Übersicht
Die Calliente-Anwendung ist in Microsoft Entra ID (ehemals Azure AD) integriert, um eine sichere und reibungslose Benutzererfahrung innerhalb von Microsoft 365-Umgebungen zu bieten.
Dieses Dokument beschreibt die von der Anwendung angeforderten spezifischen API-Berechtigungen, deren Zweck und wie Daten sicher verwaltet werden.
Bei Calliente wenden wir die Prinzipien der Transparenz und des Datenschutzes durch Design an.
Wir fordern nur die strikt notwendigen Berechtigungen an und greifen weder auf Daten zu noch speichern wir sie über den funktionalen Umfang der Anwendung hinaus.
✅ Von Calliente angeforderte Berechtigungen
Die folgenden Berechtigungen sind delegiert und werden über die Microsoft Graph API gewährt.
Sie erscheinen in Ihrem Tenant als „Calliente gewährt“.
| Berechtigung | Typ | Admin-Zustimmung erforderlich | Hauptverwendung |
|---|---|---|---|
| GroupMember.Read.All | Delegiert | ✅ Ja | Lesen der Gruppen, denen ein Benutzer angehört, um die Kontaktsynchronisierung zu filtern |
| offline_access | Delegiert | ❌ Nein | Einen neuen Zugriffstoken erhalten, wenn der aktuelle abläuft, auch wenn der Benutzer nicht mehr aktiv ist |
| openid | Delegiert | ❌ Nein | Erforderlich für die Authentifizierung über OpenID Connect |
| profile | Delegiert | ❌ Nein | Zugriff auf grundlegende Profilinformationen des Benutzers |
| User.Read | Delegiert | ❌ Nein | Ermöglicht dem Benutzer die Anmeldung und das Lesen des eigenen Profils |
| User.Read.All | Delegiert | ✅ Ja | Alle Benutzerprofile lesen — wird zur Synchronisierung von Telefonnummern und Kontaktinformationen verwendet |
🔍 Warum diese Berechtigungen?
Jede Berechtigung hat einen bestimmten Zweck:
🔐 Benutzeridentifikation und -anmeldung
- openid, profile und User.Read sind Standard-OpenID Connect-Scopes, um eine sichere Authentifizierung über Microsoft Entra ID zu ermöglichen.
🧩 Kontaktfilterung nach Gruppe
- GroupMember.Read.All ermöglicht Calliente zu bestimmen, welchen Gruppen der Benutzer angehört, um die Kontaktsynchronisierung nur auf Mitglieder der vom Administrator definierten Gruppen zu beschränken.
📇 Verzeichnissuche und Kontextinformationen
- User.Read.All wird verwendet, um Benutzer aufzulisten, zum Beispiel bei der Rollenzuweisung oder der Suche nach Kollegen.
Es sind keine Profiländerungen oder -schreibvorgänge möglich.
🔄 Sitzungsverwaltung
- offline_access ermöglicht der Anwendung, weiterhin zu funktionieren während langer Sitzungen, ohne den Benutzer erneut zur Anmeldung aufzufordern.
🛡️ Sicherheitsverpflichtung
🧱 Prinzip der geringsten Privilegien
Calliente fordert nur die minimal notwendigen Berechtigungen an und führt keine administrativen Operationen in Ihrem Tenant aus.
🔐 Keine Daten außerhalb des Tenants gespeichert
Benutzerdaten, auf die über Microsoft Graph zugegriffen wird, werden niemals dauerhaft auf Calliente-Servern gespeichert, es sei denn, es liegt eine explizite Konfiguration mit Zustimmung vor.
✅ Integrierte Konformität
Die Calliente-Plattform befolgt die Best Practices von Microsoft für die Anwendungszustimmung und folgt den Empfehlungen der Microsoft Identity Platform für sichere Integrationen.
🧾 So überprüfen oder widerrufen Sie Berechtigungen
Als Microsoft Entra ID-Administrator können Sie jederzeit die gewährten Berechtigungen überprüfen und verwalten:
Azure-Portal → Unternehmensanwendungen → Calliente
Gehen Sie zu Berechtigungen → Individuelle Zustimmungen anzeigen oder entfernen
Weitere Details finden Sie in der offiziellen Microsoft-Dokumentation zur Verwaltung von Anwendungsberechtigungen.
📬 Fragen oder Bedenken?
Für ein Audit, Bedarf an Konformitätsdokumentation oder technische Unterstützung:
👉 https://calliente.app/contact/
Für identitätsbezogene Probleme:
👉 Kontaktieren Sie den Microsoft Entra Support