Adressbuch Kontakt Importer (Graph-API)

Diese Seite beschreibt die Konfiguration für den Import von Graph-API Kontakten mit dem Adressbuch Kontakt Importer. Den Download für das Modul befindet sich auf der Hauptseite.

Vorbereitung der IT-Umgebung

Zur Verwendung dieser STARFACE Erweiterung muss eine Microsoft Graph API eingerichtet werden. Logge dich hierzu bitte bei Microsoft Entra ein.

Anwendung in Microsoft Entra registrieren

  • Melde Dich unter https://entra.microsoft.com/ an.

  • Klappe in der Seitenleiste den Punkt entraID auf.

  • Klicke auf appregistrierungen .

  • Beginne die App Registrierung mit einem Klick auf neueregistrierung .

  • Vergebe einen beliebigen Namen für die Anwendung, in diesem Beispiel „AKI-Graph“.

  • Wähle unter dem Punkt „Unterstützte Kontotypen“ den ersten Punkt: „Nur Konten in diesem Organisationsverzeichnis (nur “AD-Bezeichnung” – einzelner Mandant)“.

  • Füge unter dem Punkt "URL" Folgendes ein:

https://login.microsoftonline.com/common/oauth2/nativeclient

  • Setze die Option "Öffentliche Clientflows zulassen" auf "Ja".

oAuth-2.0-Einrichtung_Erweiterte-Einstellung.png

Berechtigungen zur Anwendung hinzufügen

Nachdem die Anwendung registriert wurde, wird man zur Übersicht der Anwendung weitergeleitet. Auf der linken Seite befindet sich der Punkt „API-Berechtigung“. Über den Button „Berechtigung hinzufügen“ lassen sich neue Rechte der Anwendung hinzufügen. Folgende Rechte aus der Microsoft Graph API werden benötigt:

Es gibt delegierte Berechtigungen und Anwendungsberechtigungen. Folgende Rechte werden benötigt.

Anwendungsberechtigungen:

  • Contacts.Read

  • User.Read

Übersicht

Für den Import von Kontakten über die Microsoft Graph API werden die Berechtigungen Contacts.Read und User.Read benötigt. Beide erfüllen unterschiedliche Zwecke, ergänzen sich aber gegenseitig, um einen sicheren und vollständigen Zugriff zu ermöglichen.

Berechtigung: Contacts.Read

  • Funktion: Erlaubt das Auslesen aller Kontakte im Postfach des angemeldeten Benutzers.

  • Umfang: Zugriff auf persönliche Kontakte, gespeichert in Outlook oder Exchange, inklusive Eigenschaften wie Name, E-Mail-Adresse, Telefonnummern und Notizen.

  • Einsatz: Ohne dieses Recht ist kein Abruf von Kontakten möglich, wodurch auch kein Import und keine Synchronisation stattfinden kann.

Berechtigung: User.Read

  • Funktion: Standardberechtigung, die den Zugriff auf grundlegende Profildaten des angemeldeten Benutzers ermöglicht.

  • Umfang: Anzeigename, E-Mail-Adresse, Profilfoto, Benutzer-ID. Zusätzlich wird die Identität des Benutzers zur Authentifizierung benötigt.

  • Einsatz: Dieses Recht stellt sicher, dass die Anwendung weiß, welcher Benutzer angemeldet ist und dass die Kontakte im richtigen Postfach ausgelesen werden.

Delegierte Berechtigungen vs. Anwendungsberechtigungen

Delegierte Berechtigungen

  • Werden verwendet, wenn eine App im Auftrag eines angemeldeten Benutzers agiert.

  • Zugriff erfolgt nur im Kontext der Rechte dieses Benutzers.

  • Beispiel: Ein Benutzer meldet sich an und die App darf nur dessen Kontakte lesen.

Anwendungsberechtigungen

  • Werden einer App direkt erteilt, ohne dass ein Benutzer angemeldet sein muss.

  • Zugriff erfolgt im eigenen Kontext der Anwendung, oft mit Admin-Zustimmung.

  • Beispiel: Eine Hintergrund-App, die regelmäßig Kontakte aus allen Postfächern eines Unternehmens importiert.

Warum Anwendungsberechtigungen in diesem Modul?

Das Modul muss Kontakte auch ohne aktive Benutzersitzung importieren können. Deshalb reichen delegierte Berechtigungen nicht aus. Nur Anwendungsberechtigungen geben der Anwendung die Möglichkeit, im Hintergrund und im Namen der Organisation auf die Kontaktdaten und Benutzerinformationen zuzugreifen.

Zusammenspiel der Berechtigungen

  • User.Read (Application) liefert die notwendigen Basisinformationen zur Identifikation.

  • Contacts.Read (Application) erlaubt daraufhin den Zugriff auf die Kontaktobjekte.

Beide Rechte sind daher zwingend erforderlich:

  • User.Read stellt sicher, dass die Anwendung im Kontext der richtigen Person arbeitet.

  • Contacts.Read erlaubt den eigentlichen Zugriff auf die Kontakte.

Modulkonfiguration

Graph-API

microsoft_graph_api

Microsoft Graph-API verwenden

  • Aktiviere die Checkbox "Microsoft Graph-API verwenden", um die Schnittstelle zum Import der Kontakte in das STARFACE Adressbuch zu aktivieren.

Zugangsdaten

  • Anwendungs-ID (Client):

    • Gebe hier die oben erstellte Anwendungs-ID ein.

  • Verzeichnis-ID (Mandant):

    • Gebe hier die oben erstellte Verzeichnis-ID ein.

  • Geheimer Clientschlüssel:

    • Trage hier den erstellten Clientschlüssel der Anwendung ein.

Ablauf des Client Secrets

  • Benachrichtigung, wenn das Client Secret bald abläuft:

    • Aktiviere diese Checkbox, um eine Benachrichtigung zu erhalten, wenn das Client Secret in weniger als 14 Tagen abläuft.7

  • E-Mail:

    • Definiere hier, an welche E-Mail Adresse die Benachrichtigung gesendet werden soll.

Private Kontakte

  • Aktiviere die Checkbox, um private Kontakte der Gruppenmitglieder in die privaten Adressbücher der STARFACE zu importieren. Der Abgleich erfolgt über die E-Mail Adresse der Benutzer. Spezifiziere unter Benutzergruppe eine STARFACE Gruppe, auf die diese Option angewendet werden soll.