Konfiguration officeatwork
AAD
Der officeatwork templatechooser authorisiert sich über einen sog. OnBehalfOf ( OBO ) Grant für diese Schnittstelle.
Diese Authorisierung wird von dieser Schnittstelle selbstständig ausgeführt, sollte ein AzureToken übermittelt werden.
Hierfür müssen STS und AAD gemäss OboAnleitung konfiguriert werden.
ServerEinstellungen
/settings/global/workspaces.core.configurations.officeatworkconfigdescriptor
TemplateChooserUrl
Die Webaddresse des officeatwork TemplateChoosers.
Diese Addresse muss im Regelfall nicht angefasst werden und obliegt der Hoheit von officeatwork
UploadApiUrl
Die Url, unter welcher der Docintegration-Service erreichbar ist. Bei einem Selfhosting durch den Kunden wird die Url durch den Kunden selbst bestimmt. Bei Cloud Kunden ist die Url fix vorgegeben. Je nach Environment, muss die folgende URL verwendet werden:
Production: https://docintegration-template.prod.cmicloud.ch/<cmi_tenant_id>
Stage (Test): https://docintegration-template.stage.cmicloud.ch/<cmi_tenant_id>
Bspw. für den Mandanten cmiag wäre die Url https://docintegration-template.prod.cmicloud.ch/cmiag und für den Mandanten cmiagtest https://docintegration-template.stage.cmicloud.ch/cmiagtest
ClientId
Die Client-ID, die bei Einrichtung von Azure AD notiert wurde.
STS3 (nur für selfhosted)
Dieser Schritt ist nur für die selfhosted Variante notwendig, bei Cloud-Kunden wird die STS Konfiguration per Octopus Deployment erstellt.
In den appsettings des STS3 muss ein weiterer Client für den OBO Flow angelegt werden: Die Sektion Properties befüllt sich hierbei aus den in der OboAnleitung erzeugten Werten.
{
"ClientId": "officeatwork",
"AllowedGrantTypes": ["urn:ietf:params:oauth:grant-type:jwt-bearer"],
"AllowedScopes": ["templateManager"],
"ClientSecrets": [
{
"value": "[SHA-512 des in der Konfiguration vergebenen Secrets]"
}
],
"Properties": {
"OboAudience": "3cf332fe-d449-4a65-95e2-3a7d9a5ec3c4",
"OboSkipAudienceCheck": false,
"OboValidationClockSkewSeconds": 600,
"OboClaimValidation_scp": "access_as_user"
}
}