Ein Control Room-Administrator kann OAuth-Verbindungen für Nutzer erstellen, damit diese Verbindungen in der Authentifizierungsaktion für Pakete verwendet werden können, ohne die Authentifizierungsdaten eingeben zu müssen.

Hinweis: Die Salesforce-Marke und das Salesforce-Logo, die Microsoft SharePoint-Marke und das Microsoft SharePoint-Logo, die Apigee-Marke und das Apigee-Logo, die ServiceNow-Marke und das ServiceNow-Logo sowie die Genesys-Marke und das Genesys-Logo sind Marken oder eingetragene Marken von Salesforce, Inc., Microsoft Corp., Google LLC, ServiceNow, Inc. bzw. Genesys und dienen nur zu Identifikationszwecken.

Vorbereitungen

  • Sie müssen eine Nutzerrolle verwenden, für die die Berechtigung Verbindungen verwalten für die Funktion OAuth-Verbindungen aktiviert ist. Einzelheiten finden Sie unter Funktionsberechtigungen für Rollen.
  • Wenn Sie mehr als einen Bereich hinzufügen, müssen Sie die Bereiche durch Kommas trennen.

    Beispiel: api,refresh_token,offline_access

  • Vergewissern Sie sich, dass Sie eine Unternehmensanwendung eingerichtet und sich die Client-ID, das Client-Geheimnis, die Autorisierungs-URL, die Token-URL und den Bereich notiert haben. Einzelheiten finden Sie unter Konfiguration von Unternehmensanwendungen.
    Anmerkung:
    • Beachten Sie die oben genannten Voraussetzungen, um einen Verbindungsfehler zu vermeiden.
    • Bei der Konfiguration von OAuth ist das Feld Umfang optional. Klären Sie mit dem Identitätsanbieter (IdP), welche Bereiche erforderlich sind.
    Tabelle 1. Beispiele
    Unternehmensanwendungen Autorisierungs-URL Token-URL Umfang
    Apigee https://accounts.google.com/o/oauth2/auth?prompt=consent&access_type=offline https://accounts.google.com/o/oauth2/token https://www.googleapis.com/auth/cloud-platform
    Genesys https://login.<yourinstance>.pure.cloud/oauth/authorize https://login.<yourinstance>.pure.cloud/oauth/token Nicht erforderlich
    Google Workspace (Calendar, Drive, Sheets und Gmail) https://accounts.google.com/o/oauth2/auth?prompt=consent&access_type=offline https://oauth2.googleapis.com/token
    • Google Sheets: https://www.googleapis.com/auth/drive, https://www.googleapis.com/auth/spreadsheets
    • Google Drive: https://www.googleapis.com/auth/drive
    • Google Calendar: https://www.googleapis.com/auth/calendar
    • Gmail : https://developers.google.com/identity/protocols/oauth2/scopes#gmail

      https://mail.google.com/,https://www.googleapis.com/auth/gmail.readonly,https://www.googleapis.com/auth/gmail.send
    Jira https://auth.atlassian.com/authorize https://auth.atlassian.com/oauth/token offline_access write:jira-work,read:jira-user,manage:jira-webhook,read:jira-work
    Microsoft Entra https://login.microsoftonline.com/<tenant>/oauth2/v2.0/authorize https://login.microsoftonline.com/<tenant>/oauth2/v2.0/token offline_access, openid, https://graph.microsoft.com/.default
    Microsoft 365 Outlook https://login.microsoftonline.com/<tenant>/oauth2/v2.0/authorize https://login.microsoftonline.com/<tenant>/oauth2/v2.0/token Autorisierungscode-Flow: offline_access,openid,https://graph.microsoft.com/.default
    Salesforce https://<yourinstance>.salesforce.com/services/oauth2/authorize https://<yourinstance>.salesforce.com/services/oauth2/token api,refresh_token,offline_access
    Anmerkung: Wenn im Verbindungsbefehl keine Bereiche angegeben sind, verwendet die Verbindung standardmäßig den Bereich, der dem Nutzer zugewiesen ist.
    ServiceNow https://<yourinstance>.service-now.com/oauth_auth.do https://<yourinstance>.service-now.com/oauth_token.do Nicht erforderlich
    SharePoint https://login.microsoftonline.com/<tenant-id>/oauth2/v2.0/authorize https://login.microsoftonline.com/<tenant-id>/oauth2/v2.0/token https://<domain-name>/AllSites.Manage,offline_access,openid
    Anmerkung: Der OpenID-Bereich ist nur erforderlich, wenn Ihre Anwendungen den sub-Claim im ID-Token benötigen, um den Endnutzer zu identifizieren. Andernfalls ist dieser Bereich optional.
Anmerkung: Wir empfehlen die Verwendung von Aktualisierungs-Token, die für einen längeren Lebenszyklus konfiguriert sind. Einzelheiten finden Sie unter AuthConfig-Anwendung verwenden, um OAuth2-Dienste zu aktivieren.

