Erste Schritte
Die Kernelemente von OTOBO wie Agenten, Queues, Gruppen, Kunden, Kundenbenutzer, Tickets, Typen und Prioritäten sorgen für einen reibungslosen und organisierten Ablauf im Kundensupport und ermöglichen eine präzise Steuerung der Serviceprozesse. Agenten sind die Benutzer innerhalb des Systems, die Tickets bearbeiten und mit den Kunden kommunizieren. OTOBO ermöglicht die Verwaltung der Agenten durch verschiedene Backend-Quellen und bietet umfangreiche Integrationen, um das Berechtigungssystem zu pflegen.

Queues fungieren als Warteschlangen, die die Tickets organisieren und den Teams basierend auf Kompetenzniveau, Verantwortungsbereich oder Abteilungszugehörigkeit zuweisen. Gruppen dienen zur Zugriffs- und Berechtigungssteuerung. Durch das Zuweisen von Agenten zu Gruppen stimmen Sie den Zugriff auf Tickets, Funktionen und Bereiche innerhalb des Systems ab, um eine sichere und organisierte Arbeitsumgebung zu schaffen.

Zudem können Sie Kunden und deren Benutzer (Kundenbenutzer) verwalten. Diese Strukturierung erlaubt es, Anfragen zentral zu bearbeiten und sicherzustellen, dass jede den passenden Bearbeiter findet. Die Möglichkeit, unterschiedliche Datenquellen wie Datenbanken und LDAP-Verzeichnisse für die Kundenverwaltung zu nutzen, bietet eine signifikante Flexibilität.

Tickets sind die Grundlage der Kommunikation in OTOBO. Sie erfassen jede Anfrage, jedes Problem oder jeden Fall, der durch Kunden oder intern angelegt wird. Dynamische Felder machen spezifische Informationen zu Tickets möglich, was die Datenanalyse und die Berichterstattung verbessert. Sie sind zudem in der Lage, Ticket-Typen wie "Umklassifiziert", "Vorfall" oder "Problem" zu definieren, die zur Kategorisierung der Anfragen dienen. Zusätzlich ermöglicht das System das Setzen von Prioritäten durch ein Ampelsystem, das sicherstellt, dass dringende Anfragen sofortige Aufmerksamkeit bekommen. In der Standardinstallation haben Tickets eine von fünf Prioritäten, häufig genügt es aber auch, drei Prioritäten zu verwenden.

Das Zuweisen von Agenten zu Gruppen ist essenziell für eine effiziente Bearbeitung von Tickets und Anfragen. Diese Zuweisungen können fein abgestimmte Berechtigungen umfassen, die vom Nur-Lese-Zugriff bis zum Vollzugriff reichen und sogar spezifische Aktionen wie das Eintragen von Notizen oder das Bearbeiten von Ticketprioritäten ermöglichen.

Verknüpfung mit Microsoft 365
Die Integration von E-Mails aus Microsoft 365 in OTOBO mittels OAuth 2.0 bietet eine sichere und moderne Methode für den E-Mail-Abruf. Dieser Prozess umfasst einige wesentliche Schritte, von der Einrichtung in Entra ID bis zur Konfiguration in OTOBO. Wenden wir uns zunächst den Arbeiten in Entra ID zu:

• Anlegen einer Enterprise-Anwendung: Zunächst ist es notwendig, eine Unternehmensanwendung im Portal zu erstellen. Diese App repräsentiert Ihre OTOBO-Instanz in der Microsoft-Cloud und dient als Authentifizierungsgrundlage.
• Erstellen einer Umleitungs-URL: Für die OAuth-2.0-Authentifizierung ist es erforderlich, eine Umleitungs-URL zu definieren, die zur OTOBO-Instanz zurückführt. Diese URL setzt sich zusammen aus der Adresse Ihrer OTOBO-Installation, gefolgt von "/otobo/ index.pl?Action=AdminMailAccount".
• Generieren eines geheimen Clientschlüssels: In Azure legen Sie einen geheimem Clientschlüssel an. Dieser ist essenziell, da er später in OTOBO die Authentifizierung ermöglicht.
• Hinzufügen von API-Berechtigungen: Die App benötigt spezifische Berechtigungen, um auf die E-Mail-Daten zugreifen zu können. Wichtig sind hierbei die Berechtigungen für "IMAP.AccessAsUser.All" und "POP.AccessAsUser.All".

