Guide de configuration du serveur de courriel avec OAuth2

Note

OAuth 2.0 (Open Authorization) est un protocole conçu pour permettre à une application d'accéder à des services fournis par d'autres applications pour le compte d'un utilisateur.

L'authentification OAuth2 implique trois parties :

Le fournisseur du service : Application qui héberge le service qui doit être utilisé. Dans notre cas, il s'agit d'un serveur SMTP hébergé par une application externe à S-Filer Portal (par exemple, Microsoft 365 ou GMail).
L'utilisateur du service : Application qui veut utiliser le service du fournisseur. Dans notre cas, il s'agit de S-Filer Portal.
L'utilisateur autorisé : Il s'agit d'un utilisateur autorisé à utiliser le service du fournisseur et pour lequel se fera passer l'application voulant utiliser ce service.

La mise en œuvre pour permettre l'authentification OAuth2 avec le serveur de courriel requiert des étapes devant prendre place dans l'application fournissant le service et d'autres devant prendre place dans la console administrative de S-Filer Portal.

Configurer le fournisseur de service
Configurer S-Filer Portal

Configurer le fournisseur de service

La configuration requise pour activer l'authentification OAuth2 avec le serveur de courriel est différente d'un fournisseur de service à l'autre. Les sous-sections suivantes donnent des instructions détaillées pour chacun des fournisseurs que nous avons testés dans S-Filer Portal.

Microsoft

Microsoft

La configuration pour pouvoir utiliser le serveur SMTP de Microsoft doit se faire dans plusieurs applications et il est nécessaire de disposer d'un compte administrateur dans votre locataire Microsoft.

Microsoft Azure
Centre d'administration Microsoft 365
Interface de ligne de commande Powershell

Microsoft Azure

Les étapes suivantes sont effectuées dans le portail Azure et requièrent d'avoir les permissions nécessaires pour ajouter une nouvelle "Application d'entreprise".

Étape nº 1 - Connexion au portail Azure

Se connecter au portail Azure en utilisant votre navigateur et vos identifiants de connexion.

Étape nº 2 - Récupération de l'ID du locataire

L'ID du locataire est un identifiant qui sera nécessaire plus bas à l'étape nº 3 de la configuration avec l'interface de ligne de commande Powershell et à l'étape nº 4 de la configuration de S-Filer Portal dans l'onglet OAuth2.

Pour le récupérer, utiliser la barre de recherche présente dans la page d'accueil du Portail Azure afin de retrouver le service Propriétés du locataire. Une fois dans l'écran principal de ce service, copier la valeur du champ ID du locataire.

azure-tenant-id-copy

Étape nº 3 - Création de l'utilisateur autorisé

Il est nécessaire de créer un utilisateur dans Azure qui aura les permissions nécessaires pour envoyer des courriels de façon applicative par SMTP. Le serveur S-Filer Portal utilisera alors cet utilisateur pour se connecter au serveur SMTP lorsqu'il aura besoin d'envoyer des courriels. L'adresse courriel de cet utilisateur autorisé sera celle qui apparaitra comme adresse de l'expéditeur dans les courriels envoyés par S-Filer Portal.

Utiliser la barre de recherche présente dans la page d'accueil du Portail Azure afin de retrouver le service d'Utilisateurs. Une fois dans l'écran d'Utilisateurs, cliquer sur le bouton Nouvel utilisateur présent dans la barre du haut, puis choisir l'option Créer un utilisateur pour créer un nouvel utilisateur.

azure-user-new

Entrer les champs obligatoires Nom d'utilisateur principal et Nom d'affichage.

Copier la valeur du champ Nom d'utilisateur principal qui sera nécessaire plus bas à l'étape nº 7 de la configuration Azure, à l'étape nº 5 de la configuration avec l'interface de ligne de commande Powershell, ainsi qu'à l'étape nº 4 de la configuration de S-Filer Portal dans l'onglet OAuth2.

