Google Workspace-Integration: Unterschied zwischen den Versionen

[unmarkierte Version][unmarkierte Version]
Zeile 41: Zeile 41:
 
* Klicken Sie auf ''Speichern''
 
* Klicken Sie auf ''Speichern''
  
== Erstellen eines Dienstkontos ==
+
=== Erstellen eines Dienstkontos ===
 
* Öffnen Sie das ''Navigationsmenü (☰)'' und wählen Sie ''APIs & Dienste'' > ''Anmeldedaten'' aus.
 
* Öffnen Sie das ''Navigationsmenü (☰)'' und wählen Sie ''APIs & Dienste'' > ''Anmeldedaten'' aus.
 
* Klicken Sie auf ''+ Anmeldedaten erstellen'' und wählen Sie ''Dienstkonto'' aus dem Drop-Down-Menü aus.
 
* Klicken Sie auf ''+ Anmeldedaten erstellen'' und wählen Sie ''Dienstkonto'' aus dem Drop-Down-Menü aus.
Zeile 49: Zeile 49:
 
* Das Dienstkonto benötigt keine Berechtigungen auf Projektebene, weshalb keine Rollen ausgewählt werden müssen.
 
* Das Dienstkonto benötigt keine Berechtigungen auf Projektebene, weshalb keine Rollen ausgewählt werden müssen.
 
* Klicken Sie auf ''Weiter''.
 
* Klicken Sie auf ''Weiter''.
 +
* Nutzer benötigen keinen Zugriff auf das Dienstkonto, weshalb im Schritt ''Nutzern Zugriff auf dieses Dienstkonto erteilen'' keine Einstellungen vorgenommen werden müssen.
 +
* Klicken Sie auf ''Fertig''.
 +
* Zurück auf der Seite ''Anmeldedaten'', klicken Sie auf das neu erstellte Dienstkonto um dessen Eigenschaften zu öffnen.
 +
* Klicken Sie unter ''Schlüssel'' auf ''Schlüssel hinzufügen'' und dann auf ''Neuen Schlüssel erstellen''.
 +
* Wählen sie als Schlüsseltyp ''JSON'' aus und klicken Sie auf ''Erstellen''.
 +
* Die JSON Datei wird automatisch heruntergeladen. Speichern Sie die JSON-Datei an einem sicheren Ort, da er den Zugriff of Cloud-Resourcen Ihrer Organisation ermöglicht.
 +
* Klicken Sie auf ''Schliessen''.
 +
* Klicken Sie auf ''Domainweite Delegation einblenden''
 +
* Aktivieren Sie die Option ''Domainweite G Suite-Delegation aktivieren''.
 +
* Klicken Sie auf ''Speichern''.
  
 +
Auf der Seite ''Anmeldedaten'' sollten nun unter ''Dienstkonten'' ein Dienstkonto aufgelistet sein und eine entsprechender Client unter ''OAuth 2.0 Client IDs''.
  
  
 
* Bestätigen Sie den Hinweisdialog mit ''Ohne Rolle erstellen''.
 
* Die JSON Datei wird heruntergeladen. Speichern Sie die JSON-Datei (z.B. <tt>MailStore API Access-e035d2ad4f35.json</tt>) in einem Verzeichnis auf dem MailStore Server.
 
* Schließen Sie den ''Dienstkonto erstellt'' Dialog.
 
* Klicken Sie auf ''Dienstkonten verwalten''.
 
* Klicken Sie auf die 3-Punkte-Dropdown-Liste unter ''Aktionen'' des Dienstkontos und wählen Sie ''Bearbeiten''.
 
* Lassen Sie sich die Domainweite Delegation einblenden und aktivieren Sie die Option ''Domainweite G Suite-Delegation aktivieren''.
 
* Geben Sie ''MailStore'' als ''Produktname für den Zustimmmungsbildschirm'' ein.
 
* Klicken Sie auf ''Speichern''.
 
* Klicken Sie auf den Dienstkontonamen, um sich dessen Details anzeigen zu lassen. Notieren sie sich die ''Eindeutige ID'' (''Client-ID'') und die ''E-Mail'' zur späteren Verwendung.
 
  
 
=== Zugriff auf APIs erteilen ===
 
=== Zugriff auf APIs erteilen ===

Version vom 12. Juni 2020, 10:49 Uhr

Neben der manuellen Anlage von Benutzern (diese wird im Kapitel Verwalten von Benutzern beschrieben), kann MailStore Server seine interne Benutzerdatenbank auch mit dem G Suite-Konto Ihres Unternehmens abgleichen.

