myfactory Online-Hilfe

Grundlagen

Anhand dieses Dialogs können Sie (mit Administratorberechtigung) die für den Exchange-Server-Zugriff benötigte Exchange Webservices-Schnittstelle (EWS) lokalisieren. Die zugehörige EWS-URL muss entweder automatisch ermittelt oder manuell hinterlegt werden. Diese URL-Information wird nämlich immer dann von der myfactory herangezogen, wenn sich der Benutzer in den Exchange-Konfigurationsdialogen mit seinen Kontodaten anmeldet, um die Verbindung zur Exchange-Schnittstelle herzustellen.

Grundlagen 0

E-Mail-Adresse für Exchange-Server / Passwort

In diesen beiden Eingabefeldern hinterlegen Sie bitte die Zugangsdaten zu einem Exchange-Konto.

Verzeichnis-ID (Mandant) / Anwendungs-ID (Client)

Im Zuge der Umstellung auf eine erweiterte Authentifizierung (OAuth2.0) hat Microsoft die bisherige Basis-Authentifizierung für Exchange in der zweiten Jahreshälfte 2021 deaktiviert.

OAuth2.0 ist ein offenes Protokoll, mit welchem es Drittanbietern wie der myfactory im Rahmen einer Token-basierten Autorisierung ermöglicht wird, die EWS-Anmeldeinformationen des Benutzers mit einem verbesserten Passwort-Schutz zu übertragen.

Für die OAuth2.0-Authentifizierung werden zum einen die oben genannten IDs benötigt, und zum anderen ein geheimer Clientschlüssel (siehe unten). Aus Verzeichnis- und Anwendungs-ID sowie dem Clientschlüssel wird dann das benötigte OAuth2.0-Token erzeugt.

OAuth 2.0 und das "Passwort"-Eingabefeld:

Aus Sicherheitsgründen greift das System immer zuerst auf die OAuth2.0-Authentifizierungsmethode mit Client-ID und Clientschlüssel zurück, ein Passwort wird dann nicht mehr benötigt.

Erst wenn OAuth2.0 nicht funktioniert, werden als Fallback-Lösung Username und Passwort für die Authentifizierung verwendet. Wenn Sie die OAuth2.0-Authentifizierung für Exchange-Connector korrekt konfiguriert haben (siehe unten), dann können Sie das "Passwort"-Eingabefeld also leer lassen.

Verzeichnis- und Anwendungs-ID mithilfe von Microsoft Azure Active Directory ausgeben (inklusive App-Registrierung & API-Berechtigungen):

Bitte beachten Sie, dass nur der Administrator die im Folgenden beschriebenen Einstellungen einmalig vornehmen muss. Diese gelten dann für alle Benutzer und müssen nicht für jeden Benutzer einzeln konfiguriert werden.

Um die beiden benötigten Authentifizierungs-IDs zu erhalten, gehen Sie als Administrator (einen Admin-Exchange-Account also vorausgesetzt) bitte wie folgt vor:
  1. Rufen Sie zunächst das Azure Active Directory Admin Center unter folgender URL auf: aad.portal.azure.com und loggen Sie sich auf der Anmeldeseite mit Ihrem Microsoft-Account ein:

  2. Grundlagen 1

  3. Anschließend navigieren Sie bitte zum Dashboard von Microsofts Identitäts- und Zugangsplattform Azure Active Directory:

  4. Grundlagen 2

  5. Unter der Kategorie "Verwalten" wählen Sie dann den Punkt "App-Registrierungen" (1) an und klicken dort auf die Schaltfläche [ Neue Registrierung ] (2):

