OAuth 身份验证

OAuth是一种安全的身份验证方法,它使用身份验证令牌而不是密码将应用程序连接到用户帐户。资源所有者可以通过使用OAuth为请求访问同一资源的每个客户端分别配置权限,还可以在任何时候修改/撤销访问权限。

配置OAuth提供者的要求

  1. 向相应的提供商创建/注册应用程序;
  2. 配置OAuth需要以下详细信息:
    • 客户端 ID
    • 客户端密码
    • Scope
    • 身份验证URL
    • 标记的URL
  3. 添加和更新操作应该在各自的OAuth提供程序中进行身份验证。

配置OAuth提供者

  1. 进入 设置 > 常规设置 > OAuth 提供者 - 添加OAuth提供者

    2. oauth

  2. 请提供以下详细资料:
    • 配置文件名称 - 每个配置文件的唯一配置文件名称;
    • 描述 — OAuth配置文件的描述信息;
    • 身份验证提供者- OAuth提供者的名称- Google/Microsoft;
    • 超时-连接提供者所需的时间。范围:10-300秒;
    • 客户端ID -由提供者在向提供者注册OpManager后生成;
    • 客户端秘密-由提供者在向提供者注册OpManager后生成;
    • 认证URL——由提供者在向提供者注册OpManager后生成;
    • 令牌URL -由提供者在向提供者注册OpManager后生成;
    • 范围-在向提供商注册OpManager后由提供商生成。
  3. 提供上述详细信息后,保存。用户将被重定向到基于OAuth提供者的Google/Microsoft身份验证,验证它以继续下一步。
oauth

使用Microsoft配置OAuth:

  1. 进入 Microsoft Azure主页
  2. 在Azure服务中,转到应用程序注册

    3. oauth

  3. 点击新注册

    4. oauth

  4. 按照以下步骤注册应用程序:

    5. oauth
    • 输入应用程序的名称;
    • 根据需要选择支持的帐户类型为单租户或多租户
    • 对于重定向URL,选择类型为Web,并使用<https://www.manageengine.com/itom/OAuthAuthorization.html>作为重定向URL。您也可以从OAuth提供程序页面复制重定向URL。

      • oauth

    • 然后点击注册创建应用程序。
  5. 注册应用程序后,您将被重定向到应用程序主页。使用应用程序ID作为客户端ID

    6. oauth

  6. 单击“添加证书或密钥”输入客户端密钥,然后按照下面的步骤:
    • 点击 "新客户端密码";

      • oauth

    • 提供描述 & 客户端密钥的过期时间,单击“添加”;

      • oauth

    • 复制该值,这将是客户端密钥(保存此值以备将来使用,一段时间后将变为不可读);

      • oauth

    • 如果该值不可读,并且需要客户端密码,则可以创建一个新的客户端密码并使用该值。
    • 此客户端密码将根据您提供的持续时间而过期。一旦过期,请创建一个新的客户端密钥并使用该值。
  7. 配置 Scope
    • 邮件服务器配置OAuth

      • 如果为Mail Server完成了OAuth配置,则Scope应该是https://outlook.office.com/SMTP.Send

      但是,对于脱机访问,这个Scope应该加上“offline_access”。Scope应该是"offline_access https://outlook.office.com/SMTP.Send. (它将在默认情况下添加,无需做额外更改。)

    • 要将OpManager与Microsoft Teams集成,建议使用以下Scope:
      • Scope 目标
      Channels.ReadBasic.All 获取频道列表
      Teams.ReadBasic.All 获取Teams列表
      ChannelMessage.Send 向通道发送消息
    • 要将OpManager与Microsoft Teams 集成,需要API权限。要添加API权限,请进入API权限,单击添加权限,选择Microsoft Graph,并选择委托权限
    oauth
  8. 对于身份验证URL令牌URL,转到应用程序主页(概述)并单击端点,在那里输入“OAuth 2.0授权端点(v2)”作为身份验证URL和“OAuth 2.0令牌端点(v2)”作为令牌URL。

    9. oauth

使用Google配置OAuth

  1. 进入 Google控制台仪表板
  2. 点击创建项目,创建一个新项目;

    3. oauth

  3. 为应用程序提供一个名称并单击Create,它将重定向到Project主页;

    4. oauth

  4. 然后到Library中搜索所需的API/Services。然后启用API/服务;

    5. oauth

  5. 进入OAuth同意界面,选择“外部”用户类型,单击创建

    6. oauth

    • 在App信息中,输入App名称、用户支持邮箱、开发者联系方式(必填字段)等必要字段,点击保存并继续;

      • oauth

    • 配置 Scope, 单击"添加或删除作用域"。添加所需的作用域并单击“更新”,然后单击“保存并继续”。如果列表中没有任何特定的作用域,请转到Library搜索特定的API并启用它,然后尝试添加作用域;

      • oauth

    • 要添加可以通过此应用程序进行身份验证的用户,请单击“添加用户”按钮并添加用户;

      • oauth

    • 然后单击保存并继续,它将显示创建的应用程序的摘要。
  6. 添加应用程序详细信息后,转到凭证并创建一个新的OAuth客户端ID

    7. oauth
    • 选择应用程序类型为“Web应用程序”,并命名;

      • oauth

    • 然后添加重定向URL为"https://www.manageengine.com/itom/OAuthAuthorization.html",并单击创建,也可以从OAuth提供程序页面复制重定向URL;

      • oauth

    • 一旦创建了凭据,客户端ID和客户端密码将显示在对话框中;

      • oauth

    • 下载JSON,其中我们可以找到认证URL和令牌URL分别为auth_url和token_url。

使用OAuth配置邮件服务器的推荐范围

  • 在API库(步骤4)中,搜索Gmail API 并启用它;

    • oauth

  • 添加Scope时,在Gmail API下添加并使用Scope"https://mail.google.com"

oauth