{"id":27561,"date":"2020-07-16T13:45:38","date_gmt":"2020-07-16T11:45:38","guid":{"rendered":"https:\/\/www.seppmail.com\/?p=27561"},"modified":"2022-08-18T13:47:52","modified_gmt":"2022-08-18T11:47:52","slug":"seppmail-ldap-zugriff-mit-azure-active-directory-ermoeglichen","status":"publish","type":"post","link":"https:\/\/www.seppmail.com\/de\/seppmail-ldap-zugriff-mit-azure-active-directory-ermoeglichen\/","title":{"rendered":"SEPPmail LDAP-Zugriff mit Azure Active Directory erm\u00f6glichen"},"content":{"rendered":"\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\"\"\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t

SEPPmail LDAP-Zugriff mit Azure Active Directory erm\u00f6glichen<\/h1>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Die Cloud-Computing-Plattform Microsoft Azure ist sehr beliebt, und viele Kunden migrieren inzwischen aus verschiedensten Gr\u00fcnden diverse IT-Komponenten dorthin. Auch die SEPPmail-Appliance l\u00e4sst sich in Azure betreiben. Azure bietet einige M\u00f6glichkeiten, den Betrieb flexibel zu gestalten, und passt besonders in Microsoft 365-Umgebungen wunderbar in das Gesamtbild einer \u201ecloud-native\u201c IT. Je \u201enativer\u201c die Cloud-Umgebung gestaltet wird, desto weniger funktionieren Technologien aus klassischen On-Premises-Infrastrukturen. Ein Beispiel daf\u00fcr ist das Lightweight Directory Access Protocol (LDAP), ein universal definierter Dienst f\u00fcr Verzeichnisabfragen, den die SEPPmail-Appliance f\u00fcr die Abfrage von Benutzerberechtigungen verwendet. Kunden, die das Azure Active Directory (AAD) ohne ein lokal synchronisiertes Active Directory im Einsatz haben, k\u00f6nnen LDAP nicht verwenden, da das AAD kein LDAP mehr anbietet. F\u00fcr solche F\u00e4lle gibt es jedoch eine L\u00f6sung: den Betrieb von Azure Active Directory Domain Services (ADDS), die ein AD in Azure simulieren und LDAP-Zugriffe erlauben. Dieser Blogbeitrag beschreibt die Architektur eines solchen Szenarios und gibt Hinweise f\u00fcr die Einrichtung.<\/strong><\/p>

Ausgangssituation<\/strong><\/h3>

Von einer in Azure eingerichteten SEPPmail-Appliance sollen Berechtigungsabfragen mittels LDAP durchgef\u00fchrt werden, um zu steuern, welche Benutzer SEPPmail-Features verwenden d\u00fcrfen. Die SEPPmail-Appliance l\u00e4uft in einer Azure Subscription und ist an ein Azure Virtual Network (VNET) angebunden.<\/p>

Alle Benutzer, die abgefragt werden sollen, befinden sich im Azure Active Directory dieser Subscription. Dieses AAD wird nicht von einem On-Prem Active Directory synchronisiert, sondern die Einrichtung erfolgte in der Cloud.<\/p>

Im Feld \u201eE-Mail-Adresse\u201c der AAD-Benutzer ist ein Wert eingetragen (anhand einer Exchange Online-Anbindung).<\/p>

Zielsituation<\/strong><\/h3>

Ein ADDS ist eingerichtet, es existiert ein Benutzer mit Leserechten auf das Verzeichnis, und es gibt Benutzergruppen (Office 365 oder AAD Security) mit Usern, die mittels LDAP abgefragt werden.<\/p>

Die SEPPmail-Appliance kann via LDAP auf die Benutzergruppen zugreifen und Abfragen durchf\u00fchren.<\/p>

Umsetzung<\/strong><\/h3>

Das Einrichten des ADDS ist in der Dokumentation von Microsoft sehr gut beschrieben und wird stetig aktualisiert. Daher verweisen wir an dieser Stelle auf die originalen Links:<\/p>

Azure Domain Services Deployment<\/strong><\/p>

https:\/\/docs.microsoft.com\/en-us\/azure\/active-directory-domain-services\/tutorial-create-instance<\/a><\/p>

Peer Networks<\/strong><\/p>

https:\/\/docs.microsoft.com\/en-us\/azure\/active-directory-domain-services\/tutorial-configure-networking<\/a><\/p>

Use Management Tools to Administer ADDS<\/strong><\/p>

https:\/\/docs.microsoft.com\/en-us\/azure\/active-directory-domain-services\/tutorial-create-management-vm<\/a><\/p>

Nachdem diese Schritte umgesetzt wurden, existieren gem\u00e4\u00df dem unten stehenden Schema folgende neue Komponenten in Azure:<\/p>