Configuration d'Exchange Web Service en OAUTH2
Cette fonctionnalité est disponible à partir de la révision 04.16.11.
ArrĂŞt Diapason | Non |
Pre requis :
Le serveur d’application doit être autorisé à communiquer vers les flux de l’adresse *.microsoftonline.com
CURL doit être installé sur le serveur d’application (yum install curl).
Services de messagerie pris en charge :
Microsoft (Office 365 via Azure AD)
Un compte d’utilisateur Azure AD avec un des rôles suivants : Administrateur général, Administrateur d’application cloud ou Administrateur d’application.
Un compte applicatif ayant accès à une boite de messagerie
Présentation générale
Présentation
L'objectif de ce nouveau module est d’autoriser diapason à utiliser un compte de messagerie via le protocole d’identification OAuth2.
L'utilisation de OAuth2 permet de mettre en place une délégation d'autorisation pour accorder à une application tierce (Diapason) un accès limité sur une ressource (Boite de messagerie Exchange Online), avec l'accord du propriétaire de celle-ci. Il n'y a alors plus besoin de stocker les identifiants de l'utilisateur dans les applications tierces.
Figure 1 Principe de la délégation d'autorisation
Gestion de la messagerie
Figure 2 Gestion de l'authentification avec un fournisseur de messagerie
Remarque
Microsoft a annoncé la dépréciation de l’authentification de base dans Exchange Online au 01 Octobre 2022.
Configuration de l’identification en OAuth2
Enregistrement d’une application Externe sur la console Azure AD
Voir documentation INS_AzureAD.
Autorisation des comptes de messagerie
Les comptes qui pourront être utilisés dans Diapason pour gérer des mails doivent pouvoir être ajoutés à la liste des utilisateurs de la nouvelle application.
Configuration de l’application dans Diapason
Créer une application pour identification OAuth 2 :
Explorateur « Exploitation > Imprimantes > Applications pour identification OAuth 2 »
Renseigner l’ID de votre tenant et l’ID de votre application Fournisseur.
Création d’une autorisation
Une fois votre application créée, vous devrez créer une autorisation qui sera utilisée pour authentifier Diapason sur la boîte mail. Pour ce faire, rendez-vous dans le menu « Exploitation > Imprimantes > Comptes OAuth 2 »
Création d’un compte de messagerie
Le compte de messagerie doit être lié à l’application définie précédemment.
L’adresse mail correspond au compte qui devra être autorisé à envoyer et / ou recevoir des mails depuis Diapason.
Initialisation du Token d’autorisation
Une fois le compte créé, vous devez initialiser le Token d’accès pour pouvoir utiliser votre compte avec Diapason
Figure 3 Lancement du processus d'initialisation
Un éditeur va s’ouvrir vous indiquant la marche à suivre pour initialiser la communication
Remarque :
Cette fenêtre doit rester ouverte jusqu’à la fin de la procédure.
Remarque :
Durant cette phase une demande d’approbation peut être demandée à l’administrateur. Le processus ne pourra être finalisé que suite à la validation de ces demandes d’approbation.
Une fois la procédure réalisée dans votre navigateur web, appuyer sur le bouton « Abandon » pour que le compte soit opérationnel.
Si un problème survient durant cette phase un message d’erreur s’affichera à l’écran.
Remarque :
Si la fermeture de l’éditeur intervient avant la fin de la procédure, il sera nécessaire de recommencer l’initialisation.
Utilisation du compte
Configuration du serveur de service
Pour utiliser votre compte autorisé via le protocole OAUTH2 pour envoyer et recevoir des mails, vous devez mettre à jour la définition de votre serveur de messagerie. Pour ce faire, rendez-vous dans le menu « Exploitation > Imprimantes > Serveurs de services »
Zone « Identifiant » : renseigner l’identifiant d’un compte OAUTH2
Zone « Type Authentification » : Doit contenir la valeur « OAUTH2 »
Configuration du type de réception
Pour personnaliser un traitement de réception sur un compte de messagerie particulier :
Il suffit d’alimenter le paramètre 1 avec l’identifiant Diapason du compte et de ne pas renseigner de mot de passe ( ide1,ide2,…).
Annexes
Envoi de mails pour des comptes différents du compte de l’application
Pour permettre d’envoyer des mails depuis Diapason pour des comptes différents il faut au préalable donner les autorisations suffisantes et nécessaires au compte applicatif.
La gestion de ces autorisations est propre Ă chaque fournisseur de messagerie et Ă chaque organisation.
Dans le cas de Microsoft Exchange, il est possible de paramétrer l’emprunt d’identité pour votre compte applicatif:
emprunt d’identité : Configurer l’emprunt d'identité | Microsoft Docs
Durée de validité des tokens
En fonction de votre organisation, les différents tokens peuvent avoir des durées de vie limitées dans le temps.
Il sera alors nécessaire de relancer le processus d’initialisation pour réactiver la communication.
Ceci peut se produire :
Si un token a été révoqué manuellement par un administrateur
Si un token n’a pas été utilisé sur une période (par défaut 3 mois pour Azure AD)
…