Solucionar problemas de autenticação ECE OAUTH2 com o Office 365

Opções de download

  • PDF     (253.3 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (85.6 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (73.9 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:13 de dezembro de 2022
ID do documento:218453

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve as etapas para solucionar problemas de integração de Bate-papo e Email Corporativo (ECE) com o email do Microsoft Office 365 (O365).

    Pré-requisitos

    Requisitos

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • E-mail e bate-papo corporativo (ECE) 12.6
    • Microsoft Office 365 (O365)
    • Ative Diretory do Microsoft Azure (Azure AD)

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software:

    • ECE 12.6(1)
    • AD do Azure
    • O365

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Background

    A Microsoft substituiu formalmente a autenticação básica com contas de e-mail do O365. Esta foi anunciada em 2019 e, em seguida, adiada para outubro de 2022 devido à COVID-19. Mesmo após o prazo final de outubro de 2022, a Microsoft permitiu que a autenticação básica fosse reativada uma última vez. Esta última exceção terminou em 31 de dezembro de 2022. Após essa data, a Microsoft não permitirá mais a autenticação básica para nenhum cliente. 

    Os itens nesta lista de verificação vêm de solicitações de serviço em que o TAC trabalhou com clientes para obter este recurso configurado. Devido à forma como o O365 e o Azure AD são licenciados, o TAC não pode recriar ou verificar esses itens em um laboratório. Se você precisar de ajuda com qualquer um desses itens, entre em contato com o suporte da Microsoft ou com sua equipe interna de suporte de TI.

    Verificar itens

    Versão mínima

    O suporte OAuth para ECE com O365 foi introduzido em especiais de engenharia para ECE como uma resposta ao bug da Cisco ID CSCvr86493 . Deve certificar-se de que a ECE possui a ES correta instalada e de que é utilizada a documentação correta.

    • ECE 11.6(1) - Exige ES12 E ES12_ET1
    • ECE 12.0(1) - Requer ES6
    • ECE 12.5(1) - Exige ES3
    • ECE 12.6(1) - Exige ES1

    A prática recomendada é instalar a versão ES mais recente disponível para a sua versão.

    Configuração do sistema

    A URL da Web deve ser configurada corretamente. A regulação específica é alterada com base na versão da ECE. Ele deve ser configurado para corresponder à URL que os agentes e administradores usam para fazer logon no ECE e está no formato https://ece.example.com.

    Definindo o nome em cada versão:

      11.5 - 12.5: Configuração de nível de partição, "URL do servidor Web ou URL do Balanceador de Carga"

      12.6 + : Partição > Aplicativos > Configurações gerais > "URL externa do aplicativo"

    Essa configuração também é usada para Logon Único (SSO) e para o HTML padrão do ponto de entrada de bate-papo. Em versões anteriores ao lançamento de OAuth para O365, essa configuração não era obrigatória, a menos que o agente SSO fosse usado. Em todas as implantações que usam OAuth, isso deve ser configurado. Além disso, isso deve corresponder ao FQDN usado para fazer login no console do administrador. 

    Aplicativo do Azure AD

    Certifique-se de seguir a documentação exatamente ao configurar o aplicativo Azure AD. 

    Observações específicas:

    1. URL de redirecionamento - o FQDN deve corresponder à configuração da URL externa do aplicativo no ECE e deve ser usado quando você acessa o console de administração.
    2. Token de Acesso - O token de atualização deve durar 60 minutos. 

    Geração de token

    O processo de geração de token é uma das etapas mais importantes do processo de configuração. A prática recomendada é garantir que o navegador tenha sido aberto no modo anônimo ou privado antes de você tentar emitir o token. Isso solicita as credenciais do usuário. Verifique se o usuário para quem o token foi criado tem controle total da caixa de correio.

    A explicação para isso é que a maioria dos clientes também usa o Azure AD para autenticação de usuário. Quando um usuário abre um navegador, suas credenciais são passadas pelo Kerberos para os sites login.microsoft.com. Isso, por sua vez, faz com que o token seja emitido para o usuário conectado à estação de trabalho ou ao servidor, em vez de uma conta que possa acessar a caixa de correio. 

