Geordnete Unterstützung

von Tobias Bück

OTOBO ist ein benutzerfreundliches und vollständig frei verfügbares Ticketsystem, das sich auf komplexe Serviceanforderungen spezialisiert. Die Software ist mittlerweile in Version 11 verfügbar und mit ihren neuen wie auch althergebrachten Features ist sie eine Support-Alternative, die mit einfacher Bedienbarkeit, Active-Directory-Integration und Single Sign-on überzeugen will. Wir zeigen Inbetriebnahme, Konfiguration und das Anbinden an Drittsysteme wie Entra ID.

OTOBO [1] haben seine Entwickler von Anfang an für Effizienz, Anpassungsfähigkeit und ansprechendes Design konzipiert. Unter anderem ermöglicht die Software durch Features wie Docker-Unterstützung, dynamische Formulare und Volltextsuche eine schnelle Informationsextraktion und individuelle Anpassung an Unternehmensbedürfnisse. Die freie Software schöpft die Möglichkeiten moderner IT-Service-Managementsysteme aus und bietet eine Plattform für eine aktive Community. Das Helpdesk-System will eine kosteneffiziente, technologische Alternative zu proprietären Produkten sein. Dazu sollen nicht zuletzt seine ausgefeilten Features beitragen.

Architektur und Funktionen

OTOBO bietet eine Palette fortschrittlicher Funktionen, die eine effiziente und effektive Bearbeitung von Tickets ermöglichen. Eine seiner Schlüsselfunktionen ist die Anbindung an das Active Directory und andere LDAP-Dienste, was eine zentrale Verwaltung von Benutzerkonten und Gruppenzugehörigkeiten erlaubt. Diese Integration vereinfacht nicht nur die Benutzerverwaltung, sondern auch die Authentifizierung und Autorisierung von Nutzern. Die Best Practices für eine solche Integration umfassen die Verwendung mehrerer Backup-LDAP-Server für Redundanz, die Minimierung von Abfragen durch gezielte Suche und Filterung sowie das regelmäßige Überprüfen der Zugriffsrechte für Datensicherheit und Compliance.

Daneben kommt die Plattform mit einer sicheren E-Mail-Kommunikation daher, die OAuth2 für POP3 und IMAP unterstützt. So ist eine moderne und sichere Authentifizierung für den E-Mail-Abruf aus Diensten wie Microsoft 365 möglich. Für das automatische Abrufen von E-Mails ist der OTOBO-Daemon erforderlich, der in vordefinierten Intervallen Nachrichten abholt und Verarbeitungsaufgaben automatisiert ausführt. Wichtig ist hierbei auch die Konfiguration von Postmaster-Filtern für das automatische Zuweisen von E-Mails zu den richtigen Queues.

Die Integration von Single Sign-on (SSO) ermöglicht es Nutzern, sich mit ihren Credentials einmalig zu authentifizieren und Zugriff auf mehrere Systeme, einschließlich OTOBO, ohne wiederholte Anmeldungen zu erhalten. Diese Funktion steigert die Benutzerfreundlichkeit und Sicherheit. Bevor wir nun in die Installation und den Betrieb des Ticketsystems einsteigen aus aktuellem Anlass ein Blick auf neue Features im frisch erschienen Major-Release.

Neues in OTOBO 11

Release 11 von OTOBO bringt eine Vielzahl neuer dynamischer Felder, die für mehr Flexibilität und Leistungsfähigkeit sorgen sollen. Besonders hervorzuheben ist das neue Script-Feld, das Bedingungen mit logischen Operatoren prüfen oder Berechnungen anstellen kann. Dies ist nützlich, um sicherzustellen, dass beispielsweise Bestellungen den Budgetvorgaben entsprechen oder um den Garantiestatus von Produkten zu ermitteln. Das "DynamicFieldSet" ermöglicht es, mehrere dynamische Felder zu einem Set zusammenzufassen, was die Konfiguration komplexer Formulare erheblich beschleunigt. Die MultiValue-Funktion erlaubt es, dynamische Felder oder Sets zur Laufzeit hinzuzufügen oder zu entfernen, was besonders praktisch ist, um mehrere Artikel mit Anzahl und Preis zu erfassen.

