Passer au contenu principal
Par défaut, les utilisateurs qui configurent l’importation de documents depuis un service de messagerie au moyen d’une activité Input dans une Compétence de processus n’ont accès qu’à l’authentification IMAP de base. Pour activer l’authentification des services de messagerie Google et Microsoft via le protocole OAuth 2.0, vous devez :
  1. Enregistrer des applications sur Google Cloud Platform et/ou sur le portail Azure.
  2. Générer des identifiants de compte pour ces applications (ID client et secret client).
  3. Transmettre les identifiants générés à Consul.
Ces étapes peuvent être effectuées avant ou après l’installation de Vantage.

Enregistrer l’application auprès de Google

Pour créer une application, vous devez disposer d’un compte Google.

Création d’un projet sur Google Cloud Platform

  1. Accédez à la page New Project de Google Cloud Platform.
  2. Saisissez un nom pour votre projet, puis cliquez sur Create.
Page New Project de Google Cloud Platform affichant le champ du nom du projet
  1. Patientez jusqu’à l’affichage d’une notification indiquant que votre projet a été créé.
Notification Google Cloud Platform confirmant la création du projet

Configuration de l’application

  1. Accédez à la console Google Cloud et sélectionnez le projet approprié.
Liste déroulante de sélection de projet dans la console Google Cloud
  1. Dans le menu à gauche de l’écran, sélectionnez APIs & Services > OAuth consent screen.
Menu de la console Google Cloud affichant APIs & Services avec l’option OAuth consent screen
  1. Sélectionnez le type d’utilisateur External et cliquez sur Create.
  2. Indiquez un nom pour votre application. Dans la liste déroulante User support email, sélectionnez votre adresse Gmail.
Formulaire d’informations de l’application sur l’écran de consentement OAuth avec les champs de nom d’application et d’e-mail de support utilisateur
  1. Indiquez l’adresse e-mail du développeur dans la section Developer contact information en bas de la page et cliquez sur Save and continue.
Section Developer contact information avec champ d’e-mail
  1. Cliquez sur Add or remove scopes. Cela ouvrira la boîte de dialogue Update selected scopes sur la droite.
  2. Copiez et collez le texte suivant dans le champ Manually add scopes dans la partie inférieure de la boîte de dialogue, puis cliquez sur Add to table :
openid https://www.googleapis.com/auth2/userinfo.email https://www.googleapis.com/auth2/userinfo.profile https://mail.google.com/
Vous pouvez également sélectionner les scopes manuellement. Les scopes suivants doivent être sélectionnés :
  • openid
  • https://mail.google.com/
  • ../auth2/userinfo.email
  • ../auth2/userinfo.profile
  1. Cliquez sur Update. Cette action ferme la boîte de dialogue Update selected scopes et affiche les scopes sélectionnés.
Boîte de dialogue Update selected scopes affichant les scopes OAuth requis
  1. Cliquez sur Save and continue en bas de l’écran.
  2. Cliquez sur Save and continue pour ignorer les paramètres de la page Test users et passer à la page Summary.
Sur la page Summary, vous verrez des informations sur l’application, les adresses e-mail et les autorisations qui ont été configurées.

Création des identifiants de compte

  1. Sélectionnez Credentials dans le menu situé à gauche de l’écran.
  2. Cliquez sur + Create credentials puis sélectionnez OAuth client ID.
Menu déroulant « Create credentials » affichant l’option « OAuth client ID »
  1. Sélectionnez le type Web application.
Formulaire « Create OAuth client ID » avec la liste déroulante « Application type » affichant « Web application »
  1. Dans la section Authorized redirect URIs, sélectionnez + Add URI.
Section « Authorized redirect URIs » avec le bouton « Add URI »
  1. Dans le champ qui apparaît, renseignez l’URI de redirection :
https://<nom d'hôte Vantage>/connectors-tokens-callback.html
champ Redirect URI avec l’URL de rappel Vantage et le bouton CREATE
  1. Cliquez sur Create.
La boîte de dialogue contextuelle qui s’affichera contiendra les valeurs Client ID et Client secret. boîte de dialogue OAuth client created affichant les valeurs Client ID et Client secret Ces données sont nécessaires pour configurer le service tokenmanagement dans Vantage. Vous pouvez les enregistrer immédiatement ou les copier ultérieurement en accédant à APIs & Services > Credentials, puis en sélectionnant l’identifiant client OAuth 2.0 que vous avez créé.

