Nykyaikaisen todennuksen (OAuth2) käyttö sähköpostin todennusmenetelmänä O365:n kanssa

Tässä asiakirjassa kuvattua modernia todennusta tuetaan ESM-versiossa 2021.1 ja uudemmissa versioissa .

Jotta voimme määrittää nykyaikaisen todennuksen (OAuth2) perus-todennuksen sijaan SMTP- ja IMAP-protokollille ESM:ssä, meidän on tehtävä kolme vaihetta:

1. ESM on rekisteröitävä hyväksytyksi sovellukseksi Azure Active Directory Microsoft Azure -portaalin kautta.
2. Rekisteröidylle sovellukselle on myönnettävä käyttöoikeus Efecten käyttämään O365-postilaatikkotiliin.
3. ESM-alustan asetukset on päivitettävä, jotta ne ovat synkronoituja Microsoft Azure -asetusten kanssa.

On suositeltavaa tehdä vaiheet 1–2 käyttämällä samaa O365-tiliä, jolta sähköpostit luetaan ESM:ään. Jos tämä ei ole mahdollista, sovellukselle on määritettävä omistaja Azure AD ssä.

ESM:n rekisteröinti sovelluksena Microsoft Azure

Edellytykset

• Microsoft Azure -tili, jolla on aktiivinen tilaus (ESM:n kanssa käytettävä O365-sähköpostitili).
• Saatavilla oleva Azure vuokraaja, jonka alle rekisteröit sovelluksesi.

Rekisteröi sovellus

Sovelluksen rekisteröinti luo luottamussuhteen ESM:n ja Microsoft Identity Platformin välille. Luottamussuhde rekisteröityyn sovellukseen on yksisuuntainen: sovellus (ESM) luottaa Microsoft Identity Platformiin, eikä toisinpäin. Luottamus perustuu rekisteröintiprosessissa luotuun tunnukseen.

Luo sovelluksen rekisteröinti seuraavasti:

• Kirjaudu sisään Microsoft Entra -portaaliin ( https://entra.microsoft.com ) tai Azure -portaaliin ( https://portal.azure.com/ ).
• Jos sinulla on käyttöoikeus useisiin vuokraajiin, valitse ylävalikon Hakemisto + tilaus -suodattimella vuokraaja, johon haluat rekisteröidä sovelluksen.
• Etsi ja valitse Microsoft Entra ID (aiemmin Azure Active Directory ).
• Valitse Hallinta- kohdasta Sovellusrekisteröinnit > Uusi rekisteröinti .
• Anna sovelluksellesi nimi . Sovelluksesi käyttäjät saattavat nähdä tämän nimen, ja voit muuttaa sitä myöhemmin.
• Määritä, ketkä voivat käyttää sovellusta. Tätä kutsutaan joskus kirjautumisyleisöksi. ESM:lle valitse Vain tämän organisaatiohakemiston tilit -vaihtoehto.
• Älä anna mitään kohtaan Redirect URI (valinnainen) .
• Valitse Rekisteröi, jos haluat suorittaa sovelluksen alkurekisteröinnin loppuun.

Kun rekisteröinti on valmis, Azure -portaali näyttää sovelluksen rekisteröinnin yleiskatsausruudun, joka sisältää sen sovellus- (asiakas-) tunnuksen. Tätä arvoa kutsutaan myös vain asiakastunnukseksi, ja se yksilöi sovelluksesi Microsoft Identity Platformissa.

Lisää käyttöoikeudet O365-postilaatikon käyttämiseen

Jotta voimme lähettää ja vastaanottaa sähköposteja O365-postilaatikosta OAuth-todennuksella, meidän on määriteltävä API käyttöoikeuksien laajuudet aiemmin Azure Active Directory rekisteröimälle ESM-sovellukselle.

Delegoitu käyttöoikeus Microsoft Graphille

Määritä delegoitu käyttöoikeus Microsoft Graphille, jotta ESM voi suorittaa toimintoja sovelluksen omistajien puolesta, esimerkiksi lukea tai lähettää heidän sähköpostejaan.

• Kirjaudu sisään Microsoft Entra -portaaliin ( https://entra.microsoft.com ) tai Azure -portaaliin ( https://portal.azure.com/ ).
• Jos sinulla on käyttöoikeus useisiin vuokraajiin, valitse ylävalikon Hakemisto + tilaus -suodattimella vuokraaja, joka sisältää aiemmin rekisteröidyn ESM-sovelluksesi.
• Valitse Azure Active Directory > Sovellusrekisteröinnit ja valitse sitten asiakassovelluksesi (jos sitä ei näy luettelossa, tarkista, että sivulla näkyy Kaikki sovellukset ).
• Valitse API käyttöoikeudet > Lisää käyttöoikeus > Microsoft Graph .
• Valitse Delegoidut käyttöoikeudet . Microsoft Graphissa on useita käyttöoikeuksia, joista yleisimmin käytetyt näkyvät luettelon yläosassa.
• Valitse Valitse käyttöoikeudet -kohdasta seuraavat käyttöoikeudet:
  • IMAP.AccessAsUser.All - Luku- ja kirjoitusoikeudet postilaatikoihin IMAPin kautta.
  • SMTP.Send - Lähetä sähköposteja postilaatikoista käyttämällä SMTP-todennusta.
  • openid - Kirjaa käyttäjät sisään.
  • Käyttäjä.Lue - Kirjaudu sisään ja lue käyttäjäprofiili.
  • offline_access - Säilytä pääsy tietoihin, joihin olet antanut sille pääsyn.
• Suorita prosessi loppuun valitsemalla Lisää käyttöoikeudet .