Die Ticketmasken in Version 11 lassen sich noch individueller und übersichtlicher gestalten: Dynamische Felder sind nun in verschiedenen Masken in unterschiedlicher Reihenfolge und mit individuellen Labeln verfügbar. Die Möglichkeit, dynamische Felder in einem Grid mit beliebig vielen Spalten anzuordnen, erhöht die Flexibilität weiter. Darüber hinaus lassen sich dynamische Felder und Sets per MultiValue-Funktion zur Laufzeit hinzufügen oder entfernten, was ein flexibles Anpassen der Formulare ermöglicht. Zudem sind Read-only-Felder in ausgewählten Masken mit vorausgewähltem Wert hilfreich in Prozessen, die Informationen aus vorgelagerten Schritten als Referenz anbieten.

Der Betrieb mehrsprachiger Systeme ist ebenfalls komfortabler. Übersetzungen pflegen Systemverantwortliche jetzt direkt über die Admin-Oberfläche anstatt in versteckten Systemdateien. Komfortable Filter- und Anzeigeoptionen bieten die Möglichkeit, gezielt nach unübersetzten Elementen im System zu suchen. Begriffe können entweder direkt in der Oberfläche übersetzt oder in eine Excel-Liste exportiert und übersetzt wieder importiert werden, was den Prozess erheblich vereinfacht.

OTOBO 11 bietet zudem die Möglichkeit, interne Artikel nachträglich zu bearbeiten und zu löschen. Der neue CKEditor 5 soll dabei für eine benutzerfreundliche Textbearbeitung sorgen. Über die jetzt verfügbaren Quick-Time-Buttons sind Ticket-Wartezeiten individuell konfigurier- und anpassbar. Die "Customer Info Tile" ermöglicht es, Richtext-Kacheln für den Kundenbereich zu erstellen, die über die Admin-Oberfläche verwaltet werden. Diese Kacheln kann der Support bei Bedarf durch ein Laufband für besonders dringende Mitteilungen ergänzen.

OTOBO installieren

OTOBO bietet dank der Unterstützung von Docker und Docker-Compose eine hohe Flexibilität und einfache Installation über eine breite Palette von Betriebssystemen hinweg. So ist ein Betrieb auf Win-dows-Servern ausschließlich mit Docker möglich, die native Installation klappt nur auf Linux-Maschinen. Die Container-Technologie ermöglicht es, die Software innerhalb isolierter Umgebungen auszuführen und somit Kompatibilitäts- und Abhängigkeitsprobleme zu minimieren. Docker-Compose vereinfacht den Prozess, indem es das Deployment von Multi-Container-Docker-Anwendungen mit einer einzigen Konfigurationsdatei ermöglicht, wodurch alle benötigten OTOBO-Services automatisch eingerichtet und konfiguriert werden.

Die Anforderungen an die Hardware und Software von OTOBO variieren je nach Einsatzszenario, von minimalen Installationen bis hin zu Systemen, die für die Verarbeitung von hohem Ticketaufkommen und die zusätzliche Nutzung von KI-basierter Ticketklassifizierung optimiert sind. Um Ihre OTOBO-Installation zu planen, berücksichtigen Sie die Richtlinien unter [3]. Für das im Kasten vorgestellte OTOBO ATC sollten zusätzlich mindestens 8 GByte RAM zur Verfügung stehen. Die Anforderungen an den freien Speicherplatz können je nach der Anzahl der Tickets und der Größe der Anhänge variieren. Es wird empfohlen, regelmäßige Backups durchzuführen, um einem potenziellen Datenverlust vorzubeugen. Wenn eingehende E-Mails häufig große Anhänge haben, kann sich der Speicher schnell erhöhen.

