Passer au contenu principal
Par défaut, les utilisateurs qui configurent l’importation de documents depuis un service de messagerie à l’aide d’une activité Input dans une Compétence de processus n’ont accès qu’à l’authentification de base du serveur IMAP. Pour activer l’authentification des services de messagerie Google et Microsoft via le protocole OAuth 2.0, vous devez :
  1. Enregistrer des applications sur Google Cloud Platform et/ou dans le portail Azure.
  2. Générer des identifiants de compte pour ces applications (Client ID et secret client).
  3. Renseigner les identifiants générés dans Consul.
Ces étapes peuvent être effectuées aussi bien avant qu’après l’installation de Vantage.

Enregistrer l’application auprès de Google

La création d’une application nécessite un compte Google.

Créer un projet sur Google Cloud Platform

  1. Accédez à la page New Project de Google Cloud Platform.
  2. Saisissez un nom pour votre projet, puis cliquez sur Create.
Page New Project de Google Cloud Platform affichant le champ de nom du projet
  1. Attendez la notification indiquant que votre projet a été créé.
Notification de Google Cloud Platform confirmant la création du projet

Configuration de l’application

  1. Accédez à la Google Cloud Console et sélectionnez le projet approprié.
Liste déroulante du sélecteur de projet de la Google Cloud Console
  1. Dans le menu situé à gauche de l’écran, sélectionnez APIs & Services > OAuth consent screen.
Menu de la Google Cloud Console affichant APIs & Services avec l’option OAuth consent screen
  1. Sélectionnez le type d’utilisateur External, puis cliquez sur Create.
  2. Indiquez un nom pour votre application. Dans le champ de liste déroulante User support email, sélectionnez votre adresse Gmail.
Formulaire App information de l’écran de consentement OAuth avec les champs du nom de l’application et de l’adresse e-mail de l’assistance utilisateur
  1. Indiquez l’adresse e-mail du développeur dans la section Developer contact information au bas de la page, puis cliquez sur Save and continue.
Section Developer contact information avec le champ d’adresse e-mail
  1. Cliquez sur Add or remove scopes. La boîte de dialogue Update selected scopes s’ouvre alors sur la droite.
  2. Copiez-collez le texte suivant dans le champ Manually add scopes au bas de la boîte de dialogue, puis cliquez sur Add to table :
Vous pouvez également sélectionner les scopes manuellement. Les scopes suivants doivent être sélectionnés :
  • openid
  • https://mail.google.com/
  • ../auth2/userinfo.email
  • ../auth2/userinfo.profile
  1. Cliquez sur Update. La boîte de dialogue Update selected scopes se ferme et les scopes sélectionnés s’affichent.
Boîte de dialogue Update selected scopes affichant les scopes OAuth requis
  1. Cliquez sur Save and continue en bas de l’écran.
  2. Cliquez sur Save and continue pour ignorer les paramètres de la page Test users et accéder à la page Résumé.
Sur la page Résumé, vous verrez des informations sur l’application, les adresses e-mail et les autorisations configurées.

Création des identifiants de compte

  1. Sélectionnez Identifiants dans le menu de gauche.
  2. Cliquez sur + Créer des identifiants, puis sélectionnez ID client OAuth.
Menu déroulant Créer des identifiants affichant l’option ID client OAuth
  1. Sélectionnez le type Application Web.
Formulaire de création d’un ID client OAuth avec la liste déroulante du type d’application affichant Application Web
  1. Dans la section URI de redirection autorisés, sélectionnez + Ajouter un URI.
Section URI de redirection autorisés avec le bouton Ajouter un URI
  1. Dans le champ qui s’affiche, indiquez l’URI de redirection :
Champ Redirect URI avec l’URL de rappel de Vantage et le bouton CREATE
  1. Cliquez sur Create.
La boîte de dialogue qui s’affiche contient les valeurs Client ID et secret client. Boîte de dialogue de création du client OAuth affichant les valeurs Client ID et secret client Ces données sont obligatoires pour configurer le tokenmanagement service dans Vantage. Vous pouvez les enregistrer immédiatement ou les copier plus tard en accédant à APIs & Services > Credentials et en sélectionnant l’identifiant du client OAuth 2.0 que vous avez créé.

Publication et vérification

Le statut de publication de l’application est affiché dans la section APIs & Services > OAuth consent screen. Écran de consentement OAuth affichant le statut de publication Testing avec le bouton Publish App Les applications ayant le statut Testing sont uniquement accessibles aux utilisateurs ajoutés à la liste des testeurs. La publication d’une application est la seule façon de la rendre accessible à tout utilisateur disposant d’un compte Google. Cliquez sur Publish app. Le scope https://mail.google.com/ autorise l’application à accéder à des données utilisateur confidentielles ; un message indiquant que l’application doit être vérifiée s’affichera donc. Pour vérifier l’application, vous devrez fournir :
  • Un lien officiel vers la politique de confidentialité de l’application
  • Une vidéo YouTube montrant l’objectif déclaré de la collecte des données utilisateur Google via l’application
  • Un texte adressé à Google expliquant pourquoi vous avez besoin d’accéder à des données utilisateur confidentielles
  • Une liste complète de tous vos domaines vérifiés dans Google Search Console
Cliquez sur Confirm. Le statut de votre application passera à In Production. Le bouton Prepare for verification apparaîtra également, afin que vous puissiez fournir toutes les données requises pour la vérification. Écran de consentement OAuth affichant le statut In Production avec un avertissement de vérification et le bouton Prepare for Verification
Tant que votre application n’est pas vérifiée, seuls 100 utilisateurs pourront l’utiliser. Le compteur d’utilisateurs se trouve dans la partie inférieure de la section OAuth consent screen et ne peut pas être réinitialisé pendant toute la durée de vie du projet.
Limite d’utilisateurs OAuth affichant 0 utilisateur sur une limite de 100 utilisateurs

