Vai al contenuto principale
Per impostazione predefinita, gli utenti che configurano l’importazione di documenti da un servizio di posta elettronica utilizzando un’attività Input in una Process skill hanno accesso solo all’autenticazione di base del server IMAP. Per abilitare l’autenticazione dei servizi email Google e Microsoft tramite il protocollo OAuth 2.0, è necessario:
  1. Registrare le applicazioni su Google Cloud Platform e/o sul portale Azure.
  2. Generare le credenziali di account per queste applicazioni (Client ID e Client secret).
  3. Fornire le credenziali generate a Consul.
Questi passaggi possono essere eseguiti sia prima che dopo l’installazione di Vantage.

Registrazione dell’applicazione su Google

Per creare un’applicazione è necessario un account Google.

Creazione di un progetto su Google Cloud Platform

  1. Vai alla pagina New Project di Google Cloud Platform.
  2. Inserisci un nome per il tuo progetto e fai clic su Create.
Pagina New Project di Google Cloud Platform con il field del nome del progetto
  1. Attendi una notifica che confermi che il tuo progetto è stato creato.
Notifica di Google Cloud Platform che mostra la conferma di creazione del progetto

Configurazione dell’applicazione

  1. Accedi alla Google Cloud Console e seleziona il progetto appropriato.
Menu a discesa del selettore di progetto di Google Cloud Console
  1. Nel menu sul lato sinistro dello schermo, seleziona APIs & Services > OAuth consent screen.
Menu di Google Cloud Console che mostra APIs & Services con l'opzione OAuth consent screen
  1. Seleziona il tipo di utente External e fai clic su Create.
  2. Specifica un nome per l’applicazione. Nell’elenco a discesa User support email, seleziona il tuo indirizzo Gmail.
Modulo delle informazioni dell'app nella schermata di consenso OAuth con i campi app name e user support email
  1. Specifica l’indirizzo e-mail dello sviluppatore nella sezione Developer contact information nella parte inferiore della pagina e fai clic su Save and continue.
Sezione Developer contact information con campo e-mail
  1. Fai clic su Add or remove scopes. Si aprirà la finestra di dialogo Update selected scopes sulla destra.
  2. Copia e incolla il seguente testo nel campo Manually add scopes nella parte inferiore della finestra di dialogo e fai clic su Add to table:
openid https://www.googleapis.com/auth2/userinfo.email https://www.googleapis.com/auth2/userinfo.profile https://mail.google.com/
Puoi anche selezionare manualmente gli scope. Devono essere selezionati i seguenti scope:
  • openid
  • https://mail.google.com/
  • ../auth2/userinfo.email
  • ../auth2/userinfo.profile
  1. Fai clic su Update. Questa operazione chiuderà la finestra di dialogo Update selected scopes e mostrerà gli scope selezionati.
Update selected scopes dialog showing the required OAuth scopes
  1. Fai clic su Save and continue nella parte inferiore della schermata.
  2. Fai clic su Save and continue per ignorare le impostazioni della pagina Test users e passare alla pagina Summary.
Nella pagina Summary visualizzerai le informazioni sull’applicazione, gli indirizzi email e le autorizzazioni che sono state configurate.

Creazione delle credenziali dell’account

  1. Selezionare Credentials nel menu sul lato sinistro della schermata.
  2. Fare clic su + Create credentials e selezionare OAuth client ID.
Menu a discesa Create credentials che mostra l'opzione OAuth client ID
  1. Selezionare il tipo di applicazione Web application.
Modulo Create OAuth client ID con l'elenco a discesa Application type che mostra Web application
  1. Nella sezione Authorized redirect URIs, selezionare + Add URI.
Sezione Authorized redirect URIs con pulsante Add URI
  1. Nel field che verrà visualizzato, specificare l’URI di reindirizzamento:
https://<nome host Vantage>/connectors-tokens-callback.html
field Redirect URI con la callback URL di Vantage e il pulsante CREATE
  1. Fare clic su Create.
La finestra di dialogo popup che verrà visualizzata conterrà i valori di Client ID e Client secret. finestra di dialogo OAuth client created che mostra i valori di Client ID e Client secret Questi dati sono necessari per configurare il servizio tokenmanagement in Vantage. È possibile salvarli subito oppure copiarli in un secondo momento andando in APIs & Services > Credentials e selezionando l’identificatore client OAuth 2.0 creato in precedenza.

