OAuth 认证

OAuth 是一种安全的认证方法,它使用认证令牌而不是密码,将您的application连接到您的用户账户。使用 OAuth,资源所有者可以为每个请求访问同一资源的客户端单独配置权限,并且可以在任何时间修改或撤销访问权限。

要将 OpManager 与某个 OAuth 提供商进行配置,您需要在相应的提供商处创建或注册一个application。此外,在添加和更新动作时,需要通过 OAuth 提供商进行认证。

将 OpManager 与 Microsoft 集成配置:

按照以下步骤在 Microsoft 中配置 OAuth

  1. 前往 Microsoft Azure 首页
  2. 在 Azure services 中,进入 App registrations(应用注册)


    3.  

    OpManager 中的 Oauth 认证:Azure 服务中的 App registrations


     

  3. 点击 New registration(新注册)


    4.  

    OpManager 中的 Oauth 认证:新注册


     

  4. 按照以下步骤注册一个application


    5.  

    OpManager 中的 Oauth 认证:注册应用程序
  • 输入application名称(OpManager)。
  • 选择账户类型。账户可以位于任意组织目录中 (Azure AD 目录或多租户),也可以是个人 Microsoft 账户 (例如 Skype、Xbox)您可以根据自己的需求选择不同的账户类型
  • Redirect URL(重定向 URL) 中,将类型选择为 Web,并使用 <https://www.manageengine.com/itom/OAuthAuthorization.html> 作为重定向 URI。您也可以在 OpManager 控制台 -> OAuth Provider Settings 页面中复制该重定向 URL。
  • 然后点击 Register(注册) 来创建一个application。
  • 注册application后,您会被重定向到该application的主页。复制application ID,这就是客户端 ID(Client ID)


    •  

    OpManager 中的 Oauth 认证:将 Application ID 作为 Client ID


     

  • 点击“Add a certificate or secret(添加证书或机密)”以获取 客户端机密(Client Secret)。然后按照以下步骤操作,
    • OpManager 中的 Oauth 认证:添加证书或机密
    • 点击 “New client secret(新建客户端机密)”。


     

    OpManager 中的 Oauth 认证:新建客户端机密


     

    • 为客户端机密提供描述(Description)和过期时间(Expires time),然后点击 Add。


     

    OpManager 中的 Oauth 认证:描述和过期时间


     

    • 复制该值(Value),这就是客户端机密。(请保存此值以备后用,因为一段时间后它将变为不可读。)


     

    OpManager 中的 Oauth 认证:客户端机密的值


     

    • 如果该值变为不可读,而您需要客户端机密,则可以新建一个客户端机密并使用新的值。
    • 该客户端机密会在您设置的时长后过期。一旦过期,请创建新的客户端机密并使用其值。
  • 对于 Authentication URL(认证 URL)Token URL(令牌 URL),请前往application主页(Overview),点击 Endpoints(终结点),然后复制 “OAuth 2.0 authorization endpoint (v2)” 作为认证 URL,以及 “OAuth 2.0 token endpoint (v2)” 作为令牌 URL。


    •  

    OpManager 中的 Oauth 认证:认证 URL 和令牌 URL
  • OpManager 需要 Scope(SMTP.Send)来访问该application以发送电子邮件通知。在 OpManager 控制台中配置时,Scope 应添加为 
    https://outlook.office.com/SMTP.Send

    • 注意:对于离线访问,此 scope 需要追加 'offline_access'。Scope 应为 
    "offline_access https://outlook.office.com/SMTP.Send
    在 OpManager 中会默认追加该内容,无需手动添加。

    OAuth 提供商配置

    在完成与 Microsoft 的 OAuth 配置后,打开 OpManager,

    1. 进入 Settings > General Settings > OAuth Provider - Add OAuth Provider


      2.  

      OpManager 中的 Oauth 认证:添加 Oauth 提供商凭据


       

    2. 提供以下信息,
      • Profile Name - 每个配置文件的唯一名称。
      • Description - 关于该 OAuth 配置文件的描述。
      • Authentication Provider - OAuth 提供商名称 - Microsoft。
      • Timeout - 与提供商建立连接所需的时间。范围:10-300 秒。
      • Client ID - 使用在“将 OpManager 与 Microsoft 集成配置”步骤 5 中复制的值。
      • Client Secret - 使用在“将 OpManager 与 Microsoft 集成配置”步骤 6 中复制的值。
      • Authentication URL - 使用在“将 OpManager 与 Microsoft 集成配置”步骤 7 中复制的值。
      • Token URL - 使用在“将 OpManager 与 Microsoft 集成配置”步骤 7 中复制的值。
      • Scope - 使用在“将 OpManager 与 Microsoft 集成配置”步骤 8 中复制的值。
    3. 在提供完上述信息后,保存配置。您将被重定向到 Microsoft 登录页面。输入邮箱和密码进行登录,然后点击“Accept”以授予访问该application的同意。
    OpManager 中的 Oauth 认证:Microsoft 登录页面
    OpManager 中的 Oauth 认证:请求的权限

    请注意,此处生成的访问令牌将绑定到您提供的邮箱。因此,如果在认证时选择了该 OAuth 提供商,请确保使用相同的邮箱地址作为用户名。

    重要:如果“Permission Requested(请求权限)”窗口中显示的是“Approve(批准)”按钮而不是“Accept(接受)”按钮,或者显示的是“Need admin approval(需要管理员批准)”窗口,请点击此处了解如何允许非管理员用户在无需管理员同意的情况下继续操作。

    注意:

    现在您已成功添加一个 OAuth 提供商,可以在邮件Server设置中选择它用于 OAuth 认证。

    OpManager 中的 Oauth 认证:认证提供商设置


    在其被用于邮件Server设置之前,OAuth 提供商设置的状态会显示为 Inactive(未启用)。
     

    OpManager 中的 Oauth 认证:未启用的 Oauth 提供商设置


     

    OpManager 中的 Oauth 认证:已启用的 Oauth 提供商设置

     

    感谢您的反馈!

    此内容对您有帮助吗?

    很抱歉给您带来不便。请帮助我们改进此页面。

    我们该如何改进此页面?
    您是否需要有关此主题的协助?
    点击“提交”,即表示您同意根据隐私政策处理个人数据。