Paramètres du serveur mail

Vous pouvez configurer les paramètres du serveur mail dans ADSelfService Plus pour envoyer des codes MFA, des rapports et des notifications par email.

• Fonctionnement
• Limitations
• Prérequis
• Configuration d’un serveur mail
  • Configuration SMTP
    • Authentification de base
    • Authentification OAuth
  • Intégration API
• Étapes pour trouver votre ID de locataire Azure, ID client et secret client pour la configuration SMTP
• Étapes pour trouver votre ID client Google Workspace et secret client pour la configuration SMTP
• Étapes pour trouver votre ID de locataire Azure, ID client et secret client pour la configuration API du serveur mail
• Étapes pour télécharger la clé privée JSON pour la configuration API du serveur mail
  • Activer le service API Gmail
  • Délégation de l’autorité à l’échelle du domaine au compte de service
• Conseils

Fonctionnement

ADSelfService Plus prend en charge deux modes d’envoi d’emails : SMTP et basé sur API.

Configuration du serveur mail SMTP : Deux modes d’authentification sont disponibles pour configurer le serveur mail SMTP de votre organisation :

• Authentification de base : Utilise un nom d’utilisateur et un mot de passe pour s’authentifier auprès du serveur SMTP. Une fois configuré, ADSelfService Plus établit une connexion au serveur mail avec les identifiants fournis et envoie les emails via le protocole SMTP.
• Authentification OAuth : Utilise une authentification basée sur un jeton sécurisé via les fournisseurs d’identité Microsoft ou Google. Au lieu de stocker les mots de passe, ADSelfService Plus obtient un jeton d’accès OAuth en s’authentifiant avec Azure AD (pour Microsoft) ou Google Identity Platform (pour Google). Ce jeton est utilisé pour s’authentifier auprès du serveur mail, et les emails sont envoyés via SMTP.

Intégration API : Au lieu de se connecter via SMTP, ADSelfService Plus envoie les emails directement via l’API de votre fournisseur mail :

• Microsoft Graph API : ADSelfService Plus utilise les identifiants d’application Entra ID (ID de locataire, ID client et secret client) pour obtenir un jeton d’accès et effectuer des appels API vers le point de terminaison Microsoft Graph.
• Gmail API : ADSelfService Plus utilise un compte de service Google avec délégation à l’échelle du domaine et une clé privée JSON pour s’authentifier et envoyer des emails via l’API Gmail.

Limitations

• Sécurité de la clé privée JSON : Pour la configuration Google API, la clé privée JSON ne peut être téléchargée qu’une seule fois lors de sa création. En cas de perte, une nouvelle clé doit être générée, il est impossible de récupérer la clé privée originale.
• Expiration du secret client : Pour les configurations Microsoft OAuth/API, les secrets clients ont une durée d’expiration qui doit être gérée. À expiration, les administrateurs doivent générer un nouveau secret et mettre à jour la configuration ADSelfService Plus pour maintenir la fonctionnalité d’envoi d’email.

Prérequis

1. Accès administrateur : Vous devez vous connecter à ADSelfService Plus avec des identifiants administrateur pour configurer les paramètres du serveur mail.
2. Détails du serveur SMTP : Vous avez besoin du nom d’hôte ou de l’adresse IP du serveur mail, du numéro de port et des informations d’authentification (nom d’utilisateur/mot de passe pour l’authentification de base, ou identifiants OAuth pour l’authentification OAuth).
3. Configuration HTTPS (pour OAuth/API) : Pour les modes d’authentification OAuth et API, ADSelfService Plus doit fonctionner en protocole HTTPS avec un certificat SSL valide, car Microsoft Azure et Google Identity exigent des URI de redirection non localhost utilisant le schéma HTTPS.

Configuration d’un serveur mail

Configuration SMTP

1. Connectez-vous à ADSelfService Plus avec des identifiants administrateur et naviguez vers Admin > Paramètres du produit > Paramètres Mail / SMS.
2. Cliquez sur l’onglet Paramètres Mail .
3. Saisissez le Nom du serveur ou IP et le Numéro de port dans les champs correspondants.
4. Dans le champ Adresse expéditrice , saisissez l’adresse email qui sera utilisée pour envoyer les notifications, rapports et alertes depuis ADSelfService Plus.
5. Dans le champ Dans le champ Adresse email administrateur
6. , saisissez l’adresse email destinée à recevoir les notifications des emails envoyés par ADSelfService Plus. Dans la liste déroulanteConnexion sécurisée (SSL/TLS)
7. , choisissez une option prise en charge par le serveur mail. À côté deType d’authentification Authentification de base , choisissez soit Authentification OAuth.

Authentification de base



1. Saisissez le Nom d’utilisateur et le et le Mot de passe
2. pour accéder au serveur mail.

Si votre serveur mail ne nécessite pas d’authentification, laissez les champs vides.



Authentification OAuth Sélectionnez votre fournisseur mail parmi les options disponibles : , choisissez soit Microsoft.

Google Si votre fournisseur mail est Microsoft, fournissez leNom d’utilisateur, ID de locataire, ID client et Secret client dans les champs correspondants. Dans ADSelfService Plus, Azure Cloud est considéré comme l’environnement Azure par défaut. Pour modifier ce paramètre, cliquez sur la liste déroulante Environnement Azure

.Note : Pour apprendre à trouver votre ID de locataire Azure, ID client et secret client, veuillez vous référer à la section Étapes pour trouver votre ID de locataire Azure, ID client et secret client

ci-dessous. Si votre fournisseur mail est Google, fournissez leNom d’utilisateur, ID de locataire, ID client Nom d’utilisateur, ID client dans les champs correspondants.

.et Secret client : Pour apprendre à trouver votre ID client Google et secret client, veuillez vous référer à la section intitulée

8. Étapes pour trouver votre ID client Google Workspace et secret client ci-dessous. Cliquez sur

.Enregistrer les paramètres pour sauvegarder la configuration de votre serveur mail. : Une fois les paramètres du serveur mail enregistrés avec succès, un email de test sera envoyé à l’adresse saisie dans le champ

Intégration API

Adresse email administrateur

1. . Cette méthode vous permet de créer et d’authentifier un serveur mail via l’API de votre fournisseur mail..
2. Dans le champ Mode, sélectionnez API Sélectionnez votre
3. Dans le champ Adresse expéditrice Fournisseur mail
4. Dans le champ Dans le champ parmi les options disponibles : Microsoft ou Google.
5. Dans le champ, saisissez l’adresse email qui sera utilisée pour envoyer les notifications, alertes, etc., depuis ADSelfService Plus. Dans le champ, saisissez votre adresse email si vous souhaitez recevoir les notifications des emails envoyés par ADSelfService Plus. Si votre fournisseur mail est Microsoft, fournissez l’ID de locataire, l’ID client et le secret client dans les champs respectifs. Dans ADSelfService Plus, Azure Cloud est considéré comme l’environnement Azure par défaut. Vous pouvez modifier le paramètre d’environnement Azure en cliquant sur le lien

   .Choisissez l’environnement Azure approprié ..

6. : Pour apprendre à trouver votre ID de locataire Azure, ID client et secret client, cliquez

   .ici ..

7. Étapes pour trouver votre ID client Google Workspace et secret client Si votre fournisseur mail est Google, téléversez le fichier clé privée JSON..

: Pour apprendre à obtenir votre fichier clé privée JSON, cliquez

1. Enregistrer les paramètres Étapes pour trouver votre ID de locataire Azure, ID client et secret client pour la configuration SMTP du serveur mail.
2. Connectez-vous à portal.azure.com
3. Sous Azure services, cliquez sur Enregistrements d’applications > Nouvel enregistrement. de votre choix et sélectionnez Types de comptes pris en charge, en le laissant à son paramètre par défaut.
4. Dans le champ URI de redirection champ, collez le URI de redirection dans la syntaxe suivante :
   
   https://server_name:port_number/context_if_any/RestAPI/WC/OAuthSetting
   
   Par exemple : https://localhost:8082/RestAPI/WC/OAuthSetting.

   .: Pour assurer la sécurité, Microsoft Azure exige que les URI de redirection non locales commencent. Cela peut nécessiter qu'ADSelfService Plus fonctionne sur le protocole HTTPS. Veuillez consulter les étapes pour activer HTTPS dans ce guide.

5. À la page suivante, vous trouverez les détails de l'application. Copiez le Client ID et le Tenant ID.
6. Dans le panneau de gauche, cliquez sur Certificates & secrets > New client secret.
7. Sous Azure services, cliquez sur Description pour le secret client, et dans le champ Expires, choisissez la validité du secret client puis cliquez sur Add.
8. Le secret client sera généré. Copiez la chaîne affichée sous Value.
9. Étapes pour trouver votre ID client Google Workspace et secret client ci-dessous. et complétez la demande d'autorisation.

Étapes pour trouver votre client ID Google Workspace et secret client pour la configuration du serveur SMTP

1. Enregistrer les paramètres console.developers.google.com.
2. Depuis le tableau de bord, cliquez sur Create pour créer un nouveau projet s'il n'y a pas de projet existant, ou sélectionnez un projet existant et cliquez sur New.
3. Saisissez le Project Name. Dans le champ Location, cliquez sur Browse et sélectionnez l'Organisation parente.
4. Étapes pour trouver votre ID client Google Workspace et secret client Create.
5. Dans le panneau de gauche de la page des détails du projet affichée, cliquez sur APIs & Services >.
6. Dans la liste des APIs disponibles, sélectionnez Gmail API et cliquez sur Enable. Vous pouvez utiliser l'option de recherche pour trouver rapidement l’API.
7. Dans le panneau de gauche, cliquez sur OAuth consent screen et choisissez le User. Si vous n'avez pas de compte Google Workspace, choisissez External.
8. Fournissez le Application Name, Application Logo, le Support Email de votre service d'assistance, et les Developer Information, puis cliquez sur Save &.
9. Étapes pour trouver votre ID client Google Workspace et secret client Ajouter ou retirer des étendues, choisissez Gmail API (https://mail.google.com/), puis cliquez sur Update. Ensuite, cliquez sur Save &.
10. Add a test user et cliquez sur Save & continue.
11. Dans le panneau de gauche, cliquez sur Credentials > Create Credentials > OAuth Client ID.
12. Sélectionnez le type d’application comme Web Application. Fournissez un nom de votre choix.
13. Dans le champ URI de redirection champ, collez le URI de redirection dans la syntaxe suivante :
    
    https://server_name:port_number/context_if_any/RestAPI/WC/OAuthSetting
    
    Par exemple : https://localhost:8082/RestAPI/WC/OAuthSetting.

    .: Pour assurer la sécurité, Google Identity exige que les URI de redirection non locales commencent. Cela peut nécessiter qu'ADSelfService Plus fonctionne sur le protocole HTTPS. Veuillez consulter les étapes pour activer HTTPS dans ce guide.

14. Étapes pour trouver votre ID client Google Workspace et secret client Save.
15. Étapes pour trouver votre ID client Google Workspace et secret client DOWNLOAD JSON pour télécharger le fichier contenant les détails du serveur d'autorisation. Copiez le Client ID et le et affiché à l'écran.
16. Étapes pour trouver votre ID client Google Workspace et secret client ci-dessous. et complétez la demande d'autorisation.

Étapes pour trouver votre ID de locataire Azure, ID client et secret client pour la configuration API du serveur mail

1. Enregistrer les paramètres Étapes pour trouver votre ID de locataire Azure, ID client et secret client pour la configuration SMTP du serveur mail.
2. Connectez-vous à App registrations > New registration.
3. Entrez un Enregistrements d’applications > Nouvel enregistrement. de votre choix et choisissez les types de comptes pris en charge. (Si vous n'êtes pas sûr des types de comptes pris en charge, sélectionnez Accounts uniquement dans l'annuaire organisationnel).
4. Dans le panneau de gauche, cliquez sur API Permission > Add a permission.
5. Étapes pour trouver votre ID client Google Workspace et secret client Microsoft Graph > Application permission.
6. Recherchez Mail et sélectionnez le point de terminaison Microsoft Graph. Cliquez sur Add.
7. Étapes pour trouver votre ID client Google Workspace et secret client Grant admin consent.
8. Copiez le Client ID & Tenant ID affiché.
9. Dans le panneau de gauche, cliquez sur Certificates & secrets > New client secret.
10. Sous Azure services, cliquez sur Description pour le secret client. Dans le champ Expires , choisissez la validité du secret client et cliquez sur Add.
11. Le secret client sera généré. Copiez la chaîne affichée sous Value.