Publication et vérification

Le statut de publication de l’application s’affiche dans la section APIs & Services > OAuth consent screen. Écran de consentement OAuth affichant le statut de publication Testing avec le bouton Publish App Les applications dont le statut est Testing ne sont disponibles que pour les utilisateurs ajoutés à la liste des testeurs. Seule la publication d’une application la rend disponible pour tout utilisateur disposant d’un compte Google. Cliquez sur Publish app. Le scope https://mail.google.com/ permet à l’application d’accéder à des données utilisateur confidentielles, c’est pourquoi un message indiquant que l’application doit être vérifiée s’affichera. Pour vérifier l’application, vous devrez fournir :
  • Un lien officiel vers la politique de confidentialité de l’application
  • Une vidéo YouTube démontrant l’objectif déclaré de la collecte des données des utilisateurs Google à l’aide de l’application
  • Un texte adressé à Google contenant une description des raisons pour lesquelles vous avez besoin d’accéder à des données utilisateur confidentielles
  • Une liste complète de tous vos domaines vérifiés dans la Google Search Console
Cliquez sur Confirm. Le statut de votre application passe à In Production. Le bouton Prepare for verification apparaît également, ce qui vous permet de fournir toutes les données nécessaires à la vérification. Écran de consentement OAuth affichant le statut In Production avec un avertissement de vérification et le bouton Prepare for Verification
Avant que votre application ne soit vérifiée, seuls 100 utilisateurs pourront l’utiliser. Le compteur d’utilisateurs se trouve dans la partie inférieure de la section OAuth consent screen et ne peut pas être réinitialisé pendant toute la durée de vie du projet.
Limite d'utilisateurs OAuth affichant 0 utilisateur sur une limite de 100 utilisateurs

Enregistrement de l’application dans Microsoft Azure

Pour créer une application, un client Azure Active Directory avec les autorisations d’enregistrement et de modification d’applications est nécessaire. Vous pouvez basculer vers l’annuaire approprié sur la page Portal settings | Directories + subscriptions.

Enregistrement de l’application

  1. Accédez à la page App registrations.
  2. Cliquez sur New registration.
  3. Indiquez un nom pour votre application et sélectionnez les types de comptes pris en charge.
Formulaire Azure Register an application affichant le champ Name et les options Supported account types
Si le type Multitenant est sélectionné pour l’application, celle-ci sera disponible pour les utilisateurs de n’importe quel locataire Azure AD. De telles applications doivent être vérifiées, ce qui n’est possible que pour les participants au Microsoft Partner Network. Si vous n’en faites pas partie, sélectionnez Single tenant, ce qui rendra votre application disponible uniquement pour les utilisateurs de votre propre locataire Azure AD.
  1. Dans la section Redirect URI, sélectionnez la plateforme Web et indiquez l’URI de redirection :
https://<Vantage host name>/connectors-tokens-callback.html
Section URI de redirection d'Azure avec la plateforme Web sélectionnée
  1. Cliquez sur Register.

Configuration des autorisations de l’application

  1. Accédez à l’onglet API permissions.
Barre latérale du portail Azure avec l’option de menu API permissions mise en surbrillance
  1. Cliquez sur Add permission.
  2. Dans la boîte de dialogue qui s’ouvre, sélectionnez la section Microsoft Graph.
Boîte de dialogue Request API permissions avec l’option Microsoft Graph mise en surbrillance
  1. Sélectionnez Delegated permissions.
Boîte de dialogue Microsoft Graph permissions avec l’option Delegated permissions sélectionnée
  1. Ajoutez les autorisations suivantes :
    • email
    • IMAP.AccessAsUser.All
    • offline_access
    • openid
    • profile
  2. Cliquez sur Add permissions. La boîte de dialogue se ferme et les autorisations sélectionnées s’affichent.

Création de secrets client

  1. Accédez à l’onglet Authentication.
Barre latérale du portail Azure montrant l’option de menu Authentication en surbrillance
  1. Dans la section Implicit grant and hybrid flows, cochez ID tokens (used for implicit and hybrid flows).
Section Implicit grant and hybrid flows avec la case à cocher ID tokens
  1. Cliquez sur Save en haut de l’écran.
  2. Accédez à l’onglet Certificates & secrets et cliquez sur New client secret.
Onglet Certificates & secrets montrant le bouton New client secret
  1. Dans la boîte de dialogue qui s’ouvre, indiquez un nom pour le secret client et une date d’expiration.
La durée de validité maximale est de 24 mois.
  1. Cliquez sur Add. La boîte de dialogue se ferme et les informations sur votre nouveau secret client s’affichent.
Il est important de copier et de sauvegarder la Value, car vous ne pourrez plus y accéder une fois la page fermée. Cette valeur est requise pour la configuration du service tokenmanagement dans Vantage.
Liste des secrets client montrant la colonne de la valeur du secret (Value) en surbrillance Vous aurez également besoin d’un identifiant client, que vous pouvez copier à partir du champ Application (client) ID dans l’onglet Overview. L’icône de copie apparaît lorsque vous survolez la valeur de l’identifiant avec le curseur de la souris. Vue d’ensemble de l’application Azure montrant le champ Application (client) ID en surbrillance

Vérification de l’application

Pour rendre l’application accessible aux utilisateurs de n’importe quel client Azure AD, une vérification est requise. La vérification n’est pas nécessaire si des comptes provenant d’un seul client Azure AD sont utilisés. Seuls les membres du Microsoft Partner Network peuvent effectuer cette vérification.
  1. Accédez à l’onglet Branding & properties.
Barre latérale du portail Azure montrant l’option de menu Branding & properties en surbrillance
  1. Vérifiez que le domaine est renseigné dans le champ Publisher domain. Si nécessaire, configurez votre domaine en cliquant sur Configure a domain.
Page Azure Branding & properties affichant le champ Publisher domain avec l’option Update domain
L’icône d’avertissement affichée à côté du nom de domaine signifie qu’une application avec le domaine indiqué ne peut pas être vérifiée. Cliquez sur Update domain pour spécifier un autre domaine valide associé au client Azure Active Directory. Vous pouvez également vérifier un nouveau domaine.
  1. Dans la section Publisher verification, indiquez votre ID MPN et cliquez sur Verify and save.
Si vous ne disposez pas des autorisations nécessaires pour ajouter un ID MPN, vérifiez que toutes les exigences de vérification de l’éditeur sont respectées.
Une fois la vérification effectuée avec succès, l’icône appropriée s’affiche à côté du champ Publisher display name.

