Utilisation de l'authentification moderne (OAuth2) comme méthode d'authentification des e-mails avec O365

L'authentification moderne décrite dans ce document est prise en charge dans la version ESM 2021.1 et les versions plus récentes .

Pour configurer l'authentification moderne (OAuth2) au lieu de l'authentification de base pour les protocoles SMTP et IMAP dans ESM, nous devons effectuer trois étapes :

1. ESM doit être enregistré en tant qu’application approuvée dans Azure Active Directory via le portail Microsoft Azure .
2. L'application enregistrée doit avoir accès au compte de boîte aux lettres O365 utilisé pour Efecte.
3. Les paramètres de la plateforme ESM doivent être mis à jour pour être synchronisés avec les paramètres Microsoft Azure .

Il est recommandé d'effectuer les étapes 1 et 2 en utilisant le même compte Office 365 que celui utilisé pour la lecture des e-mails vers ESM. Si ce n'est pas possible, l'application doit définir un propriétaire dans Azure AD .

Enregistrement d'ESM en tant qu'application dans Microsoft Azure

Prérequis

• Un compte Microsoft Azure avec un abonnement actif (le compte de messagerie O365 à utiliser avec ESM).
• Un locataire Azure disponible sous lequel vous enregistrerez votre application.

Enregistrer une demande

L'enregistrement d'une application établit la relation de confiance entre l'ESM et la plateforme d'identité Microsoft. La confiance avec l'application enregistrée est unidirectionnelle : c'est l'application (ESM) qui fait confiance à la plateforme d'identité Microsoft, et non l'inverse. La confiance repose sur l'identifiant créé lors de l'enregistrement.

Suivez ces étapes pour créer l’enregistrement de l’application :

• Connectez-vous au portail Microsoft Entra ( https://entra.microsoft.com ) ou au portail Azure ( https://portal.azure.com/ ).
• Si vous avez accès à plusieurs locataires, utilisez le filtre Annuaire + abonnement dans le menu supérieur pour sélectionner le locataire dans lequel vous souhaitez enregistrer une application.
• Recherchez et sélectionnez Microsoft Entra ID (anciennement Azure Active Directory ).
• Sous Gérer , sélectionnez Enregistrements d’applications > Nouvelle inscription .
• Saisissez un nom pour votre application. Les utilisateurs pourront voir ce nom et vous pourrez le modifier ultérieurement.
• Spécifiez qui peut utiliser l'application, parfois appelé « audience de connexion ». Pour ESM, sélectionnez l'option « Comptes de cet annuaire organisationnel uniquement » .
• N'entrez rien pour l'URI de redirection (facultatif) .
• Sélectionnez S’inscrire pour terminer l’enregistrement initial de l’application.

Une fois l'enregistrement terminé, le portail Azure affiche le volet « Vue d'ensemble » de l'enregistrement de l'application, qui inclut son ID d'application (client). Également appelé simplement ID client, cette valeur identifie de manière unique votre application dans la plateforme d'identités Microsoft.

Ajouter des autorisations pour accéder à la boîte aux lettres O365

Afin d’envoyer et de recevoir des e-mails à partir de la boîte aux lettres O365 avec OAuth, nous devons définir les étendues d’autorisations API pour l’application ESM que nous avons précédemment enregistrée dans Azure Active Directory .

Autorisation déléguée à Microsoft Graph

Configurez l’autorisation déléguée à Microsoft Graph pour permettre à ESM d’effectuer des opérations au nom des propriétaires de l’application, par exemple la lecture ou l’envoi de leurs e-mails.

• Connectez-vous au portail Microsoft Entra ( https://entra.microsoft.com ) ou au portail Azure ( https://portal.azure.com/ ).
• Si vous avez accès à plusieurs locataires, utilisez le filtre Annuaire + abonnement dans le menu supérieur pour sélectionner le locataire contenant votre application ESM précédemment enregistrée.
• Sélectionnez Azure Active Directory > Inscriptions d’applications , puis sélectionnez votre application cliente (si elle n’apparaît pas dans la liste, vérifiez que la page affiche Toutes les applications ).
• Sélectionnez Autorisations API > Ajouter une autorisation > Microsoft Graph .
• Sélectionnez « Autorisations déléguées » . Microsoft Graph propose de nombreuses autorisations, les plus fréquemment utilisées étant affichées en haut de la liste.
• Sous Sélectionner les autorisations , sélectionnez les autorisations suivantes :
  • IMAP.AccessAsUser.All - Accès en lecture et en écriture aux boîtes aux lettres via IMAP.
  • SMTP.Send - Envoyez des e-mails à partir de boîtes aux lettres à l'aide de SMTP AUTH.
  • openid - Connecter les utilisateurs.
  • User.Read - Connectez-vous et lisez le profil utilisateur.
  • offline_access - Maintenir l'accès aux données auxquelles vous lui avez donné accès.
• Sélectionnez Ajouter des autorisations pour terminer le processus.

