OAuth 身份验证
OAuth是一种安全的身份验证方法,它使用身份验证令牌而不是密码将应用程序连接到用户帐户。资源所有者可以通过使用OAuth为请求访问同一资源的每个客户端分别配置权限,还可以在任何时候修改/撤销访问权限。
配置OAuth提供者的要求
- 向相应的提供商创建/注册应用程序;
- 配置OAuth需要以下详细信息:
- 客户端 ID
- 客户端密码
- Scope
- 身份验证URL
- 标记的URL
- 添加和更新操作应该在各自的OAuth提供程序中进行身份验证。
配置OAuth提供者
- 进入 设置 > 常规设置 > OAuth 提供者 - 添加OAuth提供者;
- 请提供以下详细资料:
- 配置文件名称 - 每个配置文件的唯一配置文件名称;
- 描述 — OAuth配置文件的描述信息;
- 身份验证提供者- OAuth提供者的名称- Google/Microsoft;
- 超时-连接提供者所需的时间。范围:10-300秒;
- 客户端ID -由提供者在向提供者注册OpManager后生成;
- 客户端秘密-由提供者在向提供者注册OpManager后生成;
- 认证URL——由提供者在向提供者注册OpManager后生成;
- 令牌URL -由提供者在向提供者注册OpManager后生成;
- 范围-在向提供商注册OpManager后由提供商生成。
- 提供上述详细信息后,保存。用户将被重定向到基于OAuth提供者的Google/Microsoft身份验证,验证它以继续下一步。
使用Microsoft配置OAuth:
- 进入 Microsoft Azure主页:
- 在Azure服务中,转到应用程序注册:
- 点击新注册:
- 按照以下步骤注册应用程序:
- 输入应用程序的名称;
- 根据需要选择支持的帐户类型为单租户或多租户;
- 对于重定向URL,选择类型为Web,并使用<https://www.manageengine.com/itom/OAuthAuthorization.html>作为重定向URL。您也可以从OAuth提供程序页面复制重定向URL。
- 然后点击注册创建应用程序。
- 注册应用程序后,您将被重定向到应用程序主页。使用应用程序ID作为客户端ID;
- 单击“添加证书或密钥”输入客户端密钥,然后按照下面的步骤:
- 点击 "新客户端密码";
- 提供描述 & 客户端密钥的过期时间,单击“添加”;
- 复制该值,这将是客户端密钥(保存此值以备将来使用,一段时间后将变为不可读);
- 如果该值不可读,并且需要客户端密码,则可以创建一个新的客户端密码并使用该值。
- 此客户端密码将根据您提供的持续时间而过期。一旦过期,请创建一个新的客户端密钥并使用该值。
- 配置 Scope。
- 为 邮件服务器配置OAuth
如果为Mail Server完成了OAuth配置,则Scope应该是https://outlook.office.com/SMTP.Send
但是,对于脱机访问,这个Scope应该加上“offline_access”。Scope应该是"offline_access https://outlook.office.com/SMTP.Send. (它将在默认情况下添加,无需做额外更改。)
- 要将OpManager与Microsoft Teams集成,建议使用以下Scope:
Scope |
目标 |
Channels.ReadBasic.All |
获取频道列表 |
Teams.ReadBasic.All |
获取Teams列表 |
ChannelMessage.Send |
向通道发送消息 |
- 要将OpManager与Microsoft Teams 集成,需要API权限。要添加API权限,请进入API权限,单击添加权限,选择Microsoft Graph,并选择委托权限。
- 对于身份验证URL和令牌URL,转到应用程序主页(概述)并单击端点,在那里输入“OAuth 2.0授权端点(v2)”作为身份验证URL和“OAuth 2.0令牌端点(v2)”作为令牌URL。
使用Google配置OAuth
- 进入 Google控制台仪表板;
- 点击创建项目,创建一个新项目;
- 为应用程序提供一个名称并单击Create,它将重定向到Project主页;
- 然后到Library中搜索所需的API/Services。然后启用API/服务;
- 进入OAuth同意界面,选择“外部”用户类型,单击创建;
- 在App信息中,输入App名称、用户支持邮箱、开发者联系方式(必填字段)等必要字段,点击保存并继续;
- 配置 Scope, 单击"添加或删除作用域"。添加所需的作用域并单击“更新”,然后单击“保存并继续”。如果列表中没有任何特定的作用域,请转到Library搜索特定的API并启用它,然后尝试添加作用域;
- 要添加可以通过此应用程序进行身份验证的用户,请单击“添加用户”按钮并添加用户;
- 然后单击保存并继续,它将显示创建的应用程序的摘要。
- 添加应用程序详细信息后,转到凭证并创建一个新的OAuth客户端ID。
- 选择应用程序类型为“Web应用程序”,并命名;
- 然后添加重定向URL为"https://www.manageengine.com/itom/OAuthAuthorization.html",并单击创建,也可以从OAuth提供程序页面复制重定向URL;
- 一旦创建了凭据,客户端ID和客户端密码将显示在对话框中;
- 下载JSON,其中我们可以找到认证URL和令牌URL分别为auth_url和token_url。
使用OAuth配置邮件服务器的推荐范围
- 在API库(步骤4)中,搜索Gmail API 并启用它;
- 添加Scope时,在Gmail API下添加并使用Scope"https://mail.google.com"。