Azure.Identity+MailKitでOAuth2 POP3

Microsoftは、SMTPやPOP3,IMAPの基本認証プロトコルでのアクセス許可を9月30日よりサイト毎に順次停止していく予定だ。

これにより、基本認証を使用してPOP3やIMAPなどでメールを受信するプログラムが動作しなくなる可能性が高くなる。

これは私も承知していて、MailKitのSaslMechanismOAuth2クラスを使用してOAuth2対応にするよう修正していたのだが、その際に使用したMicrosoft.Identity.Clientライブラリが以前書いたように、非推奨となってしまったので、Azure.Identityに変更してみた。

基本はMicrosoft Graphを使う場合と同じなのだが、注意点として、ユーザーやグループを捜査するMS GraphではスコープのPrefixが必要では無かったのだが、POP3やIMAP,SMTP等では、”https://outlook.office365.com/”のPrefix(ネームスペースなのかな?)が必要となる事。

POP3の場合は以下のようなコードとなる。

・・・
using MimeKit;
using MailKit;
using MailKit.Net.Pop3;
using MailKit.Security;
using MimeKit.Text;

using Azure.Core;
using Azure.Identity;
・・・
// この例では、Resource Owner Password Credentialsフローを使用

// スコープ
string scopes = new string[] { "https://outlook.office365.com/POP.AccessAsUser.All" };

var options = new TokenCredentialOptions
{
    AuthorityHost = AzureAuthorityHosts.AzurePublicCloud
};

// ユーザー名,パスワード,テナントID,アプリケーションID(Client ID)から資格情報を得る
var cred = new UsernamePasswordCredential(PopUser,PopPass,Authority,AppID,options); 

// スコープを指定してAccess Tokenの取得
var req = new TokenRequestContext(scopes);
var token = await cred.GetTokenAsync(req);

// ユーザー名とAccess Tokenを使用してOAuth2用の認証機構を作成
var oauth2 = new SaslMechanismOAuth2(PopUser, token.Token);

using (Pop3Client cli = new Pop3Client())
{
    await cli.ConnectAsync("outlook.office365.com", 995, SecureSocketOptions.SslOnConnect);
    // OAuth2で認証
    await cli.AuthenticateAsync(oauth2);
	・・・

最初、Authentication Failが発生したので、アカウントを変えたり、色々してみたが、全然だめなので、もしやと思い、スコープにPrefixを付けたら、うまく動作した。

OAuth2対応についてはネットで調べても、Microsoft.Identity.Clientを使用した例ばかりで、解決に結構時間が掛かってしまった。

takezou について

ソフトウェア開発会社(ITと言う言葉は大嫌い)で働く、元技術者。 未だに、社内システム位は作ってますが・・・ プログラミング言語はC#が好き。 好きなことだけ拾って投稿しているので、内容にはあまり期待しないでねw
カテゴリー: .NET, C#, OAuth2, 技術系 パーマリンク

Azure.Identity+MailKitでOAuth2 POP3 への3件のフィードバック

  1. takezou のコメント:

    ちなみに、SCOPEに”POP.AccessAsUser.All”と”SMTP.Send”の2つを指定して、同じトークンでSMTPの認証を行なうとエラーとなった。POPはOK。
    色々調べたが、よく分からないので、POPはPOP、SMTPはSMTPだけでトークンを取得したら、SMTP認証OK。
    全く異なるSCOPEだからなのだろうか?
    AccessToken自体は同じ物が帰ってきているようなのだが・・・
    結局サービス毎にAccessToken取らなきゃダメなのかな・・・

  2. takezou のコメント:

    色々試してみたら、SaslMechanismOAuth2で作成したSASLを使い回すことがNGのようで、SASLだけ作り直したら、ちゃんと動きました。

  3. takezou のコメント:

    ↑SaslMechanismOAuth2内にIsAuthenticatedプロパティがあって、一度認証されると、これがセットされ、それ以降は認証に使えないようだ。
    (ソース追ったらそんな感じでした。)

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください