OAuth-Authentifizierung

OAuth ist eine sichere Authentifizierungsmethode, die anstelle eines Passworts ein Authentifizierungs-Token verwendet, um Ihre application mit Ihrem Benutzerkonto zu verbinden. Mit OAuth können Ressourceninhaber die Berechtigungen für jeden Client, der Zugriff auf dieselbe Ressource anfordert, separat konfigurieren und den Zugriff jederzeit ändern/widerrufen.

Um OpManager mit einem OAuth-Anbieter zu konfigurieren, müssen Sie bei dem jeweiligen Anbieter eine application erstellen oder registrieren. Außerdem ist für Aktionen zum Hinzufügen und Aktualisieren eine Authentifizierung durch den OAuth-Anbieter erforderlich.

Konfigurieren von OpManager mit Microsoft:

Führen Sie die folgenden Schritte aus, um OAuth mit Microsoft zu konfigurieren

  1. Gehen Sie zur Microsoft Azure-Startseite.
  2. Gehen Sie in den Azure-Diensten zu App-Registrierungen,


 

OAuth-Authentifizierung in OpManager: App-Registrierungen unter Azure-Diensten


 

  1. Klicken Sie auf Neue Registrierung,


 

OAuth-Authentifizierung in OpManager: Neue Registrierung


 

  1. Führen Sie die folgenden Schritte aus, um eine application zu registrieren


 

OAuth-Authentifizierung in OpManager: Eine Anwendung registrieren
  • Geben Sie den Namen der application (OpManager) ein.
  • Wählen Sie den Kontotyp aus. Die Konten können sich in einem beliebigen Organisationsverzeichnis (Azure AD-Verzeichnis oder mandantenfähig für mehrere Organisationen) oder in persönlichen Microsoft-Konten (z. B. Skype, Xbox) befinden. Sie können je nach Anforderung einen anderen Kontotyp auswählen
  • Wählen Sie für die Umleitungs-URL den Typ Web und verwenden Sie <https://www.manageengine.com/itom/OAuthAuthorization.html> als Umleitungs-URI. Sie können die Umleitungs-URL auch aus der OpManager-Konsole -> Seite „OAuth-Anbietereinstellungen“ kopieren.
  • Klicken Sie dann auf Registrieren, um eine application zu erstellen.
  • Nach der Registrierung der application werden Sie zur Startseite der application weitergeleitet. Kopieren Sie die application-ID; diese ist die Client-ID.


 

OAuth-Authentifizierung in OpManager: Anwendungs-ID als Client-ID


 

  • Klicken Sie auf "Zertifikat oder Geheimnis hinzufügen", um das Client-Geheimnis zu erhalten. Führen Sie dann die folgenden Schritte aus,

    OAuth-Authentifizierung in OpManager: Ein Zertifikat oder Geheimnis hinzufügen
    • Klicken Sie auf "Neues Client-Geheimnis".


     

    OAuth-Authentifizierung in OpManager: Neues Client-Geheimnis


     

    • Geben Sie die Beschreibung und Ablaufzeit für das Client-Geheimnis an und klicken Sie auf Hinzufügen.


     

    OAuth-Authentifizierung in OpManager: Beschreibung und Ablaufzeit


     

    • Kopieren Sie den Wert; dies ist das Client-Geheimnis. (Speichern Sie diesen Wert zur späteren Verwendung, da er nach einiger Zeit nicht mehr lesbar sein wird.)


     

    OAuth-Authentifizierung in OpManager: Wert des Client-Geheimnisses


     

    • Wenn der Wert nicht mehr lesbar ist und Sie ein Client-Geheimnis benötigen, können Sie ein neues Client-Geheimnis erstellen und dessen Wert verwenden.
    • Dieses Client-Geheimnis läuft je nach der von Ihnen angegebenen Dauer ab. Sobald es abgelaufen ist, erstellen Sie ein neues Client-Geheimnis und verwenden dessen Wert.
  • Für Authentifizierungs-URL und Token-URL gehen Sie zur Startseite der application (Übersicht) und klicken Sie auf Endpunkte. Kopieren Sie dort den "OAuth 2.0-Autorisierungsendpunkt (v2)" als Authentifizierungs-URL und den "OAuth 2.0-Tokenendpunkt (v2)" als Token-URL.


