Zum Hauptinhalt springen
Standardmäßig steht Benutzern, die den Dokumentimport aus einem E-Mail-Dienst mithilfe einer Input-Aktivität in einem Process-Skill einrichten, nur die grundlegende IMAP-Serverauthentifizierung zur Verfügung. Um die Authentifizierung von Google- und Microsoft-E-Mail-Diensten über das OAuth-2.0-Protokoll zu aktivieren, müssen Sie:
  1. Anwendungen auf der Google Cloud Platform und/oder im Azure-Portal registrieren.
  2. Anmeldeinformationen für diese Anwendungen generieren (Client-ID und Client-Secret).
  3. Die generierten Anmeldeinformationen an Consul übergeben.
Diese Schritte können sowohl vor als auch nach der Installation von Vantage ausgeführt werden.

Registrierung der Anwendung in Google

Zum Erstellen einer Anwendung ist ein Google-Konto erforderlich.

Erstellen eines Projekts in der Google Cloud Platform

  1. Navigieren Sie zur Seite „Neues Projekt“ in der Google Cloud Platform.
  2. Geben Sie einen Namen für Ihr Projekt ein und klicken Sie auf Create.
Seite „Neues Projekt“ der Google Cloud Platform mit Projektname-Feld
  1. Warten Sie auf eine Benachrichtigung, dass Ihr Projekt erstellt wurde.
Benachrichtigung der Google Cloud Platform mit Bestätigung der Projekterstellung

Einrichten der Anwendung

  1. Navigieren Sie zur Google Cloud Console und wählen Sie das entsprechende Projekt aus.
Dropdown zur Projektauswahl in der Google Cloud Console
  1. Wählen Sie im Menü auf der linken Seite des Bildschirms APIs & Services > OAuth consent screen aus.
Menü der Google Cloud Console mit APIs & Services und der Option OAuth consent screen
  1. Wählen Sie den Benutzertyp External und klicken Sie auf Create.
  2. Geben Sie einen Namen für Ihre Anwendung an. Wählen Sie im Dropdown-Listenfeld User support email Ihre Gmail-Adresse aus.
Formular App information auf dem OAuth consent screen mit Feldern für App-Name und User support email
  1. Geben Sie die E-Mail-Adresse des Entwicklers im Abschnitt Developer contact information unten auf der Seite an und klicken Sie auf Save and continue.
Abschnitt Developer contact information mit E-Mail-Feld
  1. Klicken Sie auf Add or remove scopes. Daraufhin wird rechts das Dialogfeld Update selected scopes geöffnet.
  2. Kopieren Sie den folgenden Text in das Feld Manually add scopes im unteren Teil des Dialogfelds und klicken Sie auf Add to table:
openid https://www.googleapis.com/auth2/userinfo.email https://www.googleapis.com/auth2/userinfo.profile https://mail.google.com/
Sie können die Scopes auch manuell auswählen. Die folgenden Scopes müssen ausgewählt werden:
  • openid
  • https://mail.google.com/
  • ../auth2/userinfo.email
  • ../auth2/userinfo.profile
  1. Klicken Sie auf Update. Daraufhin wird der Dialog Update selected scopes geschlossen, und die ausgewählten Scopes werden angezeigt.
Update selected scopes dialog showing the required OAuth scopes
  1. Klicken Sie unten auf der Seite auf Save and continue.
  2. Klicken Sie auf Save and continue, um die Einstellungen auf der Seite Test users zu überspringen und zur Seite Summary zu navigieren.
Auf der Seite Summary sehen Sie Informationen zur Anwendung, zu E-Mail-Adressen und zu den eingerichteten Berechtigungen.

Erstellen von Zugangsdaten

  1. Wählen Sie Credentials im Menü auf der linken Seite des Bildschirms.
  2. Klicken Sie auf + Create credentials und wählen Sie OAuth client ID.
Dropdown-Menü „Create credentials“ mit der Option „OAuth client ID“
  1. Wählen Sie als Typ Web application.
Formular „Create OAuth client ID“ mit Dropdown „Application type“, in dem „Web application“ angezeigt wird
  1. Klicken Sie im Abschnitt Authorized redirect URIs auf + Add URI.
Abschnitt „Authorized redirect URIs“ mit Schaltfläche „Add URI“
  1. Geben Sie in dem Feld, das angezeigt wird, die Redirect-URI an:
https://<Vantage-Hostname>/connectors-tokens-callback.html
Feld Redirect URI mit Vantage Callback-URL und Schaltfläche CREATE
  1. Klicken Sie auf Create.
Das angezeigte Dialogfeld enthält die Werte Client ID und Client secret. Dialog OAuth-Client erstellt mit den Werten für Client ID und Client secret Diese Daten werden für die Einrichtung des Tokenmanagementdienstes in Vantage benötigt. Sie können sie sofort speichern oder später kopieren, indem Sie zu APIs & Services > Credentials navigieren und die von Ihnen erstellte OAuth 2.0-Client-ID auswählen.