Enregistrement de l’application dans Microsoft Azure

Pour créer une application, vous devez disposer d’un tenant Azure Active Directory avec les autorisations d’enregistrement d’application et de modification requises. Vous pouvez passer au répertoire approprié sur la page Portal settings | Directories + subscriptions.

Enregistrement de l’application

  1. Accédez à la page App registrations.
  2. Cliquez sur New registration.
  3. Indiquez un nom pour votre application et sélectionnez les types de comptes pris en charge.
Formulaire Azure d’enregistrement d’application montrant le champ Name et les options Supported account types
Si le type Multitenant est sélectionné pour l’application, celle-ci sera accessible aux utilisateurs de n’importe quel tenant Azure AD. Ces applications doivent être vérifiées, ce qui n’est possible que pour les participants au Microsoft Partner Network. Si vous n’êtes pas participant, sélectionnez Single tenant afin que votre application soit accessible uniquement aux utilisateurs de votre propre tenant Azure AD.
  1. Dans la section Redirect URI, sélectionnez la plateforme Web et indiquez l’URI de redirection :
Section URI de redirection d’Azure avec la plateforme Web sélectionnée
  1. Cliquez sur Register.

Configuration des autorisations de l’application

  1. Accédez à l’onglet API permissions.
Barre latérale du portail Azure avec l’option de menu API permissions mise en évidence
  1. Cliquez sur Add permission.
  2. Dans la boîte de dialogue qui s’ouvre, sélectionnez la section Microsoft Graph.
Boîte de dialogue de demande d’autorisations d’API avec l’option Microsoft Graph mise en évidence
  1. Sélectionnez Delegated permissions.
Boîte de dialogue des autorisations Microsoft Graph avec l’option Delegated permissions sélectionnée
  1. Ajoutez les autorisations suivantes :
    • email
    • IMAP.AccessAsUser.All
    • offline_access
    • openid
    • profile
  2. Cliquez sur Add permissions. La boîte de dialogue se ferme et les autorisations sélectionnées s’affichent.

Création de secrets client

  1. Accédez à l’onglet Authentification.
Barre latérale du portail Azure avec l’option de menu Authentication mise en évidence
  1. Dans la section Implicit grant and hybrid flows, cochez ID tokens (used for implicit and hybrid flows).
Section Implicit grant and hybrid flows avec la case à cocher ID tokens
  1. Cliquez sur Save en haut de l’écran.
  2. Accédez à l’onglet Certificates & secrets, puis cliquez sur New client secret.
Onglet Certificates & secrets avec le bouton New client secret
  1. Dans la boîte de dialogue qui s’ouvre, indiquez un nom pour le secret client ainsi qu’une date d’expiration.
La durée de validité maximale est de 24 mois.
  1. Cliquez sur Add. La boîte de dialogue se ferme et les informations relatives à votre nouveau secret client s’affichent.
Il est important de copier et d’enregistrer la Value, car vous ne pourrez plus y accéder une fois la page fermée. Cette valeur est requise lors de la configuration du tokenmanagement service dans Vantage.
Liste des secrets client avec la colonne Value du secret mise en évidence Vous aurez également besoin d’un identifiant client, que vous pouvez copier depuis le champ Application (client) ID dans l’onglet Vue d’ensemble. L’icône de copie apparaît lorsque vous survolez la valeur de l’identifiant avec le curseur. Vue d’ensemble de l’application Azure avec le champ Application (client) ID mis en évidence

Vérification de l’application

Pour rendre l’application accessible aux utilisateurs de n’importe quel tenant Azure AD, une vérification est nécessaire. Cette vérification n’est pas nécessaire si seuls des comptes d’un même tenant Azure AD sont utilisés. Seuls les participants au Microsoft Partner Network peuvent effectuer cette vérification.
  1. Accédez à l’onglet Image de marque et propriétés.
Barre latérale du portail Azure montrant l’option de menu Image de marque et propriétés mise en surbrillance
  1. Vérifiez que le domaine est spécifié dans le champ Domaine de l’éditeur. Si nécessaire, configurez votre domaine en cliquant sur Configurer un domaine.
Page Azure Image de marque et propriétés montrant le champ Domaine de l’éditeur avec l’option Mettre à jour le domaine
L’icône d’avertissement affichée à côté du nom de domaine signifie qu’une application associée au domaine spécifié ne peut pas être vérifiée. Cliquez sur Mettre à jour le domaine pour spécifier un autre domaine valide lié au tenant Azure Active Directory. Vous pouvez également vérifier un nouveau domaine.
  1. Dans la section Vérification de l’éditeur, indiquez votre ID MPN, puis cliquez sur Vérifier et enregistrer.
Si vous ne disposez pas des permissions requises pour ajouter un ID MPN, vérifiez que toutes les conditions requises pour la vérification de l’éditeur sont remplies.
Une fois la vérification effectuée avec succès, l’icône appropriée s’affiche à côté du champ Nom d’affichage de l’éditeur.

