Innovaphone Intergration
Im folgenden wird beschrieben, wie sie OpenTalk nahtlos in die Innovaphone myApps/PBX integrieren. Die PBX muss mindestens in Version 137781 bereit stehen.
Zudem benötigen sie eine bereits bestehende OpenTalk-Installation, eine Beschreibung wie sie OpenTalk on premise installieren können, finden sie hier: https://gitlab.opencode.de/opentalk/ot-setup
OAuth2 Grundeinstellungen
Navigieren sie innerhalb der myApps wie folgt: Devices > PBX > Config > Authentication
- Wählen sie den Authentication type: PBX and OAuth2
- Setzen sie einen OAuth2 provider name, z.B.: Innovaphone auth. mit OpenTalk
- Setzen sie die OAuth2 domain, bzw. die URL zu ihrer OpenTalk Installation: opentalk.ihredomain.de
OAuth2 aktivieren und einrichten
Navigieren sie innerhalb der myApps wie folgt: Devices > Services > OAuth2 > Config
- Aktivieren sie die OAuth2 “Config” mit der Checkbox Enable: √
- Setzen sie den DNS name of this gateway, z.B.: pbx.ihredomain.de
- Setzen sie die OpenID well known configurations URL, z.B.: https://accounts.opentalk.ihredomain.de/auth/realms/realm-name/.well-known/openid-configuration
- Setzen sie die Client ID, entsprechend der von Ihnen definierten Client ID im Keycloak, z.B.: pbxauth
- Setzen sie die upn (unique email address): email
Die OpenID well known configurations URL setzt sich immer aus der Domain zum Keycloak und dem Realm-Namen zusammen. Somit ersetzen sie bitte den o. g. Teil accounts.opentalk.ihredomain.de mit ihrer eigenen Keycloak-Domain. Der Realm, oben realm-name, entspricht dem von ihnen konfiguriertem Realm in Keycloak. Gehen wir davon aus, dass die Keycloak-Installation auf der bereitgestellten OpenSource Installation basiert (https://gitlab.opencode.de/opentalk/ot-setup) und keine Änderungen am Realm erfolgt sind, lautet der Realm Name opentalk.
Tipp: Die OpenID well known configurations URL kann durch einen Aufruf im Browser getestet werden, bei erfolgt wird ein JSON ausgeliefert und bestätigt die korrekte URL zur Well-Known-Konfiguration.
OAuth2 Konfiguration verifizieren
Navigieren sie innerhalb der myApps wie folgt: Devices > Services > OAuth2 > State
Sie haben die Möglichkeit die Konfiguration aus den vorherigen Schritten selbständig zu prüfen, sofern alle Parameter richtig gesetzt wurden, sollte sich das Testergebnis wie folgt darstellen:
Innovaphone LDAP und Keycloak User Federation
Navigieren sie innerhalb der myApps wie folgt: Devices > Services > LDAP > Server
- Setzen sie einen LDAP-Nutzer, der innerhalb von Keycloak als Service-Nutzer für LDAP-Abfragen genutzt wird
- Aktivieren sie in jeden Fall die Force TLS Option
In Keycloak zunächst den richtigen Realm auswählen, bearbeiten sie in diesem Kontext nicht den master Realm. Wählen sie “opentalk” oder den von ihnen erstellten Realm.
Navigieren sie innerhalb des Keycloak wie folgt: User federation > Add new provider > LDAP
- Connection URL: ldaps://pbx.ihredomain.de:636
- Use Truststore SPI: Only for ldaps
- Bind type: simple
Die weiteren Einstellungen und Optionen unter LDAP searching and updating hängen stark von der Art der Nutzung der Keycloak-LDAP-Anbindung ab, soll z.B. die Nutzeranlage via Keycloak realisiert werden oder soll alles zentral via Innovaphone verwaltet werden.
Dies muss je nach Anwendungsfall entschieden und eingerichtet werden.