OpenID
Mit OpenID können Sie sich über unterschiedliche OpenID-Anbieter in NoSpamProxy authentifizieren. Dazu müssen die den entsprechenden Anbieter in NoSpamProxy aktivieren und konfigurieren. Gehen Sie dazu folgendermaßen vor:
-
Wechseln Sie zu dem Computer, auf dem NoSpamProxy installiert ist.
-
Weisen Sie dem Benutzer, mit dem Sie auf dem Computer angemeldet sind, per PowerShell globale NoSpamProxy-Administratorrechte zu:
New-NspUserRoleAssignment -Identity NameDesBenutzers -Role GlobalAdministrator -
Geben Sie den folgenden Befehl in PowerShell ein:
New-NspOpenIdProvider -Name NameDesOpenIdAnbieters -DisplayName AnzeigenameDesOpenIdAnbieters -ClientId DieClientID -ClientSecret DasZugehoerigeGeheimnis -DiscoveryEndpoint DerDiscoveryEndpointDesOpenIdAnbietersHINWEIS: Ersetzen Sie ClientID, ClientSecret und DiscoveryEndpoint mit den entsprechenden Werten aus Ihrer NoSpamProxy-Registrierung. Das ClientSecret muss als SecureString eingegeben werden.
-
Bestätigen Sie die angezeigte Sicherheitsabfrage mit [Y] Yes.
WARNING:Stellen Sie sicher, dass die entsprechenden NoSpamProxy-Rollenzuweisungen vorhanden sind, bevor Sie die PowerShell-Sitzung verlassen. Andernfalls können Sie nicht auf NoSpamProxy zugreifen. Sie können dazu das Cmdlet New-NspUserRoleAssignment verwenden, z. B.:
New-NspUserRoleAssignment -TenantId 0 -Identity „john.doe@example.com“ -Role ConfigurationAdministrator
-
Melden Sie sich über das NoSpamProxy Command Center an.
Nachdem OpenID aktiviert ist, wird die Windows-Authentifizierung für NoSpamProxy deaktiviert. Von diesem Zeitpunkt an können sich Benutzer nur noch mit einem gültigen OpenID-Konto authentifizieren, in diesem Fall mit einer Entra-ID-authentifizierten E-Mail-ID.
Überspringen der Sicherheitsabfrage
Um die Sicherheitsabfrage zu überspringen, nutzen Sie bei der Registrierung den folgenden Befehl:
Registrieren mit expliziten Endpunkten
Falls Sie einen OpenID-Anbieter registrieren und dabei explizite Endpunkte angeben wollen, nutzen Sie den folgenden Befehl:
Beispiel: Microsoft Entra ID
Um Microsoft Entra ID als OpenID-Anbieter in NoSpamProxy zu authentifizieren, gehen Sie folgendermaßen vor:
-
Gehen Sie in Ihrem Microsoft Entra ID Admin Center zu Identität > Anwendungen > App-Registrierungen und registrieren Sie NoSpamProxy Server als App.
TIP: Eine Anleitung zur App-Registrierung finden Sie in der Microsoft-Dokumentation.
-
Legen Sie unter Identität > Anwendungen > App-Registrierungen > NoSpamProxy Server > Verwalten > Authentifizierung die folgende Umleitungs-URI fest: https://NoSpamProxy Web App/api/identity-service/oidc-code-response.
HINWEIS: NoSpamProxy Web App muss durch die URL der Web App ersetzt werden. Diese URL finden Sie unter Konfiguration > NoSpamProxy Komponenten > NoSpamProxy Web App. Falls ein anderer Port als 443 genutzt wird, muss der Port ebenfalls angegeben werden, also beispielsweise https://webapp.nospamproxy.com:6061/api/identity-service/oidc-code-response.
-
Setzen Sie unter Identität > Anwendungen > App-Registrierungen > NoSpamProxy Server > Verwalten > API-Berechtigungen für Microsoft Graph die Berechtigung User.Read.
-
Erstellen Sie unter Identität > Anwendungen > App-Registrierungen > NoSpamProxy Server > Verwalten > Zertifikate und Geheimnisse einen neuen geheimen Clientschlüssel (ClientSecret) und speichern Sie diesen an einem sicheren Ort.
-
Wechseln Sie zu dem Computer, auf dem NoSpamProxy installiert ist.
-
Geben Sie den folgenden Befehl in PowerShell ein:
$clientsec = Read-Host –AsSecureString; New-NspOpenIdProvider -Name 'MicrosoftEntraId' -DisplayName 'Microsoft Entra ID' -ClientId DieClientID -ClientSecret $clientsec -DiscoveryEndpoint 'https://login.microsoftonline.com/common/v2.0/.well-known/openid-configuration'HINWEIS: HINWEIS: Ersetzen Sie ClientID mit den entsprechenden Werte aus Ihrer NoSpamProxy-Registrierung. Nachdem der Befehl ausgeführt wurde, müssen Sie das ClientSecret eingeben.
-
Bestätigen Sie die angezeigte Abfrage mit [Y] Yes.
WARNING:Stellen Sie sicher, dass die entsprechenden NoSpamProxy-Rollenzuweisungen vorhanden sind, bevor Sie die PowerShell-Sitzung verlassen. Andernfalls können Sie nicht auf NoSpamProxy zugreifen. Sie können dazu das Cmdlet New-NspUserRoleAssignment verwenden, z. B.:
New-NspUserRoleAssignment -TenantId 0 -Identity „john.doe@example.com“ -Role ConfigurationAdministrator
-
Melden Sie sich über das NoSpamProxy Command Center an.
Nachdem OpenID aktiviert ist, wird die Windows-Authentifizierung für NoSpamProxy deaktiviert. Von diesem Zeitpunkt an können sich Benutzer nur noch mit einem gültigen OpenID-Konto authentifizieren, in diesem Fall mit einer Entra-ID-authentifizierten E-Mail-ID.
Nachdem der erste OpenID-Anbieter registriert ist, wird die Windows-Authentifizierung für NoSpamProxy deaktiviert. Von diesem Zeitpunkt an können sich Benutzer nur noch mit einem gültigen OpenID-Konto authentifizieren. Wir empfehlen daher, nach der Registrierung des ersten OpenID-Anbieters die erforderlichen Rollenzuweisungen vor dem Beenden der PowerShell-Sitzung durchzuführen. Zu diesem Zweck kann der Befehl New-NspUserRoleAssignment verwendet werden, beispielsweise New-NspUserRoleAssignment -TenantId 0 -Identity john.doe@example.com -Role ConfigurationAdministrator. Wenn ein OpenID-Anbieter bei einem Discovery-Endpunkt registriert ist, synchronisiert NoSpamProxy die Konfiguration des OpenID-Anbieters alle 24 Stunden.
-
Sie können weitere OpenID-Provider einbinden, die parallel zur Authentifizierung genutzt werden können. Nutzen Sie dafür das Cmdlet New-NspOpenIdProvider.
-
Um Informationen zu den konfigurierten OpenID-Providern einzusehen, nutzen Sie das Cmdlet Get-NspOpenIdProvider.
-
Um eingebundene OpenID-Provider zu entfernen, nutzen Sie das Cmdlet Remove-NspOpenIdProvider -Id IDdesOpenIDProviders.
-
Um die passende ID einzusehen, nutzen Sie das Cmdlet Get-NspOpenIdProvider.