Configurando os requisitos do Azure para leitura de e-mail no Tactium OMNI

411 Visualizações
27, abril de 2023
Júlia Santos

Visão Geral

Apresentar o processo de criação do aplicativo responsável pela autenticação OAuth2 do Office 365, integrando-o no serviço de e-mail do Office365 (Exchange) e realizando o cadastro no Tactium OMNI.

Esse processo é obrigatório para a configuração do recebimento (baixar e-mails) para o Tactium. No processo de envio de e-mail do Tactium, não haverá necessidade dessas liberações.

Requisitos

  1. Ter uma conta no Microsoft Azure;
  2. Ter o serviço do Office 365 atrelado a conta do Azure;
  3. Todos os passos executados nessa instrução de uso devem se realizados com um usuário com privilégios administrativos;
  4. Ter um Azure Active Directory que contenha o usuário com a conta que será usada;

Criando um aplicativo para OAuth2 no Microsoft Azure

Realize o processo de logon no Portal do Azure, após este finalizado, clique na opção “Microsoft Entra ID”.

Logo em seguida clique em Registros de Aplicativos. Na tela a seguir, poderemos cadastrar o nosso aplicativo, clicando no botão “+ Novo Registro“.

Nesta tela, precisamos preencher as seguintes informações: Nome, Tipos de Conta com suporte e URI de redirecionamento.

Nome

O nome que identificará nosso aplicativo. O mesmo deverá ser usado na URI de
redirecionamento

Tipos de Conta com suporte

Dentre todas as opções, a opção que deve ser selecionada:

“Contas com qualquer diretório organizacional (Qualquer diretório do Azure AD –Multilocatário) e contas pessoais do Microsoft (por exemplo, Skype, Xbox)”

Pois esta abrange uma grande quantidade de cenários de implementação.

URI de redirecionamento

Nesta opção, podemos cadastrar a URI de redirecionamento. Essa URI é responsável por retornar a resposta de autenticação para este URI após a autenticação bem-sucedida do usuário:

A mesma deve obedecer o seguinte formato: http://localhost:5000/NomeAplicativo

Exemplo:

http://localhost:5000/TactiumTeste

 

Secret Id

Precisamos criar um Segredo do cliente (Secret Id), para isso clicamos no botão Certificados e Segredos na coluna da esquerda. Seremos redirecionados para a tela de Certificados e Segredos, onde criaremos o nosso Segredo do cliente.

Ao clicarmos em Novo segredo do cliente, será aberto uma tela onde nomearemos o nosso segredo e daremos a ele uma validade.

 

A data de expiração do nosso Segredo do cliente é definida pelo controle “Expira em”, o recomendado é que se escolha o valor 730 days (24 months) para data de expiração.

ATENÇÃO: Assim que gerado o novo segredo é necessário guardar/anotar o Valor (value) e NÃO o Id, pois após sair da página de criação o valor será criptografado e não poderá ser recuperado, caso isso ocorra será necessário excluir o anterior e criar um novo para obter novamente o Valor (value). Utilizaremos Value posteriormente para cadastro do AuthO no serviço de e-mail do Manager ADM.

Permissões de API

Neste momento, precisamos cadastrar as permissões usadas pelo processo de autenticação e consentir os devidos direitos para que os mesmos sejam usados no processo de autenticação e geração do token do OAuth2.

Primeiro, vamos cadastrar o nosso escopo, clique em “Registros de Aplicativo“.

Em seguida, acesse o aplicativo criado anteriormente. Como exemplo selecionaremos o “TactiumTeste“.

Por fim, clicamos em “Permissões de APIs“. Na tela a seguir, poderemos adicionar permissões, clicando no botão “+ Adicionar uma permissão“.

A tela de permissões será aberta, devemos clicar em “APIs que a minha organização usa” e na busca, devemos digitar “Office 365 Exchange Online“.

Em seguida, devemos escolher a permissão “Permissões de Aplicativo“.

Com isso, seremos capazes de escolher os escopos referentes a cada protocolo de e-mail necessários para uso no processo de autenticação.