Bei der Synchronisierung werden Benutzerinformationen, wie z.B. Benutzernamen und E-Mail-Adressen, aus dem G Suite-Konto in die MailStore Server-Benutzer­datenbank kopiert. Dadurch können sich z.B. Benutzer mit ihren G Suite-Konto-Zugangsdaten auch an MailStore Server anmelden und E-Mails den Benutzerarchiven automatisch zugeordnet werden. Es werden von MailStore Server keine Änderungen am G Suite-Konto selbst vorgenommen. Der Umfang der Synchronisierung lässt sich über Filter einschränken.


Bitte beachten Sie die Ankündigung von Google vom 16. Dezember 2019 den Zugriff auf G Suite-Konten von weniger sicheren Apps in Zukunft einzuschränken. Dies betrifft jede Version vor MailStore Server 13, welche daher nicht länger in der Lage sein werden, Benutzer beim Versuch sich an MailStore Server anzumelden gegen G Suite zu authentifizieren.

In MailStore Server 13 wurde die Unterstützung für moderne Authentifizierungsmethoden via OAuth 2.0 & OpenID Connect entsprechend Googles Empfehlung eingeführt. Obwohl MailStore Server 13 weiterhin Unterstützung einer IMAP-basierten Authentifizierung enthält, behandelt dieses Dokument ausschließlich die Einrichtung unter Verwendung moderner Authentifizierungsmethoden wie in Zukunft von Google verlangt.

Voraussetzungen, Empfehlungen und Einschränkungen

  • Um Googles Anforderungen and Autorisierte Weiterleitungs-URIs zu erfüllen, muss MailStore Server über eine URI erreichbar sein, welche auf einer öffentlichen Top-Level-Domain endet. Die bedeutet nicht notwendigerweise, dass er tatsächlich aus dem Internet erreichbar sein muss. Google verwendet zur Validierung die Liste von https://publicsuffix.org.
  • Für eine bestmögliche Benutzererfahrung sollte dem von MailStore Server benutzten Zertifikat von allen Clients und Webbrowsern vertraut werden. Es wird empfohlen, ein von einer vertrauenswürdigen Zertifizierungsstelle signiertes Zertifikat oder Let's Encrypt Zertifikate zu verwenden.
  • Wenn sich Benutzer von außerhalb des Firmennetzwerks ohne VPN über den MailStore Client, das MailStore Outlook-Addin oder den Web Access an MailStore Server anmelden sollen, müssen die in diesem Artikel beschriebenen URIs auch im Internet per DNS aufgelöst werden können und gegebenenfalls Port-Weiterleitungsregeln zum MailStore Server-Computer auf der Firewall oder dem Router eingerichtet werden.
  • Wird Google zur Authentifizierung von Benutzern verwendet, ist der Zugriff auf das Archiv mittels IMAP aus technischen Gründen nicht möglich.

Projekt bei Google registrieren

Unabhängig davon ob eigene oder Drittanwendungen wie MailStore mit einen G Suite-Konto über Google APIs interagieren sollen, müssen diese als Projekt bei Google registriert werden. Die ist notwendig um sicherzustellen, dass Zugriff durch externe Anwendungen auf ein notwendiges Minimum beschränkt wird und jede Anwendung eigene Zugangsdaten zur Anmeldung an Google verwendet.

Erstellen eines neuen Projektes

Um ein neues Projekt für MailStore Server bei Google zu registrieren, gehen Sie wie folgt vor:

  • Öffnen Sie die Google Developers Console.
  • Falls erforderlich, melden Sie sich mit einem G Suite-Benutzer an. Es wird dringen empfohlen einen Benutzer mit administrativen Rechten zu verwenden.
  • Wenn kein Projekt existiert, klicken Sie auf Erstellen auf dem Dashboard. Andernfalls öffnen Sie die List der Projekte durch klicken auf das Projekt Drop-Down-Menü in der Kopfzeile und klicken Sie auf Neues Projekt.
  • Geben Sie dem Projekt einen aussagekräftigen Namen, wie z.B. MailStore Server.
  • Überprüfen Sie das Organisation der gewünschten Organisation entspricht und passen sie den Speicherort gegebenenfalls an.
  • Klicken Sie auf Erstellen.

Nachdem das Projekt erstellt wurde, stellen Sie sicher, dass dieses in der Projekt Drop-Down-Liste ausgewählt ist bevor Sie fortfahren.

