Um die Sicherheit von Microsoft-Konten zu steigern, wird Microsoft die Anbindung dieser Konten in Dritt-Software ab dem 01. Oktober 2022 nur noch über das Authentifizierungsverfahren Modern Auth ermöglichen. In diesem Artikel erklären wir, wie du deine weclappON Instanz als App bei Microsoft registrierst, damit du im Anschluss die nötigen Konfigurationen in weclapp vornehmen kannst, um die Anbindung von Mailkonten über Modern Auth zu aktivieren.
Registriere deine Anwendung bei Microsoft
Um Modern Auth verwenden zu können, muss deine weclapp Instanz über eine Anwendungs-ID sowie ein Geheimnis (Secret) verfügen, welche von Azure Active Directory vergeben werden.
- Rufe https://aad.portal.azure.com/ auf und melde dich dort mit einem persönlichen Microsoft-Konto oder einem Arbeits- bzw. Schulkonto an.
- Wähle “Azure Active Directory” in der linken Navigation aus und klicke unter “Verwalten” auf “App-Registrierungen”
- Klicke auf “Neue Registrierung” und lege die Werte auf der Registrationsseite wie folgt fest
- Gib als Namen einen prägnanten Namen ein (z.B. “weclapp”)
- Wähle als unterstützten Kontotypen “einzelner Mandant”
- Ändere den Dropdown-Wert auf “Web” um und setze den Wert auf https://portal.weclapp.com/webapp/resource/rest/redirect/state
- Klicke auf “Registrieren”. Kopiere auf der darauf folgenden Seite den Wert der Anwendungs-(Client-)ID und verwende diesen, um die Systemeigenschaft microsoftClientId in deiner weclappON-Instanz zu setzen (siehe unten)
- Wähle “Zertifikate & Geheimnisse” in der linken Navigation aus und erstelle ein neues Client-Geheimnis für die voraussichtliche Dauer der Nutzung dieser Anwendung (wähle “Benutzerdefiniert”, um eine maximale Dauer von zwei Jahren zu definieren). Kopiere den Wert der Geheimnis ID (nicht die Geheimnis ID) und verwende ihn, um das microsoftClientSecret in deiner weclappON-Instanz zu setzen (siehe unten)
- Jenachdem ob du dein Konto per EWS- oder GRAPH-API anbinden willst (siehe unten) musst du zudem die folgenden Berechtigungen vergeben indem du links in der Navigation “API-Berechtigungen” auswählst.
Berechtigungen EWS-API:
-
offline_access
-
EWS.AccessAsUser.All
-
https://outlook.office.com/IMAP.AccessAsUser.All
-
https://outlook.office.com/SMTP.Send
Berechtigungen GRAPH-API:
-
offline_access
-
User.Read
-
Mail.ReadWrite
-
Mail.ReadWrite.Shared
-
Mail.Send
-
Send.Shared
Die folgenden Schritte hängen davon ab, ob du deine Mailkonten per EWS- oder GRAPH-API anbinden musst. Wenn du einen Benutzer-Mailaccount anbinden möchtest oder Probleme mit System- oder Mail2Ticket-Accounts hast, die vor April 2024 eingebunden wurden, nutze bitte die EWS-API. Für die Anbindung von System- oder Mail2Ticket-Konten ab April 2024 benutze bitte die GRAPH-API.
Konfiguration in weclappON für den Zugriff per EWS-API
Für die Anbindung eines Benutzer-Kontos oder bei Problemen mit System- oder Mail2Ticket-Accounts, die vor April 2024 angebunden wurden, gehe bitte wie folgt vor. Sobald deine Anwendung als App in deinem Microsoft 365-Tenant registriert ist, müssen die Client-ID und das Client-Geheimnis in der weclappON-Instanz konfiguriert werden. Die Konfiguration erfolgt in der Datei docker-compose.yml (die sich normalerweise in /opt/weclapp befindet). Bearbeite diese Datei und füge die folgenden beiden Zeilen zur Umgebung des App-Dienstes hinzu (ersetze die Punkte durch die Client-ID und das Client-Geheimnis der registrierten App):
- WPP_microsoftClientId=... - WPP_microsoftClientSecret=...
Nachdem diese Zeilen hinzugefügt wurden, sollte die Datei docker-compose.yml wie folgt aussehen:
version: '2' services: db: ... app: image: docker.weclapp.com/weclapp:latest container_name: weclapp_app restart: unless-stopped environment: - WECLAPP_MAX_HEAP=1024M - WPP_microsoftClientId=... - WPP_microsoftClientSecret=... links: ...
Konfiguration in weclappON für den Zugriff per GRAPH-API
Für die Anbindung eines System- oder Mail2Ticket-Accounts gehe ab April 2024 bitte wie folgt vor. Sobald deine Anwendung als App in deinem Microsoft 365-Tenant registriert ist, müssen die Client-ID und das Client-Geheimnis in der weclappON-Instanz konfiguriert werden. Die Konfiguration erfolgt in der Datei docker-compose.yml (die sich normalerweise in /opt/weclapp befindet). Bearbeite diese Datei und füge die folgenden beiden Zeilen zur Umgebung des App-Dienstes hinzu (ersetze die Punkte durch die Client-ID und das Client-Geheimnis der registrierten App):
- WPP_microsoftGraphClientId=... - WPP_microsoftGraphClientSecret=...
Nachdem diese Zeilen hinzugefügt wurden, sollte die Datei docker-compose.yml wie folgt aussehen:
version: '2' services: db: ... app: image: docker.weclapp.com/weclapp:latest container_name: weclapp_app restart: unless-stopped environment: - WECLAPP_MAX_HEAP=1024M - WPP_microsoftGraphClientId=... - WPP_microsoftGraphClientSecret=... links: ...
Nach der Aktualisierung von docker-compose.yml müssen die Container einmal aktualisiert/neu gestartet werden: Führe wie gewohnt “docker-compose up -d” aus.
Im Anschluss können deine Microsoft365-Konten in deiner weclappON-Instanz verbunden werden. Bitte beachte dabei, dass nur Konten in weclapp hinzugefügt werden können, die mit deinem Microsoft365-Tenant verbunden sind.