Tópico Anterior Próximo Tópico

Configurações do servidor de email

Você pode configurar as configurações do servidor de email no ADSelfService Plus para enviar códigos MFA, relatórios e notificações por email.

• Como funciona
• Limitações
• Pré-requisitos
• Configurando um servidor de email
  • Configuração SMTP
    • Autenticação Básica
    • Autenticação OAuth
  • Integração API
• Passos para encontrar seu ID de locatário Azure, ID do cliente e segredo do cliente para configuração SMTP
• Passos para encontrar seu ID do cliente e segredo do cliente do Google Workspace para configuração SMTP
• Passos para encontrar seu ID de Locatário Azure, ID do Cliente e Segredo do Cliente para configuração do servidor de email via API
• Passos para baixar a chave privada JSON para configuração do servidor de email via API
  • Ativar serviço Gmail API
  • Delegando autoridade em todo o domínio para a conta de serviço
• Dicas

Como funciona

ADSelfService Plus suporta dois modos para envio de emails: SMTP e baseado em API.

Configuração do servidor de email SMTP: Dois modos de autenticação estão disponíveis para configurar o servidor de email SMTP da sua organização:

• Autenticação básica: Usa nome de usuário e senha para autenticar no servidor SMTP. Quando configurado, o ADSelfService Plus estabelece uma conexão com o servidor de email usando as credenciais fornecidas e envia emails via protocolo SMTP.
• Autenticação OAuth: Usa autenticação segura baseada em token através dos provedores de identidade Microsoft ou Google. Em vez de armazenar senhas, o ADSelfService Plus obtém um token de acesso OAuth autenticando-se com Azure AD (para Microsoft) ou Google Identity Platform (para Google). Esse token é usado para autenticar no servidor de email, e os emails são enviados usando SMTP.

Integração API: Em vez de conectar via SMTP, o ADSelfService Plus envia emails diretamente pela API do seu provedor de email:

• Microsoft Graph API: O ADSelfService Plus usa as credenciais da aplicação Entra ID (ID do locatário, ID do cliente e segredo do cliente) para obter um token de acesso e fazer chamadas API ao endpoint do Microsoft Graph.
• Gmail API: O ADSelfService Plus usa uma conta de serviço Google com delegação em todo o domínio e uma chave privada JSON para autenticar e enviar emails via Gmail API.

Limitações

• Segurança da Chave Privada JSON: Para configuração da API Google, a chave privada JSON só pode ser baixada uma vez durante a criação. Se perdida, uma nova chave deve ser gerada, não havendo como recuperar a chave privada original.
• Expiração do Segredo do Cliente: Para configurações OAuth/API Microsoft, os segredos do cliente possuem um período de expiração que deve ser gerenciado. Quando o segredo expira, os administradores devem gerar um novo e atualizar a configuração do ADSelfService Plus para manter a funcionalidade de email.

Pré-requisitos

1. Acesso de administrador: Você deve fazer login no ADSelfService Plus com credenciais de administrador para configurar as configurações do servidor de email.
2. Detalhes do servidor SMTP: Você precisa do nome do host ou endereço IP do servidor de email, número da porta e credenciais de autenticação (nome de usuário/senha para Autenticação Básica, ou credenciais OAuth para Autenticação OAuth).
3. Configuração HTTPS (para OAuth/API): Para os modos de autenticação OAuth e API, o ADSelfService Plus deve rodar no protocolo HTTPS com um certificado SSL válido, pois tanto Microsoft Azure quanto Google Identity exigem URIs de redirecionamento não-localhost que usem o esquema HTTPS.

Configurando um servidor de email

Configuração SMTP

1. Faça login no ADSelfService Plus com credenciais de administrador e navegue até Admin > Product Settings > Mail / SMS Settings.
2. Clique na aba Mail Settings.
3. Insira o Nome do Servidor ou IP e o Número da Porta do seu servidor de email nos campos respectivos.
4. No campo Endereço de Remetente, insira o endereço de email que será usado para enviar notificações, relatórios e alertas do ADSelfService Plus.
5. No campo Endereço de Email do Administrador, insira o(s) endereço(s) de email para receber notificações dos emails enviados pelo ADSelfService Plus.
6. No menu suspenso Conexão Segura (SSL/TLS), escolha uma opção suportada pelo servidor de email.
7. Ao lado de Tipo de Autenticação, escolha entre Autenticação Básica ou Autenticação OAuth.

Autenticação básica



1. Insira o Nome de Usuário e a Senha para acessar o servidor de email.
2. Se seu servidor de email não requer autenticação, deixe os campos vazios.

Autenticação OAuth



Selecione seu provedor de email entre as opções disponíveis: Microsoft ou Google.