  6. Grundlagen 3

  7. Damit die myfactory als neue EWS-Applikation für die OAuth2-Authentifizierung registriert werden kann, vergeben Sie zunächst einen sinnigen Namen für die zu registrierende Anwendung (1) (z.B. myfactory EWS). Danach aktivieren Sie bitte den ersten Radiobutton bei den unterstützten Kontotypen ("Nur Konten in diesem Organisationsverzeichnis") (2) und wählen im letzten Schritt für die Authentifizierungsantwort ggf. noch eine Umleitungsadresse (urn:ietf:wg:oauth:2.0:oob) für einen öffentlichen Client aus (3). Sollten Fehlermeldungen bei der Authentifizierung auftreten (z.B. ein 401-Fehler), so empfehlen wir Ihnen jedoch, die Umleitungsadresse zu entfernen. Zum Abschluss klicken Sie bitte noch auf die [ Registrieren ]-Schaltfläche (4):

  8. Grundlagen 4

  9. Sie gelangen dann zu einer Zusammenfassung, im Rahmen derer Ihnen die Werte für Anwendungs- und Verzeichnis-ID zu Ihrer registrierten Anwendung ausgegeben werden. Rechts neben der jeweiligen Zeichenfolge haben Sie dann noch die - empfehlenswerte - Möglichkeit, die IDs zunächst in die Zwischenablage zu kopieren (und von dort z.B. übergangsweise in eine Textdatei):

  10. Grundlagen 5

  11. Außerdem sind noch zwei elementare API-Berechtigungen zu setzen, damit die Exchange-Verbindung erfolgreich aufgebaut werden kann. Die erste Berechtigung gewährt der myfactory-Anwendung vollen Zugriff auf EWS und ist wie folgt zu setzen: Zunächst wechseln Sie innerhalb Ihrer registrierten Anwendung unter "Verwalten" zum Menüpunkt "API-Berechtigungen". Dort klicken Sie bitte auf die Schaltfläche [ Berechtigung hinzufügen ], woraufhin sich auf der rechten Seite die Maske "API-Berechtigungen anfordern" ausklappt. Wechseln Sie hier zur Kategorie "Von meiner Organisation verwendete APIs" und suchen Sie dort nach der API "Office 365 Exchange Online".

    Grundlagen 6

    Danach wählen Sie bitte die Berechtigungskategorie "Anwendungsberechtigungen" aus (1). Unter dem Punkt "Andere Berechtigungen" findet sich dann die benötigte Berechtigung full_access_as_app. Aktivieren Sie diese Berechtigung mit einem Klick in die Checkbox (2) und bestätigen Sie dies anschließend mit der Schaltfläche [ Berechtigungen hinzufügen ] (3).

    Grundlagen 7

    Zurück im Bereich "Konfigurierte Berechtigungen" erteilen Sie dann bitte noch die "Administratorzustimmung" für Ihre Anwendung. Im Anschluss sollte das orangene Ausrufezeichen-Icon in der "Status"-Spalte der Berechtigung durch einen grünen Haken ersetzt und die Berechtigung vollständig erteilt sein.

    Grundlagen 8

    Nun fehlt ggf. noch eine Berechtigung, die auch allen Benutzern Ihrer Anwendung vollen EWS-Zugriff gewährt. Klicken Sie also erneut auf [ Berechtigungen hinzufügen ], suchen Sie hier wieder nach der "Office 365 Exchange Online"-API und wechseln Sie diesmal bitte in den Bereich "Delegierte Berechtigungen".

    Grundlagen 9

    In der Kategorie "EWS" finden Sie dann die gewünschte API-Berechtigung EWS.AccessAsUser.All. Setzen Sie bei dieser auch hier wieder den Checkbox-Haken und bestätigen Sie diese Aktion mittels [ Berechtigungen hinzufügen ].

    Grundlagen 10

    Eine gesonderte Administratorzustimmung ist für diese Berechtigung in diesem Fall nicht erforderlich.

  12. Prüfen Sie vor dem Abschluss der Registrierung zudem bitte noch den Azure AD-Menüpunkt "Authentifizierung". Dort sollte in den "Erweiterten Einstellungen" zu Autorisierungszwecken noch angegeben sein, dass es sich bei Ihrer oben definierten EWS-Anwendung um einen öffentlichen Client handelt, welcher nur in Ihrem Namen auf die für den Office 365-Zugriff benötigten APIs zugreifen darf. Die Option "Öffentliche Clientflows zulassen" sollte daher auf "Ja" stehen. Diese Einstellung muss dabei nur einmalig für alle in Verbindung mit Office 365 verwendeten Protokolle aktiviert werden (gilt also auch für IMAP, SMTP und POP3).

