OAuthプロバイダーの設定

OpManagerでOAuthプロバイダーを設定することで、Teams連携メールサーバー設定でOAuth認証を利用することができます。
このページでは、OAuthプロバイダーの設定方法についてご説明します。

  • 本機能は、ビルド12.7.124以降でのみ利用できます。
    ビルド番号の確認方法はこちら
  • OAuthプロバイダーとしてサポートされているのは、Google/Microsoftのみです。

目次

OpManagerでのプロバイダー設定

OpManagerでOAuthプロバイダーを設定する手順は以下の通りです。
事前にプロバイダー側での設定を行う必要があります。
  1. [設定]→[一般設定]→[OAuth プロバイダー]に移動します。
  2. [追加 OAuth プロバイダー]をクリックして、OAuthプロバイダーの設定画面を開きます。
    OAuthプロバイダーの追加画面
  3. 以下のフィールドを入力します。
    項目 説明
    プロファイル名 任意のプロファイル名を入力します。
    説明 追加するOAuthプロバイダーの説明等を任意に入力します。
    認証プロバイダー プロバイダーのベンダーをプルダウンから選択します。
    OAuthプロバイダーとしてサポートされているのは、Google/Microsoftのみです。
    タイムアウト プロバイダーに接続する際のタイムアウトまでの時間を秒数で設定します。
    設定できる範囲は、10-300(秒)です。
    クライアントID プロバイダーにOpManagerを登録した際にプロバイダーから指定されるクライアントIDを入力します。
    クライアントシークレット プロバイダーにOpManagerを登録した際にプロバイダーから指定されるクライアントシークレットを入力します。
    認証URL プロバイダーにOpManagerを登録した際にプロバイダーから指定される認証URLを入力します。
    選択した認証プロバイダーに応じて自動で入力されますが、必要に応じて編集します。
    トークンURL プロバイダーにOpManagerを登録した際にプロバイダーから指定されるトークンURLを入力します。
    選択した認証プロバイダーに応じて自動で入力されますが、必要に応じて編集します。
    リダイレクトURL
    (入力不要)     		OAuth認証の成功後にユーザーがリダイレクトされるURLです。
    以下が自動で入力されており、ユーザーが編集することはできません。
    https://www.manageengine.com/itom/OAuthAuthorization.html
    スコープ OpManagerが利用するアクセストークンに付与するアクセス権を指定します。
    複数指定する場合は、半角スペースで区切ります。
    指定するスコープの詳細はこちらをご参照ください。
    [Micorosft Teams-設定]からOAuthプロバイダーを設定する場合、スコープは自動で入力されます。
  4. [保存]をクリックします。
  5. 選択した認証プロバイダーにおける認証画面にリダイレクトされます。
    必要に応じて、資格情報の入力とリクエストの承認を行います。

プロバイダー側の設定

OAuthプロバイダーを設定するには、プロバイダー側でOpManagerをクライアントアプリケーションとして登録する必要があります。
登録手順は以下の通りです。

Microsoft

ここで説明する手順では、Microsoft Azure Portalを使用します。
他の管理センターを使用している場合は、手順を適宜読み替えてください。
  1. Microsoft Azure Portalに移動します。
  2. [アプリの登録]をクリックします。
    アプリの登録
  3. [新規登録]をクリックします。
    アプリの新規登録
  4. 以下の情報を入力して[登録]をクリックします。
    アプリケーションの登録の詳細
    項目 説明
    名前 任意のアプリケーション名を入力します。
    サポートされているアカウントの種類 アカウントの運用方針に応じて、シングルテナントまたはマルチテナントのいずれかの選択肢にチェックを入れます。
    リダイレクトURI プルダウンで[Web]を選択し、以下のURLを入力します。
    https://www.manageengine.com/itom/OAuthAuthorization.html
    登録が完了すると、アプリケーションの概要が表示されます。
    [アプリケーション(クライアント)ID]が、OpManagerのOAuthプロバイダーの設定で指定するクライアントIDです。
    アプリケーションの概要
  5. アプリケーションの概要が表示されている状態で、[管理]→[証明書とシークレット]をクリックします。
  6. [新しいクライアントシークレット]をクリックします。
    クライアントシークレットの作成
    [クライアントシークレットの追加]が開かれます。
    クライアントシークレットの追加
  7. [説明]を任意に入力し、必要に応じて[有効期限]を選択して[追加]をクリックします。
  8. [証明書とシークレット]のページにクライアントシークレットが追加され、値とシークレットIDが表示されます。
    この値が、OpManagerのOAuthプロバイダーの設定で指定するクライアントシークレットです。
    クライアントシークレットの確認
    セキュリティ上の理由により、シークレットを追加してしばらく経過すると、クライアントシークレットの値は確認できなくなります。
  9. こちらを参考に、アクセストークンに付与するスコープの設定を行います。

