Pular para o conteúdo principal
Por padrão, usuários que configuram a importação de documentos a partir de um serviço de e-mail usando uma atividade Input em uma Skill de Processo têm acesso apenas à autenticação básica no servidor IMAP. Para habilitar a autenticação dos serviços de e-mail do Google e da Microsoft por meio do protocolo OAuth 2.0, é necessário:
  1. Registrar aplicativos na Google Cloud Platform e/ou no portal do Azure.
  2. Gerar credenciais para esses aplicativos (Client ID e Client secret).
  3. Enviar as credenciais geradas para o Consul.
Essas etapas podem ser realizadas tanto antes quanto depois de instalar o Vantage.

Registrando o aplicativo no Google

Criar um aplicativo requer uma conta do Google.

Criando um projeto no Google Cloud Platform

  1. Acesse a página de criação de novo projeto no Google Cloud Platform.
  2. Informe um nome para o seu projeto e clique em Create.
Página de novo projeto do Google Cloud Platform exibindo o campo de nome do projeto
  1. Aguarde até receber uma notificação informando que o seu projeto foi criado.
Notificação do Google Cloud Platform exibindo a confirmação de criação do projeto

Configurando o aplicativo

  1. Acesse o Console do Google Cloud e selecione o projeto desejado.
Menu suspenso de seleção de projeto no Google Cloud Console
  1. No menu à esquerda da tela, selecione APIs & Services > OAuth consent screen.
Menu do Google Cloud Console mostrando APIs & Services com a opção OAuth consent screen
  1. Selecione o tipo de usuário External e clique em Create.
  2. Especifique um nome para o seu aplicativo. Na lista suspensa do campo User support email, selecione o seu endereço do Gmail.
Formulário de informações do aplicativo na tela de consentimento OAuth com campos de nome do app e e-mail de suporte ao usuário
  1. Especifique o e-mail do desenvolvedor na seção Developer contact information na parte inferior da página e clique em Save and continue.
Seção Developer contact information com campo de e-mail
  1. Clique em Add or remove scopes. Isso abrirá a caixa de diálogo Update selected scopes à direita.
  2. Copie e cole o seguinte texto no campo Manually add scopes na parte inferior da caixa de diálogo e clique em Add to table:
openid https://www.googleapis.com/auth2/userinfo.email https://www.googleapis.com/auth2/userinfo.profile https://mail.google.com/
Você também pode selecionar os escopos manualmente. Os seguintes escopos precisam ser selecionados:
  • openid
  • https://mail.google.com/
  • ../auth2/userinfo.email
  • ../auth2/userinfo.profile
  1. Clique em Update. Isso fechará a caixa de diálogo Update selected scopes e exibirá os escopos selecionados.
Caixa de diálogo Update selected scopes mostrando os escopos OAuth necessários
  1. Clique em Save and continue na parte inferior da tela.
  2. Clique em Save and continue para ignorar as configurações da página Test users e navegar para a página Summary.
Na página Summary, você verá informações sobre o aplicativo, endereços de e-mail e as permissões que foram definidas.

Criando credenciais da conta

  1. Selecione Credentials no menu no lado esquerdo da tela.
  2. Clique em + Create credentials e selecione OAuth client ID.
Menu suspenso Create credentials mostrando a opção OAuth client ID
  1. Selecione o tipo Web application.
Formulário Create OAuth client ID com o menu Application type mostrando Web application
  1. Na seção Authorized redirect URIs, selecione + Add URI.
Seção Authorized redirect URIs com o botão Add URI
  1. No campo que será exibido, especifique a URI de redirecionamento:
https://<nome do host do Vantage>/connectors-tokens-callback.html
Campo Redirect URI com a url de callback do Vantage e botão Create
  1. Clique em Create.
A caixa de diálogo pop-up exibida conterá os valores de Client ID e Client secret. Caixa de diálogo de cliente OAuth criado mostrando os valores de Client ID e Client secret Esses dados são necessários para configurar o serviço tokenmanagement no Vantage. Você pode salvá-los imediatamente ou copiá-los mais tarde acessando APIs & Services > Credentials e selecionando o identificador de cliente OAuth 2.0 que você criou.

