sie auf den Berechtigung-hinzufügen-Button.

Es blendet sich der Bereich API-Berechtigungen anfordern ein. Begeben Sie sich hier auf die Registerkarte "Von meiner Organisation verwendete APIs".

 

Tragen Sie in die Suchmaske Office 365 Exchange Online und laden Sie mit einem Doppelklick das Suchergebnis.

 

Klicken Sie auf den Anwendungsberechtigungen-Button.

 

Es blendet sich der Abschnitt Berechtigungen auswählen ein. Aktivieren Sie die Check-Box vor full_access_as_app. Klicken Sie auf den Berechtigungen-hinzufügen-Button.

 

Es wird nun die erteilte Berechtigung angezeigt (siehe nächste Abbildung).

 

2. Berechtigung für: Windows Azure Service Management API


Das Erteilen der zweiten Berechtigung funktioniert im Prinzip wie das Erteilen der ersten Berechtigung. Klicken Sie auf den Berechtigung-hinzufügen-Button.

 

Begeben Sie sich im Bereich API-Berechtigungen anfordern wieder auf die Registerkarte "Von meiner Organisation verwendete APIs". Tragen Sie in die Suchmaske Windows Azure Service Management API ein und laden Sie per Doppelklick das Suchergebnis.

 

Klicken Sie auf den Delegierte-Berechtigungen-Button. Aktivieren Sie die Check-Box vor user_impersonation.
Klicken Sie auf den Berechtigungen hinzufügen-Button.

 

Nun sehen Sie in der alphabetisch sortierten Liste der erteilten Berechtigungen die zweite erteilte Berechtigung.
Klicken Sie nun auf Administratorenzustimmung für "ihre-kanzlei-domäne.de" erteilen. Bestätigen Sie die folgende Sicherheitsabfrage mit dem Ja-Button.

Nun hat sich der Status der erteilten API-Berechtigungen geändert.

 

 

Eintragen der Werte in RAG SyncX

 

Öffnen Sie RAG SyncX. Klicken Sie auf den Verbindungen-Button.

Es öffnet sich das Fenster Verbindungsparameter auf der Registerkarte EWS - Exchange Web Service.
Klicken Sie auf den Neu-Button, um eine neue Verbindung anzulegen.

 

Tragen Sie bei Name den Namen der Anwendung ein, den Sie bei der Registrierung von RAG SyncX in Azure vergeben haben (s. Abbildung auf der nächsten Seite).

Die URL zu Office 365 lautet: https://outlook.office365.com/EWS/Exchange.asmx. Sobald diese URL im Feld steht, erscheinen Eingabefelder für ein Testkonto und die Daten aus Azure:

  • Client App Id = Anwendungs-ID (Client)
  • Tenant Id = Verzeichnis-ID (Mandant)
  • Client Secret = Wert des geheimen Clientschlüssels


Füllen Sie diese Felder aus und aktivieren Sie auch die folgenden Check-Boxen (siehe Bild).

 

Das Anlegen eines Synchronisationskontos erfolgt wie bisher. Die Laufzeit des geheimen Clientschlüssels obliegt der System-Administration der Kanzlei und muss von dieser in Azure gepflegt sowie in RAG SyncX bei Bedarf aktualisiert werden.
Fakultativ: Klicken Sie auf den Prüfen-Button, wenn Sie sicher gehen wollen, dass die Synchronisation funktioniert. Rechts im Fenster wird ein Prüfprotokoll angezeigt.
Drücken Sie auf den Speichern-Button. Die Verbindung wird automatisch geprüft.

 

 

 

Verknüpfung mit