 

OAuth-Authentifizierung in OpManager: Authentifizierungs-URL und Token-URL
  • Der Scope (SMTP.Send) ist erforderlich, damit OpManager auf die application zugreifen kann, um E-Mail-Benachrichtigungen zu senden. Bei der Konfiguration in der OpManager-Konsole sollte der Scope wie folgt hinzugefügt werden: 
    https://outlook.office.com/SMTP.Send

Hinweis: Für den Offlinezugriff sollte dieser Scope mit 'offline_access' ergänzt werden. Der Scope sollte lauten: 
"offline_access https://outlook.office.com/SMTP.Send
Dies wird in OpManager standardmäßig angehängt und muss nicht manuell hinzugefügt werden.

OAuth-Anbieterkonfiguration

Nachdem Sie OAuth mit Microsoft konfiguriert haben, öffnen Sie OpManager,

  1. Gehen Sie zu Einstellungen > Allgemeine Einstellungen > OAuth-Anbieter - OAuth-Anbieter hinzufügen


 

OAuth-Authentifizierung in OpManager: Anmeldedaten des OAuth-Anbieters hinzufügen


 

  1. Geben Sie die folgenden Details an,
    • Profilname - Ein eindeutiger Profilname für jedes Profil.
    • Beschreibung - Beschreibung des OAuth-Profils.
    • Authentifizierungsanbieter - Name des OAuth-Anbieters - Microsoft.
    • Zeitüberschreitung - Zeit, die für die Verbindung mit dem Anbieter benötigt wird. Bereich: 10-300 Sek.
    • Client-ID - Verwenden Sie die Werte, die in Schritt 5 der Konfiguration von OpManager mit Microsoft kopiert wurden.
    • Client-Geheimnis - Verwenden Sie die Werte, die in Schritt 6 der Konfiguration von OpManager mit Microsoft kopiert wurden.
    • Authentifizierungs-URL - Verwenden Sie die Werte, die in Schritt 7 der Konfiguration von OpManager mit Microsoft kopiert wurden.
    • Token-URL - Verwenden Sie die Werte, die in Schritt 7 der Konfiguration von OpManager mit Microsoft kopiert wurden.
    • Scope - Verwenden Sie die Werte, die in Schritt 8 der Konfiguration von OpManager mit Microsoft kopiert wurden.
  2. Nachdem Sie die oben genannten Details eingegeben haben, speichern Sie diese. Sie werden zur Microsoft-Anmeldeseite weitergeleitet. Geben Sie E-Mail und Passwort ein, um sich anzumelden. Klicken Sie dann auf 'Akzeptieren', um Ihre Zustimmung für den Zugriff auf die application zu erteilen.
OAuth-Authentifizierung in OpManager: Microsoft-Anmeldeseite
OAuth-Authentifizierung in OpManager: Angeforderte Berechtigungen

Beachten Sie, dass das Zugriffstoken für die hier angegebene E-Mail-Adresse generiert wird. Wenn dieser OAuth-Anbieter also für die Authentifizierung ausgewählt wird, stellen Sie sicher, dass Sie dieselbe E-Mail-Adresse als Benutzernamen verwenden.

Wichtig: Wenn im Fenster "Berechtigung angefordert" anstelle der Schaltfläche "Akzeptieren" die Schaltfläche "Genehmigen" angezeigt wird oder das Fenster "Administratorgenehmigung erforderlich" angezeigt wird, klicken Sie bitte hier, um zu erfahren, wie Nicht-Admin-Benutzer ohne Administratorzustimmung fortfahren können.

Hinweis:

Nachdem Sie nun erfolgreich einen OAuth-Anbieter hinzugefügt haben, können Sie diesen in den Mail-Server-Einstellungen für die OAuth-Authentifizierung auswählen.

OAuth-Authentifizierung in OpManager: Einstellungen des Authentifizierungsanbieters


Solange er nicht in den Mail-Server-Einstellungen verwendet wird, wird der Status der OAuth-Anbietereinstellungen als Inaktiv angezeigt. 
 

OAuth-Authentifizierung in OpManager: Inaktive OAuth-Anbietereinstellungen


 

OAuth-Authentifizierung in OpManager: Aktive OAuth-Anbietereinstellungen