En tant qu'administrateur, vous devez également accorder le consentement de tous les utilisateurs administrateurs ESM, afin qu'ils ne soient pas invités à le faire lorsqu'ils se connectent à la boîte aux lettres. Le consentement de l'administrateur est abordé dans le sous-chapitre suivant. Si vous définissez le consentement de l'administrateur au préalable, les utilisateurs qui se connectent aux boîtes aux lettres ne seront pas invités à le demander séparément.

Les administrateurs ESM doivent se connecter chaque semaine aux comptes de messagerie lus dans ESM pour vérifier si le dossier spam contient des e-mails clients réels et les déplacer vers le dossier à partir duquel les e-mails sont récupérés vers ESM (généralement le dossier de la boîte de réception).
Les administrateurs doivent également vérifier si les e-mails ne sont pas correctement récupérés dans ESM. Si la boîte de réception contient des e-mails volumineux qui ne peuvent être récupérés dans ESM, il est conseillé de les déplacer vers un autre dossier pour éviter les erreurs.

Bouton de consentement de l'administrateur

Le bouton « Accorder le consentement administrateur pour {votre locataire} » permet à un administrateur d'accorder son consentement aux autorisations configurées pour l'application. Lorsque vous cliquez sur ce bouton, une boîte de dialogue s'affiche vous demandant de confirmer le consentement.

Après avoir accordé le consentement, les autorisations qui nécessitaient le consentement de l'administrateur sont affichées comme ayant le consentement accordé :

Le bouton « Accorder le consentement administrateur » est désactivé si vous n'êtes pas administrateur ou si aucune autorisation n'a été configurée pour l'application. Si vous disposez d'autorisations accordées, mais pas encore configurées, le bouton « Accord administrateur » vous invite à les gérer. Vous pouvez les ajouter aux autorisations configurées ou les supprimer.

Paramètres d'authentification

Pour permettre au flux d'autorisation ROPC de fonctionner correctement pour l'application et pour qu'ESM s'authentifie et obtienne des jetons d'accès, nous devons activer le paramètre de type de client par défaut (comme indiqué dans la capture d'écran) dans Authentifier → Paramètres avancés .

Par défaut, le paramètre est défini sur Non (client confidentiel). Le mettre à jour sur Oui convertit le type de client par défaut en client public. Cette étape est très importante ; si elle n'est pas effectuée, vous obtiendrez l'erreur suivante :

- A AD STS7000218: The request body must contain the following parameter: client_assertion or client_secret when authenticating to Azure AD .

L'enregistrement et la configuration de l'application sont désormais terminés. Il ne reste plus qu'à ajouter les paramètres de plateforme suivants dans ESM pour utiliser la configuration ci-dessus.

Paramètres de la plateforme ESM

Pour configurer ESM afin d'utiliser le point de terminaison OAuth2 que nous venons de créer dans le portail Azure pour les e-mails, accédez à la vue administrateur ESM et accédez à Maintenance > Paramètres système > Modifier les paramètres de la plateforme . Utilisez le champ de filtre pour rechercher les paramètres de messagerie suivants un par un et définir les propriétés suivantes :

mail.store.oauth.enabled = true
mail.transport.oauth.enabled = true
mail.oauth.authorize.endpoint = https://login.microsoftonline.com/{tenantID}/oauth2/v2.0/authorize
mail.oauth.client.id = {clientId}
mail.oauth.scopes = https://outlook.office365.com/IMAP.AccessAsUser.All,https://outlook.office365.com/SMTP.Send

L'ID client et le point de terminaison d'autorisation sont disponibles sur la page d'accueil Azure Active Directory pour l'application que nous avons enregistrée pour ESM. Veuillez consulter ci-dessous comment les obtenir.

Veuillez noter que les tâches de messagerie utilisent les paramètres configurés dans leurs propriétés. Si les paramètres de connexion et d'authentification ont été définis dans les propriétés de la tâche (au lieu de les définir de manière centralisée dans les paramètres de la plateforme pour toutes les tâches de messagerie), veuillez définir les paramètres listés ci-dessus directement dans les propriétés de chaque tâche de messagerie.

Références

https://docs.microsoft.com/en-us/exchange/client-developer/legacy-protocols/how-to-authenticate-an-imap-pop-smtp-application-by-using-oauth
https://docs.microsoft.com/en-us/azure/active-directory/develop/quickstart-register-app
https://docs.microsoft.com/en-us/azure/active-directory/develop/msal-authentication-flows
https://blogs.aaddevsup.xyz/2020/09/quelles-sont-les-implications-en-matière-de-sécurité-du-changement-du-type-de-client-par-défaut-de-confidentiel-à-public-dans-Azure-AD/