OIDC連携(シングルサインオン)
MDaemon Webmailは、OpenID Connect (OIDC)を使用してシングルサインオン(SSO)をサポートします。MDaemonの電子メールアドレスおよびパスワードでWebメールにサインインする代わりに、ユーザは、 GoogleまたはMicrosoft Azure/Entra IDの ようなOIDC IDプロバイダ(IdP)を介してサインインするためにSSOで サインインボタンをクリックすることができます 。
これを設定するには、まずIdPの管理インターフェイスを使用してアプリを作成し、 その際にWebメールの リダイレクトURI (下記参照)を提供する必要があります。 次に、以下のオプションを使用して Webmail の OIDC 設定を構成します。
OIDC連携の有効化
このオプションが有効な場合、SSOサインインボタンがWebメールサインインページに表示されます。ユーザは、MDaemon電子メールアドレスおよびパスワードを提供するのではなく、選択したIdPを介して認証することにより、Webメールアカウントにサインインするためにそのボタンをクリックすることができます。
Issuer URL
このテキストフィールドは、OIDC IDプロバイダから取得するベースURL用です。ユーザ情報および公開キーのようなIdPの設定および他のデータを発見するためにMDaemonによって使用されます。発行者URLに一般的に付加される"/.well-known/openid-configuration"部分を含めないでください。IdPに応じて、URLは次のようになります:https://login.microsoftonline.com/<tenant_id>/v2.0,https://accounts.google.com, またはhttps://<your-domain>.okta.com.
クライアントID
アプリ登録時にIdPから取得した固有のクライアントIDです。
クライアントシークレット
このフィールドは、登録中にIdPによって生成された秘密鍵のためのものです。アクセストークンの認証コードを交換するとき、信頼されたクライアントとしてMDaemonを認証するためにクライアントIDと共に使用されます。一部のIdPは、クライアントシークレットの有効期限を許可するため、定期的に交換する必要があります。
OIDCアプリをIdPに登録する際、Redirect URIの入力を求められます。ここで提供されるURIは、デフォルトドメインの SMTPホスト名から構築されます。例: https://mail.example.com/WorldClient.dll?View=OIDC
スコープ
スコープは、IdPがどの特定のデータ・ポイントを共有するかを決定する。openidはOIDCフローを有効にし必須であり、profileは基本的なユーザー情報(preferred_usernameなど)を提供し、emailはユーザーのメールアドレスを共有する。特定のセットアップまたは IdP の要件に基づいて、必要に応じてスコープを追加または変更できます。
Emailクレーム
このフィールドは、サインインするMDaemonユーザを識別するために必要なデータを含むクレームの名前(キーと値のペア)を指定します。これは、最も一般的に、email、preferred_username、sub、またはoid(Azure/Entra ID)などに設定されます。最も簡単な設定は、可能であれば、emailまたはカスタム作成されたクレームのように、ユーザのMDaemon電子メールアドレスを含むことを知るクレームを指定することです。"sub"または"oid"を選択する場合、そのクレームは電子メールアドレスを含みません。代わりに、そのユーザのための一意のコードまたは識別子を含みます。 OIDC Email クレームサブまたはoid識別子を正しいMDaemonユーザに関連付けるために以下のセクションのオプションを使用する必要があります。
|
を指定する場合 Emailクレームを指定する場合、ユーザがセルフサービスプロファイルページを通して編集できるクレームを使用しないでください。例えば、特定のIdPセットアップにユーザが編集可能な "secondary_email "キーがあり、"secondary_email "キーとして選択した場合、ユーザはその電子メールを変更することができます。 Emailクレームたとえば、特定の IdP 設定に、ユーザが編集可能な「secondary_email」キーがあり、それを「secondary_email」キーとして選択した場合、任意のユーザがその電子メール・アドレスをサーバー上の別のユーザのアドレスに変更し、そのユーザの電子メール・アカウントにアクセスすることができます。常に、管理者のみが編集可能なキーを選択するようにしてください。 |
このセクションのオプションは、IdPからのカスタムクレーム値をMDaemonの特定の電子メールアドレスにマップするために使用されます。これは、IdPの電子メールクレームに含まれる電子メールアドレスの一部またはすべてがMDaemonユーザの電子メールアドレスに対応しない場合に便利です。その場合、これらのオプションを使用して、各ユーザの非MDaemon電子メールアドレスをMDaemonアドレスにマッピングすることができます。としてpreferred_usernameを使用する場合も同様です。 Emailクレームを使用する場合も同じですが、ユーザ名は常にMDaemon電子メールアドレスと一致しません。オプションでサブ(またはAzure/Entra IDのoid)クレームを使用する場合、この機能を使用します。 Emailクレームオプションを使用し、各ユーザの一意の識別子をMDaemon電子メールアカウントにマッピングする場合、この機能も使用します。
クレーム値を特定のユーザにマッピングするには
1.IdPコンソールまたは他のツールを使用して、問題のユーザを検索します。
2.上記で指定した Emailクレームを検索します。
3.クレームの値をコピーし、フィールドに貼り付けます。 クレーム値フィールドに貼り付けます。
4.対応するMDaemonユーザのEメールアドレスを入力します。
5.追加をクリックします。
6.保存をクリックします。
エントリを編集するには
1.編集するエントリをクリックします。
2.編集]をクリックします。
3.必要な変更を加えます。
4.更新]をクリックします。
5.保存をクリックします。
エントリーを削除するには
1.削除したいエントリーをクリックします。
2.削除]をクリックします。
3.保存]をクリックします。