Bevor Sie mit der Installation beginnen, stellen Sie bitte sicher, dass Docker und Docker-Compose installiert sind. Dieser Vorgang kann je nach Betriebssystem variieren, unter Ubuntu klappt er via:

Beginnen Sie anschließend damit, das offizielle OTOBO-Docker-Repository zu klonen. Dieses Repository enthält alle benötigten Docker-Compose-Dateien und Konfigurationen:

Dabei gibt "--branch rel-10_1" die Version an, zur Verfügung stehen Version 11 ("--branch rel-11_0"), 10.1 ("--branch rel-10_1) und 10.0 ("--branch rel-10_0"). Um spezifische Patch-Versionen zu installieren, geben Sie "--branch rel-10_1_X" an.

Die Docker-Compose-Konfigurationsdatei ENV ist Ihre primäre Verwaltungsschnittstelle. Diese Datei müssen Sie zuerst erstellen und dann anpassen. Um die Aufgabe zu vereinfachen, gibt es mehrere Beispieldateien, die Sie als Ausgangspunkt verwenden sollten. Welche davon am besten geeignet ist, hängt von Ihrem Anwendungsfall ab. In den meisten Fällen fällt die Entscheidung zwischen "docker_compose_env_http" und "docker_compose_ env_https", je nachdem, ob TLS unterstützt werden muss oder nicht. Die anderen Dateien sind für speziellere Anwendungsfälle wie HTTP, HTTPS mit Nginx als Reverse-Proxy-Webserver ausgeführt wird oder auch Single Sign-on. Beachten Sie, dass die Kerberos-Unterstützung noch experimentell ist.

Um zum Beispiel eine Konfigurationsdatei für HTTPS zu erstellen, nutzen Sie:

Daraufhin passen Sie die ENV-Datei an und ändern folgende Einstellung:

Mit den angepassten Konfigurationen starten Sie nun die OTOBO-Container über Docker-Compose mit docker-compose up -d. Dies geschieht im Verzeichnis, in dem sich Ihre docker-compose.yml und ENV-Datei befinden. Der Befehl lädt alle erforderlichen Images herunter und startet die Container. Überprüfen Sie mithilfe von docker ps, ob alle Container in Betrieb sind.

Mit den laufenden Containern können Sie nun über einen Webbrowser auf den OTOBO-Installer zugreifen. Besuchen Sie dazu "http:///otobo/installer.pl" und folgen den Anweisungen im Webinstaller. Hierbei nehmen Sie unter anderem die Datenbankkonfiguration vor und legen den Administrator-Account fest. Nachdem Sie die Konfiguration im Webinstaller abgeschlossen haben, ist OTOBO einsatzbereit. Sie können sich nun im Admin-Bereich einloggen und Ihr Ticketsystem nach Ihren Bedürfnissen konfigurieren.

Erste Schritte

Die Kernelemente von OTOBO wie Agenten, Queues, Gruppen, Kunden, Kundenbenutzer, Tickets, Typen und Prioritäten sorgen für einen reibungslosen und organisierten Ablauf im Kundensupport und ermöglichen eine präzise Steuerung der Serviceprozesse. Agenten sind die Benutzer innerhalb des Systems, die Tickets bearbeiten und mit den Kunden kommunizieren. OTOBO ermöglicht die Verwaltung der Agenten durch verschiedene Backend-Quellen und bietet umfangreiche Integrationen, um das Berechtigungssystem zu pflegen.

Queues fungieren als Warteschlangen, die die Tickets organisieren und den Teams basierend auf Kompetenzniveau, Verantwortungsbereich oder Abteilungszugehörigkeit zuweisen. Gruppen dienen zur Zugriffs- und Berechtigungssteuerung. Durch das Zuweisen von Agenten zu Gruppen stimmen Sie den Zugriff auf Tickets, Funktionen und Bereiche innerhalb des Systems ab, um eine sichere und organisierte Arbeitsumgebung zu schaffen.