Järjestelmänvalvojana sinun tulee myös myöntää suostumus kaikkien ESM Admin -käyttäjien puolesta, jotta heitä ei pyydetä tekemään sitä, kun he kirjautuvat postilaatikkoon. Järjestelmänvalvojan suostumusta käsitellään seuraavassa alaluvussa. Jos määrität järjestelmänvalvojan suostumuksen etukäteen, postilaatikoihin kirjautuvilta käyttäjiltä ei pyydetä erikseen järjestelmänvalvojan suostumusta.

ESM-ylläpitäjien tulisi kirjautua viikoittain ESM:ään luettaville sähköpostitileille tarkistaakseen, sisältääkö roskapostikansio oikeita asiakassähköposteja, ja siirtääkseen ne kansioon, josta sähköpostit noudetaan ESM:ään (yleensä Saapuneet-kansio).
Ylläpitäjien tulisi myös tarkistaa, onko sähköposteja noudettu ESM:ään onnistuneesti. Jos postilaatikossa on suuria sähköposteja, joita ei voida noutaa ESM:ään, ne tulisi siirtää toiseen kansioon virheiden välttämiseksi.

Järjestelmänvalvojan suostumuspainike

Myönnä järjestelmänvalvojan suostumus sovellukselle {your tenant} -painikkeen avulla järjestelmänvalvoja voi myöntää järjestelmänvalvojan suostumuksen sovellukselle määritettyihin käyttöoikeuksiin. Kun valitset painikkeen, näkyviin tulee valintaikkuna, jossa sinua pyydetään vahvistamaan suostumus.

Suostumuksen antamisen jälkeen järjestelmänvalvojan suostumusta vaatineet käyttöoikeudet näytetään myönnettyinä:

Myönnä järjestelmänvalvojan suostumus -painike ei ole käytettävissä, jos et ole järjestelmänvalvoja tai jos sovellukselle ei ole määritetty käyttöoikeuksia. Jos sinulla on myönnettyjä, mutta ei vielä määritettyjä käyttöoikeuksia, järjestelmänvalvojan suostumus -painike kehottaa sinua käsittelemään näitä käyttöoikeuksia. Voit lisätä ne määritettyihin käyttöoikeuksiin tai poistaa ne.

Todennusasetukset

Jotta ROPC-valtuutusprosessi toimisi oikein sovelluksessa ja ESM voisi todentaa ja saada käyttöoikeustunnukset, meidän on otettava käyttöön Oletusasiakastyyppi- asetus (kuten kuvakaappauksessa näkyy) kohdassa Todennus → Lisäasetukset .

Oletusarvoisesti asetus on Ei (luottamuksellinen asiakasohjelma). Päivittämällä asetukseksi Kyllä muunnetaan oletusarvoinen asiakasohjelmatyyppi julkiseksi asiakasohjelmaksi. Tämä on erittäin tärkeä vaihe. Jos et tee sitä, näet seuraavan virheen:

- A AD STS7000218: The request body must contain the following parameter: client_assertion or client_secret when authenticating to Azure AD .

Sovelluksen rekisteröinti ja käyttöönotto on nyt suoritettu. Tämän jälkeen meidän tarvitsee vain lisätä seuraavat alustan asetukset ESM:ään käyttääksemme yllä olevia asetuksia.

ESM-alustan asetukset

Jos haluat määrittää ESM:n käyttämään juuri Azure -portaalissa luomaamme OAuth2-päätepistettä sähköposteja varten, siirry ESM:n hallintanäkymään ja valitse Ylläpito > Järjestelmäasetukset > Muokkaa alustan asetuksia . Käytä suodatinkenttää etsiäksesi seuraavat sähköpostiasetukset yksi kerrallaan ja määritä seuraavat ominaisuudet:

mail.store.oauth.enabled = true
mail.transport.oauth.enabled = true
mail.oauth.authorize.endpoint = https://login.microsoftonline.com/{tenantID}/oauth2/v2.0/authorize
mail.oauth.client.id = {clientId}
mail.oauth.scopes = https://outlook.office365.com/IMAP.AccessAsUser.All,https://outlook.office365.com/SMTP.Send

ClientId ja authorize-päätepiste löytyvät Azure Active Directory etusivulta sovellukselle, jonka rekisteröimme ESM:ään. Katso alta, miten ne saadaan.

Huomaa, että sähköpostitehtävät käyttävät niiden ominaisuuksissa määritettyjä asetuksia. Jos yhteys- ja todennusasetukset on määritetty sähköpostitehtävien ominaisuuksissa (sen sijaan, että ne määritettäisiin keskitetysti alustan asetuksissa kaikille sähköpostitehtäville), aseta yllä luetellut asetukset suoraan sähköpostitehtävien ominaisuuksiin kullekin sähköpostitehtävälle.

Viitteet

https://docs.microsoft.com/en-us/exchange/client-developer/legacy-protocols/how-to-authenticate-an-imap-pop-smtp-application-by-using-oauth
https://docs.microsoft.com/en-us/azure/active-directory/develop/quickstart-register-app
https://docs.microsoft.com/en-us/azure/active-directory/develop/msal-authentication-flows
https://blogs.aaddevsup.xyz/2020/09/whats-the-security-implication-of-changing-the-default-client-type-from-confidential-to-public-in-azure-ad/