Mailserver-Einstellungen

Sie können Mailserver-Einstellungen in ADSelfService Plus konfigurieren, um MFA-Codes, Berichte und Benachrichtigungen per E-Mail zu senden.

• Funktionsweise
• Einschränkungen
• Voraussetzungen
• Mailserver konfigurieren
  • SMTP-Konfiguration
    • Basis-Authentifizierung
    • OAuth-Authentifizierung
  • API-Integration
• Schritte zum Finden Ihrer Azure Tenant-ID, Client-ID und Client Secret für die SMTP-Konfiguration
• Schritte zum Finden Ihrer Google Workspace Client-ID und Client Secret für die SMTP-Konfiguration
• Schritte zum Finden Ihrer Azure Tenant-ID, Client-ID und Client Secret für die API-Mailserver-Konfiguration
• Schritte zum Herunterladen des JSON Private Key für die API-Mailserver-Konfiguration
  • Gmail API-Dienst aktivieren
  • Delegierung der domänenweiten Autorität an das Dienstkonto
• Tipps

Funktionsweise

ADSelfService Plus unterstützt zwei Modi zum Senden von E-Mails: SMTP und API-basiert.

SMTP-Mailserver-Konfiguration: Für die Konfiguration des SMTP-Mailservers Ihrer Organisation stehen zwei Authentifizierungsmodi zur Verfügung:

• Basis-Authentifizierung: Verwendet einen Benutzernamen und ein Passwort zur Authentifizierung am SMTP-Server. Bei der Konfiguration stellt ADSelfService Plus eine Verbindung zum Mailserver mit den angegebenen Zugangsdaten her und sendet E-Mails über das SMTP-Protokoll.
• OAuth-Authentifizierung: Verwendet sichere, tokenbasierte Authentifizierung über Microsoft- oder Google-Identitätsanbieter. Anstatt Passwörter zu speichern, erhält ADSelfService Plus ein OAuth-Zugriffstoken durch Authentifizierung mit Azure AD (für Microsoft) oder Google Identity Platform (für Google). Dieses Token wird zur Authentifizierung beim Mailserver verwendet, und E-Mails werden per SMTP gesendet.

API-Integration: Anstatt über SMTP eine Verbindung herzustellen, sendet ADSelfService Plus E-Mails direkt über die API Ihres Mailanbieters:

• Microsoft Graph API: ADSelfService Plus nutzt Entra ID-Anwendung-Anmeldeinformationen (Tenant-ID, Client-ID und Client Secret), um ein Zugriffstoken zu erhalten und API-Aufrufe an den Endpoint von Microsoft Graph zu tätigen.
• Gmail API: ADSelfService Plus verwendet ein Google-Dienstkonto mit domänenweiter Delegierung und einem JSON Private Key, um sich zu authentifizieren und E-Mails über die Gmail API zu senden.

Einschränkungen

• Sicherheit des JSON Private Key: Für die Google API-Konfiguration kann der JSON Private Key nur einmal beim Erstellen heruntergeladen werden. Wenn er verloren geht, muss ein neuer Schlüssel generiert werden; eine Wiederherstellung des ursprünglichen privaten Schlüssels ist nicht möglich.
• Ablauf des Client Secret: Für Microsoft OAuth/API-Konfigurationen haben Client Secrets eine Ablaufzeit, die verwaltet werden muss. Wenn das Secret abläuft, müssen Administratoren ein neues generieren und die ADSelfService Plus-Konfiguration aktualisieren, um die E-Mail-Funktionalität aufrechtzuerhalten.

Voraussetzungen

1. Administratorzugriff: Sie müssen sich in ADSelfService Plus mit Administratoranmeldedaten anmelden, um Mailserver-Einstellungen zu konfigurieren.
2. SMTP-Serverdetails: Sie benötigen den Hostnamen oder die IP-Adresse des Mailservers, die Portnummer und die Authentifizierungsdaten (Benutzername/Passwort für Basis-Authentifizierung oder OAuth-Zugangsdaten für OAuth-Authentifizierung).
3. HTTPS-Konfiguration (für OAuth/API): Für OAuth- und API-Authentifizierungsmodi muss ADSelfService Plus über das HTTPS-Protokoll mit einem gültigen SSL-Zertifikat ausgeführt werden, da Microsoft Azure und Google Identity für Redirect-URIs außerhalb von localhost das HTTPS-Schema erfordern.