Pubblicazione e verifica

Lo stato di pubblicazione dell’applicazione è visualizzato nella sezione APIs & Services > OAuth consent screen. Schermata di consenso OAuth che mostra lo stato Publishing come Testing con pulsante Publish App Le applicazioni con stato Testing sono disponibili solo per gli utenti che sono stati aggiunti all’elenco dei tester. Solo la pubblicazione di un’applicazione la rende disponibile a qualsiasi utente con un account Google. Fai clic su Publish app. L’ambito https://mail.google.com/ consente all’applicazione di accedere a dati utente riservati, motivo per cui verrà visualizzato un messaggio che indica che l’applicazione deve essere verificata. Per verificare l’applicazione, dovrai fornire:
  • Un link ufficiale all’informativa sulla privacy dell’applicazione
  • Un video YouTube che dimostri lo scopo dichiarato dell’acquisizione dei dati utente Google tramite l’applicazione
  • Un testo indirizzato a Google che contenga una descrizione del motivo per cui richiedi l’accesso ai dati utente riservati
  • Un elenco completo di tutti i tuoi domini verificati in Google Search Console
Fai clic su Confirm. Lo stato dell’applicazione cambierà in In Production. Verrà inoltre visualizzato il pulsante Prepare for verification, che ti permetterà di fornire tutti i dati necessari per la verifica. Schermata di consenso OAuth che mostra lo stato In Production con avviso di verifica e pulsante Prepare for Verification
Prima che l’applicazione venga verificata, solo 100 utenti potranno utilizzarla. Il contatore degli utenti si trova nella parte inferiore della sezione OAuth consent screen e non può essere reimpostato per tutta la durata del progetto.
Limite utenti OAuth che mostra 0 utenti su un limite di 100 utenti

Registrazione dell’applicazione in Microsoft Azure

Per creare un’applicazione è necessario un tenant di Azure Active Directory con autorizzazioni per registrare e modificare le applicazioni. È possibile passare alla directory corretta nella pagina Portal settings | Directories + subscriptions.

Registrazione dell’applicazione

  1. Passa alla pagina App registrations.
  2. Fai clic su New registration.
  3. Specifica un nome per la tua applicazione e seleziona i tipi di account supportati.
Azure Register an application form showing Name field and Supported account types options
Se per l’applicazione viene selezionato il tipo Multitenant, sarà disponibile per gli utenti di qualsiasi tenant Azure AD. Tali applicazioni devono essere sottoposte a verifica, operazione possibile solo per i membri del Microsoft Partner Network. Se non ne fai parte, seleziona Single tenant, che renderà la tua app disponibile solo per gli utenti del tuo tenant Azure AD.
  1. Nella sezione Redirect URI, seleziona la piattaforma Web e specifica l’URI di reindirizzamento:
https://<Vantage host name>/connectors-tokens-callback.html
Sezione Azure Redirect URI con piattaforma Web selezionata
  1. Fai clic su Register.

Configurazione delle autorizzazioni per l’applicazione

  1. Passare alla scheda API permissions.
Barra laterale del portale di Azure con l'opzione di menu API permissions evidenziata
  1. Fare clic su Add permission.
  2. Nella finestra di dialogo che si apre, selezionare la sezione Microsoft Graph.
Finestra di dialogo Request API permissions con l'opzione Microsoft Graph evidenziata
  1. Selezionare Delegated permissions.
Finestra di dialogo Microsoft Graph permissions con l'opzione Delegated permissions selezionata
  1. Aggiungere le seguenti autorizzazioni:
    • email
    • IMAP.AccessAsUser.All
    • offline_access
    • openid
    • profile
  2. Fare clic su Add permissions. Questo chiuderà la finestra di dialogo e mostrerà le autorizzazioni selezionate.

Creazione dei segreti client

  1. Passare alla scheda Authentication.
Azure portal sidebar showing Authentication menu option highlighted
  1. Nella sezione Implicit grant and hybrid flows, selezionare ID tokens (used for implicit and hybrid flows).
Implicit grant and hybrid flows section with ID tokens checkbox
  1. Fare clic su Save nella parte superiore della schermata.
  2. Passare alla scheda Certificates & secrets e fare clic su New client secret.
Certificates & secrets tab showing New client secret button
  1. Nella finestra di dialogo che si apre, specificare un nome per il segreto client e una data di scadenza.
La data di scadenza massima è di 24 mesi.
  1. Fare clic su Add. In questo modo si chiuderà la finestra di dialogo e verranno mostrate le informazioni sul nuovo segreto client.
È importante copiare e salvare il Value, poiché non sarà più possibile accedervi dopo aver chiuso la pagina. Questo valore è necessario per configurare il servizio tokenmanagement in Vantage.
Client secrets list showing the secret Value column highlighted È inoltre necessario un identificatore del client, che può essere copiato dal campo Application (client) ID nella scheda Overview. L’icona di copia verrà visualizzata quando si passa il cursore del mouse sul valore dell’identificatore. Azure application Overview showing Application (client) ID field highlighted

Verifica dell’applicazione

Per rendere l’applicazione disponibile agli utenti di qualsiasi tenant di Azure AD, è necessaria una verifica. La verifica non è richiesta se vengono utilizzati account di un singolo tenant di Azure AD. Solo i partecipanti al Microsoft Partner Network possono effettuare la verifica.
  1. Passare alla scheda Branding & properties.
Barra laterale del portale di Azure con l'opzione di menu Branding & properties evidenziata
  1. Controllare che nel field Publisher domain sia specificato il dominio. Se necessario, configurare il dominio facendo clic su Configure a domain.
Pagina Azure Branding & properties che mostra il field Publisher domain con l'opzione Update domain
L’icona di avviso visualizzata accanto al nome di dominio indica che un’applicazione con il dominio specificato non può essere verificata. Fare clic su Update domain per specificare un altro dominio valido associato al tenant di Azure Active Directory. In alternativa, verificare un nuovo dominio.
  1. Nella sezione Publisher verification, specificare il proprio MPN ID e fare clic su Verify and save.
Se non si dispone delle autorizzazioni necessarie per aggiungere un MPN ID, verificare che tutti i requisiti per la publisher verification siano soddisfatti.
Una volta completata correttamente la verifica, l’icona appropriata verrà visualizzata accanto al field Publisher display name.

