- Enregistrer des applications sur Google Cloud Platform et/ou dans le portail Azure.
- Générer des identifiants de compte pour ces applications (Client ID et secret client).
- Renseigner les identifiants générés dans Consul.
Enregistrer l’application auprès de Google
Créer un projet sur Google Cloud Platform
- Accédez à la page New Project de Google Cloud Platform.
- Saisissez un nom pour votre projet, puis cliquez sur Create.
- Attendez la notification indiquant que votre projet a été créé.
Configuration de l’application
- Accédez à la Google Cloud Console et sélectionnez le projet approprié.
- Dans le menu situé à gauche de l’écran, sélectionnez APIs & Services > OAuth consent screen.
- Sélectionnez le type d’utilisateur External, puis cliquez sur Create.
- Indiquez un nom pour votre application. Dans le champ de liste déroulante User support email, sélectionnez votre adresse Gmail.
- Indiquez l’adresse e-mail du développeur dans la section Developer contact information au bas de la page, puis cliquez sur Save and continue.
- Cliquez sur Add or remove scopes. La boîte de dialogue Update selected scopes s’ouvre alors sur la droite.
- Copiez-collez le texte suivant dans le champ Manually add scopes au bas de la boîte de dialogue, puis cliquez sur Add to table :
Vous pouvez également sélectionner les scopes manuellement. Les scopes suivants doivent être sélectionnés :
openidhttps://mail.google.com/../auth2/userinfo.email../auth2/userinfo.profile
- Cliquez sur Update. La boîte de dialogue Update selected scopes se ferme et les scopes sélectionnés s’affichent.
- Cliquez sur Save and continue en bas de l’écran.
- Cliquez sur Save and continue pour ignorer les paramètres de la page Test users et accéder à la page Résumé.
Création des identifiants de compte
- Sélectionnez Identifiants dans le menu de gauche.
- Cliquez sur + Créer des identifiants, puis sélectionnez ID client OAuth.
- Sélectionnez le type Application Web.
- Dans la section URI de redirection autorisés, sélectionnez + Ajouter un URI.
- Dans le champ qui s’affiche, indiquez l’URI de redirection :
- Cliquez sur Create.
Ces données sont obligatoires pour configurer le tokenmanagement service dans Vantage. Vous pouvez les enregistrer immédiatement ou les copier plus tard en accédant à APIs & Services > Credentials et en sélectionnant l’identifiant du client OAuth 2.0 que vous avez créé.
Publication et vérification
Les applications ayant le statut Testing sont uniquement accessibles aux utilisateurs ajoutés à la liste des testeurs. La publication d’une application est la seule façon de la rendre accessible à tout utilisateur disposant d’un compte Google.
Cliquez sur Publish app. Le scope https://mail.google.com/ autorise l’application à accéder à des données utilisateur confidentielles ; un message indiquant que l’application doit être vérifiée s’affichera donc.
Pour vérifier l’application, vous devrez fournir :
- Un lien officiel vers la politique de confidentialité de l’application
- Une vidéo YouTube montrant l’objectif déclaré de la collecte des données utilisateur Google via l’application
- Un texte adressé à Google expliquant pourquoi vous avez besoin d’accéder à des données utilisateur confidentielles
- Une liste complète de tous vos domaines vérifiés dans Google Search Console
Tant que votre application n’est pas vérifiée, seuls 100 utilisateurs pourront l’utiliser. Le compteur d’utilisateurs se trouve dans la partie inférieure de la section OAuth consent screen et ne peut pas être réinitialisé pendant toute la durée de vie du projet.
Enregistrement de l’application dans Microsoft Azure
Enregistrement de l’application
- Accédez à la page App registrations.
- Cliquez sur New registration.
- Indiquez un nom pour votre application et sélectionnez les types de comptes pris en charge.
Si le type Multitenant est sélectionné pour l’application, celle-ci sera accessible aux utilisateurs de n’importe quel tenant Azure AD. Ces applications doivent être vérifiées, ce qui n’est possible que pour les participants au Microsoft Partner Network. Si vous n’êtes pas participant, sélectionnez Single tenant afin que votre application soit accessible uniquement aux utilisateurs de votre propre tenant Azure AD.
- Dans la section Redirect URI, sélectionnez la plateforme Web et indiquez l’URI de redirection :
- Cliquez sur Register.
Configuration des autorisations de l’application
- Accédez à l’onglet API permissions.
- Cliquez sur Add permission.
- Dans la boîte de dialogue qui s’ouvre, sélectionnez la section Microsoft Graph.
