STARFACE WIKI (Deutsch)

Seitenhierarchie

Suche

Versionen im Vergleich

Alte Version 1

changes.mady.by.user Redakteur 9

Gespeichert am

verglichen mit

Neue Version Aktuell

changes.mady.by.user Redakteur 4

Gespeichert am

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.
Erweitern
titleVersion - 9.0.0.X3.4 / 9.0.3.3 / 9.0.2.4 / 9.0.2.2 / 9.0.1.3 / 9.0.0.10 / 9.0.0.9 / 9.0.0.6
Auszug


Weboberfläche der STARFACEMenüpunkt "Admin"Menüpunkt "Erweiterte EinstellungenServer"Reiter "  oAuth OAuth Login"

Image Modified

AdminImage Modified

Image Removed

 Image Removed

Einleitung

Microsoft führt eine wichtige Sicherheitsmaßnahme ein: Ab 2025 wird das veraltete Basic Authentication-Verfahren für E-Mail-Konten durch das modernere OAuth-Verfahren ersetzt. 

Für Unternehmen, die STARFACE nutzen, bedeutet dies, dass Anpassungen an den Systemen erforderlich sind, um weiterhin reibungslos auf Microsoft-E-Mail-Konten zugreifen zu können. Im Folgenden wird beschrieben, wie diese Anpassungen vollzogen werden.

Mit dieser Umstellung verändern sich Aspekte in verschiedenen Bereichen:

Sicherheit

  • Zugriffstoken statt Passwörter: OAuth verwendet kurzlebige Zugriffstoken, die nur für spezifische Aktionen gültig sind. Dadurch wird das Risiko des Missbrauchs von Passwörtern deutlich reduziert.
  • Zweistufige Authentifizierung: OAuth ermöglicht die Kombination mit anderen Sicherheitsmechanismen wie der zweistufigen Authentifizierung, um den Schutz vor unbefugtem Zugriff weiter zu erhöhen.

Compliance

  • OAuth erfüllt strengere Sicherheits- und Datenschutzanforderungen, die für Unternehmen wichtig sind.

Zukunftssicherheit

  • Die gesamte IT-Branche bewegt sich hin zu moderneren Authentifizierungsmethoden wie OAuth. Durch die Umstellung auf OAuth stellt sich Microsoft zukunftsfähig auf und unterstützt die Entwicklung sichererer Online-Dienste

Glossar

  • Aussteller-URL: Hierbei handelt es sich um den Aussteller des Tokens. Diese werden verwendet, da URLs wegen des Domain-Systems eindeutig und gut ​zuzuordnen sind.
  • ​Access-Token: Ein kurzlebiges Token, das verwendet wird, um einem Client kurzfristig den Zugriff auf Benutzerressourcen zu gewähren.​
  • Anwendungs-ID (Client-ID): Beschreibt eine eindeutige Kennung für die Anwendung, die sich mit dem OAuth-Server verbindet und die den Zugang zu Benutzerressourcen steuert.
  • Callback-URL: Die URL, zu der der Benutzer nach erfolgreicher Authentifizierung weitergeleitet wird, um das Token zu erhalten.​
  • Client Geheminis: Ein sicherer Schlüssel, der dazu dient, die Authentizität der Anwendung gegenüber dem OAuth-Server zu bestätigen und sicherzustellen, dass nur autorisierte Clients Zugriff erhalten.
  • Password: Die Benutzerdaten (Benutzername und Passwort) werden genutzt, um ein Token zu bekommen, das den Zugriff auf Ressourcen ermöglicht.
  • Refresh-Token: Ein Token, das verwendet wird, um ein neues Access-Token zu erhalten, ohne dass der Benutzer sich erneut anmelden muss.​
  • ​Verzeichnis-ID (Mandant): Eine eindeutige Kennung für eine Organisation oder einen Kunden in Microsoft Azure, relevant für die Verwaltung von Berechtigungen und Ressourcen.​

Scope

Scopes definieren den Zugriffsumfang eines Access Tokens.​ Sie legen auch fest, welche Daten und welche Aktionen durch das Token erlaubt sind.​ Sie stellen sicher, dass eine Anwendung nur die minimal erforderlichen Berechtigungen erhält.