Mailserver konfigurieren

SMTP-Konfiguration

1. Melden Sie sich in ADSelfService Plus mit Administratoranmeldedaten an und navigieren Sie zu Admin > Produkteinstellungen > Mail / SMS-Einstellungen.
2. Klicken Sie auf die Mail-Einstellungen Registerkarte.
3. Geben Sie den Servernamen oder die IP-Adresse und Portnummer in die jeweiligen Felder ein.
4. Im Absenderadresse (From Address) Feld geben Sie die E-Mail-Adresse ein, die zum Versenden von Benachrichtigungen, Berichten und Warnungen aus ADSelfService Plus verwendet wird.
5. Im Im Feld Admin-Mailadresse
6. geben Sie die E-Mail-Adresse(n) ein, die Benachrichtigungen über von ADSelfService Plus gesendete E-Mails erhalten sollen. Wählen Sie aus dem Dropdown-MenüSichere Verbindung (SSL/TLS)
7. eine Option, die vom E-Mail-Server unterstützt wird. Wählen Sie nebenAuthentifizierungstyp Basis-Authentifizierung entweder OAuth-Authentifizierung.

Basis-Authentifizierung



1. Geben Sie den Benutzernamen und und das Passwort
2. für den Zugriff auf den Mailserver ein.

Wenn Ihr Mailserver keine Authentifizierung erfordert, lassen Sie die Felder leer.



OAuth-Authentifizierung Wählen Sie Ihren Mailanbieter aus den verfügbaren Optionen: entweder Microsoft.

Google Wenn Ihr Mailanbieter Microsoft ist, geben Sie denBenutzernamen, Tenant-ID, Client-ID und das Client Secret in die jeweiligen Felder ein. In ADSelfService Plus gilt Azure Cloud als Standard-Azure-Umgebung. Um die Azure-Umgebungseinstellung zu ändern, klicken Sie auf das Dropdown-Menü Azure-Umgebung.

Hinweis: Um zu erfahren, wie Sie Ihre Azure Tenant-ID, Client-ID und Client Secret finden, lesen Sie bitte den Abschnitt Schritte zum Finden Ihrer Azure Tenant-ID, Client-ID und Client Secret weiter unten.

Wenn Ihr Mailanbieter Google ist, geben Sie den Benutzernamen, die Client-IDBenutzernamen, Tenant-ID, Client-ID und das in die jeweiligen Felder ein.

HinweisClient Secret ein. Um zu erfahren, wie Sie Ihre Google Client-ID und das Client Secret finden, lesen Sie bitte den Abschnitt mit dem Titel Schritte zum Finden Ihrer Google Workspace Client-ID und Client

8. Secret weiter unten. Klicken Sie auf Einstellungen speichern,

Hinweisum Ihre Mailserver-Konfiguration zu speichern. : Nach erfolgreichem Speichern der Mailserver-Einstellungen wird eine Test-E-Mail an die im Feld Admin-E-Mail-Adresse

API-Integration

eingegebene E-Mail-Adresse gesendet.

1. Diese Methode ermöglicht es Ihnen, einen Mailserver über die API Ihres Mailanbieters zu erstellen und zu authentifizieren. Wählen Sie im Feld „Modus“.
2. API Wählen Sie Ihren Mailanbieter
3. Im Absenderadresse (From Address) aus den verfügbaren Optionen: Microsoft oder Google.
4. Im Im Feld Geben Sie im Feld die E-Mail-Adresse ein, die zum Versenden von Benachrichtigungen, Warnungen etc. aus ADSelfService Plus verwendet wird.
5. Geben Sie im Feld Ihre E-Mail-Adresse ein, wenn Sie Benachrichtigungen über die von ADSelfService Plus gesendeten E-Mails erhalten möchten. Wenn Ihr Mailanbieter Microsoft ist, geben Sie die Tenant-ID, Client-ID und das Client Secret in die jeweiligen Felder ein. In ADSelfService Plus gilt Azure Cloud als Standard-Azure-Umgebung. Sie können die Azure-Umgebungseinstellung ändern, indem Sie auf den Link klicken Wählen Sie die entsprechende Azure-Umgebung

   Hinweis. : Um zu erfahren, wie Sie Ihre Azure Tenant-ID, Client-ID und Client Secret finden, klicken Sie.

