Configuration d’un collecteur de mail sur GLPI avec Office 365 partie 1

Bonjour, à la demande général, je m’attaque à la partie 1 (après la partie 2 parce que… la logique)
pour configurer un collecteur de mail via Office 365 pour glpi.

Le besoin de départ était de créer des tickets automatiquement à partir de l’envoi d’un mail parce que…
Bah, les utilisateurs hein… Alors qu’on ne me prête pas des propos dénigrants, mais il faut avouer que la simplicité est le vecteur de la fiabilité. Donc arrivant dans un système sans ticket sans priorité ou tout est urgent, le moindre changement peut être vécu comme une agression.
Donc délicatement, envoyer un mail en général les gens savent déjà faire. C’est le moment d’aiguiser également vos Soft-Skills

Allez on y va, promis ca marche. J’en profite pour remercier Eric Le Corre pour son tutoriel disponible ici sur le forum GLPI

pré-requis

• un serveur GLPI fonctionnel (il y’a plethore de tuto en ligne)
• un accès au web
• un accès à l’administration du exchange/office365/outlook 365 bref en fonction du noms qu’ils auront choisi au moment du tuto.
• Un accès super admin à GLPI : credential par défaut glpi:glpi
• du temps sans être dérangé, parce qu’il y’a un paquet d’étapes importantes
• une adresse mail « technique » qui servira de passerelle, on va utiliser
  le-techromancien@entreprise.net

Coté Azure AD Office 365

Bon, d’habitude je repars sur ce que j’ai déjà fait, mais la on va tenter de reconfigurer depuis le départ afin d’être le plus explicite possible.
je vais créer une boite le-techromancien@entreprise.net pour les besoins de ce tuto

Création de la boite mail sur exchange admin center

Bon, ce n’est pas forcement le but de ce tutoriel mais quitte à repartir de zero on va repartir de zero donc on va créer la boite

configuration sur azure ad Entra Domain Service

Au moment ou j’écris ces lignes je constate que Azure Ad à changé de nom… Donc je continu en espérant retrouver mes marques par rapport au tuto que j’ai fait avant ce changement
Alors on se connecte sur le Azure ad
https://portal.azure.com/
je retrouve dans mes applications d’entreprises mon Glpi déjà inscrit qui va servir pour mon collecteur
et dans mes inscriptions d’applications, mes deux Connecteur pour GLPI, je vais en créer un troisième pour la démo.

Il faudra cliquer sur « Nouvelle inscription » je ne l’ai pas surlignée mais c’est en haut en dessous de inscriptions d’applications.

Vous allez inscrire l’application avec un nom évocateur ici ce sera
GLPI POUR OFFICE 365 LE-TECHROMANCIEN TUTO
et type de compte
Compte dans cet annuaire d’organisation uniquement (Nom de l’entreprise – locataire unique)

Vous aurez un pop up qui vous dira que l’application a bien été inscrite. puis un récapitulatif que je laisse en clair puisque ce collecteur n’est pas amené a rester en production ni dans l’entreprise, on est jamais trop prudent en matière de sécurité.

Ensuite on va aller configurer la partie Oauth sur le serveur glpi

Coté GLPI avec Oauth Imap

Alors pour les premières étapes, j’en ai parlé ici dans la partie 2 donc je ne reviendrais pas dessus.
Voici celle tiré du tuto GLPI

• installer le plugin Oauth IMAP sur votre serveur GLPI
• mettre les bons droits sur le plugin et mettre apache comme propriétaire, les commandes a passer sont (sur ubuntu et Debian) :
  chown -R www-data:www-data Oauthimap
  chmod -R 755 Oauthimap
• activer le plugin

puis on reprend dans la config du plugin

Vu que je suis pas comme ça, voila à quoi cela doit ressembler. Vous avez le plugin dans la section plugin, soit vous cliquez sur la clef à molette, soit vous allez directement sur le menu nouvellement crée

On va rentrer
Id d’application Client : aa90b545-eea5-4cff-8f4e-8a367539ea35
l’id de l’annuaire locataire (que je dissimule pour sécurité) ! 02b580d6-xxxx-xxxx-xxxx-xxxxxxxxxx
Le menu précédent n’apparait pas tant que je n’ai pas sélectionné Azure dans le fournisseur Oauth donc rassurez vous si vous ne le voyez pas.