Zudem können Sie Kunden und deren Benutzer (Kundenbenutzer) verwalten. Diese Strukturierung erlaubt es, Anfragen zentral zu bearbeiten und sicherzustellen, dass jede den passenden Bearbeiter findet. Die Möglichkeit, unterschiedliche Datenquellen wie Datenbanken und LDAP-Verzeichnisse für die Kundenverwaltung zu nutzen, bietet eine signifikante Flexibilität.

Tickets sind die Grundlage der Kommunikation in OTOBO. Sie erfassen jede Anfrage, jedes Problem oder jeden Fall, der durch Kunden oder intern angelegt wird. Dynamische Felder machen spezifische Informationen zu Tickets möglich, was die Datenanalyse und die Berichterstattung verbessert. Sie sind zudem in der Lage, Ticket-Typen wie "Umklassifiziert", "Vorfall" oder "Problem" zu definieren, die zur Kategorisierung der Anfragen dienen. Zusätzlich ermöglicht das System das Setzen von Prioritäten durch ein Ampelsystem, das sicherstellt, dass dringende Anfragen sofortige Aufmerksamkeit bekommen. In der Standardinstallation haben Tickets eine von fünf Prioritäten, häufig genügt es aber auch, drei Prioritäten zu verwenden.

Das Zuweisen von Agenten zu Gruppen ist essentiell für eine effiziente Bearbeitung von Tickets und Anfragen. Diese Zuweisungen können fein abgestimmte Berechtigungen umfassen, die vom Nur-Lese-Zugriff bis zum Vollzugriff reichen und sogar spezifische Aktionen wie das Eintragen von Notizen oder das Bearbeiten von Ticketprioritäten ermöglichen.

Verknüpfung mit Microsoft 365

Die Integration von E-Mails aus Microsoft 365 in OTOBO mittels OAuth 2.0 bietet eine sichere und moderne Methode für den E-Mail-Abruf. Dieser Prozess umfasst einige wesentliche Schritte, von der Einrichtung in Entra ID bis zur Konfiguration in OTOBO. Wenden wir uns zunächst den Arbeiten in Entra ID zu:

1. Anlegen einer Enterprise-Anwendung: Zunächst ist es notwendig, eine Unternehmensanwendung im Portal zu erstellen. Diese App repräsentiert Ihre OTOBO-Instanz in der Microsoft-Cloud und dient als Authentifizierungsgrundlage.

2. Erstellen einer Umleitungs-URL: Für die OAuth-2.0-Authentifizierung ist es erforderlich, eine Umleitungs-URL zu definieren, die zur OTOBO-Instanz zurückführt. Diese URL setzt sich zusammen aus der Adresse Ihrer OTOBO-Installation, gefolgt von "/otobo/ index.pl?Action=AdminMailAccount".

3. Generieren eines geheimen Clientschlüssels: In Azure legen Sie einen geheimem Clientschlüssel an. Dieser ist essenztiell, da er später in OTOBO die Authentifizierung ermöglicht.

4. Hinzufügen von API-Berechtigungen: Die App benötigt spezifische Berechtigungen, um auf die E-Mail-Daten zugreifen zu können. Wichtig sind hierbei die Berechtigungen für "IMAP.Access-AsUser.All" und "POP.AccessAsUser.All".

Nach der Einrichtung in Entra ID folgt die Konfiguration im OTOBO-Ticketsystem:

1. Installation des MailAccount-OAuth2-Pakets: In OTOBO installieren Sie das Paket "MailAccount-OAuth2" über die Paketverwaltung. Dieses erweitert OTOBO um die nötige Funktionalität, um OAuth 2.0 für den Abruf von E-Mails nutzen zu können.