Veröffentlichung und Verifizierung

Der Veröffentlichungsstatus der Anwendung wird im Abschnitt APIs & Services > OAuth consent screen angezeigt. OAuth-Zustimmungsbildschirm, der den Veröffentlichungsstatus als Testing mit der Schaltfläche Publish App anzeigt Anwendungen mit dem Status Testing stehen nur den Benutzern zur Verfügung, die zur Testerliste hinzugefügt wurden. Erst durch die Veröffentlichung einer Anwendung wird sie für alle Benutzer mit einem Google-Konto verfügbar. Klicken Sie auf Publish app. Der Scope https://mail.google.com/ ermöglicht der Anwendung den Zugriff auf vertrauliche Benutzerdaten, weshalb eine Meldung angezeigt wird, dass die Anwendung verifiziert werden muss. Um die Anwendung zu verifizieren, müssen Sie Folgendes bereitstellen:
  • Einen offiziellen Link zur Datenschutzrichtlinie der Anwendung
  • Ein YouTube-Video, das den angegebenen Zweck der Nutzung von Google-Benutzerdaten durch die Anwendung demonstriert
  • Ein an Google gerichtetes Schreiben, das beschreibt, warum Sie Zugriff auf vertrauliche Benutzerdaten benötigen
  • Eine vollständige Liste aller Ihrer Domains, die in der Google Search Console verifiziert wurden
Klicken Sie auf Confirm. Der Status Ihrer Anwendung ändert sich zu In Production. Die Schaltfläche Prepare for verification wird ebenfalls angezeigt, über die Sie alle erforderlichen Verifizierungsdaten bereitstellen können. OAuth-Zustimmungsbildschirm, der den Status In Production mit Verifizierungswarnung und der Schaltfläche Prepare for Verification anzeigt
Bevor Ihre Anwendung verifiziert ist, kann sie nur von 100 Benutzern verwendet werden. Der Benutzerzähler befindet sich im unteren Teil des Abschnitts OAuth consent screen und kann während der gesamten Projektlaufzeit nicht zurückgesetzt werden.
OAuth-Nutzerbegrenzung, die 0 Benutzer von 100 möglichen Benutzern anzeigt

Registrieren der Anwendung in Microsoft Azure

Um eine Anwendung zu erstellen, ist ein Azure Active Directory-Mandant mit Berechtigungen zum Registrieren und Bearbeiten von Anwendungen erforderlich. Sie können im Azure-Portal auf der Seite Portal settings | Directories + subscriptions zum richtigen Verzeichnis wechseln.

Registrieren der Anwendung

  1. Navigieren Sie zur Seite App registrations.
  2. Klicken Sie auf New registration.
  3. Geben Sie einen Namen für Ihre Anwendung ein und wählen Sie die unterstützten Kontotypen aus.
Azure-Formular „Register an application“ mit Namensfeld und Optionen für Supported account types
Wenn für die Anwendung der Typ Multitenant ausgewählt wird, steht sie Benutzern in jedem Azure AD-Mandanten zur Verfügung. Solche Anwendungen müssen verifiziert werden; dies ist jedoch nur für Teilnehmer des Microsoft Partner Network verfügbar. Wenn Sie kein Teilnehmer sind, wählen Sie Single tenant, wodurch Ihre App nur Benutzern in Ihrem eigenen Azure AD-Mandanten zur Verfügung steht.
  1. Wählen Sie im Abschnitt Redirect URI die Plattform Web aus und geben Sie die Redirect-URI ein:
https://<Vantage-Hostname>/connectors-tokens-callback.html
Abschnitt „Azure Redirect URI“ mit ausgewählter Plattform Web
  1. Klicken Sie auf Register.

Einrichten von Anwendungsberechtigungen

  1. Navigieren Sie zum Tab API permissions.
Azure-Portal-Seitenleiste mit hervorgehobener Menüoption API permissions
  1. Klicken Sie auf Add permission.
  2. Wählen Sie im daraufhin geöffneten Dialog den Bereich Microsoft Graph aus.
Dialog Request API permissions mit hervorgehobener Option Microsoft Graph
  1. Wählen Sie Delegated permissions.
Dialog Microsoft Graph permissions mit ausgewählter Option Delegated permissions
  1. Fügen Sie die folgenden Berechtigungen hinzu:
    • email
    • IMAP.AccessAsUser.All
    • offline_access
    • openid
    • profile
  2. Klicken Sie auf Add permissions. Dadurch wird der Dialog geschlossen und die ausgewählten Berechtigungen werden angezeigt.

