Abgleich der Benutzerkonten mit Google Workspace

Home / Verwaltung / Abgleich der Benutzerkonten mi..../

Abgleich der Benutzerkonten mit Google Workspace

Neben der manuellen Anlage von Benutzern (diese wird im Kapitel Verwalten von Benutzern beschrieben), kann mailSAFE seine interne Benutzerdatenbank auch mit dem Google Workspace-Konto Ihres Unternehmens abgleichen.

Bei der Synchronisierung werden Benutzerinformationen, wie z.B. Benutzernamen und E-Mail-Adressen, aus dem Google Workspace-Konto in die mailSAFE-Benutzer­datenbank kopiert. Dadurch können sich z.B. Benutzer mit ihren Google Workspace-Zugangsdaten auch an mailSAFE anmelden und E-Mails den Benutzerarchiven automatisch zugeordnet werden. Es werden von mailSAFE keine Änderungen am Google Workspace-Konto selbst vorgenommen. Der Umfang der Synchronisierung lässt sich über Filter einschränken.

Bitte beachten Sie die Ankündigung von Google vom 16. Dezember 2019, den Zugriff auf Google Workspace-Konten von weniger sicheren Apps in Zukunft einzuschränken. In mailSAFE wurde die Unterstützung für moderne Authentifizierungsmethoden via OAuth 2.0 & OpenID Connect entsprechend Googles Empfehlung eingeführt. Obwohl mailSAFE weiterhin Unterstützung einer IMAP-basierten Authentifizierung enthält, behandelt dieses Dokument ausschliesslich die Einrichtung unter Verwendung moderner Authentifizierungsmethoden wie in Zukunft von Google verlangt.

Projekt bei Google registrieren

Unabhängig davon, ob eigene oder Drittanwendungen wie mailSAFE mit einen Google Workspace-Konto über Google APIs interagieren sollen, müssen diese als Projekt bei Google registriert werden. Dies ist notwendig, um sicherzustellen, dass Zugriff durch externe Anwendungen auf ein notwendiges Minimum beschränkt wird und jede Anwendung eigene Zugangsdaten zur Anmeldung an Google verwendet.

Erstellen eines neuen Projektes

Um ein neues Projekt für mailSAFE bei Google zu registrieren, gehen Sie wie folgt vor:

  • Öffnen Sie die Google Cloud Platform Console.
  • Falls erforderlich, melden Sie sich mit einem Google Workspace-Benutzer an. Es wird dringend empfohlen, einen Benutzer mit administrativen Rechten zu verwenden.
  • Wenn kein Projekt existiert, klicken Sie auf Erstellen auf dem Dashboard. Andernfalls öffnen Sie die Liste der Projekte durch Klicken auf das Projekt Drop-Down-Menü in der Kopfzeile und klicken Sie auf Neues Projekt.
  • Geben Sie einen aussagekräftigen Namen in das Feld Projektname ein, wie z.B. mailSAFE.
  • Überprüfen Sie, dass Organisation der gewünschten Organisation entspricht und passen sie den Speicherort gegebenenfalls an.
  • Klicken Sie auf Erstellen.

Nachdem das Projekt erstellt wurde, stellen Sie sicher, dass dieses in der Projekt Drop-Down-Liste ausgewählt ist, bevor Sie fortfahren.

API-Bibliotheken hinzufügen

  • Öffnen Sie das Navigationsmenü (☰) und wählen Sie APIs & Dienste > Bibliothek aus.
  • Suchen und aktivieren Sie in der API-Bibliothek folgende APIs und Dienste:
    Admin SDK API
    Gmail API

Anpassen des OAuth-Zustimmungsbildschirm

  • Öffnen Sie das Navigationsmenü (☰) und wählen Sie APIs & Dienste > OAuth-Zustimmungsbildschirm aus.
  • Wählen Sie Intern als Nutzertyp aus.
  • Klicken Sie auf Erstellen.
  • Geben Sie einen aussagekräftigen Namen in das Feld Anwendungsname ein, wie z.B. mailSAFE Server
  • Füllen Sie die weiteren Felder gemäß den Richtlinien Ihrer Organisation aus.
  • Klicken Sie auf Speichern und Fortfahren.
  • Klicken Sie im nächsten Schritt direkt erneut auf Speichern und Fortfahren, da mailSAFE keine Autorisierung durch Benutzer auf Bereiche benötigt.

Erstellen eines Dienstkontos

Ein Dienstkonto für mailSAFE wird benötigt, damit sich dieser an Google anmelden kann und die Authorisierung zur Nutzung bestimmter Google APIs erhält, um Benutzer zu synchronisieren und Zugriff auf Postfächer zu erhalten. Die folgenden Schritte beschrieben die Einrichtung eines solchen Dienstkontos.