- Sélectionnez Delegated permissions.
- Ajoutez les autorisations suivantes :
emailIMAP.AccessAsUser.Alloffline_accessopenidprofile
- Cliquez sur Add permissions. La boîte de dialogue se ferme et les autorisations sélectionnées s’affichent.
Création de secrets client
- Accédez à l’onglet Authentification.
- Dans la section Implicit grant and hybrid flows, cochez ID tokens (used for implicit and hybrid flows).
- Cliquez sur Save en haut de l’écran.
- Accédez à l’onglet Certificates & secrets, puis cliquez sur New client secret.
- Dans la boîte de dialogue qui s’ouvre, indiquez un nom pour le secret client ainsi qu’une date d’expiration.
La durée de validité maximale est de 24 mois.
- Cliquez sur Add. La boîte de dialogue se ferme et les informations relatives à votre nouveau secret client s’affichent.
Vous aurez également besoin d’un identifiant client, que vous pouvez copier depuis le champ Application (client) ID dans l’onglet Vue d’ensemble. L’icône de copie apparaît lorsque vous survolez la valeur de l’identifiant avec le curseur.
Vérification de l’application
- Accédez à l’onglet Image de marque et propriétés.
- Vérifiez que le domaine est spécifié dans le champ Domaine de l’éditeur. Si nécessaire, configurez votre domaine en cliquant sur Configurer un domaine.
L’icône d’avertissement affichée à côté du nom de domaine signifie qu’une application associée au domaine spécifié ne peut pas être vérifiée. Cliquez sur Mettre à jour le domaine pour spécifier un autre domaine valide lié au tenant Azure Active Directory. Vous pouvez également vérifier un nouveau domaine.
- Dans la section Vérification de l’éditeur, indiquez votre ID MPN, puis cliquez sur Vérifier et enregistrer.
Si vous ne disposez pas des permissions requises pour ajouter un ID MPN, vérifiez que toutes les conditions requises pour la vérification de l’éditeur sont remplies.
Fourniture des informations d’identification à Consul
Avant la configuration, vérifiez que l’outil en ligne de commande kubectl est installé et que vous êtes connecté au cluster Kubernetes.
- Accédez à l’interface web de Consul en exécutant la commande suivante :
http://localhost:8500/ui/dc1/kv/secret/.
- Dans l’onglet Key/Value qui s’ouvre, sélectionnez le périmètre de déploiement Vantage approprié. Sélectionnez ensuite le projet vantage.
- Sélectionnez le service tokenmanagement.
- Accédez à la section oAuthClientConfiguration.
- Sélectionnez le service pour lequel vous souhaitez renseigner les données utilisateur (google ou microsoft).
- Sélectionnez la clé clientId.
- Copiez-collez la valeur du Client ID que vous avez enregistrée précédemment dans le champ de saisie, puis cliquez sur Save.
- Répétez les étapes 6 et 7 pour la clé clientSecret.
- Redémarrez le service tokenmanagement en exécutant la commande suivante :
Mise à jour du secret client
Mise à jour du secret client dans Google
- Accédez à la Google Cloud Console et sélectionnez le projet approprié.
- Dans le menu de gauche, sélectionnez APIs & Services > Credentials.
- Dans la section OAuth 2.0 Client IDs, sélectionnez l’identifiant utilisé pour l’authentification lors de la connexion au serveur IMAP.
- Cliquez sur Reset secret.
- Cliquez sur Reset dans la boîte de dialogue qui s’affiche. Cela met à jour la valeur du secret client et invalide sa valeur précédente.
- Téléchargez le fichier JSON contenant les identifiants. Vous pouvez également copier la valeur du secret client à droite de l’écran.
Mise à jour du secret client dans Microsoft Azure
- Accédez à la page App registrations et sélectionnez l’application utilisée pour l’authentification avec le serveur IMAP.
- Accédez à l’onglet Certificates & secrets et cliquez sur New client secret.
- Dans la boîte de dialogue qui s’ouvre, indiquez un nom pour le secret client ainsi que sa date d’expiration.
- Cliquez sur Add. La boîte de dialogue se ferme alors et les informations sur le nouveau secret client s’affichent. Il est important de copier et d’enregistrer la Value, car vous ne pourrez plus y accéder après avoir fermé la page.
- Si le secret client actuel n’a pas encore expiré, vous pouvez le supprimer afin que seul le nouveau secret client puisse être utilisé pour identifier le client.
Mise à jour du secret client dans Consul
clientId).