Erstellen von Clientgeheimnissen

  1. Navigieren Sie zur Registerkarte Authentication.
Azure portal sidebar showing Authentication menu option highlighted
  1. Aktivieren Sie im Abschnitt Implicit grant and hybrid flows die Option ID tokens (used for implicit and hybrid flows).
Implicit grant and hybrid flows section with ID tokens checkbox
  1. Klicken Sie oben auf der Seite auf Save.
  2. Navigieren Sie zur Registerkarte Certificates & secrets und klicken Sie auf New client secret.
Certificates & secrets tab showing New client secret button
  1. Geben Sie im sich öffnenden Dialogfeld einen Namen für das Clientgeheimnis und ein Ablaufdatum an.
Das maximale Ablaufdatum beträgt 24 Monate.
  1. Klicken Sie auf Add. Dadurch wird das Dialogfeld geschlossen, und Informationen zu Ihrem neuen Clientgeheimnis werden angezeigt.
Es ist wichtig, dass Sie den Value kopieren und speichern, da Sie nach dem Schließen der Seite keinen Zugriff mehr darauf haben. Dieser Wert wird benötigt, wenn Sie den Token-Management-Dienst in Vantage konfigurieren.
Client secrets list showing the secret Value column highlighted Sie benötigen außerdem einen Clientbezeichner, den Sie aus dem Feld Application (client) ID auf der Registerkarte Overview kopieren können. Das Kopiersymbol wird angezeigt, sobald Sie den Mauszeiger über den Wert fahren. Azure application Overview showing Application (client) ID field highlighted

Überprüfen der Anwendung

Damit die Anwendung für Benutzer aus jedem Azure AD-Mandanten verfügbar ist, ist eine Verifizierung erforderlich. Eine Verifizierung ist nicht erforderlich, wenn Konten aus einem einzelnen Azure AD-Mandanten verwendet werden. Nur Mitglieder des Microsoft Partner Network können eine Verifizierung durchlaufen.
  1. Wechseln Sie zur Registerkarte Branding & properties.
Azure-Portal-Seitenleiste mit hervorgehobener Menüoption Branding & properties
  1. Vergewissern Sie sich, dass die Domäne im Feld Publisher domain angegeben ist. Richten Sie bei Bedarf Ihre Domäne ein, indem Sie auf Configure a domain klicken.
Azure-Seite Branding & properties mit dem Feld Publisher domain und der Option Update domain
Das neben dem Domänennamen angezeigte Warnsymbol bedeutet, dass eine Anwendung mit der angegebenen Domäne nicht verifiziert werden kann. Klicken Sie auf Update domain, um eine andere gültige Domäne anzugeben, die dem Azure Active Directory-Mandanten zugeordnet ist. Alternativ können Sie eine neue Domäne verifizieren.
  1. Geben Sie im Abschnitt Publisher verification Ihre MPN-ID an und klicken Sie auf Verify and save.
Wenn Sie nicht über die erforderlichen Berechtigungen zum Hinzufügen einer MPN-ID verfügen, stellen Sie sicher, dass alle Anforderungen für die Publisher verification erfüllt sind.
Sobald Ihre Verifizierung erfolgreich war, wird das entsprechende Symbol neben dem Feld Publisher display name angezeigt.