Fornire le credenziali a Consul

Se Vantage è già installato, è necessario utilizzare Consul per inserire manualmente le credenziali dell’account generate per l’autenticazione del servizio di posta elettronica Microsoft e/o Google. Le funzionalità specifiche del protocollo OAuth 2.0 sono elencate nel servizio TokenManagement.
Prima di procedere con la configurazione, verifica che lo strumento da riga di comando kubectl sia installato e che tu sia connesso al cluster Kubernetes.
  1. Accedi all’interfaccia web di Consul eseguendo il seguente comando:
kubectl port-forward -n abbyy-infrastructure service/consul-ui 8500:80
Quindi, aprire http://localhost:8500/ui/dc1/kv/secret/.
  1. Nella scheda Key/Value che si aprirà, selezionare l’ambito di distribuzione Vantage appropriato. Quindi selezionare il progetto vantage.
Progetto Consul vantage che mostra l'elenco dei servizi con tokenmanagement evidenziato
  1. Selezionare il servizio tokenmanagement.
Servizio Consul tokenmanagement che mostra la sezione oAuthClientConfiguration
  1. Passare alla sezione oAuthClientConfiguration.
oAuthClientConfiguration di Consul che mostra le opzioni google e microsoft
  1. Selezionare il servizio per il quale si desidera specificare i dati utente (google o microsoft).
Sezione oAuthClientConfiguration di Consul che mostra il servizio google con le chiavi clientId e clientSecret
  1. Selezionare la chiave clientId.
  2. Copiare e incollare il valore del Client ID salvato in precedenza nel campo di inserimento e fare clic su Save.
Editor del valore clientId di Consul con pulsante Save
  1. Ripetere i passaggi 6 e 7 per la chiave clientSecret.
Se necessario, ripetere i passaggi da 5 a 8 per un altro servizio di posta elettronica.
  1. Riavviare il servizio tokenmanagement eseguendo il seguente comando:
kubectl -n abbyy-vantage rollout restart $(kubectl -n abbyy-vantage get deployments -l app.kubernetes.io/component=tokenmanagement -o name)

Aggiornamento del Client secret

Il valore del Client secret viene utilizzato per l’identificazione lato server del client e costituisce un’informazione riservata. Per motivi di sicurezza, questi dati devono essere aggiornati periodicamente. Alcuni servizi, come Azure Active Directory, limitano il periodo di validità di tali dati. Una volta creato un nuovo Client secret, è necessario aggiornare anche il valore della chiave corrispondente in Consul.
Una volta aggiornato il Client secret, gli utenti dovranno riconfigurare da zero le connessioni al proprio servizio di posta elettronica nell’attività Input del Document skill. In caso contrario, Vantage non sarà in grado di connettersi alla casella di posta e di importare le email.

Aggiornamento del Client secret in Google

  1. Accedi alla Google Cloud Console e seleziona il progetto appropriato.
  2. Nel menu a sinistra, seleziona APIs & Services > Credentials.
  3. Nella sezione OAuth 2.0 Client IDs, seleziona l’identificatore utilizzato per l’autenticazione durante la connessione al server IMAP.
  4. Fai clic su Reset secret.
Dettagli del client OAuth di Google Cloud che mostrano il pulsante Reset Secret
  1. Fai clic su Reset nella finestra di dialogo visualizzata. Questo aggiornerà il valore del Client secret, invalidando quello precedente.
  2. Scarica il file JSON contenente le credenziali. In alternativa, copia il valore del Client secret dalla parte destra dello schermo.
Dettagli del client OAuth di Google Cloud che mostrano il pulsante Download JSON e il campo Client secret

Aggiornamento del client secret in Microsoft Azure

  1. Vai alla pagina App registrations e seleziona l’applicazione utilizzata per l’autenticazione tramite server IMAP.
Azure App registrations page showing Owned applications list with Example App
  1. Vai alla scheda Certificates & secrets e fai clic su New client secret.
  2. Nella finestra di dialogo che si aprirà, imposta un nome per il client secret e la sua data di scadenza.
  3. Fai clic su Add. La finestra di dialogo si chiuderà e verranno visualizzate le informazioni sul nuovo client secret. È importante copiare e salvare il Value, poiché non sarà più possibile accedervi dopo aver chiuso la pagina.
  4. Se il client secret corrente non è ancora scaduto, puoi eliminarlo in modo da utilizzare solo il nuovo client secret per identificare il client.

Aggiornamento del client secret in Consul

Segui i passaggi elencati in Passing Credentials to Consul, omettendo i passaggi 6 e 7 (relativi alla copia del valore clientId).