Zum Inhalt springen

Microsoft 365 OAuth 2.0 Voraussetzungen für den Email-Connector in Jitterbit Integration Studio

Einführung

Diese Seite dokumentiert die Voraussetzungen für die Verwendung des Email-Connectors mit einer Microsoft 365 OAuth 2.0-Verbindung unter Verwendung der Resource Owner Password Credential (ROPC) Authentifizierung.

Eine Microsoft 365 Business Standard-Lizenz ist erforderlich, wenn Sie sich mit Microsoft 365 OAuth 2.0 authentifizieren.

Alle erforderlichen Aufgaben erfordern, dass Sie sich mit einem Azure-Konto mit aktivierten Exchange Administrator-Berechtigungen im Azure-Portal anmelden. Exchange Administrator ist erforderlich, um das Exo2 PowerShell-Modul herunterzuladen, das benötigt wird, um die App-Registrierung mit Exchange Online zu verbinden. Der Benutzername und das Passwort dieses Kontos werden auch in Zugriffstoken für die ROPC-Authentifizierung erhalten verwendet.

Einige Aufgaben erfordern außerdem Windows PowerShell und curl, Postman oder ein ähnliches Tool zum Senden von POST-Anfragen.

Erstellen einer App-Registrierung

Befolgen Sie diese Schritte, um eine App-Registrierung zu erstellen mit der Microsoft-Identitätsplattform:

  1. Suchen Sie im Azure-Portal nach Microsoft Entra ID (früher bekannt als Azure Active Directory oder Azure AD) und klicken Sie darauf:

    email prereq 365 1

  2. Klicken Sie im linken Seitenbereich unter Verwalten auf App-Registrierungen.

  3. Klicken Sie auf Neue Registrierung:

    email prereq 365 2

  4. Geben Sie einen Namen für Ihre App ein. Dieser Anzeigename wird für die Benutzer sichtbar sein:

    email prereq 365 3

  5. Klicken Sie auf Registrieren, um die App-Registrierung abzuschließen. Sie werden dann zur Übersichts-Seite der App weitergeleitet:

    email prereq 365 4

    Wichtig

    Bewahren Sie die Anwendungs- (Client-) ID und die Verzeichnis- (Mandanten-) ID der App-Registrierung auf, um sie als client_id und tenant_id in Überprüfen der App-Registrierung und Zugriffstoken für ROPC-Authentifizierung erhalten zu verwenden.

  6. Klicken Sie auf Ein Zertifikat oder Geheimnis hinzufügen.

  7. Klicken Sie im Tab Clientgeheimnisse auf Neues Clientgeheimnis, um das Fenster Clientgeheimnis hinzufügen zu öffnen. Geben Sie in diesem Fenster eine Beschreibung ein und wählen Sie ein Ablaufdatum für das Clientgeheimnis aus, und klicken Sie dann auf Hinzufügen:

    email prereq 365 5

  8. Das Clientgeheimnis ist jetzt im Tab Clientgeheimnisse sichtbar. Bewahren Sie den Wert des Clientgeheimnisses auf, um ihn als client_secret in Zugriffstoken für ROPC-Authentifizierung erhalten zu verwenden.

    email prereq 365 6

Fügen Sie der App-Registrierung erforderliche Berechtigungen hinzu

Um den Email-Connector mit einer Microsoft 365 OAuth 2.0-Verbindung zu verwenden, muss Ihre App-Registrierung über diese Berechtigungen verfügen:

Navigieren Sie im Azure-Portal zu Ihrer App-Registrierung und klicken Sie im linken Seitenbereich auf API-Berechtigungen:

email prereq 365 7

Wichtig

Abhängig von den Sicherheitseinstellungen Ihrer Azure-Organisation erfordern einige Berechtigungen die Zustimmung des Administrators.

