Zum Hauptinhalt springen
Standardmäßig haben Benutzer, die den Dokumentimport aus einem E-Mail-Service mithilfe einer Input activity in einem Process-Skill einrichten, nur Zugriff auf die einfache IMAP-Serverauthentifizierung. Um die Authentifizierung für Google- und Microsoft-E-Mail-Services über das OAuth-2.0-Protokoll zu aktivieren, müssen Sie:
  1. Anwendungen in Google Cloud und/oder im Azure-Portal registrieren.
  2. Anmeldeinformationen für diese Anwendungen generieren (Client ID und Client secret).
  3. Die generierten Anmeldeinformationen in Consul hinterlegen.
Diese Schritte können sowohl vor als auch nach der Installation von Vantage durchgeführt werden.

Registrieren der Anwendung bei Google

Zum Erstellen einer Anwendung ist ein Google-Konto erforderlich.

Erstellen eines Projekts auf der Google Cloud Platform

  1. Rufen Sie die Seite „New Project“ der Google Cloud Platform auf.
  2. Geben Sie einen Namen für Ihr Projekt ein und klicken Sie auf Create.
Seite „New Project“ der Google Cloud Platform mit Feld für den Projektnamen
  1. Warten Sie auf die Benachrichtigung, dass Ihr Projekt erstellt wurde.
Benachrichtigung der Google Cloud Platform mit Bestätigung der Projekterstellung

Einrichten der Anwendung

  1. Navigieren Sie zur Google Cloud Console und wählen Sie das entsprechende Projekt aus.
Dropdown-Liste zur Projektauswahl in der Google Cloud Console
  1. Wählen Sie im Menü auf der linken Bildschirmseite APIs & Services > OAuth consent screen aus.
Menü der Google Cloud Console mit „APIs & Services“ und der Option „OAuth consent screen“
  1. Wählen Sie den Benutzertyp External aus und klicken Sie auf Create.
  2. Geben Sie einen Namen für Ihre Anwendung an. Wählen Sie im Dropdown-Feld User support email Ihre Gmail-Adresse aus.
Formular „App information“ im OAuth-Zustimmungsbildschirm mit den Feldern für App-Name und User support email
  1. Geben Sie im Abschnitt Developer contact information unten auf der Seite die E-Mail-Adresse des Developers an und klicken Sie auf Save and continue.
Abschnitt „Developer contact information“ mit E-Mail-Feld
  1. Klicken Sie auf Add or remove scopes. Dadurch wird rechts der Dialog Update selected scopes geöffnet.
  2. Kopieren Sie den folgenden Text, fügen Sie ihn unten im Dialog in das Feld Manually add scopes ein und klicken Sie auf Add to table:
Sie können die Scopes auch manuell auswählen. Die folgenden Scopes müssen ausgewählt werden:
  • openid
  • https://mail.google.com/
  • ../auth2/userinfo.email
  • ../auth2/userinfo.profile
  1. Klicken Sie auf Update. Dadurch wird das Dialogfeld Update selected scopes geschlossen und die ausgewählten Scopes werden angezeigt.
Dialogfeld „Update selected scopes“ mit den erforderlichen OAuth-Scopes
  1. Klicken Sie unten auf dem Bildschirm auf Save and continue.
  2. Klicken Sie auf Save and continue, um die Einstellungen auf der Seite Test users zu überspringen und zur Seite Zusammenfassung zu wechseln.
Auf der Seite Zusammenfassung sehen Sie Informationen zur Anwendung, zu E-Mail-Adressen und zu den eingerichteten Berechtigungen.

Erstellen von Kontoanmeldedaten

  1. Wählen Sie im Menü auf der linken Bildschirmseite Credentials aus.
  2. Klicken Sie auf + Create credentials und wählen Sie OAuth client ID aus.
Dropdown-Menü zum Erstellen von Anmeldedaten mit der Option OAuth client ID
  1. Wählen Sie den Typ Web application aus.
Formular zum Erstellen einer OAuth client ID mit dem Dropdown-Menü für den Anwendungstyp, in dem Web application angezeigt wird
  1. Wählen Sie im Abschnitt Authorized redirect URIs + Add URI aus.
Abschnitt Authorized redirect URIs mit der Schaltfläche Add URI
  1. Geben Sie im angezeigten Feld die Redirect-URI an:
Feld „Redirect URI“ mit Vantage-Callback-URL und Schaltfläche „CREATE“
  1. Klicken Sie auf Create.
Das daraufhin angezeigte Dialogfeld enthält die Werte für Client ID und Client secret. Dialogfeld für einen erstellten OAuth-Client mit den Werten für Client ID und Client secret Diese Daten sind für die Einrichtung des Tokenmanagementdiensts in Vantage erforderlich. Sie können sie sofort speichern oder später kopieren, indem Sie zu APIs & Services > Credentials wechseln und den von Ihnen erstellten OAuth 2.0-Client auswählen.

Veröffentlichung und Verifizierung

Der Veröffentlichungsstatus der Anwendung wird im Abschnitt APIs & Services > OAuth consent screen angezeigt. OAuth consent screen mit dem Veröffentlichungsstatus Testing und der Schaltfläche Publish app Anwendungen mit dem Status Testing sind nur für Benutzer verfügbar, die der Testerliste hinzugefügt wurden. Erst nach der Veröffentlichung ist eine Anwendung für jeden Benutzer mit einem Google-Konto verfügbar. Klicken Sie auf Publish app. Der Scope https://mail.google.com/ ermöglicht der Anwendung den Zugriff auf vertrauliche Benutzerdaten. Deshalb wird eine Meldung angezeigt, dass die Anwendung verifiziert werden muss. Um die Anwendung zu verifizieren, müssen Sie Folgendes angeben:
  • Einen offiziellen Link zur Datenschutzerklärung der Anwendung
  • Ein YouTube-Video, das den angegebenen Zweck der Verwendung der Anwendung für den Zugriff auf Google-Benutzerdaten demonstriert
  • Einen an Google gerichteten Text mit einer Beschreibung, warum Sie Zugriff auf vertrauliche Benutzerdaten benötigen
  • Eine vollständige Liste aller Ihrer in der Google Search Console verifizierten Domains
Klicken Sie auf Confirm. Der Status Ihrer Anwendung ändert sich in In Production. Außerdem wird die Schaltfläche Prepare for verification angezeigt, über die Sie alle für die Verifizierung erforderlichen Daten angeben können. OAuth consent screen mit dem Status In Production, einer Verifizierungswarnung und der Schaltfläche Prepare for Verification
Bevor Ihre Anwendung verifiziert ist, können sie nur 100 Benutzer verwenden. Der Benutzerzähler befindet sich im unteren Bereich des Abschnitts OAuth consent screen und kann während der gesamten Laufzeit des Projekts nicht zurückgesetzt werden.
OAuth-Benutzerlimit mit 0 von 100 Benutzern

Registrieren der Anwendung in Microsoft Azure

Zum Erstellen einer Anwendung ist ein Azure Active Directory-Mandant mit Berechtigungen für die Anwendungsregistrierung und Bearbeitung erforderlich. Sie können auf der Seite Portal settings | Directories + subscriptions zum richtigen Verzeichnis wechseln.

Registrieren der Anwendung

  1. Navigieren Sie zur Seite App registrations.
  2. Klicken Sie auf New registration.
  3. Geben Sie einen Namen für Ihre Anwendung ein und wählen Sie die unterstützten Kontotypen aus.
Azure-Formular zum Registrieren einer Anwendung mit dem Feld „Name“ und den Optionen „Supported account types“
Wenn für die Anwendung der Typ Multitenant ausgewählt ist, ist sie für Benutzer in jedem Azure AD-Mandanten verfügbar. Solche Anwendungen müssen verifiziert werden; dies steht jedoch nur Teilnehmern des Microsoft Partner Network zur Verfügung. Wenn Sie kein Teilnehmer sind, wählen Sie Single tenant aus. Damit ist Ihre App nur für Benutzer in Ihrem eigenen Azure AD-Mandanten verfügbar.
  1. Wählen Sie im Abschnitt Redirect URI die Plattform Web aus und geben Sie die Umleitungs-URI an:
Azure-Abschnitt „Redirect URI“ mit ausgewählter Webplattform
  1. Klicken Sie auf Register.

Einrichten von Anwendungsberechtigungen

  1. Navigieren Sie zum Tab API permissions.
Seitenleiste im Azure-Portal mit hervorgehobener Menüoption API permissions
  1. Klicken Sie auf Add permission.
  2. Wählen Sie im geöffneten Dialogfeld den Abschnitt Microsoft Graph aus.
Dialogfeld zum Anfordern von API-Berechtigungen mit hervorgehobener Option Microsoft Graph
  1. Wählen Sie Delegated permissions aus.
Microsoft-Graph-Berechtigungsdialogfeld mit ausgewählter Option Delegated permissions
  1. Fügen Sie die folgenden Berechtigungen hinzu:
    • email
    • IMAP.AccessAsUser.All
    • offline_access
    • openid
    • profile
  2. Klicken Sie auf Add permissions. Dadurch wird das Dialogfeld geschlossen und die ausgewählten Berechtigungen werden angezeigt.

Erstellen von Client Secrets

  1. Wechseln Sie zur Registerkarte Authentication.
Azure-Portal-Seitenleiste mit hervorgehobener Menüoption Authentication
  1. Aktivieren Sie im Abschnitt Implicit grant and hybrid flows die Option ID tokens (used for implicit and hybrid flows).
Abschnitt Implicit grant and hybrid flows mit Kontrollkästchen ID tokens
  1. Klicken Sie oben auf dem Bildschirm auf Save.
  2. Wechseln Sie zur Registerkarte Certificates & secrets und klicken Sie auf New client secret.
Registerkarte Certificates & secrets mit Schaltfläche New client secret
  1. Geben Sie im Dialogfeld, das sich öffnet, einen Namen für das Client Secret und ein Ablaufdatum an.
Das maximal mögliche Ablaufdatum beträgt 24 Monate.
  1. Klicken Sie auf Add. Dadurch wird das Dialogfeld geschlossen und die Informationen zu Ihrem neuen Client Secret angezeigt.
Es ist wichtig, dass Sie den Value kopieren und speichern, da Sie nach dem Schließen der Seite nicht mehr darauf zugreifen können. Dieser Wert wird bei der Konfiguration des Tokenmanagementdienstes in Vantage benötigt.
Liste der Client Secrets mit hervorgehobener Spalte Value des Secrets Außerdem benötigen Sie einen Client-Bezeichner. Diesen können Sie aus dem Feld Application (client) ID auf der Registerkarte Overview kopieren. Das Kopiersymbol erscheint, sobald Sie den Mauszeiger über den Wert des Bezeichners bewegen. Azure-Anwendungsübersicht mit hervorgehobenem Feld Application (client) ID

Überprüfen der Anwendung

Um die Anwendung Benutzern aus einem beliebigen Azure AD-Mandanten zur Verfügung zu stellen, ist eine Verifizierung erforderlich. Wenn Konten aus nur einem Azure AD-Mandanten verwendet werden, ist keine Verifizierung erforderlich. Nur Teilnehmer am Microsoft Partner Network können eine Verifizierung durchlaufen.
  1. Navigieren Sie zur Registerkarte Branding & properties.
Azure portal-Seitenleiste mit hervorgehobener Menüoption Branding & properties
  1. Vergewissern Sie sich, dass die Domäne im Feld Publisher domain angegeben ist. Konfigurieren Sie Ihre Domäne bei Bedarf, indem Sie auf Configure a domain klicken.
Azure Branding & properties-Seite mit Feld Publisher domain und Option Update domain
Das Warnsymbol neben dem Domänennamen bedeutet, dass eine Anwendung mit der angegebenen Domäne nicht verifiziert werden kann. Klicken Sie auf Update domain, um eine andere gültige Domäne anzugeben, die dem Azure Active Directory-Mandanten zugeordnet ist. Alternativ können Sie eine neue Domäne verifizieren.
  1. Geben Sie im Abschnitt Publisher verification Ihre MPN-ID an und klicken Sie auf Verify and save.
Wenn Sie nicht über die erforderlichen Berechtigungen verfügen, um eine MPN-ID hinzuzufügen, vergewissern Sie sich, dass alle Anforderungen für die Publisher-Verifizierung erfüllt sind.
Sobald die Verifizierung erfolgreich war, wird neben dem Feld Publisher display name das entsprechende Symbol angezeigt.

Zugangsdaten in Consul eingeben

Wenn Vantage bereits installiert ist, müssen Sie Consul verwenden, um die für die Authentifizierung des Microsoft- und/oder Google-E-Mail-Service generierten Kontozugangsdaten manuell einzugeben. Die spezifischen Funktionen des OAuth-2.0-Protokolls sind im Tokenmanagementdienst aufgeführt.
Vergewissern Sie sich vor der Einrichtung, dass das kubectl-Befehlszeilentool installiert ist und Sie mit dem Kubernetes-Cluster verbunden sind.
  1. Greifen Sie auf die Consul-Weboberfläche zu, indem Sie den folgenden Befehl ausführen:
Navigieren Sie dann zu http://localhost:8500/ui/dc1/kv/secret/.
  1. Wählen Sie auf der Registerkarte Key/Value, die sich öffnet, den entsprechenden Vantage-Bereitstellungsbereich aus. Wählen Sie dann das vantage-Project aus.
Consul-Vantage-Project mit einer Service-Liste, in der tokenmanagement hervorgehoben ist
  1. Wählen Sie den Tokenmanagementdienst aus.
Consul-Tokenmanagementdienst mit dem Abschnitt oAuthClientConfiguration
  1. Navigieren Sie zum Abschnitt oAuthClientConfiguration.
Consul-oAuthClientConfiguration mit den Optionen google und microsoft
  1. Wählen Sie den Service aus, für den Sie Benutzerdaten festlegen möchten (google oder microsoft).
Consul-oAuthClientConfiguration-Abschnitt mit dem google-Service und den Schlüsseln clientId und clientSecret
  1. Wählen Sie den Schlüssel clientId aus.
  2. Kopieren Sie den zuvor gespeicherten Client ID-Wert in das Eingabefeld und klicken Sie auf Save.
Consul-Editor für den clientId-Wert mit der Schaltfläche Save
  1. Wiederholen Sie die Schritte 6 und 7 für den Schlüssel clientSecret.
Falls erforderlich, wiederholen Sie die Schritte 5 bis 8 für einen anderen E-Mail-Dienst.
  1. Starten Sie den Tokenmanagementdienst neu, indem Sie den folgenden Befehl ausführen:

Client Secret aktualisieren

Der Wert des Client Secret wird für die serverseitige Client-Identifizierung verwendet und stellt eine vertrauliche Information dar. Aus Sicherheitsgründen sollte diese Angabe regelmäßig aktualisiert werden. Einige Dienste wie Azure Active Directory begrenzen die Gültigkeitsdauer solcher Daten. Sobald ein neuer Client Secret erstellt wurde, sollte auch der Wert des entsprechenden Consul-Schlüssels aktualisiert werden.
Sobald der Client Secret aktualisiert wurde, müssen Benutzer die Verbindungen zu ihrem E-Mail-Dienst in der Input activity des Document-Skills komplett neu einrichten. Andernfalls kann Vantage keine Verbindung zum Postfach herstellen und keine E-Mails daraus importieren.

Aktualisieren des Client Secret bei Google

  1. Navigieren Sie zur Google Cloud Console und wählen Sie das entsprechende Projekt aus.
  2. Wählen Sie im linken Menü APIs & Services > Credentials aus.
  3. Wählen Sie im Abschnitt OAuth 2.0 Client IDs den Bezeichner aus, der zur Authentifizierung bei der Verbindung mit dem IMAP-Server verwendet wird.
  4. Klicken Sie auf Reset secret.
Google Cloud OAuth-Clientdetails mit der Schaltfläche „Reset Secret“
  1. Klicken Sie im Pop-up-Dialogfeld auf Reset. Dadurch wird der Wert für Client secret aktualisiert und der bisherige Wert widerrufen.
  2. Laden Sie die JSON-Datei mit den Anmeldedaten herunter. Alternativ können Sie den Wert für Client secret auf der rechten Seite des Bildschirms kopieren.
Google Cloud OAuth-Clientdetails mit der Schaltfläche „Download JSON“ und dem Feld „Client secret“

Aktualisieren des Client Secrets in Microsoft Azure

  1. Wechseln Sie zur Seite App registrations und wählen Sie die Anwendung aus, die für die Authentifizierung über den IMAP-Server verwendet wird.
Azure App registrations page showing Owned applications list with Example App
  1. Wechseln Sie zur Registerkarte Certificates & secrets und klicken Sie auf New client secret.
  2. Geben Sie im Dialogfeld einen Namen für das Client Secret und sein Ablaufdatum an.
  3. Klicken Sie auf Add. Dadurch wird das Dialogfeld geschlossen und Informationen zum neuen Client Secret angezeigt. Es ist wichtig, dass Sie den Value kopieren und speichern, da Sie nach dem Schließen der Seite nicht mehr darauf zugreifen können.
  4. Wenn das aktuelle Client Secret noch nicht abgelaufen ist, können Sie es löschen, damit nur noch das neue Client Secret zur Identifizierung des Clients verwendet werden kann.

Client Secret in Consul aktualisieren

Befolgen Sie die in Anmeldeinformationen an Consul übergeben aufgeführten Schritte, lassen Sie dabei jedoch die Schritte 6 und 7 aus (Kopieren des Werts clientId).