OAuth2 Authentifizierung

Konfiguration von OAuth2 Authentifizierungen

Befehl in eigenem Menü zur Version: 14.1.0 (08.2025)

notempty

Dieser Artikel bezieht sich auf eine Beta-Version

-

https://devwiki.intern.securepoint.de/UTM/AUTH/OAuth2

OAuth 2 UTMbenutzer@firewall.name.fqdn Authentifizierung OAuth 2 Verbindungen für Mailconnector und Mailrelay In diesem Menü können OAuth 2-Verbindungen erstellt und bearbeitet werden.

Je nach Providerauswahl ändern sich die Konfigurationsschritte. Folgende Provider stehen zur Verfügung:

Google Workspace
Microsoft 365 (Geheimer Clientschlüssel)
Microsoft 365 (Zertifikat)

Anlegen neuer Verbindungen mit der Schaltfläche OAuth 2 Verbindung hinzufügen

Google Workspace

Beschriftung

Wert

Beschreibung

Name:

Name der OAuth 2 Verbindung

Provider:

Google Workspace

Auswahl des Providers

Dienstkonto:

Das Dienstkonto des Google Workspace wird eingetragen

Nutzerkonto:

»alice@ttt-point.de

Die Nutzerkonten werden ausgewählt

Zertifikat:

Google_Workspace-OAuth2_cert

Das Zertifikat, das im Azure hochgeladen wurde wird hier ausgewählt

Microsoft 365

Um Microsoft 365 nutzen zu können, sind konfigurierte Azure Apps notwendig.

Konfiguration Azure Apps für den Mail-Connector anzeigen

ausblenden

Klicken für dauerhafte Anzeige

Hinweis

Dieser Artikel beinhaltet Beschreibungen der Software von Drittanbietern und basiert auf dem Stand zum Zeitpunkt der Erstellung dieser Seite.
Änderungen an der Benutzeroberfläche durch den Hersteller sind jederzeit möglich und müssen in der Durchführung entsprechend berücksichtigt werden.
Alle Angaben ohne Gewähr.

Um den Mail-Connector mit Microsoft 365 nutzen zu können, sind folgende Angaben erforderlich:

Anwendungs ID
Mandanten-ID
Geheimer Clientschlüssel

In dieser Anleitung wird exemplarisch gezeigt, welche Vorbereitungen und Einstellung in Microsoft Azure erforderlich sind.

Azure Active Directory admin center starten
Mandanten-ID im Menü Azure Active Directory notieren/kopieren
Neue App registrieren unter Menü App-Registrierung Schaltfläche Neue Registrierung
Eindeutigen Namen vergeben und Schaltfläche Registrieren klicken
Im Menü API-Berechtigungen die Schaltfläche Berechtigung hinzufügen klicken
Berechtigung für Office 365 Exchange Online im Reiter Von meiner Organisation verwendete APIs wählen
IMAP.AccessAsApp-Berechtigung für Office 365 Exchange Online hinzufügen
Im Menü API-Berechtigungen den Eintrag Administratorzustimmung für [...] erteilen aktivieren
Im Menü Zertifikate & Geheimnisse ein Geheimen Clientschlüssel erstellen
Wert notieren, wird beim hinzufügen einer OAuth 2 Verbindung als Geheimer Clientschlüssel eingetragen
Menü Unternehmensanwendungen öffnen und App wählen
Aus den App Eigenschaften Anwendungs-ID und Objekt-ID notieren
Auf Windows Client Administrator Powershell öffnen, ExchangeOnlineManagement importieren und mit Tenant verbinden
Empfängermailbox im Exchange admin center auswählen und als Delegation Read and manage (Full Access) wählen
Mitglied für Mailbox Delegation hinzufügen

Damit ist die Konfiguration im Microsoft Azure abgeschlossen.
Die weitere Konfiguration erfolgt in der UTM im Menü
Anwendungen Mail-Connector Bereich Dienste mit der Schaltfläche Mail-Connector-Dienst hinzufügen
und im Bereich
OAuth2 mit der Schaltfläche OAuth2 Verbindung hinzufügen
notempty
Die Microsoft Server brauchen ggf. bis zu 30 Minuten, bevor der Zugang funktioniert


1.	2.	3.


Abb.1	Abb.2	Abb.3


Abbildungen

Abb.1

Anmelden unter Portal Azure oder Microsoft Entra
In Microsoft Entra sind einige Menupunkte als Untermenupunkte eingerichtet.
Menü Azure Active Directory wählen
Mandanten-ID notieren, wird beim hinzufügen einer OAuth 2 Verbindung eingetragen

Abb.2

Neue App registrieren:

Menü App-Registrierung

Schaltfläche Neue Registrierung

Abb.3

Eindeutigen Namen vergeben

Schaltfläche Registrieren klicken

Abb.4

Es wird eine Zusammenfassung der soeben registrierten App angezeigt

Die hier angezeigte Object ID gehört nicht zur App und wird nicht benötigt!