Office 365 Exchange Online-Anwendungsberechtigungen

Um die Berechtigungen für die Office 365 Exchange Online-Anwendung hinzuzufügen, befolgen Sie diese Schritte:

  1. Gehen Sie zur Seite API-Berechtigungen und klicken Sie auf Berechtigung hinzufügen.

  2. Im Bereich API-Berechtigungen anfordern klicken Sie auf die Registerkarte APIs, die meine Organisation verwendet, suchen Sie nach Office 365 Exchange Online und klicken Sie darauf:

    email prereq 365 8

  3. Klicken Sie auf Anwendungsberechtigungen.

  4. Aktivieren Sie für den POP-Zugriff die Berechtigung POP.AccessAsApp. Aktivieren Sie für den IMAP-Zugriff die Berechtigung IMAP.AccessAsApp.

  5. Klicken Sie auf Berechtigungen hinzufügen. Die aktualisierte Seite Konfigurierte Berechtigungen der App-Registrierung wird angezeigt.

Microsoft Graph-Anwendungsberechtigungen

Um die Microsoft Graph-Anwendungsberechtigungen hinzuzufügen, befolgen Sie diese Schritte:

  1. Gehen Sie zur Seite API-Berechtigungen und klicken Sie auf Berechtigung hinzufügen.

  2. Im Bereich API-Berechtigungen anfordern klicken Sie auf die Registerkarte APIs, die meine Organisation verwendet, suchen Sie nach Microsoft Graph und klicken Sie darauf:

    email prereq 365 9

  3. Klicken Sie auf Anwendungsberechtigungen.

  4. Aktivieren Sie die Berechtigungen Mail.Send und User.Read.All.

  5. Klicken Sie auf Berechtigungen hinzufügen. Die aktualisierte Seite Konfigurierte Berechtigungen der App-Registrierung wird angezeigt.

Microsoft Graph delegierte Berechtigungen

Um die Microsoft Graph delegierten Berechtigungen hinzuzufügen, befolgen Sie diese Schritte:

  1. Gehen Sie zur Seite API-Berechtigungen und klicken Sie auf Berechtigung hinzufügen.

  2. Im Bereich API-Berechtigungen anfordern klicken Sie auf die Registerkarte APIs, die meine Organisation verwendet, suchen Sie nach Microsoft Graph und klicken Sie darauf:

    email prereq 365 9

  3. Klicken Sie auf Delegierte Berechtigungen.

  4. Aktivieren Sie diese Berechtigungen, abhängig von der zu verwendenden Email-Aktivität:

    Aktivität Erforderliche Berechtigungen
    Email lesen offline_access, IMAP.AccessAsUser.All und User.Read
    Email senden offline_access und SMTP.Send

  5. Klicken Sie auf Berechtigungen hinzufügen. Die Seite Konfigurierte Berechtigungen der aktualisierten App-Registrierung wird angezeigt. Ihre App-Registrierung hat jetzt die erforderlichen Berechtigungen.

Verbinden Sie die App-Registrierung mit Exchange Online

Um die App-Registrierung mit Exchange Online zu verbinden, befolgen Sie diese Schritte:

  1. Laden Sie das EXO2 PowerShell-Modul herunter und installieren Sie es, indem Sie zum Classic Exchange Admin Center gehen. Klicken Sie auf Hybrid und dann auf Exchange PowerShell-Modul konfigurieren.

    Wichtig

    Wenn Sie das EXO2 PowerShell-Modul nicht herunterladen und installieren können, können Sie die Exchange-Verbindung nicht abschließen.