Publicação e verificação

O status de publicação do aplicativo é exibido na seção APIs & Services > OAuth consent screen. Tela de consentimento OAuth mostrando o status de publicação como Testing com o botão Publish App Aplicativos com o status Testing ficam disponíveis apenas para usuários que foram adicionados à lista de testadores. Somente a publicação de um aplicativo o torna disponível para qualquer usuário com uma conta Google. Clique em Publish app. O escopo https://mail.google.com/ permite que o aplicativo acesse dados confidenciais do usuário, por isso será exibida uma mensagem informando que o aplicativo precisa ser verificado. Para verificar o aplicativo, você precisará fornecer:
  • Um link oficial para a política de privacidade do aplicativo
  • Um vídeo no YouTube demonstrando o objetivo declarado de obtenção de dados de usuários do Google usando o aplicativo
  • Um texto endereçado ao Google com uma descrição dos motivos pelos quais você precisa de acesso a dados confidenciais do usuário
  • Uma lista completa de todos os seus domínios verificados no Google Search Console
Clique em Confirm. O status do seu aplicativo mudará para In Production. O botão Prepare for verification também será exibido, permitindo que você forneça todos os dados de verificação necessários. Tela de consentimento OAuth mostrando o status In Production com um aviso de verificação e o botão Prepare for Verification
Antes que o aplicativo seja verificado, apenas 100 usuários poderão utilizá-lo. O contador de usuários está localizado na parte inferior da seção OAuth consent screen e não pode ser reiniciado durante a vigência do projeto.
Limite de usuários OAuth mostrando 0 usuários de um limite de 100 usuários

Registrando o Aplicativo no Microsoft Azure

Para criar um aplicativo, é necessário ter um locatário do Azure Active Directory com permissões para registrar e editar aplicativos. Você pode alternar para o diretório correto na página Portal settings | Directories + subscriptions.

Registrando o aplicativo

  1. Vá para a página App registrations.
  2. Clique em New registration.
  3. Especifique um nome para seu aplicativo e selecione os tipos de conta com suporte.
Formulário Azure Register an application mostrando o campo Name e as opções de Supported account types
Se o tipo Multitenant for selecionado para o aplicativo, ele ficará disponível para usuários em qualquer locatário do Azure AD. Esses aplicativos precisam ser verificados, o que está disponível somente para participantes da Microsoft Partner Network. Se você não for participante, selecione Single tenant, o que tornará seu aplicativo disponível apenas para usuários em seu próprio locatário do Azure AD.
  1. Na seção Redirect URI, selecione a plataforma Web e especifique a URI de redirecionamento:
https://<Vantage host name>/connectors-tokens-callback.html
Seção Azure Redirect URI com a plataforma Web selecionada
  1. Clique em Register.

Configurando permissões do aplicativo

  1. Vá até a guia API permissions.
Painel lateral do portal do Azure mostrando a opção de menu API permissions destacada
  1. Clique em Add permission.
  2. Na caixa de diálogo que for aberta, selecione a seção Microsoft Graph.
Caixa de diálogo Request API permissions mostrando a opção Microsoft Graph destacada
  1. Selecione Delegated permissions.
Caixa de diálogo de permissões do Microsoft Graph mostrando a opção Delegated permissions selecionada
  1. Adicione as seguintes permissões:
    • email
    • IMAP.AccessAsUser.All
    • offline_access
    • openid
    • profile
  2. Clique em Add permissions. A caixa de diálogo será fechada e as permissões selecionadas serão exibidas.

Criando segredos de cliente

  1. Navegue até a guia Authentication.
Barra lateral do portal Azure mostrando a opção de menu Authentication destacada
  1. Na seção Implicit grant and hybrid flows, marque ID tokens (used for implicit and hybrid flows).
Seção Implicit grant and hybrid flows com a caixa de seleção ID tokens marcada
  1. Clique em Save na parte superior da tela.
  2. Navegue até a guia Certificates & secrets e clique em New client secret.
Guia Certificates & secrets mostrando o botão New client secret
  1. Na caixa de diálogo que será aberta, especifique um nome para o segredo de cliente e uma data de expiração.
A data máxima de expiração é de 24 meses.
  1. Clique em Add. Isso fechará a caixa de diálogo e exibirá informações sobre o novo segredo de cliente.
É importante que você copie e salve o Value, pois não será possível acessá-lo novamente após fechar a página. Esse valor é necessário para configurar o serviço tokenmanagement no Vantage.
Lista de segredos de cliente mostrando a coluna Value do segredo destacada Você também precisará de um identificador de cliente, que pode ser copiado do campo Application (client) ID na guia Overview. O ícone de cópia aparecerá quando você passar o cursor do mouse sobre o valor do identificador. Visão geral do aplicativo Azure mostrando o campo Application (client) ID destacado

Verificando o aplicativo

Para tornar o aplicativo disponível para usuários de qualquer locatário do Azure AD, é necessária a verificação. A verificação não é necessária se forem usadas contas de um único locatário do Azure AD. Somente participantes da Microsoft Partner Network podem realizar a verificação.
  1. Acesse a guia Branding & properties.
Barra lateral do portal Azure exibindo a opção de menu Branding & properties destacada
  1. Verifique se o domínio está especificado no campo Publisher domain. Se necessário, configure seu domínio clicando em Configure a domain.
Página Azure Branding & properties exibindo o campo Publisher domain com a opção Update domain
O ícone de aviso exibido ao lado do nome de domínio significa que um aplicativo com o domínio especificado não pode ser verificado. Clique em Update domain para especificar um domínio válido diferente relacionado ao locatário do Azure Active Directory. Como alternativa, verifique um novo domínio.
  1. Na seção Publisher verification, informe seu ID MPN e clique em Verify and save.
Se você não tiver as permissões necessárias para adicionar um ID MPN, verifique se todos os requisitos de verificação do publicador foram atendidos.
Quando a verificação for concluída com sucesso, o ícone correspondente será exibido ao lado do campo Publisher display name.