2. Anpassen der OTOBO-Systemkonfiguration: In der Systemkonfiguration müssen Sie das Profil "OAuth2::MailAccount:: Profiles###Custom"1 aktivieren und Anwendungs-ID, Clientschlüssel sowie die Tenant-ID konfigurieren. Außerdem ist es notwendig, die spezifische Tenant-ID anstelle von "common" in den Bereichen "AuthURL" und "TokenURL" einzutragen, um eine erfolgreiche Authentifizierung zu gewährleisten.

3. PostMaster-Mail-Account: Abschließend legen Sie ein E-Mail-Konto an (oder passen ein bestehendes an), indem Sie das zuvor konfigurierte OAuth2-Profil auswählen. Dies erlaubt es dem PostMaster-Prozess, E-Mails via OAuth 2.0 aus dem Microsoft-365-Konto abzurufen.

Wichtiger Hinweis: Stellen Sie sicher, dass die notwendigen API-Berechtigungen in Azure erteilt sind und die Firewall Ihrer Infrastruktur konfiguriert ist, um die Kommunikation mit den Microsoft-365-Servern zu erlauben. Ohne diese Schritte kann die Authentifizierung scheitern oder der E-Mail-Abruf blockiert werden.

Active Directory anbinden

Die Integration von Benutzern aus einem Active Directory stellt eine effiziente Methode dar, die Benutzerverwaltung in großen Organisationen zu zentralisieren und zu vereinfachen. Durch das Anbinden eines LDAP- oder Active-Directory-Servers übertragen Sie Userdaten nahtlos in das OTOBO-System, wodurch die Notwendigkeit entfällt, diese manuell zu pflegen.

Schauen wir uns die dafür notwendigen Maßnahmen an: Zunächst müssen Sie das LDAP-Backend in OTOBO für die Integration mit dem Active Directory vorbereiten. Die Konfiguration des LDAP-Backends erfolgt über die Konfigurationsdatei "Kernel/ Config.pm", in der Sie die LDAP-Serverdetails hinterlegen. Bitte beachten Sie, dass sich aufgrund der Docker-Installation OTOBOs Dateien in Volumes befinden, deshalb liegen die Files in "/var/lib/docker/ volumes/otobo_opt_otobo/_data".

Nun geht es an das Anpassen der Konfiguration. Sie kopieren den Abschnitt "$Self->{CustomerUser}" aus der Kernel/ Config/Defaults.pm- in die Kernel/Config.pm-Datei. Hierbei entfernen Sie die Kommentarzeichen, um die erforderlichen LDAP-Einstellungen zu aktivieren. Diese umfassen Serveradresse, Basis-DN und Benutzeridentifizierung über die UID (User ID), typischerweise der sAMAccountName für eine Active-Directory-Integration. Nun folgt das Attribut-Mapping, bei dem Sie die Zuordnung der LDAP-Attribute zu OTOBO-spezifischen Feldern anpassen. Dies ermöglicht eine flexible Handhabung von Kundendaten, wie etwa die Zuweisung des vollständigen Namens, der E-Mail-Adresse sowie weiterer relevanter Kundendaten.

Daneben unterstützt OTOBO die parallele Nutzung verschiedener Backends, was die Verwaltung von Benutzerdaten aus mehreren Quellen ermöglicht. Durch die Nummerierung der Backends wie zum Beispiel "CustomerUser1", "CustomerUser2" und so weiter in der Kernel/ Config.pm-Konfigurationsdatei kann das Ticketsystem bis zu zehn verschiedene Backends integrieren.

Die Verzahnung mit dem Active Directory ermöglicht zudem die Feinsteuerung der Berechtigungen von Anwendern innerhalb von OTOBO. Durch das Zuordnen von AD-Gruppen zu OTOBO-Rollen können Sie umfangreiche Zugriffsrechte auf Basis bestehender Unternehmensrichtlinien abbilden. Abschließend erlaubt dieses Zusammenspiel die nahtlose Synchronisation von Nutzerdaten zwischen den Systemen, reduziert den administrativen Aufwand bei der Benutzerverwaltung und erhöht die Sicherheit durch zentrale Authentifizierungsmechanismen.