6. hier.

   HinweisWenn Ihr Mailanbieter Google ist, laden Sie die JSON Private Key-Datei hoch. : Um zu erfahren, wie Sie Ihre Azure Tenant-ID, Client-ID und Client Secret finden, klicken Sie.

7. Secret weiter unten. : Um zu erfahren, wie Sie Ihre JSON Private Key-Datei erhalten, klicken Sie.

Einstellungen speichern.

1. Schritte zum Finden Ihrer Azure Tenant-ID, Client-ID und Client Secret für die SMTP-Mailserver-Konfiguration Melden Sie sich an unter.
2. portal.azure.com Klicken Sie unter Azure Services auf
3. App-Registrierungen > Neue Registrierung. Geben Sie einen Namen Ihrer Wahl ein und wählen Sieunterstützte Kontotypen,
4. Im belassen Sie diese in der Standardeinstellung. Im Feld „Redirect URI“ fügen Sie die Redirect URI ein. im folgenden Syntax:
   
   https://server_name:port_number/context_if_any/RestAPI/WC/OAuthSetting
   
   Zum Beispiel: https://localhost:8082/RestAPI/WC/OAuthSetting.

   Hinweis: Um die Sicherheit zu gewährleisten, verlangt Microsoft Azure von Redirect-URIs, die nicht localhost sind, dass sie mit dem HTTPS-Schema beginnen. Dies kann erfordern, dass ADSelfService Plus das HTTPS-Protokoll verwendet. Bitte finden Sie die Schritte zur Aktivierung von HTTPS in diesem Handbuch.

5. Auf der nächsten Seite finden Sie die Anwendungsdetails. Kopieren Sie die Client-ID und Mandanten-ID.
6. Klicken Sie im linken Bereich auf Certificates & secrets > New client secret.
7. App-Registrierungen > Neue Registrierung. Beschreibung für das Client-Geheimnis, und wählen Sie im Feld Expires die Gültigkeitsdauer des Client-Geheimnisses aus und klicken Sie auf Hinzufügen.
8. Das Client-Geheimnis wird generiert. Kopieren Sie die Zeichenfolge unter Wert angezeigt.
9. Secret weiter unten. Klicken Sie auf und schließen Sie die Autorisierungsanfrage ab.

Schritte zum Auffinden Ihrer Google Workspace Client-ID und Ihres Client-Geheimnisses für die SMTP-Mail-Server-Konfiguration

1. Schritte zum Finden Ihrer Azure Tenant-ID, Client-ID und Client Secret für die SMTP-Mailserver-Konfiguration console.developers.google.com.
2. Klicken Sie im Dashboard auf Erstellen um ein neues Projekt zu erstellen, falls kein bestehendes Projekt vorhanden ist, oder wählen Sie ein vorhandenes Projekt aus und klicken Sie auf Neues Projekt.
3. Geben Sie den Projektname. Klicken Sie im Feld Standort auf Durchsuchen und wählen Sie die übergeordnete Organisation.
4. Secret weiter unten. Erstellen.
5. Im linken Bereich der angezeigten Projektübersichtsseite klicken Sie auf APIs & Services >.
6. Wählen Sie aus der verfügbaren API-Liste Gmail API Neues Aktivieren. Sie können die Suchfunktion verwenden, um die API schnell zu finden.
7. Klicken Sie im linken Bereich auf OAuth-Zustimmungsbildschirm und wählen Sie den Benutzertyp. Wenn Sie kein Google Workspace-Konto haben, wählen Sie Externer.
8. Geben Sie den Anwendungsnamen, Anwendungslogo, die Support-E-Mail Ihres Helpdesks und die Entwicklerinformationenein und klicken Sie auf Speichern &.
9. Secret weiter unten. Berechtigungen hinzufügen oder entfernen, wählen Sie Gmail API (https://mail.google.com/) und klicken Sie auf Aktualisieren. Klicken Sie dann auf Speichern &.
10. Testbenutzer hinzufügen und klicken Sie auf Speichern & weiter.
11. Klicken Sie im linken Bereich auf Anmeldeinformationen > Anmeldeinformationen erstellen > OAuth-Client-ID.
12. Wählen Sie den Anwendungstyp als Webanwendung. Geben Sie einen Namen Ihrer Wahl an.
13. Im belassen Sie diese in der Standardeinstellung. Im Feld „Redirect URI“ fügen Sie die Redirect URI ein. im folgenden Syntax:
    