Fourniture des informations d’identification à Consul

Si Vantage est déjà installé, vous devez utiliser Consul pour saisir manuellement les informations d’identification de compte générées pour l’authentification du service de messagerie de Microsoft et/ou de Google. Les fonctionnalités spécifiques au protocole OAuth 2.0 sont répertoriées dans le service TokenManagement.
Avant de procéder à la configuration, vérifiez que l’outil en ligne de commande kubectl est installé et que vous êtes connecté au cluster Kubernetes.
  1. Accédez à l’interface Web de Consul en exécutant la commande suivante :
kubectl port-forward -n abbyy-infrastructure service/consul-ui 8500:80
Ensuite, accédez à http://localhost:8500/ui/dc1/kv/secret/.
  1. Dans l’onglet Key/Value qui s’ouvre, sélectionnez la portée de déploiement Vantage appropriée. Ensuite, sélectionnez le projet vantage.
Projet Consul vantage montrant une liste de services avec tokenmanagement mis en évidence
  1. Sélectionnez le service tokenmanagement.
Service Consul tokenmanagement montrant la section oAuthClientConfiguration
  1. Accédez à la section oAuthClientConfiguration.
oAuthClientConfiguration de Consul montrant les options google et microsoft
  1. Sélectionnez le service pour lequel vous souhaitez spécifier les données utilisateur (google ou microsoft).
Section oAuthClientConfiguration de Consul montrant le service google avec les clés clientId et clientSecret
  1. Sélectionnez la clé clientId.
  2. Copiez et collez la valeur du Client ID que vous avez enregistrée précédemment dans le champ de saisie, puis cliquez sur Save.
Éditeur de valeur Consul clientId avec le bouton Save
  1. Répétez les étapes 6 et 7 pour la clé clientSecret.
Si nécessaire, répétez les étapes 5 à 8 pour un autre service de messagerie.
  1. Redémarrez le service tokenmanagement en exécutant la commande suivante :
kubectl -n abbyy-vantage rollout restart $(kubectl -n abbyy-vantage get deployments -l app.kubernetes.io/component=tokenmanagement -o name)

Mise à jour du secret client

La valeur du secret client est utilisée pour l’identification du client côté serveur et constitue une information confidentielle. Pour des raisons de sécurité, ces données doivent être régulièrement mises à jour. Certains services, comme Azure Active Directory, limitent la période de validité de ces données. Une fois qu’un nouveau secret client a été créé, la valeur de la clé Consul correspondante doit également être mise à jour.
Une fois le secret client mis à jour, les utilisateurs devront reconfigurer les connexions à leur service de messagerie dans l’activité Input de la Compétence de document. Sinon, Vantage ne pourra pas se connecter à la boîte aux lettres ni y importer des e-mails.

Mise à jour du secret client dans Google

  1. Accédez à la Google Cloud Console et sélectionnez le projet approprié.
  2. Dans le menu de gauche, sélectionnez APIs & Services > Credentials.
  3. Dans la section OAuth 2.0 Client IDs, sélectionnez l’identifiant utilisé pour l’authentification lors de la connexion au serveur IMAP.
  4. Cliquez sur Reset secret.
Détails du client OAuth Google Cloud affichant le bouton Reset secret
  1. Cliquez sur Reset dans la boîte de dialogue contextuelle. La valeur du secret client sera alors mise à jour et l’ancienne valeur sera révoquée.
  2. Téléchargez le fichier JSON contenant les informations d’identification. Vous pouvez également copier la valeur du secret client à droite de l’écran.
Détails du client OAuth Google Cloud affichant le bouton Download JSON et le champ Client secret

Mise à jour du secret client dans Microsoft Azure

  1. Accédez à la page App registrations et sélectionnez l’application utilisée pour l’authentification avec le serveur IMAP.
Azure App registrations page showing Owned applications list with Example App
  1. Accédez à l’onglet Certificates & secrets et cliquez sur New client secret.
  2. Dans la boîte de dialogue qui s’ouvre, indiquez un nom pour le secret client et sa date d’expiration.
  3. Cliquez sur Add. La boîte de dialogue se ferme et les informations sur le nouveau secret client s’affichent. Il est important de copier et d’enregistrer la Value, car vous ne pourrez plus y accéder une fois que vous aurez fermé la page.
  4. Si le secret client actuel n’a pas encore expiré, vous pouvez le supprimer afin que seul le nouveau secret client puisse être utilisé pour identifier le client.

Mise à jour du secret client dans Consul

Suivez les étapes indiquées dans Transmission des informations d’identification à Consul, en ignorant les étapes 6 et 7 (copie de la valeur clientId).