Menu API-Berechtigungen wählen

Abb.5

Schaltfläche Berechtigung hinzufügen klicken

Abb.6

Reiter Von meiner Organisation verwendete APIs wählen

Berechtigung für Office 365 Exchange Online wählen

Abb.7

Schaltfläche Anwendungsberechtigungen klicken

nach imap suchen

IMAP.AccessAsApp markieren

Schaltfläche Berechtigungen hinzufügen klicken

Abb.8

Erneut Menü API-Berechtigungen auswählen

Eintrag Administratorzustimmung für [...] erteilen auswählen

Schaltfläche Ja anklicken

Abb.9

Administratorzustimmung für [...] erteilen erfolgreich gewährt

Abb.10

Menü Zertifikate & Geheimnisse

Reiter Geheime Clientschlüssel

Eintrag neuer geheimer Clientschlüssel

Eindeutige Beschreibung eingeben

gewünschte Laufzeit wählen (max. 24 Monate)

Schaltfläche Hinzufügen anklicken

Abb.11

Wert notieren, wird beim hinzufügen einer OAuth 2 Verbindung als Geheimer Clientschlüssel eingetragen

Abb.12

Zurück zum Dashboard, Menü Azure Active Directory

Menü Unternehmensanwendungen

Abb.13

Menü Alle Anwendungen

Securepoint App wählen

Abb.14

Aus den App Eigenschaften notieren:

Anwendungs-ID, wird beim hinzufügen einer OAuth 2 Verbindung als Anwendungs-ID eingetragen

Objekt-ID, wird für die Vergabe der Berechtigung per Powershell benötigt

Abb.15

Auf einem Windows Client Administrator Powershell öffnen

notempty

ExchangeOnlineManagement Modul installieren
Falls es Probleme beim Installieren des Moduls oder beim Verbinden gibt muss man ggf. Powershell auf TLS 1.2 konfigurieren:
>[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
- > Install-Module -Name ExchangeOnlineManagement -allowprerelease

ExchangeOnlineManagement importieren und mit Tenant verbinden:
- > Import-Module ExchangeOnlineManagement
- > Connect-ExchangeOnline -Organization Mandanten-ID (Siehe Abb.1)
Neuen Dienst Prinzipal anlegen und eindeutigen Namen vergeben:
- > New-ServicePrincipal -DisplayName SecurepointServicePrincipal -AppId Enterprise-oApp-ooID-oooo-oooooooo -ServiceId Enterprise-oObj-ooID-oooo-oooooooo
- Bei Enterprise-oApp-ooID-oooo-oooooooo die Anwendungs-ID und bei Enterprise-oObj-ooID-oooo-oooooooo die Objekt-ID (siehe Abb. 14) eintragen
Im Anschluss Mailbox Permissions vergeben:
- > Add-MailboxPermission -Identity alice@anyideas.onmicrosoft.com -User SecurepointServicePrincipal -AccessRights FullAccess

Konfiguration Entra ID Apps für das Mailrelay/Smarthost & Exchange Online zeigen

ausblenden

Klicken für dauerhafte Anzeige

Vorbemerkung

Hinweis

Dieser Artikel beinhaltet Beschreibungen der Software von Drittanbietern und basiert auf dem Stand zum Zeitpunkt der Erstellung dieser Seite.
Änderungen an der Benutzeroberfläche durch den Hersteller sind jederzeit möglich und müssen in der Durchführung entsprechend berücksichtigt werden.
Alle Angaben ohne Gewähr.

Um mit dem UTM Smarthost E-Mails an Exchange online (M365) versenden zu können (z.B. für das Mailrelay)

ist eine Entra ID App mit der Berechtigung SMTP.SendAsApp erforderlich.
Dieser App muss der Zugriff auf das Exchange Online E-Mail-Konto gewährt werden

Konfiguration Entra-ID App

Microsoft Microsoft Entra Admin Center starten
Neue App Registrieren
Api-Berechtigung hinzufügen: Reiter Von meiner Organisation verwendete APIs wählen
Berechtigung für Office 365 Exchange Online wählen
Administratorzustimmung erteilen
Clientgeheimnis hinzufügen und Wert notieren
(Wird beim Hinzufügen einer OAuth 2 Verbindung als Geheimer Clientschlüssel benötigt)
Der Wert des Clientschlüssels kann nur unmittelbar nach Erstellung angezeigt werden
Aus der App-Übersicht die Anwendungs-ID (Client) und die Verzeichnis-ID (Mandant) kopieren
(Wird in der UTM beim Hinzufügen einer OAuth 2 Verbindung als Anwendungs-ID bzw. Mandanten-ID benötigt)
Aus dem Menü Unternehmens Apps Untermenü Alle Anwendungen die angelegte App wählen und die Objekt ID kopieren
(Wird für die Vergabe der Berechtigung per Powershell benötigt)

Schritt-für-Schritt-Anleitung anzeigen

ausblenden


1.	2.	3.


