innovaphone Forum

You are here

Help with Search (new window)
Picture of Peter 627
Registered 13 years 122 days
Peter 627 Thursday, 2 March 2023, 12:45 PM
Azure User - innovaphone myApps Connector for Microsoft 365
Hi zusammen,

gibt es irgendwie eine Übersicht welche privilegien der Servicebenutzer Account für den Connector im Azure AD braucht ?

Die Anmeldung ist soweit erfolgreich aber sobald der Connector dann Anfragen auf die Graphi sendet bekommt der App Service ein 403 zurück.

Es ist doch gewiss nicht so, dass ich einen Account mit Admin Rechten benötigte oder ? Wahrscheinlich reichen doch dedizierte Berechtigungen innerhalb der GraphAPI.

Hier sieht es nämlich irgendwie nach Volladmin ist:
https://wiki.innovaphone.com/index.php?title=How_to:_Configure_Connector_for_Microsoft365

Gruß

Peter
Picture of Thomas Hein (innovaphone)
Moderator Registered 11 years 279 days
Thomas Hein (innovaphone) Thursday, 2 March 2023, 01:19 PM
Re: Azure User - innovaphone myApps Connector for Microsoft 365
Hallo Peter,

der Servicebenutzer braucht nur einen gültigen Account und eine Teams License.
Der Benutzer braucht keine Admin Rechte.

Für eine genaue Untersuchung wo jetzt genau das Problem, wäre ein Ticket besser, weil so ist schwer möglich herauszufinden, woran es liegt, dass ein 403 zurück kommt.

Gruß
Thomas
Picture of Peter 627
Registered 13 years 122 days
Peter 627 Thursday, 2 March 2023, 02:01 PM
Re: Azure User - innovaphone myApps Connector for Microsoft 365
Hm okay, aber irgendein Recht muss es sein. Im Log kann ich wenn ich mir alle Detailsansehe im TLS Socket Receive erkenne, dass folgendes zurück kommt.

"code":"Authorization_RequestDenied","message":"Insufficient privileges to complete the operation.","innerError".

Picture of Thomas Hein (innovaphone)
Moderator Registered 11 years 279 days
Thomas Hein (innovaphone) Thursday, 2 March 2023, 03:42 PM
Re: Azure User - innovaphone myApps Connector for Microsoft 365
Okay, wann kommt denn diese Message. Beim Abrufen vom Token oder beim Abrufen der User aus dem Azure AD? Bei letzterem müssen die Api Permissions gesetzt und von einem Admin bestätigt worden sein. Wie gesagt, ist ohne Log etwas schwierig herauszufinden, wo das Problem liegt.
Picture of Peter 627
Registered 13 years 122 days
Peter 627 Thursday, 2 March 2023, 03:59 PM
2 of 2 users consider this post helpful
Re: Azure User - innovaphone myApps Connector for Microsoft 365
Habe es jetzt mal genauer betrachtet und mit unserer Referenzinstallation Inhouse verglichen smile.

Man kann es sehr gut prüfen, wenn man im App Trace den HTTP Client Log aktiviert. Dort bekommt die App den Bearer Token Anhand der App und Anmeldedaten.
Diesen kann man dann unter: https://jwt.ms/ (Link hab ich von Microsoft) kontrollieren.

In meinem Funktionierenden Connector konnte ich mit dem Token folgende Rückmeldung über den Link ermitteln:
"scp": "Presence.Read.All User.Read User.Read.All profile openid email",

In meinem Fehlfall:
"scp": "Presence.Read.All User.Read profile openid email",

=> Es fehlte also User.Read.All.

Der Kunde hat das nochmal alles in Azure neu zugewiesen. Danach ging es dann smile.

Gruß

Peter

Picture of Thomas Hein (innovaphone)
Moderator Registered 11 years 279 days
Thomas Hein (innovaphone) Thursday, 2 March 2023, 04:38 PM
Re: Azure User - innovaphone myApps Connector for Microsoft 365
Das freut mich zu hören lächelnd

Gruß Thomas
← You can define your color theme preference here