  • Öffnen Sie das Navigationsmenü (☰) und wählen Sie APIs & Dienste > Anmeldedaten aus.
  • Klicken Sie auf + Anmeldedaten erstellen und wählen Sie Dienstkonto aus dem Drop-Down-Menü aus.
  • Auf der Seite Dienstkonto erstellen tragen Sie den Namen für das Dienstkonto ein, z.B. mailSAFE Dienst.
  • Die Dienstkonto-ID können Sie in der automatisch erstellten Voreinstellung belassen oder nach Wunsch anpassen.
  • Geben Sie eine Beschreibung ein, wie z.B. Dienstkonto für mailSAFE zum Synchronisieren von Benutzern und Archivieren von Postfächern.
  • Klicken Sie auf Erstellen und fortfahren.
  • Das Dienstkonto benötigt keine Berechtigungen auf Projektebene, weshalb keine Rollen ausgewählt werden müssen. Auch benötigen Nutzer keinen Zugriff auf das Dienstkonto, weshalb im Schritt Nutzern Zugriff auf dieses Dienstkonto erteilen keine Einstellungen vorgenommen werden müssen.
  • Klicken Sie auf Fertig.
  • Klicken Sie in der nun angezeigten Liste der Dienstkonten auf das neu erstellte Dienstkonto, um dessen Eigenschaften zu öffnen.
  • Klicken Sie unter Schlüssel auf Schlüssel hinzufügen und dann auf Neuen Schlüssel erstellen.
  • Wählen sie als Schlüsseltyp JSON aus und klicken Sie auf Erstellen.
  • Die JSON Datei wird automatisch heruntergeladen. Speichern Sie die JSON-Datei an einem sicheren Ort, da er den Zugriff of Cloud-Resourcen Ihrer Organisation ermöglicht.
  • Klicken Sie auf Schliessen.
  • Klicken Sie unter Details auf Erweiterte Einstellungen einblenden.
  • Kopieren Sie unter Domainweite Delegation die Client-ID in die Zwischenablage.
  • Rufen Sie mittels der Schaltfläche die Google Workspace-Admin-Konsole auf und melden Sie sich ggf. erneut mit Ihrem Google Workspace Domänen Administrator an.
  • Öffnen Sie das Navigationsmenü (☰) und wählen Sie Sicherheit > Zugriffs- und Datenkontrolle > API-Steuerung aus.
  • Klicken Sie unter Domainweite Delegierung auf Domainweite Delegierung Verwalten.
  • Klicken Sie auf der Seite Domainweite Delegierung auf Neu hinzufügen.
  • Kopieren Sie die Client ID des OAuth 2.0 Clients aus der Zwischenablage ein.
  • Tragen Sie unter OAuth-Bereiche folgende Bereiche ein:
    https://mail.google.com/,
    https://www.googleapis.com/auth/admin.directory.group.readonly,
    https://www.googleapis.com/auth/admin.directory.user.readonly
  • Klicken Sie auf Autorisieren.

 

Erstellen eines OAuth 2.0 Clients zur Authentifizierung von Benutzern

Um es Benutzers zu ermöglichen, sich an mailSAFE durch Authentifizierung bei Google mit Hilfe des OpenID Connect-Mechanismus anzumelden, muss ein weiterer OAuth 2.0 Client erstellt werden, wie im Folgenden beschrieben:

  • Öffnen Sie die Google Cloud Platform Console.
  • Öffnen Sie das Navigationsmenü (☰) und wählen Sie APIs & Dienste > Anmeldedaten aus.
  • Klicken Sie auf + Anmeldedaten erstellen und wählen Sie OAuth-Client-ID aus dem Drop-Down-Menü aus.
  • Wählen Sie Webanwendung als Anwendungstyp aus.
  • Klicken Sie unter Autorisierte Weiterleitungs-URIs auf + URI hinzufügen.
  • Tragen Sie in das Feld Umleitungs-URI einen URI in Format (ohne die Klammern)
    https://mailsafe.hosting/<TenantName_oder_TenantID>/oidc/signin
  • Klicken Sie auf Erstellen.
  • Kopieren Sie die Client ID und den Clientschlüssel aus den Feldern Ihre Client-ID und Ihr Clientschlüssel an einen sicheren Ort (z.B. Passwort-Tresor) und klicken Sie auf OK.

Konfiguration von mailSAFE

Nachdem das Projekt auf Google Seite erfolgreich eingerichtet wurde, kann nun mailSAFE konfiguriert werden, um Benutzer zu Synchronisieren und gegen Google Workspace zu authentifizieren.