    https://server_name:port_number/context_if_any/RestAPI/WC/OAuthSetting
    
    Zum Beispiel: https://localhost:8082/RestAPI/WC/OAuthSetting.

    Hinweis: Um die Sicherheit zu gewährleisten, Google Identity verlangt, dass Redirect-URIs, die nicht localhost sind, mit dem HTTPS-Schema beginnen. Dies kann erfordern, dass ADSelfService Plus das HTTPS-Protokoll verwendet. Bitte finden Sie die Schritte zur Aktivierung von HTTPS in diesem Handbuch.

14. Secret weiter unten. Speichern.
15. Secret weiter unten. JSON HERUNTERLADEN um die Datei mit den Details des Autorisierungsservers herunterzuladen. Kopieren Sie die Client-ID und und das auf dem Bildschirm angezeigten
16. Secret weiter unten. Klicken Sie auf und schließen Sie die Autorisierungsanfrage ab.

Schritte zum Finden Ihrer Azure Tenant-ID, Client-ID und Client Secret für die API-Mailserver-Konfiguration

1. Schritte zum Finden Ihrer Azure Tenant-ID, Client-ID und Client Secret für die SMTP-Mailserver-Konfiguration Melden Sie sich an unter.
2. portal.azure.com App-Registrierungen > Neue Registrierung.
3. Geben Sie einen Geben Sie einen Namen Ihrer Wahl ein und wählen Sie den unterstützten Kontotyp. (Wenn Sie sich bezüglich der unterstützten Kontotypen nicht sicher sind, wählen Sie Konten nur im Organisationsverzeichnis) aus.
4. Klicken Sie im linken Bereich auf API-Berechtigung > Berechtigung hinzufügen.
5. Secret weiter unten. Microsoft Graph > Anwendungsberechtigung.
6. Suchen Sie nach Mail und wählen Sie den Microsoft Graph-Endpunkt. Klicken Sie auf Berechtigung.
7. Secret weiter unten. Administratorzustimmung erteilen.
8. Kopieren Sie die Client-ID & Mandanten-ID angezeigten
9. Klicken Sie im linken Bereich auf Certificates & secrets > New client secret.
10. App-Registrierungen > Neue Registrierung. Beschreibung Client-Geheimnis. Wählen Sie im Feld Verfällt die Gültigkeitsdauer des Client-Geheimnisses und klicken Sie auf Hinzufügen.
11. Das Client-Geheimnis wird generiert. Kopieren Sie die unter Wert.

Schritte zum Herunterladen des JSON Private Key für die API-Mailserver-Konfiguration

