gateway/AZURE_AD_CONSENT_LINKS.md

# Azure AD Consent Links

## Konfiguration
- **Client ID**: `c7e7112d-61dc-4f3a-8cd3-08cc4cd7504c`
- **Tenant ID**: `common` (Multi-Tenant)
- **Redirect URI (Prod)**: `https://gateway-prod.poweron-center.net/api/msft/auth/callback`
- **Redirect URI (Int)**: `https://gateway-int.poweron-center.net/api/msft/auth/callback`

## Berechtigungen (Scopes)
- `Mail.ReadWrite` - E-Mails lesen und schreiben
- `Mail.Send` - E-Mails senden
- `Mail.ReadWrite.Shared` - Zugriff auf geteilte Postfächer
- `User.Read` - Benutzerprofil lesen
- `Sites.ReadWrite.All` - Alle SharePoint-Standorte lesen und schreiben
- `Files.ReadWrite.All` - Alle Dateien lesen und schreiben

## Admin Consent Link (für Tenant-Administrator)

**WICHTIG:** Der Admin Consent Endpoint gibt `admin_consent` und `tenant` zurück, nicht `code` und `state`. 
Der bestehende `/auth/callback` Handler erwartet `code` und `state` für den normalen OAuth-Flow.

**Option 1: Admin Consent über Azure Portal (für eigenen Tenant)**
1. Gehe zu Azure Portal → Azure Active Directory → App registrations
2. Wähle die App `c7e7112d-61dc-4f3a-8cd3-08cc4cd7504c`
3. Gehe zu "API permissions"
4. Klicke auf "Grant admin consent for [Tenant Name]"

**Option 1b: App für andere Tenants verfügbar machen**

Um die App für andere Tenants sichtbar zu machen, müssen folgende Schritte durchgeführt werden:

1. **Multi-Tenant Konfiguration prüfen:**
   - Azure Portal → Azure Active Directory → App registrations
   - Wähle die App `c7e7112d-61dc-4f3a-8cd3-08cc4cd7504c`
   - Gehe zu "Authentication"
   - Stelle sicher, dass "Supported account types" auf **"Accounts in any organizational directory and personal Microsoft accounts"** oder **"Accounts in any organizational directory"** gesetzt ist

2. **App für andere Tenants verfügbar machen:**
   
   **Methode A: Direkter Admin Consent Link (empfohlen)**
   - Andere Tenant-Administratoren können den Admin Consent Link verwenden:
     ```
     https://login.microsoftonline.com/{TENANT_ID}/adminconsent?client_id=c7e7112d-61dc-4f3a-8cd3-08cc4cd7504c&redirect_uri=https://gateway-prod.poweron-center.net/api/msft/adminconsent/callback
     ```
   - Ersetze `{TENANT_ID}` durch die Tenant-ID des Ziel-Tenants (oder verwende `common` für Multi-Tenant)
   
   **Methode B: Manuell über Azure Portal (für andere Tenants)**
   - Tenant-Administrator des anderen Tenants:
     1. Gehe zu Azure Portal → Azure Active Directory → Enterprise applications
     2. Klicke auf "+ New application"
     3. Wähle "Browse Azure AD Gallery" (optional) oder "Create your own application"
     4. Wenn nicht in Gallery: Wähle "Non-gallery application"
     5. Gib die Client ID ein: `c7e7112d-61dc-4f3a-8cd3-08cc4cd7504c`
     6. Oder verwende direkt diesen Link:
        ```
        https://portal.azure.com/#blade/Microsoft_AAD_IAM/ManagedAppMenuBlade/Overview/objectId/{CLIENT_ID}
        ```
        (Ersetze `{CLIENT_ID}` mit `c7e7112d-61dc-4f3a-8cd3-08cc4cd7504c`)
     7. Gehe zu "Permissions" → "Grant admin consent"

   **Methode C: App in Azure AD Gallery veröffentlichen (optional)**
   - Für größere Sichtbarkeit kann die App in der Azure AD App Gallery veröffentlicht werden
   - Azure Portal → App registrations → App → "Branding & properties"
   - Kontaktiere Microsoft für Gallery-Veröffentlichung

3. **Wichtig für Multi-Tenant Apps:**
   - Die Redirect URIs müssen öffentlich erreichbar sein
   - Die App muss die richtigen Berechtigungen deklarieren
   - Tenant-Administratoren müssen explizit zustimmen (Admin Consent)

**Option 2: Admin Consent Link (mit Callback-Handler)**
### Production
```
https://login.microsoftonline.com/common/adminconsent?client_id=c7e7112d-61dc-4f3a-8cd3-08cc4cd7504c&redirect_uri=https://gateway-prod.poweron-center.net/api/msft/adminconsent/callback
```

### Integration
```
https://login.microsoftonline.com/common/adminconsent?client_id=c7e7112d-61dc-4f3a-8cd3-08cc4cd7504c&redirect_uri=https://gateway-int.poweron-center.net/api/msft/adminconsent/callback
```

**Hinweis:** Der `/adminconsent/callback` Endpoint ist implementiert und verarbeitet die `admin_consent` und `tenant` Parameter. Nach erfolgreichem Admin Consent wird eine Bestätigungsseite angezeigt.

## User Consent Link (für einzelne Benutzer)

### Production
```
https://login.microsoftonline.com/common/oauth2/v2.0/authorize?client_id=c7e7112d-61dc-4f3a-8cd3-08cc4cd7504c&response_type=code&redirect_uri=https://gateway-prod.poweron-center.net/api/msft/auth/callback&response_mode=query&scope=Mail.ReadWrite Mail.Send Mail.ReadWrite.Shared User.Read Sites.ReadWrite.All Files.ReadWrite.All offline_access openid profile&state=login
```

### Integration
```
https://login.microsoftonline.com/common/oauth2/v2.0/authorize?client_id=c7e7112d-61dc-4f3a-8cd3-08cc4cd7504c&response_type=code&redirect_uri=https://gateway-int.poweron-center.net/api/msft/auth/callback&response_mode=query&scope=Mail.ReadWrite Mail.Send Mail.ReadWrite.Shared User.Read Sites.ReadWrite.All Files.ReadWrite.All offline_access openid profile&state=login
```

## Hinweise

1. **Admin Consent**: Muss von einem Tenant-Administrator durchgeführt werden, um die App für alle Benutzer im Tenant zu genehmigen
2. **User Consent**: Jeder Benutzer kann individuell zustimmen (wenn Admin Consent nicht durchgeführt wurde)
3. **Multi-Tenant**: Da `common` als Tenant verwendet wird, funktioniert die App für alle Azure AD Tenants
4. **Redirect URI**: Muss exakt in der Azure AD App-Registrierung konfiguriert sein

## Azure Portal Konfiguration

Stelle sicher, dass in der Azure AD App-Registrierung (`c7e7112d-61dc-4f3a-8cd3-08cc4cd7504c`) folgendes konfiguriert ist:

1. **Redirect URIs**:
   - `https://gateway-prod.poweron-center.net/api/msft/auth/callback`
   - `https://gateway-int.poweron-center.net/api/msft/auth/callback`

2. **API Permissions** (Delegated):
   - ✅ Mail.ReadWrite
   - ✅ Mail.Send
   - ✅ Mail.ReadWrite.Shared
   - ✅ User.Read
   - ✅ Sites.ReadWrite.All
   - ✅ Files.ReadWrite.All

3. **Supported account types**: 
   - "Accounts in any organizational directory and personal Microsoft accounts" (Multi-tenant)