Integración OIDC (Inicio de sesión único)
MDaemon Webmail soporta Single Sign On (SSO) usando OpenID Connect (OIDC). En lugar de iniciar sesión en Webmail con su dirección de correo electrónico y contraseña de MDaemon, los usuarios pueden hacer clic en el botón Iniciar sesión con SSO para iniciar sesión a través de su proveedor de identidad (IdP) OIDC, como Google o Microsoft Azure/Entra ID.
Para configurarlo, primero tendrás que crear una aplicación mediante la interfaz de gestión de tu IdP y proporcionar tu URI de redirección deWebmail (ver más abajo) al hacerlo. A continuación, configura los ajustes de OIDC de Webmail mediante las opciones que se indican a continuación.
Habilitar integración OIDC
Cuando esta opción está habilitada, aparecerá un botón Iniciar sesión con SSO en la página de inicio de sesión de Webmail. Los usuarios pueden hacer clic en ese botón para iniciar sesión en su cuenta de Webmail autenticándose a través de su IdP seleccionado en lugar de proporcionar su dirección de correo electrónico y contraseña de MDaemon.
URL del emisor
Este campo de texto es para la URL base que obtiene de su proveedor de identidad OIDC. MDaemon la utiliza para descubrir la configuración del IdP y otros datos, como la información del usuario y las claves públicas. No incluya la parte "/.well-known/openid-configuration" que normalmente se añade a la URL del emisor. Dependiendo de su IdP, la URL se verá así: https://login.microsoftonline.com/<tenant_id>/v2.0, https://accounts.google.com, o https://<your-domain>.okta.com.
ID de Cliente
Este es su ID de cliente único obtenido de su IdP durante el registro de la aplicación.
Secreto de Cliente
Este campo es para la clave secreta generada por el IdP durante el registro. Se utiliza con el ID de cliente para autenticar a MDaemon como cliente de confianza cuando se intercambian códigos de autorización para tokens de acceso. Algunos IdP permiten que los secretos del cliente caduquen, por lo que es posible que deba reemplazarla periódicamente.
Cuando esté registrando su aplicación OIDC con su IdP, se le pedirá su URI de redirección. El URI proporcionado aquí se construye a partir del nombre de host SMTP de tu dominio predeterminado. Por ejemplo: https://mail.example.com/WorldClient.dll?View=OIDC
Ámbitos
Los ámbitos determinan qué conjuntos específicos de puntos de datos comparte el IdP. Los valores predeterminados aquí son estándar para OIDC: openid habilita el flujo de OIDC y es obligatorio, profile proporciona información básica del usuario (por ejemplo, preferred_username) y email comparte la dirección de correo electrónico del usuario. Puede añadir o modificar ámbitos según sea necesario en función de su configuración particular o de los requisitos del IdP.
Reclamar correo electrónico
Este campo es para especificar el nombre de la reclamación (par clave-valor) que contiene los datos que necesita para identificar al usuario de MDaemon que está iniciando sesión. Lo más común es que se establezca como, por ejemplo, correo electrónico, nombre_de_usuario_preferido, sub u oid (ID de Azure/Entra). La configuración más sencilla es especificar un claim que sepa que contendrá la dirección de correo electrónico MDaemon del usuario, como email o un claim creado a medida, si es posible. Si elige "sub" u "oid", la solicitud no contendrá una dirección de correo electrónico. En su lugar, contendrá un código o identificador único para ese usuario, que requerirá que utilice las opciones de la sección Reclamaciones de Correo Electrónico OIDC para asociar ese identificador sub u oid con el usuario MDaemon correcto.
|
When specifying the Reclamar correo electrónico, do not use a claim that the user is able to edit through a self-service profile page. For example, if your particular IdP setup has a "secondary_email" key that is user editable, and you chose that as your Reclamar correo electrónico, then any user could change that email address to the address of another user on your server and then gain access to that user's email account. Always ensure that you choose a claim that can only be edited by an admin. |
Reclamaciones de Correo Electrónico OIDC
Las opciones de esta sección se utilizan para asignar valores de reclamación personalizados desde el IdP a direcciones de correo electrónico específicas en MDaemon. Esto es útil cuando algunas o todas las direcciones de correo electrónico contenidas en la reclamación de correo electrónico del IdP no corresponden a sus direcciones de correo electrónico de usuario de MDaemon. En ese caso, podría utilizar estas opciones para asignar la dirección de correo electrónico no MDaemon de cada usuario a su dirección MDaemon. Lo mismo ocurriría si utilizara preferred_username como su Reclamar correo electrónico pero el nombre de usuario no siempre coincide con la dirección de correo de MDaemon. También utilizará esta función si elige utilizar la reivindicación sub (u oid en Azure/Entra ID) en su Reclamar correo electrónico y luego asignar el identificador único de cada usuario a su cuenta de correo electrónico MDaemon.
Para asignar un valor de reclamación a un usuario específico:
1.Utilice su consola IdP u otra herramienta para buscar el usuario en cuestión.
2.Localice el valor de reclamación de lo que Reclamar correo electrónico que haya especificado anteriormente.
3.Copie el valor de la solicitud y péguelo en el campo Valor de la reclamación campo
4.Introduzca la dirección de correo electrónico del usuario MDaemon correspondiente.
5.Haga clic en Agregar.
6.Haga clic en Guardar.
Para editar una entrada:
1.Haga clic en la entrada que desea editar.
2.Haga clic en Editar.
3.Realice los cambios que desee.
4.Haga clic en Actualizar.
5.Haga clic en Guardar.
Para eliminar una entrada:
1.Haga clic en la entrada que desea eliminar.
2.Haga clic en Eliminar.
3.Haga clic en Guardar.
