In Vorbereitung auf die Installation, sollten folgende Gegebenheiten innerhalb des Windows bzw. Exchange Server Umfeldes geschaffen werden.
Windows Dienstkonto
Der Dienst muss mit Rechten eines Benutzers laufen, der auch Zugriff auf die zentrale Concept Office Verzeichnisstruktur hat. Idealerweise handelt es sich hierbei um einen eigens hierfür angelegten Benutzer. Denkbar wäre auch die Verwendung eines bereits vorhandenen und zentralen Dienstkontos.
Als Anwender der Wegscheider Cloud müssen Sie hier nichts beachten! Wir legen den Service Benutzer auf unserer Seite an lassen den Dienst unter diesem gesonderten Nutzer laufen.
Exchange Server Benutzer
Der Zugriff auf den Exchange Server in die Benutzerpostfächer der zu synchronisierenden Teilnehmer, erfolgt in OnPremise Umgebungen über einen Exchange Benutzer, dem das Recht der Exchange Impersonation eingeräumt wurde. Auch hier sollte der Zugriff über einen dedizierten Benutzer erfolgen, auch wenn jeder denkbar wäre, der über die entspr. Berechtigung verfügt. Dem Benutzer muss auch ein entspr. Postfach am Exchange Server zugewiesen werden, sonst kann es nicht funktionieren.
Im Office 365 Umfeld erfolgt der Zugriff hin zum Exchange direkt über eine OAuth2 Authentifizierung. Dies wird seitens Concept Office ab Version Version 7.0.4809 unterstützt. Office 365 braucht für den Zugriff also keinen extra Benutzer mit Impersonation Rechten mehr. Hier wird der Dienst als Client Anwendung registriert.
Exchange Web Services URL
Der Synchronisationsdienst wird mit Hilfe des Exchange Server Benutzers über die EWS Schnittstelle auf die zu synchronisierenden Benutzerpostfächer zugreifen. Dies geschieht per HTTPS über die Exchange Web Services URL, welche zum Zeitpunkt der Installation bekannt sein muss.
Im Falle von Office 365 ist es für die internationale Cloud der obere und für deutsche Cloud der untere Link:
https://outlook.office365.com/ews/exchange.asmx
https://outlook.office.de/ews/exchange.asmx
Zielsystem
Der Dienst für die Synchronisation sollte auf einem System installiert werden, welches dauerhaft verfügbar ist. Idealerweise eignet sich hierfür ein Server. Auf diesem Server muss Concept Office installiert sein. Oftmals ist Concept Office ohnehin "gerne" mit auf dem SQL Server installiert. Dann könnte auch dort der Dienst laufen. Falls ein Terminalserver existiert, auf dem auch Concept Office ausgeführt wird, so wäre auch dies (unter Berücksichtigung der Lastsituation) denkbar.
Multimandantenfähigkeit
Die Exchange Synchronisation ist zunächst einmal nicht Multimandantenfähig. Ein Mitarbeiter und dessen E-Mail Account kann also nicht in mehreren Concept Office Mandanten zugewiesen sein. Möglich sind noch Mitarbeiter mit einem E-Mail Account in einem Mandanten, die in anderen Mandanten nicht existieren. Bitte kommen Sie auf uns zu, falls mehrere Mandanten synchronisiert werden sollen.
OAuth2 bei Office 365 konfigurieren
Soll die Synchronisation mit einem Office 365 Exchange Server erfolgen, muss hier zunächst einiges konfiguriert werden. Dies erfolgt über das Azure Active Directory Admin Center welches über folgende URL erreichbar ist:
Dort muss im Bereich Azure Active Directory unter App-Registrierungen eine Neue Registrierung angelegt werden.
Als Name für die zu registrierende Anwendung gibt man ConceptOfficeExchangeSynchronisation ein. Üblicherweise wird wohl die vorgeschlagene Auswahl Nur Konten in diesem Organisationsverzeichnis, das gewünschte sein, so dass hier nichts geändert werden muss. Natürlich können hier aber Auch andere Angaben gemacht werden, sollte es erforderlich sein. Abschließend muss der neue Eintrag mit einem Klick auf Registrieren gespeichert werden.
Danach wird man automatisch in die Eigenschaften der neuen Registrierung ConceptOfficeExchangeSynchronisation weitergeleitet. Die dort gezeigte Anwendungs-ID (Client) und die Verzeichnis-ID (Mandant) notieren, da diese im weiteren Verlauf noch gebraucht werden.
Dann muss man unter API-Berechtigungen eine entspr. Berechtigung hinzufügen. Es taucht eine lange Liste an möglichen APIs auf, man kann diese aber auch mit dem Begriff Office 365 filtern, letztendlich muss Office 365 Exchange Online gewählt sein.
Dort auf Anwendungsberechtigungen wechseln, das Häkchen bei full_access_as_app setzen und die Berechtigung hinzufügen.
Abschließend muss noch die Administratorzustimmung erteilt werden, so dass sich dieses Bild ergibt.
Zuletzt muss nun noch nach "Zertifikate & Geheimnisse" gewechselt werden und ein Neuer geheimer Clientschlüssel erstellt werden. Als Beschreibung gibt man ConceptOfficeExchangeSyncSecret und als Gültigkeit 24 Monate ein. Eine längere Dauer ist hier nicht vorgesehen. Mit Hinzufügen wird das Geheimnis gespeichert.
Danach wird einem der automatisch generierte Geheime Clientschlüssel in der Spalte Wert einmal angezeigt. Wenn man die Maske verlässt ist dieser Wert nie wieder einsehbar, daher sollten (im Idealfall alle) gemachten Einträge in einer Kennwortdatenbank o.ä. dokumentiert werden!
Damit ist die Konfiguration von OAuth2 abgeschlossen.