1. Schritte zum Finden Ihrer Azure Tenant-ID, Client-ID und Client Secret für die SMTP-Mailserver-Konfiguration console.developers.google.com.
2. Öffnen Sie die Servicekonten Seite.
3. Secret weiter unten. Projekt erstellen. Geben Sie den Projektnamen, die Organisation und den Standort ein. Klicken Sie auf Erstellen.
4. Secret weiter unten. + Dienstkonto erstellen in der oberen Zeile.
5. Unter Dienstkontodetailsgeben Sie einen Namen, die IDBenutzernamen, Tenant-ID, Client-ID Beschreibung für das Dienstkonto ein, und klicken Sie dann auf Erstellen und.
6. Falls erforderlich, können Sie die IAM-Rollen festlegen, die dem Dienstkonto über die Option Dieses Dienstkonto erhält Zugriff auf das Projekt zugewiesen werden sollen.
7. Secret weiter unten. Weiter.
8. Falls erforderlich, können Sie Benutzer oder Gruppen hinzufügen, die das Dienstkonto verwenden und verwalten dürfen.
9. Secret weiter unten. Fertig.
10. Klicken Sie auf die E-Mail-Adresse für das erstellte Dienstkonto.
11. Klicken Sie auf die Schlüssel Registerkarte.
12. Im Schlüssel hinzufügen Dropdown-Liste, wählen Sie Neuen Schlüssel erstellen.
13. Wählen Sie als Schlüsseltupeltyp JSON.
14. Secret weiter unten. Erstellen.

Ihr neues öffentlicher/privater Schlüsselpaar wird generiert und auf Ihrem Gerät heruntergeladen. Bitte bewahren Sie den privaten Schlüssel sicher auf, da dies die einzige Kopie ist und Sie denselben privaten Schlüssel nicht erneut generieren können.

Nachdem Sie den JSON-Private-Key heruntergeladen haben, müssen Sie den Gmail API-Dienst aktivieren und dem Dienstkonto domänenweite Berechtigungen erteilen.

Gmail API-Dienst aktivieren

1. Melden Sie sich bei console.cloud.google.com.
2. Wählen Sie das Projekt aus dem Dropdown-Menü aus.
3. Secret weiter unten. + APIs und Dienste aktivieren.
4. Wählen Sie Gmail API Neues Aktivieren.

Delegierung der domänenweiten Autorität an das Dienstkonto

1. Melden Sie sich als Superadministrator im Admin-Console der Google Workspace-Domäne an.
2. Navigieren Sie zu Hauptmenü > Sicherheit > Zugriff und Datenkontrolle > API-Steuerung.
3. Im Bereich Domänenweite Delegation , wählen Sie Verwaltung der domänenweiten Delegation.
4. Secret weiter unten. Neu hinzufügen.
5. Im Client-ID Geben Sie im Feld die Client-ID des Dienstkontos ein. Sie finden die Client-ID Ihres Dienstkontos in den Servicekonten Seite.
6. Im OAuth-Bereichen (durch Kommas getrennt) geben Sie die Liste der Bereiche ein, auf die Ihre Anwendung Zugriff erhalten soll. Wenn Ihre Anwendung zum Beispiel domänenweiten Vollzugriff auf die Google Mail API benötigt, geben Sie ein: https://mail.google.com.
7. Secret weiter unten. Autorisieren.

Ihre Anwendung hat jetzt die Berechtigung, API-Aufrufe als Benutzer in Ihrer Domäne durchzuführen (um Benutzer zu "imitieren"). Wenn Sie autorisierte API-Aufrufe vorbereiten, geben Sie den zu imitierenden Benutzer an.

Tipps

• Schützen Sie Ihre Anmeldeinformationen: Speichern Sie Entra ID Client-Geheimnisse und Google JSON Private Keys sicher. Für Google API-Konfigurationen laden Sie den JSON-Private-Key sofort nach der Erstellung herunter und sichern Sie diesen, da er später nicht wiederhergestellt werden kann – speichern Sie ihn in einem sicheren Passwortmanager oder Geheimnis-Tresor.
• Planung der Ablaufzeit des Client-Geheimnisses: Bei Verwendung von Microsoft OAuth oder API-Authentifizierung setzen Sie Kalendererinnerungen, bevor Ihr Client-Geheimnis abläuft, und etablieren Sie einen Prozess zum Rotieren der Geheimnisse ohne Dienstunterbrechung – erwägen Sie für Produktionsumgebungen Geheimnisse mit längeren Gültigkeitszeiten (z. B. 24 Monate) zu erstellen.