Étapes pour télécharger la clé privée JSON pour la configuration API du serveur mail

1. Enregistrer les paramètres console.developers.google.com.
2. Ouvrez la Service accounts page.
3. Étapes pour trouver votre ID client Google Workspace et secret client Create Project. Entrez le nom du projet, l'organisation et l'emplacement. Cliquez sur Create.
4. Étapes pour trouver votre ID client Google Workspace et secret client + Create service account dans la ligne du haut.
5. Sous Service account details, saisissez un Nom, IDNom d’utilisateur, ID de locataire, ID client Description pour le compte de service, puis cliquez sur Create and.
6. Si nécessaire, vous pouvez également sélectionner les rôles IAM à accorder au compte de service en utilisant l'option Grant this service account access to project .
7. Étapes pour trouver votre ID client Google Workspace et secret client Continue.
8. Si nécessaire, vous pouvez ajouter les utilisateurs ou groupes autorisés à utiliser et gérer le compte de service.
9. Étapes pour trouver votre ID client Google Workspace et secret client Done.
10. Cliquez sur l'adresse e-mail du compte de service que vous avez créé.
11. Cliquez sur l’onglet Keys .
12. Dans le champ Add key dans la liste déroulante, sélectionnez Create new key.
13. Sélectionnez le type de clé comme JSON.
14. Étapes pour trouver votre ID client Google Workspace et secret client Create.

Votre nouvelle paire de clés publique/privée sera générée et téléchargée sur votre machine. Veuillez garder la clé privée en sécurité car ce sera la seule copie, et vous ne pouvez pas générer à nouveau la même clé privée.

Une fois que vous avez téléchargé la clé privée JSON, vous devrez activer le service Gmail API et fournir l'autorité à l'échelle du domaine au compte de service.

Activer le service API Gmail

1. Connectez-vous à console.cloud.google.com.
2. Sélectionnez le projet dans le menu déroulant.
3. Étapes pour trouver votre ID client Google Workspace et secret client + Enable APIS and Services.
4. Sélectionnez Gmail API et cliquez sur Enable.

Délégation de l’autorité à l’échelle du domaine au compte de service

1. Connectez-vous au domaine Google Workspace via la Admin console en tant que super administrateur.
2. Naviguez vers Main menu > Security > Access and data control > API Controls.
3. Dans le champ Domain wide delegation panneau, sélectionnez Manage Domain Wide.
4. Étapes pour trouver votre ID client Google Workspace et secret client Ajouter nouveau.
5. Dans le champ Client ID champ, saisissez le Client ID du compte de service. Vous pouvez trouver le client ID de votre compte de service sur le Service accounts page.
6. Dans le champ OAuth scopes (séparés par des virgules) champ, saisissez la liste des étendues auxquelles votre application doit avoir accès. Par exemple, si votre application nécessite un accès complet à l'échelle du domaine à l’API Google Mail, saisissez : https://mail.google.com.
7. Étapes pour trouver votre ID client Google Workspace et secret client Autoriser.

Votre application a désormais l'autorisation d'exécuter des appels API en tant qu'utilisateurs dans votre domaine (pour "usurper" les utilisateurs). Lorsqu'il s'agit d'effectuer des appels API autorisés, spécifiez l'utilisateur à usurper.

Conseils

• Protégez vos identifiants : Stockez les secrets client Entra ID et les clés privées JSON Google en toute sécurité. Pour les configurations API Google, téléchargez et sauvegardez immédiatement la clé privée JSON après sa création, car elle ne peut pas être récupérée plus tard—stockez-la dans un gestionnaire de mots de passe sécurisé ou un coffre-fort de secrets.
• Prévoyez l'expiration du secret client : Lorsque vous utilisez Microsoft OAuth ou une authentification API, définissez des rappels calendaires avant l'expiration de votre secret client et établissez un processus de rotation des secrets sans interruption de service—envisagez de créer des secrets avec des périodes de validité plus longues (par exemple, 24 mois) pour les environnements de production.