  • Melden Sie sich als mailSAFE-Administrator über den mailSAFE Client an.
  • Klicken Sie auf Verwaltung > Benutzer und Archive > Verzeichnisdienste.
  • Wählen Sie im Bereich Integration den Verzeichnisdienste-Typ Google Workspace.

Verbindung

Für die Synchronisierung benötigt mailSAFE Informationen darüber, wie das Google Workspace-Konto angesprochen werden kann.

  • Schlüssel-ID
    Wählen Sie zum Import des privaten Schlüssels im Schritt [#Erstellen_eines_Dienstkontos|Erstellen eines Dienstkontos] erzeugte JSON-Datei aus.
  • Dienstkonto
    Das Dienstkonto wird automatisch aus der JSON-Datei ermittelt.
  • Benutzername
    Die E-Mail-Adresse des Google Workspace-Administrators (z.B. admin@example.com).

Synchronisierung der Benutzerdatenbank

Nachdem Sie die Verbindungseinstellungen wie oben beschrieben angegeben haben, können Sie in diesem Abschnitt Filterkriterien für den Abgleich mit Google Workspace festlegen.

  • Nur diese Gruppen:
    Wählen Sie eine oder mehrere Google Workspace-Gruppen aus, wenn Sie nur deren Mitglieder als mailSAFE-Benutzer anlegen wollen. Dadurch lässt sich verhindern, dass bestimmte Benutzer nach mailSAFE synchronisiert werden.

Authentifizierung

Die Authentifizierungseinstellungen legen fest, wie mailSAFE Benutzer bei der Anmeldung authentifizieren soll, welche von Google Workspace synchronisiert wurden.

  • Methode
    Stellen Sie sicher, das OpenID Connect ausgewählt ist. Wie in der Einleitung erwähnt, wird die Option IMAP nur noch aus Gründen der Abwärtskompatibilität angeboten.
  • Client ID
    Tragen Sie die Client ID aus dem Schritt Erstellen eines OAuth 2.0 Clients… ein.
  • Clientschlüssel
    Tragen Sie den Clientschlüssel aus dem Schritt Erstellen eines OAuth 2.0 Clients… ein.
  • Weiterleitungs-URI
    Tragen Sie die gleiche Weiterleitungs-URI wie im Schritt Erstellen eines OAuth 2.0 Clients… ein.

Optionen

  • Automatisch Benutzer in mailSAFE löschen
    Hier kann gewählt werden, ob Benutzer, die im Google Workspace-Konto gelöscht wurden, durch die Synchro­nisierung auch in der mailSAFE-Benutzerdatenbank automatisch gelöscht werden sollen. Benutzer, die aus dem Betrachtungsbereich der Einstellungen fallen, werden ebenfalls gelöscht.
    Es werden nur mailSAFE-Benutzer gelöscht, deren Authentifizierungs­methode auf Verzeichnisdienste eingestellt ist.
    Enthält der Archivordner eines solchen Benutzers bereits archivierte E-Mails, wird nur der Benutzereintrag, nicht aber sein Archivordner in mailSAFE gelöscht.

Standard-Berechtigungen festlegen

Benutzer, die aus einem Google Workspace-Konto nach mailSAFE synchronisiert wurden, besitzen standard­mäßig das Recht zum Anmelden am mailSAFE Server und haben lesenden Zugriff auf ihr eigenes Benutzer­archiv.

Sie haben die Möglichkeit, die Standard-Berechtigungen vor der Synchronisierung anzupassen, um z.B. allen neuen Benutzern das Recht E-Mails archivieren zu geben. Klicken Sie dazu auf die Schaltfläche Standard-Berechtigungen....

Weitere Informationen über die Verwaltung von Benutzerrechten und deren Auswirkungen finden Sie im Kapitel Benutzer, Archive und Berechtigungen. Dort finden Sie auch Hinweise zum Anpassen existierender Berechtigungen.

Die Synchronisierung durchführen

Mit Klick auf Sync testen können Sie die Synchronisierungseinstellungen und das vom Google Workspace-Konto zurückgelieferte Ergebnis überprüfen, ohne dass Änderungen an der mailSAFE-Benutzerdatenbank durchgeführt werden.

Um die Synchronisierung letztendlich durchzuführen, klicken Sie auf Synchronisieren. Das Ergebnis wird dann mit allen an der mailSAFE-Benutzerdatenbank vollzogenen Änderungen angezeigt.

Sie können die Authentifizierung für einen bestimmten Benutzer testen, indem Sie diesen in der Liste auswählen und dann auf die entsprechende Schaltfläche links unten klicken. Geben Sie anschliessend das Kennwort dieses Benutzers ein. Sie erhalten eine Rückmeldung, ob die Authentifizierung erfolgreich war.

Verwaltung

Weitere Knowledge Base Beiträge