L’URL de retour est celle qui permettra de valider le lien entre les deux. En théorie elle est rentrée par défaut. Le mieux aurait été avec un nom de domaine, mais la c’est une ip, je corrigerais plus tard
Il nous reste le Secret Client

On revient sur Azure pour générer le secret

Nous allons générer le secret client
On reviens dans notre azure et on va dans certificat et secrets
Nouveau secret client
On ajoute une description
et une date d’expiration. Dans notre cas 24 mois.

Cela nous génére une clef que l’on peut copier dans secret client.
dans notre cas 8717caec-d014-475c-a80b-06c0ac82e13f (encore une fois, clef en clair parce que le collecteur sera supprimé dès la fin du tuto ;))
Je vous encourage a copier la clef ainsi que l’id de secret parce qu’ils disparaissent si vous quittez la page…

Allez on jongle encore et on va dans le menu API Autorisé

dans « API utilisées par mon organisation », on clique « Office 365 Exchange » et on sélectionne « Office 365 exchange online » puis « autorisation déléguées »
19) dans les menu dessous, on sélectionne « mail » et on active les autorisations ci-dessous puis on clique sur « ajouter autorisation »

Mail.Read
Mail.Read.All
Mail.Read.Shared
Mail.ReadBasic
Mail.ReadWrite

On va enfin et pour terminer sur Azure dans propriétaires
et on ajoute les personnes qui auront des droits de modifications au cas ou, notamment les collègues du service Info par exemple.

OUF, on en a finit avec azure. Les principales erreurs que vous pouvez rencontrer ici, c’est une erreur lors de la copie des ID de locataire, d’application et de secret client. Si d’aventures vous buttez il faudra voir ceci en priorité

On retourne une dernière fois sur Oauth Glpi

et cette fois ci on va ajouter une autorisation de connexion. Il faut cliquer sur créer une autorisation
et se connecter via notre mail préalablement crée le-techromancien@entreprise.net

Erreur : Impossible de sauvegarder le code d’autorisation !!!

j’ai eu une erreur d’impossibilité de sauvegarder le code d’autorisation. Il s’agissait d’un problème lors de l’attribution des licences Office 365, j’avais une licence Adhoc mais il fallait une vraie licence mail. Une fois la licence appliqué, l’erreur a disparu.

J’ai eu une autre erreur, ou ca ne marchait tout simplement pas. Il fallait ouvrir un port SMTP coté pare-feu,le 587 de mémoire. Sur la supervision du pare-feu on a observé ce blocage et pu outrepasser le problème.

Et on termine avec le collecteur

On l’a attendu, la partie collecteur se fait quand on a terminé tout le reste.
Si vous n’avez pas eu d’erreurs, félicitations. Autrement les membres du forum GLPI sont des mines d’or de connaissances et de partage. Et moi de mon coté, j’ai passé suffisament de temps à chercher des solutions que je commence à savoir crée des collecteurs les yeux fermés.

donc on retourne sur collecteur
on ajoute le nom
Actif : oui (c’est mieux)
le serveur : smtp.office365.com

et les options de connexions. On peut faire plus sécurisé, mais pour l’instant on va déjà faire un truc qui marche.

Votre identifiant sera disponible automatiquement vu qu’on a demandé l’autorisation en amont
si tout va bien vous pouvez aller sur

Tout d’abord envoyez un mail à votre adresse de collecteur, dans notre cas le-techromancien@entreprise.net
ensuite

Actions ->récupérer les courriels maintenant

On voit bien un courriel qui se balade

Et voila, sur ce 5 eme collecteur que j’ai configuré, je n’ai pas trop galéré, je commence à avoir le truc.
Je ferais un peu de ménage dans ce tutoriel écrit rapidement mais je suis assez content d’avoir pu mettre cette solution en place. Cela avait été fait initialement pendant ma reprise d’étude.

Bonne journée à tous, et n’hésitez pas si vous avez des questions.