Google

  1. Google Cloud Platformに移動します。
  2. [プロジェクトを作成]をクリックします。
    プロジェクトを作成
  3. [プロジェクト名]と[場所]を任意に指定し、[作成]をクリックします。
    作成するプロジェクトの詳細
    作成が完了すると、[APIとサービス]が表示されます。
    APIとサービスの画面
  4. [ライブラリ]をクリックします。
  5. こちらを参考に、必要なAPIを有効にします。
  6. [OAuth 同意画面]をクリックします。
    [OAuth 同意画面]の設定1
  7. [User Type]で[外部]を選択し、[作成]をクリックします。
  8. 以下の情報入力し[保存して次へ]をクリックします。
    • アプリ名
    • ユーザー サポートメール
    • デベロッパーの連絡先情報(メールアドレス)
    [OAuth 同意画面]の設定2
  9. こちらを参考に、[スコープを追加または削除]から必要なスコープを追加して[保存して次へ]をクリックします。
    [OAuth 同意画面]の設定3
  10. [ADD USERS]から必要に応じてテストユーザーを追加し[保存して次へ]をクリックします。
    [OAuth 同意画面]の設定4
  11. 表示される画面で設定の概要を確認します。
  12. [認証情報]をクリックします。
    [認証情報]の設定1
  13. [認証情報を作成]→[OAuth クライアント ID]の順にクリックします。
    [認証情報]の設定2
  14. [アプリケーションの種類]で[ウェブ アプリケーション]を選択し、[名前]を任意に入力します。
  15. [承認済みのリダイレクト URI]で[URLを追加]をクリックし、以下のURLを入力して[作成]をクリックします。
    https://www.manageengine.com/itom/OAuthAuthorization.html
    [認証情報]の設定3
  16. 作成が完了すると、[クライアントID]と[クライアントシークレット]が表示されます。
    これが、OpManagerのOAuthプロバイダーの設定で指定するクライアントIDとクライアントシークレットです。
    [認証情報]の設定4

スコープの設定

OpManagerでOAuth認証を行うには、アクセストークンに付与する権(スコープ)の設定をプロバイダー側で行う必要があります。

Microsoft

ここで説明する手順では、Microsoft Azure Portalを使用します。
他の管理センターを使用している場合は、手順を適宜読み替えてください。
  1. Microsoft Azure Portalに移動します。
  2. [アプリの登録]をクリックし、OpManagerで使用するアプリケーションをクリックします。
  3. [APIのアクセス許可]をクリックします。
    APIのアクセス許可
  4. [アクセス許可の追加]をクリックします。
    アクセス許可の追加
  5. [Microsoft Graph]をクリックします。
    Microsoft Graph
  6. [委任されたアクセス許可]をクリックします。
    委任されたアクセス許可
  7. OAuth認証の用途に応じて以下のAPIチェックを入れ、[アクセス許可の追加]をクリックします。

    メールサーバー設定

    • offline_access
    • SMTP.Send

    Teams連携

    • offline_access
    • Channel.ReadBasic.All
    • Team.ReadBasic.All
    • ChannelMessage.Send
    APIアクセスの追加
  8. [構成されたアクセス許可]で、APIアクセスの設定が正しいかどうか確認します。
    アクセス許可の確認
  9. OpManagerでのスコープの設定では、以下の値を入力します。

    メールサーバー設定

    SMTP.Send

    Teams連携

    Channel.ReadBasic.All Team.ReadBasic.All ChannelMessage.Send

Google

現在、OpManagerに対するGoogleのサービスでのOAuth認証がサポートされるのは、メールサーバー設定のみです。
ここでは、メールサーバー設定のためのスコープの設定手順を記載します。
  1. Google Cloud Platformに移動します。
  2. OpManagerで利用するプロジェクトを開きます。
  3. [ライブラリ]をクリックします。
    Google Cloud Platformにおけるスコープの設定1
  4. [Google Workspace]から[Gmail API]を選択します。
    Gmail APIを選択
  5. [有効にする]をクリックします。
    APIを有効にする
  6. [OAuth 同意画面]から[アプリの編集]をクリックして、スコープの設定ページまで移動します。
    [OAuth 同意画面]を初めて設定する場合は、こちらの手順6-8を実施してください。
    アプリの編集
  7. [スコープを追加または削除]をクリックします。
    スコープの追加
  8. 以下のAPIにチェックを入れ[更新]をクリックします。
    API:Google API
    範囲:https://mail.google.com/
  9. [保存して次へ]をクリックしていき、[OAuth 同意画面]での設定を完了します。
  10. OpManagerでのスコープの設定では、以下の値を入力します。
    https://mail.google.com/