Saltar al contenido principal
De forma predeterminada, los usuarios que configuran la importación de documentos desde un servicio de correo electrónico utilizando una actividad Input en una Habilidad de proceso solo tienen acceso a la autenticación básica del servidor IMAP. Para habilitar la autenticación de los servicios de correo electrónico de Google y Microsoft mediante el protocolo OAuth 2.0, debe:
  1. Registrar aplicaciones en Google Cloud Platform y/o en el portal de Azure.
  2. Generar credenciales de cuenta para estas aplicaciones (Client ID y Client secret).
  3. Proporcionar las credenciales generadas a Consul.
Estos pasos se pueden realizar tanto antes como después de instalar Vantage.

Registro de la aplicación en Google

Para crear una aplicación, es necesario disponer de una cuenta de Google.

Creación de un proyecto en Google Cloud Platform

  1. Acceda a la página New Project de Google Cloud Platform.
  2. Especifique un nombre para su proyecto y haga clic en Create.
Página New Project de Google Cloud Platform que muestra el campo del nombre del proyecto
  1. Espere a recibir una notificación que indique que su proyecto se ha creado.
Notificación de Google Cloud Platform que muestra la confirmación de creación del proyecto

Configuración de la aplicación

  1. Vaya a Google Cloud Console y seleccione el proyecto correspondiente.
Menú desplegable del selector de proyectos de Google Cloud Console
  1. En el menú de la parte izquierda de la pantalla, seleccione APIs & Services > OAuth consent screen.
Menú de Google Cloud Console que muestra APIs & Services con la opción OAuth consent screen
  1. Seleccione el tipo de usuario External y haga clic en Create.
  2. Especifique un nombre para su aplicación. En la lista desplegable User support email, seleccione su dirección de Gmail.
Formulario de información de la aplicación en la pantalla de consentimiento de OAuth con los campos app name y user support email
  1. Especifique el correo electrónico del desarrollador en la sección Developer contact information en la parte inferior de la página y haga clic en Save and continue.
Sección Developer contact information con el campo de correo electrónico
  1. Haga clic en Add or remove scopes. Esto abrirá el cuadro de diálogo Update selected scopes en el lado derecho.
  2. Copie y pegue el texto siguiente en el campo Manually add scopes en la parte inferior del cuadro de diálogo y haga clic en Add to table:
openid https://www.googleapis.com/auth2/userinfo.email https://www.googleapis.com/auth2/userinfo.profile https://mail.google.com/
También puede seleccionar manualmente los ámbitos. Deben seleccionarse los siguientes ámbitos:
  • openid
  • https://mail.google.com/
  • ../auth2/userinfo.email
  • ../auth2/userinfo.profile
  1. Haga clic en Update. Esto cerrará el cuadro de diálogo Update selected scopes y mostrará los ámbitos seleccionados.
Update selected scopes dialog showing the required OAuth scopes
  1. Haga clic en Save and continue en la parte inferior de la pantalla.
  2. Haga clic en Save and continue para omitir la configuración de la página Test users y navegar a la página Summary.
En la página Summary, verá información sobre la aplicación, las direcciones de correo electrónico y los permisos que se han definido.

Creación de credenciales de cuenta

  1. Seleccione Credentials en el menú del lado izquierdo de la pantalla.
  2. Haga clic en + Create credentials y seleccione OAuth client ID.
Menú desplegable Create credentials que muestra la opción OAuth client ID
  1. Seleccione Web application como tipo.
Formulario Create OAuth client ID con la lista desplegable Application type que muestra Web application
  1. En la sección Authorized redirect URIs, haga clic en + Add URI.
Sección Authorized redirect URIs con el botón Add URI
  1. En el campo que aparece, especifique el URI de redirección:
https://<Vantage host name>/connectors-tokens-callback.html
Campo Redirect URI con la url de callback de Vantage y botón CREATE
  1. Haga clic en Create.
El cuadro de diálogo emergente que aparecerá contendrá los valores de Client ID y Client secret. Cuadro de diálogo de cliente OAuth creado que muestra los valores de Client ID y Client secret Estos datos son necesarios para configurar el servicio tokenmanagement en Vantage. Puede guardarlos de inmediato o copiarlos más tarde yendo a APIs & Services > Credentials y seleccionando el identificador de cliente de OAuth 2.0 que creó.

Publicación y verificación

El estado de publicación de la aplicación se muestra en la sección APIs & Services > OAuth consent screen. Pantalla de consentimiento de OAuth que muestra el estado de publicación como Testing con el botón Publish App Las aplicaciones con estado Testing solo están disponibles para los usuarios que se hayan añadido a la lista de testers. Solo al publicar una aplicación, esta pasa a estar disponible para cualquier usuario con una cuenta de Google. Haga clic en Publish app. El scope https://mail.google.com/ permite que la aplicación acceda a datos confidenciales del usuario; por este motivo se mostrará un mensaje indicando que la aplicación debe verificarse. Para verificar la aplicación, deberá proporcionar:
  • Un enlace oficial a la política de privacidad de la aplicación
  • Un video de YouTube que muestre el propósito declarado de obtener datos de usuario de Google mediante la aplicación
  • Un texto dirigido a Google que contenga una descripción de por qué requiere acceso a datos confidenciales del usuario
  • Una lista completa de todos sus dominios verificados en Google Search Console
Haga clic en Confirm. El estado de su aplicación cambiará a In Production. También aparecerá el botón Prepare for verification, que le permitirá proporcionar todos los datos de verificación necesarios. Pantalla de consentimiento de OAuth que muestra el estado In Production con una advertencia de verificación y el botón Prepare for Verification
Antes de que su aplicación se verifique, solo 100 usuarios podrán utilizarla. El contador de usuarios se encuentra en la parte inferior de la sección OAuth consent screen y no se puede restablecer durante toda la vida útil del proyecto.
Límite de usuarios de OAuth que muestra 0 usuarios de un máximo de 100 usuarios

Registro de la aplicación en Microsoft Azure

Para crear una aplicación, se requiere un inquilino de Azure Active Directory con permisos para registrar y editar aplicaciones. Puede cambiar al directorio adecuado en la página Portal settings | Directories + subscriptions.

Registro de la aplicación

  1. Vaya a la página App registrations.
  2. Haga clic en New registration.
  3. Especifique un nombre para su aplicación y seleccione los tipos de cuenta admitidos.
Formulario de Azure para registrar una aplicación, que muestra el campo Name y las opciones Supported account types
Si se selecciona el tipo Multitenant para la aplicación, estará disponible para usuarios de cualquier inquilino de Azure AD. Dichas aplicaciones deben verificarse, lo cual solo está disponible para participantes de Microsoft Partner Network. Si no es participante, seleccione Single tenant, lo que hará que su aplicación solo esté disponible para usuarios de su propio inquilino de Azure AD.
  1. En la sección Redirect URI, seleccione la plataforma Web y especifique la URI de redirección:
https://<Vantage host name>/connectors-tokens-callback.html
Sección URI de redirección de Azure con la plataforma Web seleccionada
  1. Haga clic en Register.

Configuración de los permisos de la aplicación

  1. Vaya a la pestaña API permissions.
Barra lateral del portal de Azure con la opción de menú API permissions resaltada
  1. Haga clic en Add permission.
  2. En el cuadro de diálogo que se abra, seleccione la sección Microsoft Graph.
Cuadro de diálogo Request API permissions con la opción Microsoft Graph resaltada
  1. Seleccione Delegated permissions.
Cuadro de diálogo Microsoft Graph permissions con la opción Delegated permissions seleccionada
  1. Agregue los siguientes permisos:
    • email
    • IMAP.AccessAsUser.All
    • offline_access
    • openid
    • profile
  2. Haga clic en Add permissions. Esto cerrará el cuadro de diálogo y mostrará los permisos seleccionados.

Creación de secretos de cliente

  1. Acceda a la pestaña Authentication.
Azure portal sidebar showing Authentication menu option highlighted
  1. En la sección Implicit grant and hybrid flows, marque ID tokens (used for implicit and hybrid flows).
Implicit grant and hybrid flows section with ID tokens checkbox
  1. Haga clic en Save en la parte superior de la pantalla.
  2. Acceda a la pestaña Certificates & secrets y haga clic en New client secret.
Certificates & secrets tab showing New client secret button
  1. En el cuadro de diálogo que se abre, indique un nombre para el secreto de cliente y una fecha de caducidad.
El plazo máximo de validez es de 24 meses.
  1. Haga clic en Add. Esto cerrará el cuadro de diálogo y mostrará información sobre su nuevo secreto de cliente.
Es importante que copie y guarde el Value, ya que no podrá volver a acceder a él una vez que cierre la página. Este valor es obligatorio al configurar el servicio tokenmanagement en Vantage.
Client secrets list showing the secret Value column highlighted También necesitará un identificador de cliente, que puede copiar del campo Application (client) ID en la pestaña Overview. El icono de copia aparecerá cuando sitúe el cursor del ratón sobre el valor del identificador. Azure application Overview showing Application (client) ID field highlighted

Verifying the Application

Para que la aplicación esté disponible para usuarios de cualquier inquilino de Azure AD, es necesaria la verificación. La verificación no es necesaria si se usan cuentas de un único inquilino de Azure AD. Solo los participantes de Microsoft Partner Network pueden someterse a verificación.
  1. Vaya a la pestaña Branding & properties.
Azure portal sidebar showing Branding & properties menu option highlighted
  1. Compruebe que el dominio esté especificado en el campo Publisher domain. Si es necesario, configure su dominio haciendo clic en Configure a domain.
Azure Branding & properties page showing Publisher domain field with Update domain option
El icono de advertencia que se muestra junto al nombre de dominio significa que una aplicación con el dominio especificado no se puede verificar. Haga clic en Update domain para especificar un dominio válido diferente relacionado con el inquilino de Azure Active Directory. Como alternativa, verifique un dominio nuevo.
  1. En la sección Publisher verification, especifique su MPN ID y haga clic en Verify and save.
Si no tiene los permisos necesarios para agregar un MPN ID, compruebe que se cumplan todos los requisitos de verificación del publicador.
Una vez que la verificación se haya completado correctamente, se mostrará el icono correspondiente junto al campo Publisher display name.