API-Bibliotheken hinzufügen

  • Öffnen Sie das Navigationsmenü (☰) und wählen Sie APIs & Dienste > Bibliothek aus.
  • Suchen und aktivieren Sie in der API-Bibliothek folgende APIs und Dienste:
    Admin SDK
    Gmail API

Anpassen des OAuth-Zustimmungsbildschirm

  • Öffnen Sie das Navigationsmenü (☰) und wählen Sie APIs & Dienste > OAuth-Zustimmungsbildschirm aus.
  • Wählen Sie Intern als Nutzertyp aus.
  • Klicken Sie auf Erstellen.
  • Geben Sie einen aussagekräftigen Namen, wie z.B. "MailStore Server" in das Feld Name der Anwendung ein.
  • Klicken Sie auf Speichern

Erstellen eines Dienstkontos

  • Öffnen Sie das Navigationsmenü (☰) und wählen Sie APIs & Dienste > Anmeldedaten aus.
  • Klicken Sie auf + Anmeldedaten erstellen und wählen Sie Dienstkonto aus dem Drop-Down-Menü aus.
  • Auf der Seite Dienstkonto erstellen tragen Sie den Namen für das Dienstkonto ein, z.B. "MailStore Server Dienst".
  • Geben Sie eine Beschreibung wie z.B. "Dienstkonto für MailStore Server zum Synchronisieren von Benutzern und Archivieren von Postfächern" ein.
  • Klicken Sie auf Erstellen.
  • Das Dienstkonto benötigt keine Berechtigungen auf Projektebene, weshalb keine Rollen ausgewählt werden müssen.
  • Klicken Sie auf Weiter.
  • Nutzer benötigen keinen Zugriff auf das Dienstkonto, weshalb im Schritt Nutzern Zugriff auf dieses Dienstkonto erteilen keine Einstellungen vorgenommen werden müssen.
  • Klicken Sie auf Fertig.
  • Zurück auf der Seite Anmeldedaten, klicken Sie auf das neu erstellte Dienstkonto um dessen Eigenschaften zu öffnen.
  • Klicken Sie unter Schlüssel auf Schlüssel hinzufügen und dann auf Neuen Schlüssel erstellen.
  • Wählen sie als Schlüsseltyp JSON aus und klicken Sie auf Erstellen.
  • Die JSON Datei wird automatisch heruntergeladen. Speichern Sie die JSON-Datei an einem sicheren Ort, da er den Zugriff of Cloud-Resourcen Ihrer Organisation ermöglicht.
  • Klicken Sie auf Schliessen.
  • Klicken Sie auf Domainweite Delegation einblenden
  • Aktivieren Sie die Option Domainweite G Suite-Delegation aktivieren.
  • Klicken Sie auf Speichern.

Auf der Seite Anmeldedaten sollten nun unter Dienstkonten ein Dienstkonto aufgelistet sein und eine entsprechender Client unter OAuth 2.0 Client IDs.


Zugriff auf APIs erteilen

Nachdem das Projekt erfolgreich angelegt wurde, muss diesem Zugriff auf die APIs erteilt werden, welche MailStore zur Verzeichnisdienstsynchronisierung und Archivierung verwendet.

  • Öffnen Sie die G Suite Admin-Konsole
  • Klicken Sie auf das Widget Sicherheit. Ist dieses nicht sichtbar, klicken Sie auf Mehr Widgets in der grauen Leiste am Fuß der Seite und wählen Sie anschließend Sicherheit aus. Sollte Sicherheit immer noch nicht nicht sichtbar sein, stellen Sie sicher, dass Sie als Administrator der G Suite-Domäne angemeldet sind.
  • Klicken Sie auf Grundlegende Einstellungen.
  • Stellen Sie sicher, dass die Einstellung unter Weniger sichere Apps nicht auf Zugriff auf weniger sichere Apps für alle Nutzer deaktivieren (empfohlen) steht. Wählen Sie anderfalls eine der beiden anderen Optionen und speichern Sie die Änderungen.
  • Navigieren Sie zurück zu Sicherheit.
  • Klicken Sie auf API-Referenz.
  • Aktivieren Sie ggf. den API-Zugriff und speichern Sie die Änderungen.
  • Klicken Sie auf Erweiterte Einstellungen. Sollte dieser Abschnitt nicht sichtbar sein, klicken Sie zunächst auf Mehr anzeigen.
  • Klicken Sie im Abschnitt Authentifizierung auf API-Client-Zugriff verwalten.
  • Geben Sie im Feld Client-Name die Client-ID des Dienstkontos ein (z.B. 108878593494909748351).
  • Tragen Sie in das Ein oder mehrere API-Bereiche Feld folgende Bereiche ein:
    https://mail.google.com/, https://www.googleapis.com/auth/admin.directory.group.readonly, https://www.googleapis.com/auth/admin.directory.user.readonly
  • Klicken Sie auf Autorisieren.