Se seu provedor de email for Microsoft, forneça o Nome de Usuário, ID do Locatário, ID do Cliente e o Segredo do Cliente nos campos respectivos. No ADSelfService Plus, Azure Cloud é considerado o ambiente Azure padrão. Para modificar a configuração do ambiente Azure, clique no menu suspenso Azure Environment.

Nota: Para aprender como encontrar seu ID de locatário Azure, ID do cliente e segredo do cliente, consulte a seção Passos para encontrar seu Azure tenant ID, client ID, and client secret abaixo.

Se seu provedor de e-mail for Google, forneça o Nome de Usuário, Client ID e o Client Secret nos campos respectivos.

Nota: Para aprender como encontrar seu client ID e client secret do Google, consulte esta seção intitulada Passos para encontrar seu client ID e client secret do Google Workspace abaixo.

8. Clique em Salvar Configurações para salvar a configuração do servidor de e-mail.

Nota: Uma vez que as configurações do servidor de e-mail sejam salvas com sucesso, um e-mail de teste será enviado para o endereço de e-mail inserido no campo Endereço de E-mail do Administrador.

Integração API

Este método permite criar e autenticar um servidor de e-mail via API do seu provedor de e-mail.

1. No campo Modo, selecione API.
2. Selecione seu Provedor de E-mail entre as opções disponíveis: Microsoft ou Google.
3. No campo Endereço de Remetente, insira o endereço de e-mail que será usado para enviar notificações, alertas, etc., do ADSelfService Plus.
4. No campo Endereço de E-mail do Administrador, insira seu endereço de e-mail caso deseje receber notificações dos e-mails enviados pelo ADSelfService Plus.
5. If your mail provider is Microsoft, provide the Tenant ID, Client ID, and Client Secret in the respective fields. In ADSelfService Plus, the Azure Cloud is considered the default Azure environment. You can modify the Azure environment setting by clicking the Escolha o ambiente Azure apropriado link.

   Nota: Para aprender como encontrar seu Azure Tenant ID, Client ID e Client Secret, clique aqui.

6. If your mail provider is Google, upload the JSON private key file.

   Nota: Para aprender como obter seu arquivo de chave privada JSON, clique aqui.

7. Clique em Salvar configurações.

Passos para encontrar seu Azure tenant ID, client ID e client secret para configuração do servidor de e-mail SMTP

1. Faça login em portal.azure.com.
2. Em Azure services, clique em App registrations > New registration.
3. Forneça um Nome de sua escolha e selecione Tipos de Conta Suportados, deixando no padrão.
4. In the URI de redirecionamento field, paste the URI de redirecionamento in the following syntax:
   
   https://server_name:port_number/context_if_any/RestAPI/WC/OAuthSetting
   
   Por exemplo: https://localhost:8082/RestAPI/WC/OAuthSetting.

   Nota: Para garantir a segurança, Microsoft Azure exige que URIs de redirecionamento não-localhost comecem com o esquema HTTPS. Isso pode exigir que o ADSelfService Plus seja executado no protocolo HTTPS. Por favor, consulte os passos para habilitar HTTPS em este guia.

5. Na próxima página, você encontrará os detalhes da aplicação. Copie o Client ID e o Tenant ID.
6. No painel esquerdo, clique em Certificates & secrets > New client secret.
7. Forneça uma Descrição para o client secret, e no campo Expira, escolha a validade do client secret e clique em Adicionar.
8. O client secret será gerado. Copie a string exibida em Valor.
9. Clique em Salvar Configurações e complete o prompt de autorização.

Passos para encontrar seu client ID e client secret do Google Workspace para configuração do servidor de e-mail SMTP

1. Faça login em console.developers.google.com.
2. No painel, clique em Criar para criar um novo projeto se não houver projeto existente, ou selecione qualquer projeto existente e clique em Novo Projeto.
3. Insira o Nome do Projeto. No campo Localização, clique em Procurar e selecione a Organização Pai.
4. Clique em Criar.
5. No painel esquerdo da página de detalhes do projeto exibida, clique em APIs & Services > Biblioteca.
6. Na lista disponível de APIs, selecione Gmail API e clique em Ativar. Você pode usar a opção de busca para encontrar a API rapidamente.
7. No painel esquerdo, clique em Tela de consentimento OAuth e escolha o Tipo de Usuário. Se você não tiver uma conta Google Workspace, escolha Usuário Externo.
8. Forneça o Nome da Aplicação, Logo da Aplicação, o E-mail de Suporte do seu help desk, e as Informações do Desenvolvedor, e clique em Salvar & Continuar.
9. Clique em Adicionar ou Remover Escopos, escolha Gmail API (https://mail.google.com/), e clique em Atualizar. Depois, clique em Salvar & Continuar.
10. Adicione um usuário de teste e clique em Salvar & continuar.
11. No painel esquerdo, clique em Credenciais > Criar Credenciais > OAuth Client ID.
12. Selecione o tipo de aplicação como Aplicação Web. Forneça um nome de sua escolha.
13. In the URI de redirecionamento field, paste the URI de redirecionamento in the following syntax:
    
    https://server_name:port_number/context_if_any/RestAPI/WC/OAuthSetting
    
    Por exemplo: https://localhost:8082/RestAPI/WC/OAuthSetting.