Cliquer sur Suivant : Propriétés.

azure-user-info-base

Renseigner le paramètre Lieu d'utilisation puis cliquer sur Vérifier et créer.

azure-user-info-properties

Cliquer sur Créer pour créer l'utilisateur autorisé.

azure-user-add

Vous serez redirigé dans la liste des utilisateurs. Utiliser la boîte de recherche pour trouver votre utilisateur autorisé et cliquer sur celui-ci.

azure-user-select

Il faut ensuite affecter une license Microsoft 365 à votre utilisateur autorisé. Cliquer sur Licenses dans le menu de gauche, puis sur Affectations.

azure-user-license

Sélectionner une license Microsoft 365 et cliquer sur Enregistrer.

azure-user-license-add

Étape nº 4 - Création d'une nouvelle "Application d'entreprise"

Utiliser la barre de recherche présente dans la page d'accueil du Portail Azure afin de retrouver le service d'Application d'entreprise. Une fois dans l'écran d'Application d'entreprise, utiliser le bouton Nouvelle application présent dans la barre du haut pour créer une nouvelle application.

azure-app-new

Lorsque la nouvelle page est présentée, cliquer sur le bouton Créer votre propre application, puis entrer un nom identifiant l'application SMTP OAuth2 pour S-Filer Portal. Cliquer sur Créer.

azure-app-create

Vous vous retrouverez ensuite sur la page principale de votre nouvelle application d'entreprise.

Copier la valeur du champ ID d'application. Elle sera nécessaire plus bas dans l'étape nº 4 de la configuration avec l'interface de ligne de commande Powershell et dans l'étape nº 4 de la configuration de S-Filer Portal dans l'onglet OAuth2.

Copier la valeur du champ ID d'objet. Elle sera nécessaire plus bas dans l'étape nº 4 et l'étape nº 5 de la configuration avec l'interface de ligne de commande Powershell.

azure-app-ids

Étape nº 5 - Autorisation d'un API

Les étapes suivantes sont nécessaires pour que votre application d'entreprise soit en mesure d'envoyer des courriels par SMTP en tant qu'application.

Vous devez sélectionner Autorisations dans le menu de gauche ensuite cliquer sur le lien inscription d'application.

azure-auth-app-inscription

Vous vous retrouverez alors dans l'écran des API autorisées où vous allez cliquer sur Ajouter une autorisation. Dans la boîte Demander des autorisations d'API qui s'ouvrira sur la droite de l'écran, cliquer sur API utilisées par mon organisation. Dans la boîte de recherche, entrer Office 365 Exchange Online et sélectionner le seul API qui va apparaitre dans la liste.

azure-auth-app-add

Dans l'écran suivant, cliquer sur Autorisations d'application

azure-auth-app-request

Sélectionner l'item suivant:

SMTP.SendAsApp

Cliquer sur Ajouter des autorisations.

azure-auth-app-selection

Une fois que l'autorisation est ajoutée, vous devez cliquer sur Accorder un consentement d'administrateur pour [ID du locataire].

azure-auth-app-consent

Finalement, cliquer sur Oui pour confirmer l'accord de consentement d'administrateur.

azure-auth-app-consent-confirm

Étape nº 6 - Création d'un secret

Cette étape consiste à créer un secret. Pour ce faire, cliquer sur Certificats & secrets à gauche dans le menu. Aller sur l'onglet Secrets client et cliquer sur Nouveau secret client.

azure-secret-config

Dans la boite qui s'ouvre, entrer la Description et la Date d'expiration et cliquer sur Ajouter.

azure-secret-config-add

Copier la valeur du secret. Elle sera nécessaire plus bas dans l'étape nº 4 de la configuration de S-Filer Portal dans l'onglet OAuth2.

azure-secret-config-copy

Étape nº 7 - Assignation de l'utilisateur autorisé

Cette étape consiste à assigner l'utilisateur autorisé créé à l'étape nº 3 à l'Application d'entreprise. Pour ce faire, sélectionner Utilisateurs et groupes dans le menu de gauche et cliquer sur Ajouter un utilisateur/groupe.

azure-assign-user

Sélectionner Utilisateurs et groupes et dans la boîte qui s'ouvrira à la droite de l'écran, entrer le Nom d'utilisateur principal de votre utilisateur autorisé dans la boîte de recherche. Cocher votre utilisateur autorisé dans la liste et cliquer sur Sélectionner.

azure-assign-user-select

Pour confirmer l'assignation, cliquer sur le bouton Attribuer.

azure-assign-user-confirm

Vous avez terminé les configurations à faire dans le portail Azure.