Nach der Einrichtung in Entra ID folgt die Konfiguration im OTOBO-Ticketsystem:

• Installation des MailAccount-OAuth2Pakets: In OTOBO installieren Sie das Paket "MailAccount-OAuth2" über die Paketverwaltung. Dieses erweitert OTOBO um die nötige Funktionalität, um OAuth 2.0 für den Abruf von E-Mails nutzen zu können.
• Anpassen der OTOBO-Systemkonfiguration: In der Systemkonfiguration müssen Sie das Profil "OAuth2::MailAccount:: Profiles###Custom"1 aktivieren und Anwendungs-ID, Clientschlüssel sowie die Tenant-ID konfigurieren. Außerdem ist es notwendig, die spezifische Tenant-ID anstelle von "common" in den Bereichen "AuthURL" und "TokenURL" einzutragen, um eine erfolgreiche Authentifizierung zu gewährleisten.
• PostMaster-Mail-Account: Abschließend legen Sie ein E-Mail-Konto an (oder passen ein bestehendes an), indem Sie das zuvor konfigurierte OAuth2-Profil auswählen. Dies erlaubt es dem PostMaster-Prozess, E-Mails via OAuth 2.0 aus dem Microsoft-365-Konto abzurufen.

Wichtiger Hinweis: Stellen Sie sicher, dass die notwendigen API-Berechtigungen in Azure erteilt sind und die Firewall Ihrer Infrastruktur konfiguriert ist, um die Kommunikation mit den Microsoft-365Servern zu erlauben. Ohne diese Schritte kann die Authentifizierung scheitern oder der E-Mail-Abruf blockiert werden. Weitere Details zur Einrichtung und Konfiguration von Microsoft 365 in OTOBO finden Sie in der Dokumentation.

Active Directory anbinden
Die Integration von Benutzern aus einem Active Directory stellt eine effiziente Methode dar, die Benutzerverwaltung in großen Organisationen zu zentralisieren und zu vereinfachen. Durch das Anbinden eines LDAP- oder Active-Directory-Servers übertragen Sie Userdaten nahtlos in das OTOBO-System, wodurch die Notwendigkeit entfällt, diese manuell zu pflegen.

Schauen wir uns die dafür notwendigen Maßnahmen an: Zunächst müssen Sie das LDAP-Backend in OTOBO für die Integration mit dem Active Directory vorbereiten. Die Konfiguration des LDAP-Backends erfolgt über die Konfigurationsdatei "Kernel/ Config.pm", in der Sie die LDAP-Serverdetails hinterlegen. Bitte beachten Sie, dass sich aufgrund der Docker-Installation OTOBOs Dateien in Volumes befinden, deshalb liegen die Files in "/var/lib/docker/ volumes/otobo_opt_otobo/_data".

Nun geht es an das Anpassen der Konfiguration. Sie kopieren den Abschnitt "$Self->{CustomerUser}" aus der Kernel/ Config/Defaults.pm- in die Kernel/Config.pm-Datei. Hierbei entfernen Sie die Kommentarzeichen, um die erforderlichen LDAP-Einstellungen zu aktivieren. Diese umfassen Serveradresse, Basis-DN und Benutzeridentifizierung über die UID (User ID), typischerweise der sAMAccountName für eine Active-Directory-Integration. Nun folgt das Attribut-Mapping, bei dem Sie die Zuordnung der LDAP-Attribute zu OTOBO-spezifischen Feldern anpassen. Dies ermöglicht eine flexible Handhabung von Kundendaten, wie etwa die Zuweisung des vollständigen Namens, der E-Mail-Adresse sowie weiterer relevanter Kundendaten.

Daneben unterstützt OTOBO die parallele Nutzung verschiedener Backends, was die Verwaltung von Benutzerdaten aus mehreren Quellen ermöglicht. Durch die Nummerierung der Backends wie zum Beispiel "CustomerUser1", "CustomerUser2" und so weiter in der Kernel/ Config.pm-Konfigurationsdatei kann das Ticketsystem bis zu zehn verschiedene Backends integrieren.