    Nota: Para garantir a segurança, Google Identity exige que URIs de redirecionamento não-localhost comecem com o esquema HTTPS. Isso pode exigir que o ADSelfService Plus seja executado no protocolo HTTPS. Por favor, consulte os passos para habilitar HTTPS em este guia.

14. Clique em Save.
15. Clique em DOWNLOAD JSON para baixar o arquivo contendo os detalhes do servidor de autorização. Copie o Client ID e o Client Secret exibidos na tela.
16. Clique em Salvar Configurações e complete o prompt de autorização.

Passos para encontrar seu ID de Locatário Azure, ID do Cliente e Segredo do Cliente para configuração do servidor de email via API

1. Faça login em portal.azure.com.
2. Em Azure services, clique em App registrations > New registration.
3. Insira um Name de sua escolha e escolha os Supported account types. (Se não tiver certeza sobre os tipos de conta suportados, selecione Accounts apenas no diretório organizacional).
4. No painel esquerdo, clique em API Permission > Add a permission.
5. Clique em Microsoft Graph > Application permission.
6. Pesquise por Mail e selecione o endpoint Microsoft Graph. Clique em Add Permission.
7. Clique em Grant admin consent.
8. Copie o Client ID e o Tenant ID exibidos.
9. No painel esquerdo, clique em Certificates & secrets > New client secret.
10. Forneça uma Description para o client secret. No campo Expires, escolha a validade do client secret e clique em Add.
11. O client secret será gerado. Copie a string exibida em Value.

Passos para baixar a chave privada JSON para configuração do servidor de email via API

1. Faça login em console.developers.google.com.
2. Abra a página Service accounts.
3. Clique em Create Project. Insira o nome do projeto, organização e localização. Clique em Create.
4. Clique em + Create service account na linha superior.
5. Em Service account details, digite um Name, ID e Description para a service account, depois clique em Create and continue.
6. Se necessário, você também pode selecionar os papéis IAM a serem concedidos à service account usando a opção Grant this service account access to project.
7. Clique em Continue.
8. Se necessário, você pode adicionar os usuários ou grupos que têm permissão para usar e gerenciar a service account.
9. Clique em Done.
10. Clique no endereço de e-mail da service account que você criou.
11. Clique na aba Keys.
12. No menu suspenso Add key, selecione Create new key.
13. Selecione o tipo de chave como JSON.
14. Clique em Criar.

Seu novo par de chaves pública/privada será gerado e baixado para sua máquina. Por favor, mantenha a chave privada segura, pois esta será a única cópia e você não poderá gerar a mesma chave privada novamente.

Depois de baixar a chave privada JSON, você deverá habilitar o serviço Gmail API e conceder autoridade em todo o domínio para a service account.

Ativar serviço Gmail API

1. Faça login em console.cloud.google.com.
2. Selecione o projeto no menu suspenso.
3. Clique em + Enable APIS and Services.
4. Selecione Gmail API e clique em Enable.

Delegando autoridade em todo o domínio para a conta de serviço

1. Faça login no Admin console do domínio Google Workspace como superadministrador.
2. Navegue até Main menu > Security > Access and data control > API Controls.
3. No painel Domain wide delegation, selecione Manage Domain Wide Delegation.
4. Clique em Add new.
5. No campo Client ID, insira o Client ID da service account. Você pode encontrar o Client ID da sua service account na página Service accounts.
6. No campo OAuth scopes (separados por vírgula), insira a lista de escopos aos quais sua aplicação deve ter acesso. Por exemplo, se sua aplicação precisar de acesso total em todo o domínio à Google Mail API, insira: https://mail.google.com.
7. Clique em Authorize.

Sua aplicação agora tem autoridade para fazer chamadas API como usuários do seu domínio (para "impersonar" usuários). Ao preparar chamadas API autorizadas, especifique o usuário a ser impersonado.

Dicas

• Proteja suas credenciais: Armazene os client secrets do Entra ID e as chaves privadas JSON do Google com segurança. Para configurações da Google API, baixe e faça backup da chave privada JSON imediatamente após a criação, pois não poderá ser recuperada depois—armazene-a em um gerenciador de senhas seguro ou cofre de segredos.
• Planeje a expiração do Client Secret: Ao usar autenticação Microsoft OAuth ou API, configure lembretes no calendário antes da expiração do client secret e estabeleça um processo para rotacionar os secrets sem interrupção do serviço—considere criar secrets com períodos de validade mais longos (ex.: 24 meses) para ambientes de produção.

Tópico AnteriorPróximo Tópico