|
OpenID Connect (OIDC) |
Faire défiler Précédente Haut de page Suivante Plus |
Intégration OIDC (Authentification unique)
MDaemon Webmail prend en charge l'authentification unique (SSO) à l'aide d'OpenID Connect (OIDC). Au lieu de se connecter à Webmail avec leur adresse e-mail et leur mot de passe MDaemon, les utilisateurs peuvent cliquer sur le bouton Se connecter avec SSO pour se connecter via votre fournisseur d'identité OIDC (IdP), tel que Google ou Microsoft Azure/Entra ID.
Pour ce faire, vous devez d'abord créer une application à l'aide de l'interface de gestion de votre IdP et indiquer l' URI de redirection deWebmail (voir ci-dessous). Ensuite, configurez les paramètres OIDC de Webmail à l'aide des options ci-dessous.
Activer l'intégration OIDC
Lorsque cette option est activée, un bouton Sign In with SSO apparaît sur la page de connexion du Webmail. Les utilisateurs peuvent cliquer sur ce bouton pour se connecter à leur compte Webmail en s'authentifiant via l'IdP sélectionné plutôt qu'en fournissant leur adresse email et leur mot de passe MDaemon.
URL de l'émetteur
Ce champ de texte contient l'URL de base que vous obtenez de votre fournisseur d'identité OIDC. MDaemon l'utilise pour découvrir la configuration de l'IdP et d'autres données, comme les informations sur l'utilisateur et les clés publiques. N'incluez pas la partie "/.well-known/openid-configuration" qui est généralement ajoutée à l'URL de l'émetteur. En fonction de votre IdP, l'URL ressemblera à ceci : https://login.microsoftonline.com/<tenant_id>/v2.0, https://accounts.google.com, ou https://<votre-domaine>.okta.com.
ID client
Il s'agit de votre identifiant client unique obtenu auprès de votre IdP lors de l'enregistrement de l'application.
Code secret client
Ce champ est réservé à la clé secrète générée par l'IdP lors de l'enregistrement. Elle est utilisée avec l'identifiant du client pour authentifier MDaemon en tant que client de confiance lors de l'échange de codes d'autorisation pour les jetons d'accès. Certains IdP autorisent l'expiration des clés secrètes des clients, il peut donc être nécessaire de les remplacer périodiquement.
Lorsque vous enregistrez votre application OIDC auprès de votre IdP, on vous demandera votre URI de redirection. L'URI fourni ici est construit à partir du nom d'hôte SMTP de votre domaine par défaut. Par exemple : https://mail.example.com/WorldClient.dll?View=OIDC
Périmètres
Les champs d'application déterminent les ensembles spécifiques de points de données que l'IdP partage. Les valeurs par défaut sont standard pour l'OIDC : openid active le flux OIDC et est obligatoire, le profil fournit des informations de base sur l'utilisateur (par exemple, le nom d'utilisateur préféré) et l'adresse électronique partage l'adresse électronique de l'utilisateur. Vous pouvez ajouter ou modifier les champs d'application en fonction de votre configuration particulière ou des exigences de l'IdP.
Réclamation par e-mail
Ce champ permet de spécifier le nom de la demande (paire clé-valeur) qui contient les données dont vous avez besoin pour identifier l'utilisateur de MDaemon qui se connecte. Le plus souvent, il s'agit de l'email, du nom d'utilisateur préféré, de l'identifiant ou de l'oid (Azure/Entra ID). La configuration la plus simple consiste à spécifier une revendication dont vous savez qu'elle contiendra l'adresse électronique de l'utilisateur de MDaemon, comme email ou une revendication créée sur mesure, si possible. Si vous choisissez "sub" ou "oid", cette demande ne contiendra pas d'adresse électronique. En revanche, elle contiendra un code ou un identifiant unique pour cet utilisateur, ce qui vous obligera à utiliser les options de la section Réclamations d'e-mail OIDC ci-dessous pour associer cet identifiant sub ou oid au bon utilisateur de MDaemon.
|
Lorsque vous spécifiez l'option Réclamation par e-mailn'utilisez pas une revendication que l'utilisateur peut modifier via une page de profil en libre-service. Par exemple, si votre configuration IdP particulière a une clé "secondary_email" qui est modifiable par l'utilisateur, et que vous l'avez choisie comme votre clé Réclamation par e-mailSi vous l'avez choisie comme clé "secondary_email", n'importe quel utilisateur pourrait remplacer cette adresse électronique par l'adresse d'un autre utilisateur sur votre serveur et accéder ainsi au compte de messagerie de cet utilisateur. Veillez toujours à choisir une revendication qui ne peut être modifiée que par un administrateur. |
Les options de cette section sont utilisées pour faire correspondre des valeurs de réclamation personnalisées de l'IdP à des adresses électroniques spécifiques dans MDaemon. Cela est utile lorsque tout ou partie des adresses électroniques contenues dans la demande de l'IdP ne correspondent pas aux adresses électroniques des utilisateurs de MDaemon. Dans ce cas, vous pouvez utiliser ces options pour faire correspondre l'adresse email non-MDaemon de chaque utilisateur à son adresse MDaemon. Il en va de même si vous utilisez l'option nom_d'utilisateur_préféré comme votre option Réclamation par e-mail mais que le nom d'utilisateur ne correspond pas toujours à l'adresse électronique de MDaemon. Vous utiliserez également cette fonctionnalité si vous choisissez d'utiliser la revendication sub (ou oid dans Azure/Entra ID) dans votre option Réclamation par e-mail et de faire correspondre l'identifiant unique de chaque utilisateur à son compte de messagerie MDaemon.
Pour associer une valeur de réclamation à un utilisateur spécifique :
1.Utilisez votre console IdP ou un autre outil pour rechercher l'utilisateur en question.
2.Localisez la valeur de réclamation de ce que vous avez spécifié ci-dessus. Réclamation par e-mail que vous avez spécifié ci-dessus.
3.Copiez la valeur de la demande et collez-la dans le champ Valeur de la réclamation dans le champ
4.Saisissez l'adresse électronique de l'utilisateur MDaemon correspondant.
5.Cliquez sur Ajouter.
6.Cliquez sur Enregistrer.
Pour modifier une entrée :
1.Cliquez sur l'entrée que vous souhaitez modifier.
2.Cliquez sur Modifier.
3.Apportez les modifications souhaitées.
4.Cliquez sur Mettre à jour.
5.Cliquez sur Enregistrer.
Pour supprimer une entrée :
1.Cliquez sur l'entrée que vous souhaitez supprimer.
2.Cliquez sur Supprimer.
3.Cliquez sur Enregistrer.