Passando credenciais para o Consul

Se o Vantage já estiver instalado, você precisa usar o Consul para inserir manualmente as credenciais de conta geradas para autenticação do serviço de e-mail da Microsoft e/ou do Google. Recursos específicos do protocolo OAuth 2.0 são listados no serviço TokenManagement.
Antes de iniciar a configuração, verifique se a ferramenta de linha de comando kubectl está instalada e se você está conectado ao cluster Kubernetes.
  1. Obtenha acesso à interface web do Consul executando o seguinte comando:
kubectl port-forward -n abbyy-infrastructure service/consul-ui 8500:80
Em seguida, acesse http://localhost:8500/ui/dc1/kv/secret/.
  1. Na guia Key/Value que é aberta, selecione o escopo de implantação apropriado do Vantage. Em seguida, selecione o projeto vantage.
Projeto vantage no Consul mostrando a lista de serviços com tokenmanagement destacado
  1. Selecione o serviço tokenmanagement.
Serviço tokenmanagement no Consul mostrando a seção oAuthClientConfiguration
  1. Navegue até a seção oAuthClientConfiguration.
oAuthClientConfiguration no Consul mostrando as opções google e microsoft
  1. Selecione o serviço para o qual você deseja especificar os dados do usuário (google ou microsoft).
Seção oAuthClientConfiguration no Consul mostrando o serviço google com as chaves clientId e clientSecret
  1. Selecione a chave clientId.
  2. Copie e cole o valor do Client ID que você salvou anteriormente no campo de entrada e clique em Save.
Editor de valor clientId no Consul com o botão Save
  1. Repita as etapas 6 e 7 para a chave clientSecret.
Se necessário, repita as etapas 5 a 8 para um serviço de e-mail diferente.
  1. Reinicie o serviço tokenmanagement executando o seguinte comando:
kubectl -n abbyy-vantage rollout restart $(kubectl -n abbyy-vantage get deployments -l app.kubernetes.io/component=tokenmanagement -o name)

Atualizando o Client secret

O valor do Client secret é usado para identificação do cliente no lado do servidor e constitui informação confidencial. Por motivos de segurança, esses dados devem ser atualizados periodicamente. Alguns serviços, como o Azure Active Directory, limitam o período de validade desses dados. Quando um novo Client secret é criado, o valor da chave correspondente no Consul também deve ser atualizado.
Depois que o Client secret for atualizado, os usuários precisarão configurar do zero as conexões com seu serviço de e-mail na atividade Input da Skill de Documento. Caso contrário, o Vantage não conseguirá se conectar à caixa de correio nem importar e-mails dela.

Atualizando o Client Secret no Google

  1. Acesse o Google Cloud Console e selecione o projeto apropriado.
  2. No menu à esquerda, selecione APIs & Services > Credentials.
  3. Na seção OAuth 2.0 Client IDs, selecione o identificador usado para autenticar a conexão com o servidor IMAP.
  4. Clique em Reset secret.
Detalhes do cliente OAuth do Google Cloud mostrando o botão Reset Secret
  1. Clique em Reset na caixa de diálogo pop-up. Isso atualizará o valor do Client secret e revogará seu valor anterior.
  2. Baixe o arquivo JSON que contém as credenciais. Como alternativa, copie o valor do Client secret no lado direito da tela.
Detalhes do cliente OAuth do Google Cloud mostrando o botão Download JSON e o campo Client secret

Atualizando o Client Secret no Microsoft Azure

  1. Acesse a página App registrations e selecione o aplicativo usado para autenticação por meio do servidor IMAP.
Azure App registrations page showing Owned applications list with Example App
  1. Acesse a guia Certificates & secrets e clique em New client secret.
  2. Na caixa de diálogo que será aberta, especifique um nome para o client secret e sua data de expiração.
  3. Clique em Add. Isso fechará a caixa de diálogo e exibirá as informações sobre o novo client secret. É importante que você copie e salve o Value, pois não poderá acessá-lo novamente depois de fechar a página.
  4. Se o client secret atual ainda não tiver expirado, você poderá excluí-lo para garantir que apenas o novo client secret seja usado para identificar o cliente.

Atualizando o Client Secret no Consul

Siga as etapas descritas em Passando credenciais para o Consul, omitindo as etapas 6 e 7 (copiando o valor de clientId).