    Grundlagen 11

  13. Weitere Informationen zu diesem Thema finden sich hier.

Clientschlüssel

Diese geheime Zeichenfolge dient der myfactory als Identitätsnachweis bei der Token-Anforderung im Rahmen der OAuth2-Authentifizierung.

Clientschlüssel im Azure Active Directory generieren:

Zum Erzeugen des geheimen Clientschlüssels navigieren Sie im Azure Active Directory-Portal (siehe auch obiger Infotext) zum Menüpunkt "Zertifikate & Geheimnisse". Dort betätigen Sie im unteren Dialogbereich bitte die Schaltfläche [ Neuer geheimer Clientschlüssel ]:

Grundlagen 12

Für die dem Clientschlüssel zugeordnete registrierte Anwendung vergeben Sie im Anschluss noch eine griffige Bezeichnung (z.B. myfactory EWS) und weisen dem Schlüssel eine von Ihnen bevorzugte Gültigkeitsdauer zu:

Grundlagen 13

Nach einem Klick auf den [ Hinzufügen ]-Button wird der Wert für den Clientschlüssel generiert und ausgegeben. Sie haben dann wie oben die Möglichkeit, den Key zunächst in die Zwischenablage zu kopieren und ihn anschließend im Exchange-Grundlagendialog zu hinterlegen:

Grundlagen 14

Die Geheime Clientschlüssel-ID funktioniert im Übrigen nicht bei der Authentifizierung. Es ist stets der Clientschlüssel-Wert als Parameter in die OAuth2-Konfiguration für Exchange innerhalb der myfactory eintragen. Andernfalls erhalten Sie einen 401-Fehler ("Not authorized").

Version

In dieser Auswahlliste haben Sie die Möglichkeit, die für den Exchange-Server-Zugriff benötigte EWS-Schnittstellenversion zu selektieren. Derzeit unterstützt werden die Versionen Exchange2007_SP1, Exchange2010, Exchange2010_SP1 und SP2 sowie Exchange 2013. Geben Sie hier keine EWS-Version an bzw. verwenden Sie eine inkompatible Version, so erhalten Sie bei der Durchführung des Verbindungstests eine entsprechende Fehlermeldung.

Abw. Benutzername für Anmeldung

Wenn für die Anmeldung am Exchange Server nicht Ihre E-Mail-Adresse, sondern Ihr Benutzername benötigt wird, dann können Sie hier zum Testen einen alternativen Login-Namen vergeben. Dies ist z.B. dann sinnvoll, wenn Sie einen internen Exchange Server verwenden. In manchen Fällen ist eine Anmeldung dann nämlich nur mit Ihrem Benutzernamen möglich.

Schaltfläche [ URL abrufen ]

Wenn Sie auf diese Schaltfläche klicken, so lässt sich aus der obigen Kombination aus Mailadresse (bzw. Mailadressen-Domain) und Passwort automatisch die URL für den Zugang zur EWS-Schnittstelle - und somit zum Exchange-Server - ermitteln. Voraussetzung ist ein korrekt konfigurierter Exchange-Autoermittlungsdienst (Exchange Autodiscover Service). Um zu prüfen, ob die ermittelte EWS-URL korrekt ist, versucht der Autodiscover-Service, eine Verbindung zur EWS-Schnittstelle herzustellen. War der Versuch erfolgreich, sehen Sie anschließend eine Message-Box, die Ihnen die erfolgreiche Ermittlung der EWS-URL bestätigt.

Schaltfläche [ Verbindung testen ]

Nach Betätigen dieser Schaltfläche führt das System einen testweisen Log-in auf dem Exchange Server durch. Damit können Sie prüfen, ob die Verbindung über die EWS-Schnittstelle erfolgreich war.

