Authentification OAuth 2.0 avec Azure Active Directory
Le protocole OAuth 2,0 est le protocole de l’industrie pour l’autorisation. Il permet à un utilisateur d’accorder un accès limité à ses ressources protégées. Conçu pour fonctionner spécifiquement avec le protocole HTTP (Hypertext Transfer Protocol), OAuth sépare le rôle du client du propriétaire de la ressource. Le client demande l’accès aux ressources contrôlées par le propriétaire de la ressource et hébergées par le serveur de ressources. Le serveur de ressources émet des jetons d’accès avec l’approbation du propriétaire de la ressource. Le client utilise les jetons d’accès pour accéder aux ressources protégées hébergées par le serveur de ressources.
OAuth 2.0 est directement lié à OpenID Connect (OIDC). Étant donné que OIDC est une couche d’authentification et d’autorisation reposant sur OAuth 2.0, il n’est pas compatible avec OAuth 1.0. Azure Active Directory (Azure AD) prend en charge tous les flux OAuth 2.0.
L’authentification ‘Basic’ prend fin
Chez Microsoft, le début du programme de la fin de l’authentification de base démarre en 2022
La fin définitive sera en octobre 2022. Consultez ce lien pour plus d’informations
Dont voici un extrait
...
Mettre en oeuvre Authentification OAuth 2.0
| Remarque |
|---|
Un runtime Harmony supérieur à 407a est requis pour réaliser ces opérations |
...
Avant de commencer, vous devez tout d’abord inscrire
...
une nouvelle application sur la plateforme
...
Dans le saas on n’a besoin que du client ID, car le tenant ID est celui de DIVALTO et il est déjà crée.
...
Azure Active Directory.
...
Vous devez accorder des autorisations supplémentaires à cette application afin que l’application Divalto puisse l’exploiter dans le cadre du protocole EWS.
Microsoft Graph
Calendars.ReadWrite
Contacts.ReadWrite
Mail.Send
User.Read
Depuis cette interface, vous avez également la possibilité d’accorder un consentement d’administrateur afin d’appliquer ces autorisations pour l’ensemble des comptes de l’organisation.
...
Il s’agit maintenant de récupérer deux identifiants pour pouvoir les indiquer dans le paramétrage de EWS en mode OAuth :
“Client ID” = ID d’application
“Tenant ID” = ID de l’annuaire (locataire)
...
La définition de ces valeurs s’effectue dans le programme ‘Administration de EWS en mode OAuth2'
| Info |
|---|
En mode SaaS, le |
...
programme de gestion des paramètres est disponible depuis le programme d’Administration Cloud xCloudAdmin (Administration > Paramètres > Cloud > Administration Cloud) Le choix est disponible depuis le menu ‘Autres paramètres’ puis ‘Administration de EWS en mode OAuth2’ En mode OnPremise , |
...
...
l’accès à ces paramètres s’effectue depuis le programme ‘Harmony.dhop' à partir du menu 'Administration’ puis ‘Administration de EWS en mode OAuth2’ |
...
Le programme de saisie des paramètres techniques (xDivaltoParam) vous permettra d’accéder à la configuration du protocole EWS.
| Info |
|---|
En mode |
...
En modeOnPremise, remplissez les deux champs
...
Une fois validé, vous pouvez vérifier si le paramétrage de EWS en mode Oauth2 est présent en lançant DivaltoViewer en mode connecté sur votre serveur ou en lançant le choix des paramètres de EWS dans le programme des paramètres techniques.
Il doit y avoir indiqué le mode avec Oauth Azure
Ensuite un bouton « Authentification Azure » existe en mode client léger ou socket (non disponible en model html5) pour la suite des opérations.
...
Ensuite, votre administrateur doit inscrire la liste des utilisateurs ayant le droit de se connecter à Exchange Serveur
soit METHODE 1 à travers une connexion Oauth pour cette application
soit METHODE 2 en demandant à chacun d’activer la demande d’autorisation de la connexion a Exchange Serveur pour cette application
soit un mixte des deux méthodes précédentes, vnotamment pour les comptes qui n’appartiennent pas a un utilisateur, comme les comptes servant pour telnet et les services .
...
Pour la METHODE 2 il faut avoir le client léger de la version Harmony 407 au minimum sur son poste et être en mode xwpf.
| Info |
|---|
En client html5 cela n’existe pas car il n’y a pas de connexion possible entre le serveur microsoft Oauth et le navigateur |
En mode XWPF ou dans DivaltoViewer en mode connecté, il faut cliquer sur le bouton “Authentification Azure” et suivre les instructions.
Lors de la première connexion, il faut indiquer votre compte windows avec le mot de passe.
Puis valider la demande d’autorisation de l’application pour qu’elle puisse se connecter sur votre Exchange Serveur avec votre compte .
...
A la fin, Microsoft Azure renvoi l’information si l’autorisation a été validée ou abandonnée.
SaaS, la configuration des paramètres de messagerie est disponible depuis le programme de saisie des paramètres techniques (Commun > Paramètres utilisateurs > Saisie des paramètres techniques) La section ‘Options avancées (Messagerie, Conversion PDF, …) contient le menu 'Protocole Exchange Web Services’ Ces paramètres sont également disponibles par le biais de l’application DivaltoViewer.exe |
Vous devez vérifier que le mécanisme d’authentification EWS exploite le mode 'OAuth Azure'
La saisie des paramètres d’identification reste requise en complément de l’authentification de l’application.
...
| Astuce |
|---|
Vous pouvez, maintenant, utiliser Divalto pour envoyer des mails , créer des RDV dans le calendrier et ajouter des contacts dans votre compte Exchange Serveur et dans Outlook |
Liens d’informations supplémentaires
https://docs.microsoft.com/fr-fr/azure/active-directory/develop/quickstart-register-app
...
...