|
OpenID Connect (OIDC) |
Прокрутить Назад Начало Далее Больше |
Интеграция с OIDC (единый вход)
MDaemon Webmail поддерживает Single Sign On (SSO) с помощью OpenID Connect (OIDC). Вместо того чтобы входить в Webmail со своим адресом электронной почты MDaemon и паролем, пользователи могут нажать кнопку Вход в систему с помощью SSO, чтобы войти через вашего поставщика идентификации OIDC (IdP), например, Google или Microsoft Azure/Entra ID.
Чтобы настроить эту функцию, сначала нужно создать приложение с помощью интерфейса управления IdP и указать при этомURI перенаправленияWebmail (см. ниже). Затем настройте параметры OIDC для Webmail, используя приведенные ниже параметры.
Включить интеграцию OIDC
Когда эта опция включена, на странице входа в Webmail появится кнопка Вход в систему с помощью SSO. Пользователи могут нажать эту кнопку, чтобы войти в свой аккаунт Webmail, пройдя аутентификацию через выбранный вами IdP, а не предоставляя свой адрес электронной почты MDaemon и пароль.
URL эмитента
Это текстовое поле предназначено для базового URL, который вы получаете от вашего провайдера идентификации OIDC. Он используется MDaemon для обнаружения конфигурации IdP и других данных, таких как информация о пользователях и открытые ключи. Не включайте часть "/.well-known/openid-configuration", которая обычно добавляется к URL эмитента. В зависимости от вашего IdP, URL будет выглядеть примерно так: https://login.microsoftonline.com/<tenant_id>/v2.0, https://accounts.google.com или https://<ваш домен>.okta.com.
ID клиента
Это ваш уникальный идентификатор клиента, полученный от IdP во время регистрации приложения.
Секрет клиента
Это поле предназначено для секретного ключа, сгенерированного IdP во время регистрации. Он используется вместе с идентификатором клиента для аутентификации MDaemon как доверенного клиента при обмене кодами авторизации для токенов доступа. Некоторые IdP позволяют клиентским секретам истекать, поэтому вам может потребоваться периодически заменять его.
Когда вы регистрируете свое приложение OIDC в IdP, вас попросят указать URI перенаправления. URI, предоставляемый здесь, строится из имени SMTP-хоста вашего домена по умолчанию. Например: https://mail.example.com/WorldClient.dll?View=OIDC
Области применения
Области определяют, какими конкретными наборами данных делится IdP. Значения по умолчанию здесь стандартны для OIDC: openid включает поток OIDC и является обязательным, profile предоставляет основную информацию о пользователе (например, preferred_username), а email предоставляет адрес электронной почты пользователя. Вы можете добавлять или изменять диапазоны по мере необходимости, основываясь на конкретной настройке или требованиях IdP.
Претензия электронной почты
Это поле предназначено для указания имени утверждения (пары ключ-значение), которое содержит данные, необходимые вам для идентификации пользователя MDaemon, который входит в систему. Чаще всего это может быть, например, email, preferred_username, sub или oid (Azure/Entra ID). Самая простая настройка - это указать утверждение, которое, как вы знаете, будет содержать адрес электронной почты MDaemon пользователя, например, email или созданное на заказ утверждение, если это возможно. Если вы выберете "sub" или "oid", то это утверждение не будет содержать адрес электронной почты. Вместо этого он будет содержать уникальный код или идентификатор для этого пользователя, который потребует от вас использования опций в Претензии OIDC электронной почты в разделе ниже, чтобы связать этот sub или oid идентификатор с правильным пользователем MDaemon.
|
При указании Претензия электронной почтыне используйте утверждение, которое пользователь может редактировать на странице профиля самообслуживания. Например, если в вашей конкретной настройке IdP есть ключ "secondary_email", который может быть отредактирован пользователем, и вы выбрали его в качестве параметра Претензия электронной почтыто любой пользователь может изменить этот адрес электронной почты на адрес другого пользователя на вашем сервере, а затем получить доступ к учетной записи электронной почты этого пользователя. Всегда убеждайтесь, что вы выбрали ключ, который может редактировать только администратор. |
Претензии OIDC электронной почты
Опции в этом разделе используются для сопоставления пользовательских значений утверждения от IdP с определенными адресами электронной почты в MDaemon. Это полезно, когда некоторые или все адреса электронной почты, содержащиеся в утверждении электронной почты IdP, не соответствуют вашим адресам электронной почты пользователей MDaemon. В этом случае вы можете использовать эти опции для сопоставления не-MDaemon email адреса каждого пользователя с его MDaemon адресом. То же самое будет верно, если вы используете preferred_username в качестве Претензия электронной почты но имя пользователя не всегда совпадает с адресом электронной почты MDaemon. Вы также будете использовать эту возможность, если решите использовать утверждение sub (или oid в Azure/Entra ID) в вашей Претензия электронной почты и затем сопоставить уникальный идентификатор каждого пользователя с его почтовым аккаунтом MDaemon.
Чтобы сопоставить значение утверждения с конкретным пользователем:
1.Используйте консоль IdP или другой инструмент для поиска нужного пользователя.
2.Найдите значение утверждения, которое Претензия электронной почты которое вы указали выше.
3.Скопируйте значение утверждения и вставьте его в Значение претензии поле.
4.Введите адрес электронной почты соответствующего пользователя MDaemon.
5.Нажмите Добавить.
6.Нажмите Сохранить.
Чтобы отредактировать запись:
1.Нажмите на запись, которую вы хотите отредактировать.
2.Нажмите Редактировать.
3.Внесите необходимые изменения.
4.Нажмите Обновить.
5.Нажмите Сохранить.
Чтобы удалить запись:
1.Щелкните запись, которую нужно удалить.
2.Нажмите Удалить.
3.Нажмите Сохранить.