Proporcionar credenciales a Consul

Si Vantage ya está instalado, debe usar Consul para introducir manualmente las credenciales de cuenta generadas para la autenticación del servicio de correo electrónico de Microsoft y/o Google. Las características específicas del protocolo OAuth 2.0 se enumeran en el servicio TokenManagement.
Antes de realizar la configuración, verifique que la herramienta de línea de comandos kubectl esté instalada y que esté conectado al clúster de Kubernetes.
  1. Obtenga acceso a la interfaz web de Consul ejecutando el siguiente comando:
kubectl port-forward -n abbyy-infrastructure service/consul-ui 8500:80
Luego, vaya a http://localhost:8500/ui/dc1/kv/secret/.
  1. En la pestaña Key/Value que se abrirá, seleccione el ámbito de implementación de Vantage adecuado. Luego seleccione el proyecto vantage.
Proyecto vantage en Consul que muestra la lista de servicios con tokenmanagement resaltado
  1. Seleccione el servicio tokenmanagement.
Servicio tokenmanagement en Consul que muestra la sección oAuthClientConfiguration
  1. Vaya a la sección oAuthClientConfiguration.
oAuthClientConfiguration en Consul que muestra las opciones de google y microsoft
  1. Seleccione el servicio para el cual desea especificar los datos de usuario (google o microsoft).
Sección oAuthClientConfiguration en Consul que muestra el servicio google con las claves clientId y clientSecret
  1. Seleccione la clave clientId.
  2. Copie y pegue el valor de Client ID que guardó anteriormente en el campo de entrada y haga clic en Save.
Editor del valor clientId en Consul con el botón Save
  1. Repita los pasos 6 y 7 para la clave clientSecret.
Si es necesario, repita los pasos del 5 al 8 para un servicio de correo electrónico diferente.
  1. Reinicie el servicio tokenmanagement ejecutando el siguiente comando:
kubectl -n abbyy-vantage rollout restart $(kubectl -n abbyy-vantage get deployments -l app.kubernetes.io/component=tokenmanagement -o name)

Actualizar el secreto de cliente

El valor del secreto de cliente se utiliza para la identificación del cliente en el lado del servidor y constituye información confidencial. Por motivos de seguridad, estos datos deben actualizarse periódicamente. Algunos servicios, como Azure Active Directory, limitan el período de validez de esta información. Una vez que se cree un nuevo secreto de cliente, también se debe actualizar el valor de la clave correspondiente en Consul.
Una vez que se actualice el secreto de cliente, los usuarios deberán volver a configurar desde cero las conexiones a su servicio de correo electrónico en la actividad Input de la Skill de documento. De lo contrario, Vantage no podrá conectarse al buzón ni importar correos electrónicos desde él.

Actualizar el Client Secret en Google

  1. Vaya a la consola de Google Cloud y seleccione el proyecto correspondiente.
  2. En el menú de la izquierda, seleccione APIs & Services > Credentials.
  3. En la sección OAuth 2.0 Client IDs, seleccione el identificador utilizado para autenticarse al conectarse al servidor IMAP.
  4. Haga clic en Reset secret.
Detalles del cliente OAuth de Google Cloud que muestran el botón Reset Secret
  1. Haga clic en Reset en el cuadro de diálogo emergente. Esto actualizará el valor del Client Secret y dejará sin efecto su valor anterior.
  2. Descargue el archivo JSON que contiene las credenciales. Como alternativa, copie el valor del Client Secret de la parte derecha de la pantalla.
Detalles del cliente OAuth de Google Cloud que muestran el botón Download JSON y el campo Client Secret

Actualizar el secreto de cliente en Microsoft Azure

  1. Vaya a la página App registrations y seleccione la aplicación utilizada para la autenticación mediante el servidor IMAP.
Azure App registrations page showing Owned applications list with Example App
  1. Vaya a la pestaña Certificates & secrets y haga clic en New client secret.
  2. En el cuadro de diálogo que se abrirá, especifique un nombre para el secreto de cliente y su fecha de expiración.
  3. Haga clic en Add. Esto cerrará el cuadro de diálogo y mostrará información sobre el nuevo secreto de cliente. Es importante que copie y guarde el Value, ya que no podrá acceder a él de nuevo una vez que cierre la página.
  4. Si el secreto de cliente actual aún no ha expirado, puede eliminarlo para que solo se pueda usar el nuevo secreto de cliente para identificar la aplicación cliente.

Actualizar el secreto de cliente en Consul

Siga los pasos descritos en Passing Credentials to Consul, salvo los pasos 6 y 7 (copiar el valor de clientId).