Abb.1	Abb.2	Abb.3


Abbildungen

Abb.1

Anmelden unter Microsoft Entra
Menü App-Registrierung 1
Schaltfläche Neue Registrierung 2

Abb.2

Eindeutigen Namen vergeben 3

Schaltfläche Registrieren klicken 4

Abb.3

Schaltfläche Berechtigung hinzufügen klicken 5

Reiter Von meiner Organisation verwendete APIs wählen 6

Berechtigung für Office 365 Exchange Online wählen 7

Abb.4

Schaltfläche Anwendungsberechtigungen klicken 8

nach smtp suchen 9

SMTP.SendAsApp markieren 10

Schaltfläche Berechtigungen hinzufügen klicken 11

Abb.5

Eintrag Administratorzustimmung für [...] erteilen auswählen 12

Schaltfläche Ja anklicken 13

Abb.6

Administratorzustimmung erfolgreich gewährt

Abb.7

Menü Zertifikate & Geheimnisse 14

Reiter Geheime Clientschlüssel 14

Eintrag neuer geheimer Clientschlüssel 16

Eindeutige Beschreibung eingeben 17

gewünschte Laufzeit wählen (max. 24 Monate) 18

Schaltfläche Hinzufügen anklicken 19

Abb.8

Wert notieren 20
Wird beim Hinzufügen einer OAuth 2 Verbindung als Geheimer Clientschlüssel benötigt

Der Wert des Clientschlüssels kann nur unmittelbar nach Erstellung angezeigt werden.

Nach einem Reload der Seite ist dieser nicht mehr einsehbar!

Abb.9

Aus der App-Übersicht 21 folgende Werte kopieren:

Anwendungs-ID (Client) 22
Wird in der UTM beim Hinzufügen einer OAuth 2 Verbindung als Anwendungs-ID benötigt
Verzeichnis-ID (Mandant) 23
Wird in der UTM beim Hinzufügen einer OAuth 2 Verbindung als Mandanten-ID benötigt
Die hier aufgeführte Objekt-ID wird nicht benötigt!

Abb.10

Menü Unternehmens Apps 24

Untermenü Alle Anwendungen 25

App wählen 26

Objekt ID 27 kopieren
Wird für die Vergabe der Berechtigung per Powershell benötigt

Konfiguration von Exchange Online

Powershellbefehle Für die Konfiguration von Exchange Online, wird eine PowerShell benötigt

ausblenden

Klicken für dauerhafte Anzeige

Diese muss nicht zwingend unter Windows benutzt werden.
Eine Anleitung für die Installation von Powershell unter Ubuntu existiert von Microsoft selbst:
https://learn.microsoft.com/de-de/powershell/scripting/install/install-ubuntu?view=powershell-7.5

In der Powershell muss zunächst das Modul für Exchange Online heruntergeladen und aktiviert werden
Install-Module ExchangeOnlineManagement
Import-Module ExchangeOnlineManagement
ExchangeOnlineManagement mit dem Tenant (Verzeichnis-ID (Mandant) Abb.9 Nr. 23) verbinden
Connect-ExchangeOnline -Organization "<Verzeichnis-ID (Mandant)>"
SMTP-Authentication für das Postfach aktivieren, das Smarthost verwendet werden soll
Set-CASMailbox -Identity "<MAILBOX>" -SmtpClientAuthenticationDisabled $false
Es wird ein Dienst benötigt, dem die Berechtigung für den Mailbox-Zugriff erteilt werden kann.
- APPLICATION_ID aus Abb.9 Nr.22
- OBJECT_ID aus Abb.10 Nr. 27
- Der Parameter 'DisplayName' ist hierbei optional, hilft aber im Nachhinein nachzuvollziehen, wer Zugriff auf die Mailbox hat.
  New-ServicePrincipal -AppId "<APPLICATION_ID>" -ObjectId "<OBJECT_ID>" -DisplayName "<DESCRIPTION>"
Berechtigung für Mailbox-Zugriff erteilen:
OBJECT_ID aus Abb.10 Nr. 27
Add-MailboxPermission -Identity "<MAILBOX>" -User "<OBJECT_ID>" -AccessRights FullAccess

Microsoft 365 (Geheimer Clientschlüssel)

Name:

Name der OAuth 2 Verbindung

Provider:

Microsoft 365 (Geheimer Clientschlüssel)

Auswahl des Providers

Anwendungs-ID:

Die ID der Anwendung wird eingetragen
In Microsoft Azure in der App Eigenschaft unter Application ID

Mandanten-ID:

Die ID des Mandanten wird eingetragen
In Microsoft Azure im Menü Azure Active Directory unter Tenant ID

Geheimer Clientschlüssel:

Der Geheimer Clientschlüssel wird eingetragen
In Microsoft Azure im Menü Certificates & secrets im Reiter Client secrets unter Value

Microsoft 365 (Zertifikat)

Name:

Name der OAuth 2 Verbindung

Provider:

Microsoft 365 (Zertifikat)

Auswahl des Providers

Anwendungs-ID:

Die ID der Anwendung wird eingetragen
In Microsoft Azure in der App Eigenschaft unter Application ID

Mandanten-ID:

Die ID des Mandanten wird eingetragen
In Microsoft Azure im Menü Azure Active Directory unter Tenant ID

Zertifikat:

CC-OAuth2-MS365_cert

Das Zertifikat, das im Azure hochgeladen wurde wird hier ausgewählt