Bitte beachten Sie:

Der Exchange-Autodiscover-Service wurde mit Microsoft Exchange Server 2007 eingeführt. Wenn Sie ältere Exchange-Versionen verwenden, so steht Ihnen der Dienst nicht zur Verfügung und die EWS-URL muss manuell hinterlegt werden.


Grundlagen 15


Grundlagen 16

URL zu Exchange EWS-Webservice

Im Anschluss an die erfolgreiche Ermittlung wird die EWS-URL hier automatisch hinterlegt. Hat dies nicht funktioniert, so haben Sie noch die Möglichkeit, sie gemäß dem Beispielschema https://remote.myserver.com/EWS/Exchange.asmx händisch in dieses Feld einzutragen.

Vorlageadresse bei Neuanlage im myfactory

Im myfactory-Adressstamm wird bei der Neuanlage einer aus Exchange übertragenen Adresse die Vorlageadresse herangezogen, um myfactory-spezifische Felder wie "Adressgruppe" automatisch mit den Daten der Vorlageadresse zu befüllen.

Über die Optionsschaltfläche [ ! ] können Sie eine Vorlageadresse erstellen, suchen oder bearbeiten. Außerdem haben Sie über das zugehörige Kontextmenü Zugriff auf Adressfunktionalitäten wie die Ansprechpartnerliste oder den Kontakt-Manager.

Bitte beachten Sie:

Der Exchange-Adressdatenabgleich ist aktuell nur für die Synchronisierungsrichtung "myfactory --> Exchange" vorgesehen.

Anrede bei Firmenadressen

Damit beim Adressaustausch die Datenfelder des Exchange-Servers korrekt angesprochen und befüllt werden können, muss bei Firmenadressen die passende Anrede festgelegt werden. Der Grund dafür ist, dass bei Exchange-Adressen z.B. zwischen privater und geschäftlicher Anschrift oder privater und geschäftlicher Telefonnummer unterschieden wird.

Automatischen Abruf bei Fehlern 401 (nicht autorisiert) deaktivieren

Bei mehrfach fehlgeschlagenen automatischen Verbindungsversuchen zwischen der myfactory und dem Exchange-Server kann es vorkommen, dass Microsoft die Exchange-Verbindung aus Sicherheitsgründen für eine gewisse Zeitspanne blockiert (z.B. wenn aufgrund zu häufiger automatischer Verbindungsaufrufe eine Brute Force-Attacke auf das Benutzerpasswort vermutet wird). Der Exchange-Server gibt dann in aller Regel einen 401-Fehler (= "nicht autorisiert") zurück und die automatische Exchange-Synchronisierung wird auf 'inaktiv' gesetzt.

Mit dieser globalen Option können Sie den Deaktivierungsvorgang Ihrer automatischen Exchange-Verbindung besser steuern. Diese Option lässt sich auch benutzerindividuell konfigurieren und findet sich daher ebenfalls im Dialog "Administration / Datenzugriff / Exchange-Connector / Verbindungen" (siehe auch Hilfekapitel Verbindungen).

In diesem Bereich stehen die folgenden beiden Auswahlmöglichkeiten bereit:

Sofort:

Dies ist die Standardeinstellung, mit der die automatische Exchange-Synchronisierung bei auffällig vielen Verbindungsaufrufen direkt auf 'inaktiv' gesetzt wird.

Zeitverzögerung:

Mit dieser Auswahl wird die automatische Verbindungsherstellung zwischen der myfactory und dem Exchange-Server nicht unmittelbar deaktiviert. Es sind mehrere Fehlversuche zugelassen. Allerdings wird hier ein Mechanismus eingebaut, der mit jedem fehlgeschlagenen Verbindungsversuch die Zeitspanne bis zum nächstmöglichen Verbindungsversuch erhöht und erst nach einer gewissen Anzahl an Versuchen die automatische Exchange-Synchronisierung deaktiviert (d.h. z.B.: 1. Versuch: 5 Minuten Wartezeit; 2. Versuch: 10 Minuten Wartezeit; 3. Versuch: 20 Minuten Wartezeit, x. Versuch: automatische Verbindung wird deaktiviert).