Fourniture des informations d’identification à Consul

Si Vantage est déjà installé, vous devez utiliser Consul pour saisir manuellement les identifiants de compte générés pour l’authentification auprès du service de messagerie Microsoft et/ou Google. Les fonctionnalités spécifiques au protocole OAuth 2.0 sont décrites dans le service TokenManagement.
Avant la configuration, vérifiez que l’outil en ligne de commande kubectl est installé et que vous êtes connecté au cluster Kubernetes.
  1. Accédez à l’interface web de Consul en exécutant la commande suivante :
Naviguez ensuite vers http://localhost:8500/ui/dc1/kv/secret/.
  1. Dans l’onglet Key/Value qui s’ouvre, sélectionnez le périmètre de déploiement Vantage approprié. Sélectionnez ensuite le projet vantage.
Projet vantage dans Consul affichant la liste des services avec tokenmanagement mis en évidence
  1. Sélectionnez le service tokenmanagement.
Service tokenmanagement dans Consul affichant la section oAuthClientConfiguration
  1. Accédez à la section oAuthClientConfiguration.
oAuthClientConfiguration dans Consul affichant les options google et microsoft
  1. Sélectionnez le service pour lequel vous souhaitez renseigner les données utilisateur (google ou microsoft).
Section oAuthClientConfiguration dans Consul affichant le service google avec les clés clientId et clientSecret
  1. Sélectionnez la clé clientId.
  2. Copiez-collez la valeur du Client ID que vous avez enregistrée précédemment dans le champ de saisie, puis cliquez sur Save.
Éditeur de valeur clientId dans Consul avec le bouton Save
  1. Répétez les étapes 6 et 7 pour la clé clientSecret.
Si nécessaire, répétez les étapes 5 à 8 pour un autre service de messagerie électronique.
  1. Redémarrez le service tokenmanagement en exécutant la commande suivante :

Mise à jour du secret client

La valeur du secret client est utilisée pour l’identification du client côté serveur et constitue une information confidentielle. Pour des raisons de sécurité, cette valeur doit être mise à jour périodiquement. Certains services, comme Azure Active Directory, limitent sa durée de validité. Une fois qu’un nouveau secret client a été créé, la valeur de la clé Consul correspondante doit également être mise à jour.
Une fois le secret client mis à jour, les utilisateurs devront recréer de zéro les connexions à leur service de messagerie dans l’activité Input de la Compétence de document. Sinon, Vantage ne pourra pas se connecter à la boîte aux lettres ni en importer les e-mails.

Mise à jour du secret client dans Google

  1. Accédez à la Google Cloud Console et sélectionnez le projet approprié.
  2. Dans le menu de gauche, sélectionnez APIs & Services > Credentials.
  3. Dans la section OAuth 2.0 Client IDs, sélectionnez l’identifiant utilisé pour l’authentification lors de la connexion au serveur IMAP.
  4. Cliquez sur Reset secret.
Détails du client OAuth Google Cloud affichant le bouton Reset Secret
  1. Cliquez sur Reset dans la boîte de dialogue qui s’affiche. Cela met à jour la valeur du secret client et invalide sa valeur précédente.
  2. Téléchargez le fichier JSON contenant les identifiants. Vous pouvez également copier la valeur du secret client à droite de l’écran.
Détails du client OAuth Google Cloud affichant le bouton Download JSON et le champ Client secret

Mise à jour du secret client dans Microsoft Azure

  1. Accédez à la page App registrations et sélectionnez l’application utilisée pour l’authentification avec le serveur IMAP.
Page Azure App registrations affichant la liste Owned applications avec Example App
  1. Accédez à l’onglet Certificates & secrets et cliquez sur New client secret.
  2. Dans la boîte de dialogue qui s’ouvre, indiquez un nom pour le secret client ainsi que sa date d’expiration.
  3. Cliquez sur Add. La boîte de dialogue se ferme alors et les informations sur le nouveau secret client s’affichent. Il est important de copier et d’enregistrer la Value, car vous ne pourrez plus y accéder après avoir fermé la page.
  4. Si le secret client actuel n’a pas encore expiré, vous pouvez le supprimer afin que seul le nouveau secret client puisse être utilisé pour identifier le client.

Mise à jour du secret client dans Consul

Suivez les étapes indiquées dans Fourniture des informations d’identification à Consul, à l’exception des étapes 6 et 7 (copie de la valeur clientId).