  2. Starten Sie Windows PowerShell und führen Sie aus:

    Install-Module -Name ExchangeOnlineManagement -allowprerelease
Install-Module Microsoft.Graph -allowprerelease
Install-Module -Name AzureAD
Install-module AzureADPreview -Verbose
import-module AzureADPreview
import-module ExchangeOnlineManagement

  3. Führen Sie Connect-AzureAD aus und geben Sie Ihre Anmeldeinformationen ein.

  4. Führen Sie Connect-ExchangeOnline aus und geben Sie Ihre Anmeldeinformationen ein.

  5. Erhalten Sie die Informationen des Dienstprinzipals der registrierten App und speichern Sie sie in einer Variablen, indem Sie ausführen:

    $MyApp = Get-AzureADServicePrincipal -SearchString <Registrierter Anwendungsname>
$MyApp | fl

  6. Verwenden Sie die gespeicherten Informationen des Dienstprinzipals, um die Verbindung abzuschließen:

    New-ServicePrincipal -AppId $MyApp.AppId -ServiceId $MyApp.ObjectId -DisplayName "Dienstprinzipal für IMAP APP"
Add-MailboxPermission -Identity <Email-Adresse des Administrators> -User $MyApp.ObjectId -AccessRights FullAccess

Überprüfen Sie die App-Registrierung

Um die App-Registrierung zu überprüfen, befolgen Sie diese Schritte:

  1. Senden Sie eine POST-Anforderung an https://login.microsoftonline.com/<tenant_id>/oauth2/v2.0/devicecode, wobei <client_id> und <tenant_id> durch die Anwendungs-ID (Client-ID) und die Verzeichnis-ID (Mandanten-ID) ersetzt werden, die Sie beim Erstellen Ihrer App-Registrierung gespeichert haben:

    curl --location --request POST 'https://login.microsoftonline.com/<tenant_id>/oauth2/v2.0/devicecode' \
--header 'Content-Type: application/x-www-form-urlencoded' \
--data-urlencode 'client_id=<client_id>' \
--data-urlencode 'scope=https://outlook.office.com/SMTP.Send https://outlook.office.com/IMAP.AccessAsUser.All'

    Hinweis

    Wenn Sie nur die offline_access und SMTP.Send Berechtigungen aktiviert haben, setzen Sie den scope auf https://outlook.office365.com/.default.

    Wenn erfolgreich, enthält die Antwort einen Autorisierungscode.

  2. Navigieren Sie zu https://login.microsoftonline.com/common/oauth2/deviceauth in Ihrem Browser und reichen Sie den Autorisierungscode ein. Die App-Registrierung ist jetzt verifiziert und Sie können problemlos Zugriffstoken erhalten.

Zugriffstoken für ROPC-Authentifizierung erhalten

Nach Abschluss der vorherigen Schritte können Token für die ROPC-Authentifizierung mit einer POST-Anfrage generiert werden:

curl --location --request POST 'https://login.microsoftonline.com/<tenant_id>/oauth2/v2.0/token' \
--header 'Content-Type: application/x-www-form-urlencoded' \
--data-urlencode 'client_id=<client_id>' \
--data-urlencode 'scope=https://outlook.office.com/IMAP.AccessAsUser.All' \
--data-urlencode 'client_secret=<client_secret>' \
--data-urlencode 'username=<account_username>' \
--data-urlencode 'password=<account_password>' \
--data-urlencode 'grant_type=password'

Hinweis

Wenn Sie nur die offline_access und SMTP.Send Berechtigungen aktiviert haben, setzen Sie den scope auf https://outlook.office365.com/.default.

  • <client_id> und <tenant_id> werden durch die Anwendungs-ID (Client-ID) und Verzeichnis-ID (Mandanten-ID) ersetzt, die Sie beim Erstellen Ihrer App-Registrierung gespeichert haben.
  • <client_secret> wird durch das Client-Geheimnis ersetzt, das Sie beim Erstellen Ihrer App-Registrierung gespeichert haben.
  • <account_username> und <account_password> werden durch Ihre Azure-Anmeldeinformationen für die ROPC-Authentifizierung ersetzt.

Hinweis

Der Parameter grant_type muss für die ROPC-Authentifizierung immer password sein.

Wenn erfolgreich, enthält die Antwort ein access_token für die ROPC-Authentifizierung.