Vamos começar pelo protocolo IMAP, basta buscarmos pela palavra IMAP, que será apresentada a seguinte opção, que deverá ser marcada, IMAP.AccessAsApp.

Repita o processo para habilitar os escopos referentes aos protocolos POP3 e SMTP.

Consentimento Administrador

Agora que possuímos todos os escopos necessários, precisamos dar consentimento aos mesmos.

O consentimento é a permissão necessária que é dada pelo administrador do domínio ou algum usuário que tenha tal privilégio administrativo, para que os usuários do domínio consigam usar os escopos da aplicação sem quaisquer problemas de permissão.

Para isso, vamos até a página inicial do portal Azure, clicamos em e na coluna da esquerda clicamos no botão “Microsoft Entra ID“.

Acessando a coluna esquerda clicamos no botão “Aplicativos Empresariais“. Serão listadas todos os aplicativos que se tenha cadastrados no domínio, basta buscar o aplicativo criado anteriormente.

Após selecionar o aplicativo, clicamos em “Permissões“. Só conseguiremos que os escopos que adicionamos anteriormente sejam listados e autorizados após clicarmos em “Conceder consentimento do administrador para …“.

Com isso foi dado o consentimento para os escopos cadastrados anteriormente.

Integrando o aplicativo com o serviço de e-mail do Office365 (Exchange)

Para criar os serviços e dar permissão a caixa de entrada ao e-mail que estaremos autenticando precisamos abrir o PowerShell como administrador.

Inicialmente devemos habilitar a politica de execução:

Set-ExecutionPolicy RemoteSigned

Com a política de execução habilitada, vamos instalar o módulo do Exchange para o PowerShell e fazer a importação do mesmo:

Import-Module ExchangeOnlineManagement
Install-Module -Name ExchangeOnlineManagement

Agora que carregamos o módulo do Exchange no PowerShell:

Vamos conectar com a conta de Administrador Global do Exchange. Geralmente o Administrador Global do Exchange é o mesmo do Azure Active Directory, mas, não é uma regra:

Connect-ExchangeOnline

** Será aberta uma tela para que as credenciais do Administrador do Domínio sejam informadas **

Uma vez conectado, precisamos criar um Serviço Principal:

New-ServicePrincipal -AppId <APPLICATION_ID> -ServiceId <OBJECT_ID>

Você pode encontrar o <APPLICATION_ID> e o <OBJECT_ID> em Aplicativos Empresariais, clicando no aplicativo que foi criado no momento do processo de Registro.

Se durante a execução ocorrer o erro “error running the New-ServicePrincipal cmdlet” após executar esses passos, muito provavelmente, o usuário usado para executar os passos do Powershell, não tenha permissões suficientes no Exchange Online para executar a operação. Por padrão, este cmdlet do Powershell, está disponível para usuários que possuem a função de Gerenciamento de Função.

Agora, vamos adicionar as permissões necessárias para a caixa de entrada de e-mail autenticar por meio do Serviço que criamos nos passos anteriores

Add-MailboxPermission -Identity “<[email protected]>” -User <OBJECT_ID>       -AccessRights FullAccess

Onde, <[email protected]> é o e-mail que será dado o acesso e o <OBJECT_ID> é o Id especificado em Aplicativos Empresariais em Propriedades.

Cadastrando credenciais para Autenticação no Manager ADM

Agora temos todas as informações necessárias para realizar o uso da autenticação OAuth2.

As informações a seguir devem ser inseridas no serviço de e-mail dentro do Manager Admin.

AZURE ACTIVE DIRECTORY

MANAGER ADM

ID do aplicativo (cliente)

Cliente Id

ID do diretório (locatário)

Tenant Id

URI de redirecionamento

RedirectUri

Valor Segredo do Cliente

Secret Id

Para mais informações sobre a autenticação OAuth no Manager ADM, acesse Configurando o Serviço de E-mail no Tactium OMNI.



Este conteúdo foi útil para você?
100% LikesVS
0% Dislikes

Index