Unterstützend folgt an dieser Stelle eine Schritt für Schritt Anleitung, um die gewünschte Funktion herzustellen. Eventuell zusätzlich mögliche Funktionalitäten werden an dieser Stelle nicht betrachtet.

Der Grad der hierbei eingestellten Sicherheitsmassnahmen ist gegebenenfalls durch den Betreiber des SEPPmail Secure E-Mail Gateways selbst zu beleuchten und unter Umständen anzupassen.

 

Vorgehensweise:

(Stand 12.07.2023)

 

Microsoft seitige Konfiguration:

(siehe gegebenenfalls auch https://learn.microsoft.com/de-de/power-apps/maker/portals/configure/configure-saml2-settings-azure-ad)

 

•Anmelden am Microsoft 365 admin center (https://admin.microsoft.com/) als User, der zumindest Mitglied der Rolle "Cloudanwendungsadministrator" hat.
 

•In der Navigationsleiste rechts (hierzu muss gegebenenfalls erst «Show all...» angeklickt werden) unter «Admin centers» auf «Azure Active Directory» klicken. «Mein Dashboard» öffnet.
 

•Nun rechts von «Mein Dashboard» wieder auf «Azure Active Directory» klicken. Unter «Dashboard >» erscheint nun «Overview».
 

•Nun rechts auf «App registrations» klicken.
 

•Über den Karteikartenreiter «+ New registration» öffnet die Oberfläche «Register an application»
 

oUnter «*Name» wird nun ein möglichst sprechender Name für die zukünftige Verbindung angegeben.
(Dieser Name sollte parallel als «IDP service name» notiert werden).
 

 

oDamit sich ausschliesslich Benutzer der eigenen Organisation, also des eigenen AADs über diese Variante authentisieren können, ist unter «Supported account types» «Accounts in this organizational directory only» zu wählen.
 

oUnter «Redirect URI» ist nun über das Drop-Down-Menü «Select platform» die Auswahl «Web» zu treffen und als «URI» ist die komplette URL zur jeweiligen GINA Domain einzugeben, wie sie im Hinweis «Note: If you want to show the GINA login page by default, enter "https://.../web.app" (without the quotes)» oberhalb des Eingabefeldes Default Forward Page zu finden ist.
 

 

oAbschliessend ist die Schaltfläche «Register» zu klicken.
(Die «Application-ID» (NICHT die Object-ID !) sollte parallel als  «ID»notiert werden).

 

•Nun zum Karteikartenreiter «Endpoints» wechseln.

 

oIn den daraufhin rechts erscheinenden «Endpoints» zum «Federation metadata document» navigieren und über den darunterliegenden Link die XML-Datei herunterladen und in einem Pfad speichern, der später aus der Administrationsoberfläche des SEPPmail Secure E-Mail Gateway erreichbar ist.
(Dateiname und Pfad sollte parallel als «IDP metadata XML file» notiert werden).

 

• Im Seitenmenü des «Dashboard»s auf «API permissions» klicken.
 

oIn den nun rechts erscheinenden «Configured permissions» ist in der darunterliegenden Tabelle unter «API / Permissions name» «Microsoft Graph» und darunter normalerweise ausschliesslich das Recht «UserRead» angeführt.
Die Berechtigung «UserRead» enthält nicht das Recht die E-Mail Adresse auszulesen, was für den Vorgang jedoch elementar ist.
 

•Im Seitenmenü des «Dashboard»s auf «Token configuration» klicken.
 

oIm rechts erscheinenden «Optional claim» mittels Karteikartenreiter «+ Add optional claim» einen Claim hinzufügen.

 

▪Dadurch öffnet rechts das Menü «Add optional claim», in welchem der Radiobutton «SAML» angewählt wird.

 

▪In der darunterliegenden Tabelle wird ein Haken beim Claim «email» gesetzt.
 

▪Nach Klicken der Schaltfläche «Add» erscheint oben im Menü ein Hinweisfeld, dass für diese Aktion in «Microsoft Graph» die Berechtigung «email» gesetzt werden muss.
 

▪Im Hinweisfeld bei der Check-Box «Turn on the Microsoft Graph email permission (required for claims to appear in token).» den Haken setzten und
 

▪mit «Add» abschliessen.
 

•Nun im Seitenmenü des «Dashboard»s erneut auf «API permissions» klicken.
 

oIn den rechts erscheinenden «Configured permissions» sollten nun in der darunterliegenden Tabelle unter «API / Permissions name» «Microsoft Graph» die Rechte «UserRead» und «email» angeführt sein.

 

•Nach Klicken auf «Overview» aus dem Seitenmenü des «Dashboard»s erscheinen rechts die «Essentials».

 

oDie «Application (client) ID» als «SP Entity ID» notieren.
 

SEPPmail Secure E-Mail Gateway seitige Konfiguration:

 

•Anmelden an der Administrationsoberfläche.
 

•Wechsel ins Menü GINA Domains.
 

•In der Tabelle der Sektion Domains unter GINA name auf die zu konfigurierende GINA Domain klicken.
 

•Im erscheinenden Folgemenü Change GINA Settings For zur Sektion IDP settings navigieren.
 

•Im Abschnitt SAML authentication eine neue Verbindung via New SAML authentication einrichten.
 

oHaken der Option Authenticate GINA users from this domain with SAML aktivieren
 

oJe nach Anwendungsfall (siehe gegebenenfalls für GINA-Webmail (optional) Initiales Schreiben von Nachrichten sowie für Large File Transfer (LFT) Einliefern/Versenden via GINA-Webmail, Einliefern/Versenden via SEPPmail Microsoft Outlook Add-In und Einliefern/Versenden durch organisationsfremde Sender und für Internal Mail Encryption (IME) SEPPmail IME unter ausschliesslichem Verwenden der GINA-Technologie und SEPPmail IME 1.0) sollte die Option Automatically create GINA account if user can authenticate with SAML ebenfalls aktiviert werden.
 

oUnter Used by managed domains werden die Managed Domains ausgewählt, welcher diese GINA Domain zugeordnet ist und für welche die Authentisierung verfügbar sein soll.
 

oIDP service name mit dem «IDP service name» aus den Notizen der bereits erfolgten Microsoft seitigen Konfiguration befüllen.
 

oBei IDP metadata XML file die XML Datei aus dem unter «IDP metadata XML file» notierten Pfad auswählen.
 

oUnter SP Entity ID «spn:» gefolgt von der «Application (client) ID» aus den Notizen der bereits erfolgten Microsoft seitigen Konfiguration eintragen.
 

oUnter Email attribute «http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress» eingeben.
 

oUnter Name attribute «http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname» eingeben.
 

oUnter Login button CSS class(es) «btn-default idp-btn» eingeben.
 

oKonfiguration mit Add abschliessen.