Image Added

 Image Added

In diesem Reiter kann der Zugriff auf einen Mailserver via OAuth konfiguriert werden. Eine allgemeine Erklärung zum Aufbau und der Funktionsweise des Protokolls OAuth findet sich auf Wikipedia. Nachdem der Zugriff via OAuth konfiguriert worden ist, muss immer noch der Mailserver auf der STARFACE konfiguriert werden.

Image Added

Im oberen Bereich des Reiters müssen die folgenden Einstellungen vorgenommen werden:

FeldbezeichnungBeschreibung
E-Mail-Provider In diesem Drop-Down-Menü kann der gewünschte Mailprovider ausgewählt werden.
Client-IDIn diesem Feld muss die eindeutige Anwendungs-ID bzw. Client-ID eingetragen werden, die für das OAuth Verfahren generiert worden ist.
Client GeheimnisIn diesem Feld kann optional das Client Geheimnis eingetragen werden, wenn der E-Mail-Provider diese zusätzliche Bestätigung der Authentizität des Clients fordert und unterstützt.
Verzeichnis-ID (Mandant)In diesem Feld muss die Verzeichnis-ID bzw. Mandanten-ID eingetragen werden, die für das OAuth Verfahren generiert worden ist.
Hinweis

Hinweis: Zum aktuellen Zeitpunkt steht nur der Provider "Microsoft" zur Verfügung. In zukünftigen Versionen der STARFACE werden weitere Mailprovider integriert.

Im unteren Bereich des Reiters können die folgenden Daten herauskopiert werden:

Image Added

Scope: Aus diesem Feld heraus kann der Scope kopiert werden. Der Scope wird für die Konfiguration auf der Seite des E-Mail-Providers benötigt und kann nicht verändert werden.

Authentifizierung: Aus diesem Feld heraus kann die Callback-URL kopiert werden. Die Authentifizierung wird für die Konfiguration auf der Seite des E-Mail-Providers benötigt und kann nicht verändert werden.

Über die Schaltfläche "Starte OAuth-Flow" kann getestet werden ob die Konfiguration der Authentifizierung via OAuth erfolgreich war. Ist die Konfiguration erfolgreich wird die folgende Meldung ausgegeben:

Image Added

Um die in diesem Reiter vorgenommenen Einstellungen aktiv zu nutzen für Zugriff auf Microsoft Azure, müssen im Reiter "Mail-Server" auf der STARFACE die folgenden Einstellungen für einen externen Mailserver vorgenommen werden:

FeldbezeichnungBeschreibung
Absender-Adresse

In diesem Feld muss zwingend die gleiche Mailadresse eingetragen werden, die in dem Feld "OAuth-Token" für den Zugriff in der OAuth-Session genutzt wird.

OAuth-TokenIn diesem Drop-Down-Menü muss die gewünschte OAuth-Konfiguration für den Zugriff auf den Mailserver ausgewählt werden.
SMTP-Server: In diesem Feld muss "smtp.office365.com​" eingetragen werden.
Sicherheit: In diesem Drop-Down-Menü muss "STARTTLS" ausgewählt werden.​
Zertifikate verifizierenDiese Checkbox muss aktiviert sein.
SMTP mit AuthentifizierungDiese Auswahlmöglichkeit muss auf "Ja" konfiguriert werden.
Hinweis

Hinweis: Auf dem SMTP-Server muss für den verwendeten Zugriff "SmtpClientAuthentication" aktiviert sein (Link zur Dokumentation des Herstellers). Zusätzlich muss der Benutzer, mit dem die Anmeldung über OAuth erfolgt, mit der angegebenen Absenderadresse E-Mails verschicken dürfen.

OAuth-Login Konfiguration