Single Sign-on über das AD ermöglichen

Die Implementierung von Single Sign-on mittels Kerberos in OTOBO ermöglicht eine nahtlose und sichere Authentifizierung, insbesondere in AD-Umgebungen. Dieses Verfahren vereinfacht den Anmeldeprozess für die Nutzer erheblich, indem es die Notwendigkeit eliminiert, erneut Anmeldedaten anzugeben, denn sie loggen sich automatisch mit ihren Microsoft-Daten ein.

Für SSO erstellen Sie zunächst einen Active-Directory-Benutzer, der für die SSO-Authentifizierung zum Einsatz kommt. Wichtig hierbei ist, dass Sie den Benutzernamen nach einem spezifischen Schema vergeben, etwa "HTTP/<domain>". Stellen Sie sicher, dass Sie Großbuchstaben für den Teil "HTTP/" verwenden, da Kerberos dies erwartet, und dass der Domain-Name ein A-Record ist und kein CNAME. Nun verwenden Sie das Tool ktpass auf einem Domaincontroller, um eine Keytab-Datei für den eben erstellten Benutzer zu erstellen. Diese dient später in der OTOBO-Konfiguration dazu, um die Kerberos-Authentifizierung zu ermöglichen.

Jetzt müssen Sie Nginx und die OTOBO-Container vorbereiten und legen dazu ein neues Verzeichnis und ein Volume für die Nginx-Konfiguration auf Ihrem OTOBO-Server an. Bewegen Sie die Keytab-Datei in das zuvor erstellte Verzeichnis und konfigurieren Sie die Nginx-Einstellungen des Containers, um die Kerberos-Authentifizierung zu verwenden. In Ihrer OTOBO-Konfigurationsdatei ("Kernel/ Config.pm") müssen Sie nun angeben, dass Kerberos für die Authentifizierung verwendet werden soll, indem Sie entsprechende Konfigurationszeilen aus der Standard-Konfiguration ("Defaults.pm") übernehmen.

Für Kerberos-SSO müssen Sie Konfigurationen in Ihrem Browser vornehmen. Für Chrome, Edge und Internet Explorer gilt es, OTOBO zu den lokalen oder vertrauenswürdigen Seiten hinzuzufügen und "Integrierte Windows-Authentifizierung" zu aktivieren. In Firefox müssen Sie "network.negotiate-auth.trusted-uris" auf die OTOBO-URL setzen.

Kerberos-SSO erfordert genau definierte Einstellungen und die korrekte Konfiguration aller Komponenten. Sollten Probleme auftreten, überprüfen Sie die Container-Status, die Nginx-Konfiguration und die Setups im Kerberos und im Active Directory.

Fazit

OTOBO ist ein technologisch fortschrittliches Ticketing- und Helpdesk-System. Durch die sukzessive Weiterentwicklung ist die Anwendung eine Alternative zu etablierten Produkten. Die nahtlose Active-Directory-Integration, die Nutzung von E-Mails aus Microsoft 365 mittels OAuth 2, Single Sign-On und die in Entwicklung befindliche KI-gestützte Ticket-Klassifizierung skizzieren das umfangreiche Leistungsspektrum von OTOBO und veranschaulichen die beachtliche Adaptionsfähigkeit an unterschiedlichste Anforderungen und IT-Umgebungen.

Besonders bemerkenswert ist die offene Architektur der Software, die es nicht nur ermöglicht, bestehende Funktionalitäten nach Bedarf zu erweitern oder neu zu konfigurieren, sondern auch die Integration mit einer Vielzahl von Drittsystemen und Technologien erlaubt.

Open-Source-Ticketsystem OTOBO

Geordnete Unterstützung

Architektur und Funktionen

Architektur und Funktionen

Neues in OTOBO 11

OTOBO installieren

Erste Schritte

Verknüpfung mit Microsoft 365

Active Directory anbinden

Single Sign-on über das AD ermöglichen

Fazit