Übergeben von Anmeldedaten an Consul

Wenn Vantage bereits installiert ist, müssen Sie Consul verwenden, um die für die Authentifizierung der Microsoft- und/oder Google-E-Mail-Dienste generierten Kontoanmeldedaten manuell einzugeben. Funktionen, die spezifisch für das OAuth-2.0-Protokoll sind, sind im TokenManagement-Dienst aufgeführt.
Bevor Sie mit der Einrichtung beginnen, überprüfen Sie, ob das Befehlszeilenprogramm kubectl installiert ist und ob Sie mit dem Kubernetes-Cluster verbunden sind.
  1. Verschaffen Sie sich Zugriff auf die Consul-Weboberfläche, indem Sie den folgenden Befehl ausführen:
kubectl port-forward -n abbyy-infrastructure service/consul-ui 8500:80
Navigieren Sie dann zu http://localhost:8500/ui/dc1/kv/secret/.
  1. Wählen Sie auf der Registerkarte Key/Value, die geöffnet wird, den passenden Vantage-Bereitstellungsbereich aus. Wählen Sie anschließend das Projekt vantage aus.
Consul-vantage-Projekt mit Dienstenliste, in der tokenmanagement hervorgehoben ist
  1. Wählen Sie den Dienst tokenmanagement aus.
Consul-tokenmanagement-Dienst mit oAuthClientConfiguration-Abschnitt
  1. Navigieren Sie zum Abschnitt oAuthClientConfiguration.
Consul-oAuthClientConfiguration mit google- und microsoft-Optionen
  1. Wählen Sie den Dienst aus, für den Sie die Benutzerdaten angeben möchten (google oder microsoft).
Consul-oAuthClientConfiguration-Abschnitt mit google-Dienst und clientId- und clientSecret-Schlüsseln
  1. Wählen Sie den Schlüssel clientId aus.
  2. Kopieren Sie den zuvor gespeicherten Wert für die Client-ID, fügen Sie ihn in das Eingabefeld ein und klicken Sie auf Save.
Consul-clientId-Werteditor mit Save-Schaltfläche
  1. Wiederholen Sie die Schritte 6 und 7 für den Schlüssel clientSecret.
Falls erforderlich, wiederholen Sie die Schritte 5 bis 8 für einen anderen E-Mail-Dienst.
  1. Starten Sie den Dienst tokenmanagement neu, indem Sie den folgenden Befehl ausführen:
kubectl -n abbyy-vantage rollout restart $(kubectl -n abbyy-vantage get deployments -l app.kubernetes.io/component=tokenmanagement -o name)

Client Secret aktualisieren

Der Wert des Client Secrets wird für die serverseitige Client-Identifizierung verwendet und ist vertrauliche Information. Aus Sicherheitsgründen sollten diese Daten regelmäßig aktualisiert werden. Einige Dienste wie Azure Active Directory begrenzen die Gültigkeitsdauer solcher Daten. Sobald ein neues Client Secret erstellt wurde, muss auch der Wert des entsprechenden Consul-Schlüssels aktualisiert werden.
Sobald das Client Secret aktualisiert wurde, müssen Benutzer die Verbindungen zu ihrem E-Mail-Dienst in der Input-Aktivität des Document-Skills neu konfigurieren. Andernfalls kann Vantage keine Verbindung zum Postfach herstellen und keine E-Mails daraus importieren.

Aktualisieren des Client Secrets in Google

  1. Navigieren Sie zur Google Cloud Console und wählen Sie das entsprechende Projekt aus.
  2. Wählen Sie im Menü auf der linken Seite APIs & Services > Credentials.
  3. Wählen Sie im Abschnitt OAuth 2.0 Client IDs die Kennung aus, die zur Authentifizierung bei der Verbindung mit dem IMAP-Server verwendet wird.
  4. Klicken Sie auf Reset secret.
Details des Google-Cloud-OAuth-Clients mit der Schaltfläche Reset Secret
  1. Klicken Sie im angezeigten Pop-up-Dialogfeld auf Reset. Dadurch wird der Wert des Client Secrets aktualisiert und der bisherige Wert widerrufen.
  2. Laden Sie die JSON-Datei mit den Anmeldedaten herunter. Alternativ können Sie den Wert des Client Secrets von der rechten Seite des Bildschirms kopieren.
Details des Google-Cloud-OAuth-Clients mit der Schaltfläche Download JSON und dem Feld Client secret

Aktualisieren des Clientgeheimnisses in Microsoft Azure

  1. Wechseln Sie zur Seite App registrations und wählen Sie die Anwendung aus, die für die Authentifizierung über den IMAP-Server verwendet wird.
Azure App registrations page showing Owned applications list with Example App
  1. Wechseln Sie zur Registerkarte Certificates & secrets und klicken Sie auf New client secret.
  2. Geben Sie im daraufhin geöffneten Dialogfeld einen Namen für das Clientgeheimnis und dessen Ablaufdatum an.
  3. Klicken Sie auf Add. Dadurch wird der Dialog geschlossen und Informationen über das neue Clientgeheimnis werden angezeigt. Es ist wichtig, dass Sie den Value kopieren und speichern, da Sie nach dem Schließen der Seite nicht mehr darauf zugreifen können.
  4. Wenn das aktuelle Clientgeheimnis noch nicht abgelaufen ist, können Sie es löschen, sodass nur das neue Clientgeheimnis zur Identifizierung des Clients verwendet werden kann.

Aktualisieren des Client-Secrets in Consul

Befolgen Sie die Schritte unter Übergeben von Anmeldedaten an Consul, überspringen Sie dabei jedoch die Schritte 6 und 7 (Kopieren des clientId-Werts).