Aufruf der Verzeichnisdienste-Integration

  • Melden Sie sich als MailStore Server-Administrator über den MailStore Client an.
  • Klicken Sie auf Verwaltung > Benutzer und Archive > Verzeichnisdienste.
  • Wählen Sie im Bereich Integration den Verzeichnisdienste-Typ G Suite.
Gapps sync 01.png


Verbindung zu G Suite

Für die Synchronisierung benötigt MailStore Server Informationen darüber, wie das G Suite-Konto angesprochen werden kann.

  • Schlüssel-ID
    Wählen Sie zum Import des privaten Schlüssels die von Google für das Dienstkonto erzeugte JSON-Datei (z.B. MailStore API Access-e035d2ad4f35.json) aus.
  • Dienstkonto
    Das Dienstkonto wird automatisch aus der JSON-Datei ermittelt.
  • Benutzername
    Die E-Mail-Adresse des G Suite-Administrators (z.B. [email protected]).

Synchronisierung der Benutzerdatenbank

Nachdem Sie die Verbindungseinstellungen wie oben beschrieben angegeben haben, können Sie in diesem Abschnitt Filterkriterien für den Abgleich mit G Suite festlegen.

  • Nur diese Gruppen:
    Wählen Sie eine oder mehrere G Suite-Gruppen aus, wenn Sie nur deren Mitglieder als MailStore Server-Benutzer anlegen wollen. Dadurch lässt sich verhindern, dass bestimmte Benutzer nach MailStore Server synchronisiert werden.

Optionen

  • Automatisch Benutzer in MailStore Server löschen
    Hier kann gewählt werden, ob Benutzer, die im G Suite-Konto gelöscht wurden, durch die Synchro­nisierung auch in der MailStore Server-Benutzerdatenbank automatisch gelöscht werden sollen. Benutzer, die aus dem Betrachtungsbereich der Einstellungen fallen, werden ebenfalls gelöscht.
    Es werden nur MailStore Server-Benutzer gelöscht, deren Authentifizierungs­methode auf Verzeichnisdienste eingestellt ist.
    Enthält der Archivordner eines solchen Benutzers bereits archivierte E-Mails, wird nur der Benutzereintrag, nicht aber sein Archivordner in MailStore Server gelöscht.

Standard-Berechtigungen festlegen

Benutzer, die aus einem G Suite-Konto nach MailStore Server synchronisiert wurden, besitzen standard­mäßig das Recht zum Anmelden am MailStore Server und haben lesenden Zugriff auf ihr eigenes Benutzer­archiv.
Sie haben die Möglichkeit, die Standard-Berechtigungen vor der Synchronisierung anzupassen, um z.B. allen neuen Benutzern das Recht E-Mails archivieren zu geben. Klicken Sie dazu auf die Schaltfläche Standard-Berechtigungen....
Weitere Informationen über die Verwaltung von Benutzerrechten und deren Auswirkungen finden Sie im Kapitel Benutzer, Archive und Berechtigungen. Dort finden Sie auch Hinweise zum Anpassen existierender Berechtigungen.

Die Synchronisierung durchführen

Mit Klick auf Sync testen können Sie die Synchronisierungseinstellungen und das vom G Suite-Konto zurückgelieferte Ergebnis überprüfen, ohne dass Änderungen an der MailStore Server-Benutzerdatenbank durchgeführt werden.

Um die Synchronisierung letztendlich durchzuführen, klicken Sie auf Synchronisieren. Das Ergebnis wird dann mit allen an der MailStore Server-Benutzerdatenbank vollzogenen Änderungen angezeigt.

ApplicationIntegration sync 02.png


Sie können die Authentifizierung für einen bestimmten Benutzer testen, indem Sie diesen in der Liste auswählen und dann auf die entsprechende Schaltfläche links unten klicken. Geben Sie anschließend das Kennwort dieses Benutzers ein. Sie erhalten eine Rückmeldung, ob die Authentifizierung erfolgreich war.

Wichtiger Hinweis: Damit die Authentifizierung über G Suite funktioniert, muss in den Einstellungen des jeweiligen G Suite-Benutzerkontos die Einstellung Weniger sichere Apps zulassen eingeschaltet sein, falls dies nicht für alle Nutzer erzwungen wurde (s.o).

Anmeldung mit G Suite-Konto-Zugangsdaten

Nach der Synchronisierung können sich MailStore Server-Benutzer unter Verwendung ihres G Suite-Konto-Benutzernamens und ihres G Suite-Konto-Kennworts an MailStore Server anmelden.