Prozedur

  1. Im Control Room, navigieren Sie zu OAuth-Verbindungen > verwalten.
  2. Klicken Sie auf Verbindung herstellen.
  3. Im Bildschirm Verbindungseinstellungen, der sich öffnet, wählen Sie einen Anbietertyp.
    Anmerkung: Die Callback-URL wird in den Konfigurationseinstellungen Ihrer Unternehmensanwendung verwendet, um eine Verbindung zum Control Room herzustellen.
  4. Geben Sie einen eindeutigen Verbindungsnamen ein, um die Verbindung zu kennzeichnen.
  5. Optional: Geben Sie eine Beschreibung für die Verbindung ein.
    Bild, das die Seite mit den OAuth-Verbindungseinstellungen anzeigt
  6. Klicken Sie auf Weiter.
    Der Bildschirm Authentifizierungsdetails wird angezeigt.
  7. Wählen Sie einen Gewährungstyp aus. Siehe OAuth Autorisierungscode-Flow und OAuth-Client-Anmeldedatenablauf.
    Anmerkung: Wenn Sie für ein Google Cloud Platform (GCP)-Konto konfigurieren, wählen Sie Autorisierungscode-Ablauf, da Control Room verwaltete OAuth-Verbindung mit Autorisierungscode-Ablauf mit PKCE derzeit nicht unterstützt wird.
  8. Geben Sie die Client-ID ein, die Ihnen vom Anbieter für Ihr Konto zur Verfügung gestellt wird.
  9. Geben Sie den Geheimen Clientschlüssel ein, der vom Anbieter für Ihr Konto bereitgestellt wird.
    Anmerkung:
    • Nach dem Testen oder Erstellen einer Verbindung wird das Feld Client-Geheimnis nicht in der Benutzeroberfläche angezeigt, aber der Backend-Dienst wird weiterhin den gespeicherten Wert verwenden. Dies ist ein erwartetes Verhalten.
    • Das Feld Client-Geheimnis wird während der Eingabe des Wertes maskiert, ähnlich einem Passwortfeld. Dies erhöht die Sicherheit, indem verhindert wird, dass das Geheimnis im Klartext sichtbar ist.
  10. Geben Sie die verwendete Autorisierungs-URL ein, um einen Autorisierungscode für Ihr Konto zu erhalten.
    Anmerkung: Bei einem Apigee- oder Google-Cloud-Plattform-Konto (GCP) müssen Sie &access_type=offline an die Autorisierungs-URL anhängen. Zum Beispiel: https://accounts.google.com/o/oauth2/v2/auth?prompt=consent&access_type=offline.
  11. Geben Sie die verwendete Token-URL ein, um einen Autorisierungscode gegen ein Zugriffstoken auszutauschen.
  12. Optional: Geben Sie Umfang ein.

    Die Ablaufzeit des Tokens kann vom Identitätsanbieter festgelegt werden. Wenn das Token abläuft, verwendet der Bot den Bereich Offline_access, um bei Auslösung ein neues gültiges Token abzurufen, basierend auf den Details im Control Room. Einzelheiten finden Sie unter Konfigurieren Sie OAuth-Verbindungen im Control Room.

    Bild, das die Detailseite der OAuth-Authentifizierung anzeigt
    Diese Informationen werden in einem Zugriffstoken als Ansprüche (Claims; Informationen über den Nutzer) verwendet und an den Ressourcenserver weitergeleitet, um den Zugang zu beschränken.
  13. Klicken Sie auf Weiter.
    Der Bildschirm Verbindung testen und Anmeldedaten speichern wird angezeigt.
  14. Optional: Wählen Sie Anmeldedaten speichern aus.
    Anmerkung: Verwenden Sie diese Option nur, wenn Sie ein freigegebenes Token generieren möchten, mit dem Nutzer diese Verbindung ohne Nutzerauthentifizierung und -zustimmung verwenden können. Wenn Sie diese Option wählen, müssen Sie bei Verwendung dieser Verbindung für den Token-Typ die Option Freigegeben wählen. Einzelheiten finden Sie unter .
  15. Optional: Klicken Sie auf Änderungen speichern und Verbindung testen.
    Bild, das die Seite zum Testen der OAuth-Verbindung und zum Speichern der Anmeldedaten anzeigt
    Anmerkung: Nachdem Sie auf die Option Änderungen speichern und Verbindung testen geklickt haben und die Verbindung erfolgreich hergestellt wurde, ist die Schaltfläche Weiter deaktiviert. Klicken Sie auf die Schaltfläche Zurück, geben Sie den Geheimen Clientschlüssel erneut ein und klicken Sie dann auf Weiter. Sie müssen die Verbindung nicht erneut testen, es sei denn, Sie haben Änderungen an den zuvor angegebenen Authentifizierungsdaten vorgenommen.
  16. Klicken Sie auf Weiter.
    Der Bildschirm Rollen einladen wird angezeigt.
  17. Wählen Sie die Rollen aus, die Sie zur Nutzung dieser Verbindung einladen möchten. Nur eingeladene Rollen können das Token in einem Bot verwenden, unabhängig davon, ob es privat oder freigegeben ist.Bild, das die Seite mit den OAuth-Einladungsrollen anzeigt

    Die Aktion Rollen einladen ist obligatorisch, wenn ein Bot die OAuth-Verbindung verwendet. Diese Aktion ist optional, wenn ein externer Dienst die OAuth-Verbindung verwendet.

    Anmerkung: Nur benutzerdefinierte Rollen werden in der Liste Verfügbare Rollen angezeigt.
  18. Klicken Sie auf Verbindung herstellen. Eine OAuth-Verbindung wird erstellt.

Das folgende Video zeigt, wie Sie eine OAuth-Verbindung erstellen können:

Nächste Maßnahme

Verwendung der OAuth-Verbindung