Centre d'administration Microsoft 365

Les étapes suivantes sont effectuées dans le Centre d'administration Microsoft 365 et requièrent d'avoir les permissions nécessaires pour modifier les paramètres des boîtes de courriel des utilisateurs.

Étape nº 1 - Connexion au Centre d'administration Microsoft 365

Se connecter au Centre d'administration Microsoft 365 en utilisant votre navigateur et vos identifiants de connexion.

Étape nº 2 - Activation du protocole SMTP

Dans le menu de gauche, ouvrir la liste déroulante Utilisateurs, cliquer sur le lien Utilisateurs actifs, rechercher votre utilisateur autorisé et finalement, le sélectionner dans la liste.

m365admin-user-select

Dans la boîte qui s'ouvrira à la droite de l'écran, sélectionner l'onglet Courrier et cliquer sur le lien Gérer les applications de courrier.

m365admin-user-mail-app

Activer l'application SMTP authentifié et cliquer sur Enregistrer les modifications.

m365admin-user-mail-app-save

Vous avez terminé les configurations à faire dans le Centre d'administration Microsoft 365.

Interface de ligne de commande Powershell

Il est nécessaire de permettre à l'application d'entreprise d'accéder à la boîte de courriel de l'utilisateur autorisé, sinon l'envoi des courriels ne fonctionnera pas. Il n'est pas possible d'effectuer cette étape dans les autres applications Microsoft alors il faut utiliser le module ExchangeOnlineManagement dans l'interface de ligne de commande PowerShell.

Pour plus de détails sur le module ExchangeOnlineManagement se trouvent sur le site officiel de Microsoft.

Les étapes suivantes doivent être faites dans la console Powershell en tant qu'administrateur.

Étape nº 1 - Installer le module ExchangeOnlineManagement

Install-Module -Name ExchangeOnlineManagement

Étape nº 2 - Importer le module dans la session PowerShell

Import-Module ExchangeOnlineManagement

Étape nº 3 - Se connecter à votre locataire Azure

Connect-ExchangeOnline -Organization [ID_Locataire]

Le paramètre ID_Locataire correspond à la valeur trouvée à l'étape nº 2 de la configuration Azure. Une fenêtre apparaitra alors pour vous authentifier dans Azure. Vous devez vous connecter avec un utilisateur ayant les droits d'administration.

Étape nº 4 - Créer un nouveau "Service Principal"

New-ServicePrincipal -AppId [ID_Application] -ObjectID [ID_Objet]

Le paramètre ID_Application correspond à l'ID d'application de l'application d'entreprise créée à l'étape nº 4 de la configuration Azure.

Le paramètre ID_Objet correspond à l'ID d'objet de l'application d'entreprise créée à l'étape nº 4 de la configuration Azure.

Étape nº 5 - Autoriser l'application à accéder à la boîte de courriel de l'utilisateur autorisé

Add-MailboxPermission -Identity "[Nom_Utilisateur]" -User [ID_Objet] -AccessRights FullAccess

Le paramètre Nom_Utilisateur correspond au Nom d'utilisateur principal de l'utilisateur autorisé créé à l'étape nº 3 de la configuration Azure.

Le paramètre ID_Objet correspond à l'ID d'objet de l'application d'entreprise créée à l'étape nº 4 de la configuration Azure.

Étape nº 6 - Se déconnecter de votre locataire Azure

Disconnect-ExchangeOnline

Vous avez terminé les configurations à faire dans l'interface de ligne de commande Powershell.

Configurer S-Filer Portal

Les étapes suivantes prennent place dans la console administrative de S-Filer Portal.

Voir aussi

Référez-vous à la documentation de la configuration des courriels pour une description complète de tous les champs de configuration.

Intégration aux processus d'affaires/Configuration des courriels

Étape nº 1 - Connexion à la console administrative S-Filer Portal

Se connecter dans la console administrative S-Filer Portal en utilisant vos identifiants de connexion. Ouvrir la section identifiée par le nom de votre serveur S-Filer Portal, ouvrir la section Configuration et cliquer sur Courriel.

Étape nº 2 - Configuration de base

Aller dans l'onglet Configuration de base.

Dans le paramètre Adresse d'expédition, entrer le Nom d'utilisateur principal de l'utilisateur autorisé créé à l'étape nº 3 de la configuration Azure et cliquer sur Sauvegarder.

admin-basic-config

Étape nº 3 - Serveur de courriel

Aller dans l'onglet Serveur de courriel et entrer les valeurs suivantes pour les différents paramètres:

Protocole de courriel électronique : smtp
Utiliser SSL : Non
Utiliser STARTTLS : Oui
Adresse IP / hôte : smtp.office365.com
Port : 587

Cliquer ensuite sur Sauvegarder.

admin-email-server

Étape nº 4 - OAuth2

Aller dans l'onglet OAuth2 et entrer les valeurs suivantes pour les différents paramètres:

Activer : Oui
URL du jeton d'authentification : https://login.microsoftonline.com/[ID_LOCATAIRE]/oauth2/v2.0/token, où le paramètre ID_LOCATAIRE correspond à l'ID du locataire récupéré à l'étape nº 2 de la configuration Azure
Identifiant du client : ID d'application de l'application d'entreprise créée à l'étape nº 4 de la configuration Azure
Secret du client : Secret créé à étape nº 6 de la configuration Azure
Portées : https://outlook.office.com/.default
Nom d'utilisateur : Nom d'utilisateur principal de l'utilisateur autorisé créé à l'étape nº 3 de la configuration Azure

Cliquer ensuite sur Sauvegarder.

admin-email-oauth2

Étape nº 5 - Redémarrage du serveur S-Filer Portal

Pour rendre les changements effectifs, il est nécessaire de redémarrer le serveur S-Filer Portal.

Guide de configuration du serveur de courriel avec OAuth2 ​

Configurer le fournisseur de service ​

Microsoft ​

Microsoft Azure ​

Étape nº 1 - Connexion au portail Azure ​

Étape nº 2 - Récupération de l'ID du locataire ​

Étape nº 3 - Création de l'utilisateur autorisé ​

Étape nº 4 - Création d'une nouvelle "Application d'entreprise" ​

Étape nº 5 - Autorisation d'un API ​

Étape nº 6 - Création d'un secret ​

Étape nº 7 - Assignation de l'utilisateur autorisé ​

Centre d'administration Microsoft 365 ​

Étape nº 1 - Connexion au Centre d'administration Microsoft 365 ​

Étape nº 2 - Activation du protocole SMTP ​

Interface de ligne de commande Powershell ​

Étape nº 1 - Installer le module ExchangeOnlineManagement ​

Étape nº 2 - Importer le module dans la session PowerShell ​

Étape nº 3 - Se connecter à votre locataire Azure ​

Étape nº 4 - Créer un nouveau "Service Principal" ​

Étape nº 5 - Autoriser l'application à accéder à la boîte de courriel de l'utilisateur autorisé ​

Étape nº 6 - Se déconnecter de votre locataire Azure ​

Configurer S-Filer Portal ​

Étape nº 1 - Connexion à la console administrative S-Filer Portal ​

Étape nº 2 - Configuration de base ​

Étape nº 3 - Serveur de courriel ​

Étape nº 4 - OAuth2 ​

Étape nº 5 - Redémarrage du serveur S-Filer Portal ​