Die Verzahnung mit dem Active Directory ermöglicht zudem die Feinsteuerung der Berechtigungen von Anwendern innerhalb von OTOBO. Durch das Zuordnen von AD-Gruppen zu OTOBO-Rollen können Sie umfangreiche Zugriffsrechte auf Basis bestehender Unternehmensrichtlinien abbilden. Abschließend erlaubt dieses Zusammenspiel die nahtlose Synchronisation von Nutzerdaten zwischen den Systemen, reduziert den administrativen Aufwand bei der Benutzerverwaltung und erhöht die Sicherheit durch zentrale Authentifizierungsmechanismen.

Single Sign-on über das AD ermöglichen
Die Implementierung von Single Sign-on mittels Kerberos in OTOBO ermöglicht eine nahtlose und sichere Authentifizierung, insbesondere in AD-Umgebungen. Dieses Verfahren vereinfacht den Anmeldeprozess für die Nutzer erheblich, indem es die Notwendigkeit eliminiert, erneut Anmeldedaten anzugeben, denn sie loggen sich automatisch mit ihren Microsoft-Daten ein.

Für SSO erstellen Sie zunächst einen Active-Directory-Benutzer, der für die SSO-Authentifizierung zum Einsatz kommt. Wichtig hierbei ist, dass Sie den Benutzernamen nach einem spezifischen Schema vergeben, etwa "HTTP/<domain>". Stellen Sie sicher, dass Sie Großbuchstaben für den Teil "HTTP/" verwenden, da Kerberos dies erwartet, und dass der Domain-Name ein A-Record ist und kein CNAME. Nun verwenden Sie das Tool ktpass auf einem Domaincontroller, um eine Keytab-Datei für den eben erstellten Benutzer zu erstellen. Diese dient später in der OTOBO-Konfiguration dazu, um die Kerberos-Authentifizierung zu ermöglichen.

Jetzt müssen Sie Nginx und die OTOBOContainer vorbereiten und legen dazu ein neues Verzeichnis und ein Volume für die Nginx-Konfiguration auf Ihrem OTOBO-Server an. Bewegen Sie die KeytabDatei in das zuvor erstellte Verzeichnis und konfigurieren Sie die Nginx-Einstellungen des Containers, um die Kerberos-Authentifizierung zu verwenden. In Ihrer OTOBO-Konfigurationsdatei ("Kernel/ Config.pm") müssen Sie nun angeben, dass Kerberos für die Authentifizierung verwendet werden soll, indem Sie entsprechende Konfigurationszeilen aus der Standard-Konfiguration ("Defaults.pm") übernehmen.

Für Kerberos-SSO müssen Sie Konfigurationen in Ihrem Browser vornehmen. Für Chrome, Edge und Internet Explorer gilt es, OTOBO zu den lokalen oder vertrauenswürdigen Seiten hinzuzufügen und "Integrierte Windows-Authentifizierung" zu aktivieren. In Firefox müssen Sie "network.negotiate-auth.trusted-uris" auf die OTOBO-URL setzen.

Kerberos-SSO erfordert genau definierte Einstellungen und die korrekte Konfiguration aller Komponenten. Sollten Probleme auftreten, überprüfen Sie die Container-Status, die Nginx-Konfiguration und die Setups im Kerberos und im Active Directory.

Fazit
OTOBO ist ein technologisch fortschrittliches Ticketing- und Helpdesk-System. Durch die sukzessive Weiterentwicklung ist die Anwendung eine Alternative zu etablierten Produkten. Die nahtlose Active-Directory-Integration, die Nutzung von E-Mails aus Microsoft 365 mittels OAuth 2, Single Sign-On und die in Entwicklung befindliche KI-gestützte Ticket-Klassifizierung skizzieren das umfangreiche Leistungsspektrum von OTOBO und veranschaulichen die beachtliche Adaptionsfähigkeit an unterschiedlichste Anforderungen und IT-Umgebungen.

Besonders bemerkenswert ist die offene Architektur der Software, die es nicht nur ermöglicht, bestehende Funktionalitäten nach Bedarf zu erweitern oder neu zu konfigurieren, sondern auch die Integration mit einer Vielzahl von Drittsystemen und Technologien erlaubt.

ln/jp/Tobias Bück

Im ersten Teil des Artikels ging es um die Neuerungen von OTOBO 11 und wie Sie die Software installieren.