Skip to main content
Skip table of contents

Configuration d'Exchange Web Service en OAUTH2

Informations Révision

Information

Valeur

Version

04.16.11 et plus

Révision précédente

Arrêt Diapason

Non

Pre requis :

Le serveur d’application doit être autorisé à communiquer vers les flux de l’adresse *.microsoftonline.com

CURL doit être installé sur le serveur d’application (yum install curl).  

Services de messagerie pris en charge :

Microsoft (Office 365 via Azure AD)

Un compte d’utilisateur Azure AD avec un des rôles suivants : Administrateur général, Administrateur d’application cloud ou Administrateur d’application.

Un compte applicatif ayant accès à une boite de messagerie

Présentation générale

Présentation

L'objectif de ce nouveau module est d’autoriser diapason à utiliser un compte de messagerie via le protocole d’identification OAuth2.

L'utilisation de OAuth2 permet de mettre en place une délégation d'autorisation pour accorder à une application tierce (Diapason) un accès limité sur une ressource (Boite de messagerie Exchange Online), avec l'accord du propriétaire de celle-ci. Il n'y a alors plus besoin de stocker les identifiants de l'utilisateur dans les applications tierces.

Figure 1 Principe de la délégation d'autorisation

Gestion de la messagerie

Figure 2 Gestion de l'authentification avec un fournisseur de messagerie

Remarque

Microsoft a annoncé la dépréciation de l’authentification de base dans Exchange Online au 01 Octobre 2022.

(https://docs.microsoft.com/en-us/exchange/clients-and-mobile-in-exchange-online/deprecation-of-basic-authentication-exchange-online)

Configuration de l’identification en OAuth2

Enregistrement d’une application Externe sur la console Azure AD

Voir documentation INS_AzureAD.

Autorisation des comptes de messagerie

Les comptes qui pourront être utilisés dans Diapason pour gérer des mails doivent pouvoir être ajoutés à la liste des utilisateurs de la nouvelle application.

Configuration de l’application dans Diapason

Créer une application pour identification OAuth 2 :

Explorateur « Exploitation > Imprimantes > Applications pour identification OAuth 2 »

Renseigner l’ID de votre tenant et l’ID de votre application Fournisseur.

Création d’une autorisation

Une fois votre application créée, vous devrez créer une autorisation qui sera utilisée pour authentifier Diapason sur la boîte mail. Pour ce faire, rendez-vous dans le menu « Exploitation > Imprimantes > Comptes OAuth 2 »

Création d’un compte de messagerie

Le compte de messagerie doit être lié à l’application définie précédemment.

L’adresse mail correspond au compte qui devra être autorisé à envoyer et / ou recevoir des mails depuis Diapason.

Initialisation du Token d’autorisation

Une fois le compte créé, vous devez initialiser le Token d’accès pour pouvoir utiliser votre compte avec Diapason

Figure 3 Lancement du processus d'initialisation

Un éditeur va s’ouvrir vous indiquant la marche à suivre pour initialiser la communication

Remarque :

Cette fenêtre doit rester ouverte jusqu’à la fin de la procédure.

Remarque :

Durant cette phase une demande d’approbation peut être demandée à l’administrateur. Le processus ne pourra être finalisé que suite à la validation de ces demandes d’approbation.

Une fois la procédure réalisée dans votre navigateur web, appuyer sur le bouton « Abandon » pour que le compte soit opérationnel.

Si un problème survient durant cette phase un message d’erreur s’affichera à l’écran.

Remarque :

Si la fermeture de l’éditeur intervient avant la fin de la procédure, il sera nécessaire de recommencer l’initialisation.

Utilisation du compte

Configuration du serveur de service

Pour utiliser votre compte autorisé via le protocole OAUTH2 pour envoyer et recevoir des mails, vous devez mettre à jour la définition de votre serveur de messagerie. Pour ce faire, rendez-vous dans le menu « Exploitation > Imprimantes > Serveurs de services »

Zone « Identifiant » : renseigner l’identifiant d’un compte OAUTH2

Zone « Type Authentification » : Doit contenir la valeur « OAUTH2 »

Configuration du type de réception

Pour personnaliser un traitement de réception sur un compte de messagerie particulier :

Il suffit d’alimenter le paramètre 1 avec l’identifiant Diapason du compte et de ne pas renseigner de mot de passe ( ide1,ide2,…).

Annexes

Envoi de mails pour des comptes différents du compte de l’application

Pour permettre d’envoyer des mails depuis Diapason pour des comptes différents il faut au préalable donner les autorisations suffisantes et nécessaires au compte applicatif.

La gestion de ces autorisations est propre à chaque fournisseur de messagerie et à chaque organisation.

Dans le cas de Microsoft Exchange, il est possible de paramétrer l’emprunt d’identité pour votre compte applicatif:

emprunt d’identité : Configurer l’emprunt d'identité | Microsoft Docs

Durée de validité des tokens

En fonction de votre organisation, les différents tokens peuvent avoir des durées de vie limitées dans le temps.

Il sera alors nécessaire de relancer le processus d’initialisation pour réactiver la communication.

Ceci peut se produire :

Si un token a été révoqué manuellement par un administrateur

Si un token n’a pas été utilisé sur une période (par défaut 3 mois pour Azure AD)

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.

Contact Support Close