Einrichtung von Active Directory Federation Services

MailStore Server kann so konfiguriert werden, dass die Benutzer gegen Active Directory Federation Services (AD FS) authentifiert werden, wenn entweder Active Directory oder LDAP Generic als Verzeichnisdienst verwendet wird. Dieses Dokument geht davon aus, dass Sie die Active Directory Federation Services bereits konfiguriert haben und beschreibt nur noch den Teil, der für MailStore Server spezifisch ist.

Dieses Dokument verwendet die Begriffe eines Windows Servers mit deutschen Spracheinstellungen. Wenn Sie die englischen Begriffe bevorzugen, öffnen Sie dieses Dokument in der englischen Version.

Damit MailStore Server Open ID Connect Token von den AD FS anfordern kann, müssen sie in den AD FS eine Anwendungsgruppe erstellen. Diese Anwendungsgruppe muss dann in MailStore Server angegeben werden, um eine Vertrauensstellung zwischen den beiden Systemen herzustellen.

Melden Sie sich an Ihrem AD FS Server an.
Öffnen Sie die AD FS Verwaltung.
Navigieren Sie zu den Anwendungsgruppen.
Klicken Sie mit der rechten Maustaste auf Anwendungsgruppen und dann auf Anwendungsgruppe hinzufügen... oder klicken Sie auf Anwendungsgruppe hinzufügen... im Aktionen-Panel.
Vergeben Sie einen Name, z.B. MailStore, und wählen Sie die Vorlage Systemeigene Anwendung mit Zugriff auf eine Web-API aus.

Klicken Sie auf Weiter.
DieClient-ID dieser Anwendung wird angezeigt. Kopieren Sie diesen Wert, da er später für die Konfiguration in MailStore Server benötigt wird.
Tragen Sie in das Feld Umleitungs-URI eine URI im Format (ohne die Klammern)
https://<fqdn>[:<port>]/oidc/signin

aus folgenden Bestandteilen ein:

https://
Die Angabe des Protokolls muss verpflichtend https:// lauten. Damit bei der Benutzeranmeldung später keine Zertifikatswarnungen erscheinen, muss dem von MailStore Server verwendeten Zertifikat von den Webbrowsern auf den Client-Geräten vertraut werden.

FQDN
Der vollständige DNS-Name, engl. Fully Qualified Domain Name (FQDN), Ihres MailStore Servers, bestehend aus dem Rechnernamen und der DNS-Domäne, z.B. mailstore.example.com. Dieser muss von allen Clients, von denen aus sich Benutzer an MailStore Server anmelden sollen, auflösbar sein.

Port
Der TCP-Port des MailStore Web Access (standardmäßig 8462). Dieser muss mit dem in der MailStore Server Dienst-Konfiguration in der Sektion Basiskonfiguration > Netzwerkeinstellungen > Dienste > MailStore Web Access / Outlook Add-in (HTTPS) konfigurierten Port übereinstimmen. Der TCP-Port muss nur angegeben werden, wenn dieser vom Standardport des HTTPS-Protokolls (443) abweicht.

/oidc/signin
An diesem Endpunkt erwartet MailStore Server die Authentifizierungsantworten von den AD FS. Dieser Pfad muss exakt so am Ende des Umleitungs-URIs stehen.

Beispiele für gültige Umleitungs-URIs
Produkt	Rechnername	DNS-Domäne	TCP-Port	Resultierender Umleitungs-URI
MailStore Server	mailstore	example.com	8462	`https://mailstore.example.com:8462/oidc/signin` Umleitungs-URI mit vollständigem DNS-Namen und MailStore Web Access Standardport
MailStore Server	mailstore	example.com	443	`https://mailstore.example.com/oidc/signin` Wird der HTTPS-Standardport 443 für den MailStore Web Access oder als Quellport einer Firewall-Port-Weiterleitungsregel verwendet, kann die Portangabe im Umleitungs-URI entfallen.
MailStore SPE	archive	example.com	443	`https://archive.example.com/<instanceid>/oidc/signin` Die instanceid der Instanz ist Teil der Umleitungs-URI.

Kopieren Sie die Umleitungs-URI in die Zwischenablage.
Klicken Sie auf Hinzufügen um die Umleitungs-URI in die Liste der erlaubten URIs aufzunehmen.
Klicken Sie auf Weiter.

Fügen Sie die Umleitungs-URI aus der Zwischenablage in das Bezeichner-Feld der Web-API-Konfiguration ein.
Klicken Sie auf Hinzufügen.
Klicken Sie auf Weiter.

Wählen Sie eine Zugriffssteuerungsrichtlinie für diese Anwendungsgruppe aus.
Klicken Sie auf Weiter.

Wählen Sie die Bereiche allatclaims, openid und profile aus.
Klicken Sie auf Weiter.

Eine Zusammenfassung der Einstellungen der Anwendungsgruppe wird angezeigt.
Klicken Sie auf Weiter um die Anwendungsgruppe zu erstellen.

Eine Erfolgsmeldung wird angezeigt.

Schließen sie den Dialog.

Optional: sAMAccountName als Benutzername

The OIDC token issued by AD FS does not include the sAMAccountName property of the users by default. If you have configured MailStore Server to use the sAMAccountName as user user name, then you have to configure the AD FS application group to include that property in the token, otherwise MailStore Server is unable to associate the token with a user and the users are unable to login.

If you have configured MailStore Server to use the user principal name (UPN) or the local part of the user principal name, then these configuration steps are not required.

Right click on the newly created Application Group and select Properties.

Select the Web API application and click Edit....
Open the tab Issuance Transform Rule.

Click Add Rule....
Select Send LDAP Attribute as Claims from the Claim rule template drop down menu.
Click Next to continue.

Enter a Claim rule name.
Select Active Directory from the Attribute store drop down menu.
Select SAM-Account-Name in the LDAP Atrribute column of the mapping table.
Enter sAMAccountName in the Outgoing Claim Type column.
Click Finish.

Have the Client Identifier and the Redirect URI available and return to MailStore Server to proceed with the configuration of the Active Directory or LDAP Generic directory service connectors.