    Configuração de Caixa de Correio

    Certifique-se de que a caixa de correio tenha os protocolos necessários habilitados. No mínimo, o SMTP deve ser habilitado para permitir que o correio seja despachado. Você também deve habilitar o IMAP ou o POP3 com base no design.

    Licença do Exchange 

    Verifique se pelo menos uma licença E3 foi atribuída à caixa de correio no Exchange Online. 

    Direitos da Caixa de Correio

    O ECE suporta dois tipos de contas de usuário para acesso à caixa de correio. 

     1. Conta de Caixa de Correio - Este método exige que você crie uma conta e um token de acesso para cada caixa de correio que deseja marcar como ECE. Por exemplo, se você tiver duas caixas de correio, sales@example.com e support@example.com, deverá criar duas contas de e-mail no departamento. Para uma conta, você deve criar o token e fazer login com o nome de usuário e a senha sales@example.com. O segundo token de conta deve ser criado com o nome de usuário e a senha support@example.com.

     2. Conta Compartilhada - Este método permite usar uma única conta de correio que pode acessar várias caixas de correio. Para continuar o uso das caixas de correio de vendas e suporte, aqui, você cria uma única conta, mas cria o token com um nome de usuário e uma senha para uma conta do Azure AD que recebeu controle total das caixas de correio. 

    Ambos os métodos de acesso têm prós e contras, mas cabe a você decidir qual é a melhor opção para seu ambiente específico. 

    Conectividade de rede

    O ECE requer que o servidor de serviços e todos os servidores de aplicativos possam acessar os domínios O365, bem como os domínios login.microsoft.com. A criação inicial do token ocorre a partir do servidor de aplicativos enquanto todas as atualizações subsequentes do token ocorrem no servidor de serviços. O servidor de serviços tem os processos do recuperador e do distribuidor, portanto, as portas IMAP/POP3 e SMTP devem estar abertas para esse servidor. Além disso, o servidor de aplicativos deve ser capaz de enviar e-mails para que as notificações de alarme funcionem. Verifique se todas as portas mencionadas no Guia de instalação foram abertas antes de tentar configurar ou usar integrações do O365.

    URLs

    Tanto o servidor de serviços quanto o servidor de aplicativos devem ser capazes de acessar esses URLs no mínimo.

     - *.office365.com

     -login.microsoftonline.com

    Pode haver URLs adicionais que são necessários para sua implementação específica. 

    Portas

    Tanto o servidor de serviços quanto o servidor de aplicativos devem ser capazes de acessar essas portas no mínimo.

     - TCP 443 - (HTTPS) Usado para gerar e atualizar os tokens de acesso e atualização

     - TCP 587 - (SMTP sobre STARTTLS) Usado pelo processo do distribuidor e pelo processo de notificação de alarme

     - TCP 993 - (IMAP sobre SSL/TLS) Usado pelo processo do recuperador

     - TCP 995 - (POP3 sobre SSL/TLS) Usado pelo processo do recuperador

    Referência: configurações de POP, IMAP e SMTP

    Teste de conectividade

    A Microsoft criou um site que pode ser usado para testar a conectividade. Esta não é uma ferramenta fornecida pela Cisco ou pelo eGain e o TAC não pode fornecer nenhum suporte para seu uso. Você pode usar isso no servidor de aplicativos e serviços para testar sua configuração e conectividade. ECE suporta apenas SMTP para saída e IMAP ou POP3 para entrada. Use o teste de email SMTP de saída junto com os testes de email POP e IMAP do site da Microsoft.

    https://testconnectivity.microsoft.com/tests/o365

    Links de documentação

    11.6(1)

    12.0(1)

    12.5(1)

    12.6(1)

    Histórico de revisões

    Revisão Data de publicação Comentários
    1.0
    13-Dec-2022
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Robert W Rogier
      TAC da Cisco

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos