Nutzen und Folgen dieser AuthentifizierungVoraussetzungenRegistrieren einer AnwendungHinzufügen von Anmeldeinformationen  Geheimen Clientschlüssel hinzufügenAPI-Berechtigungen hinzufügen  Hinzufügen von Berechtigungen für den Zugriff auf SharePointBerechtigungen für Apps in SharePoint hinzufügen  Zusätzliche Informationen für App-BerechtigungsanforderungenApp-Prinzipal im Web validierenFeedback

Microsoft Entra ID-Anwendung basierend auf Gewährung von Client-Anmeldeinformationen erstellen

Die OAuth 2.0-Client-Anmeldeinformationen-Genehmigung kann in Apps verwendet werden, die auf einem Gerät installiert sind, um Zugriff auf geschützte Ressourcen wie Web-APIs zu erhalten. Mithilfe der Microsoft Identity Platform-Implementierung von OAuth 2.0 können Sie Ihrer Anwendung Anmelde- und API-Zugriff hinzufügen.

Beim Registrieren Ihrer Anwendung wird eine Vertrauensstellung zwischen Ihrer App und Microsoft Identity Platform erstellt. Die Vertrauensstellung ist unidirektional: Ihre App vertraut Microsoft Identity Platform und nicht umgekehrt.

Nutzen und Folgen dieser Authentifizierung

Die Verwendung dieser Art der OAuth 2.0-Authentifizierung hat verschiedene Auswirkungen auf das Verhalten von COSMO Dokumentenmanagementsystem.

• Nutzer aus Business Central greifen mithilfe der Entra ID Anwendung auf die Ablagestruktur im SharePoint Online zu. Dadurch gibt es keine Differenzierung bei den Zugriffsberechtigungen und alle Nutzer greifen mit den gleichen Zugriffsberechtigungen zu.
• Diese Art der Authentifizierung ermöglicht das Hochladen von Dateien ohne Benutzerinteraktion. Sie unterstützt dadurch Automatisierung und kann in Schnittstellen verwendet werden.

Voraussetzungen

• Ein Azure-Konto mit einem aktiven Abonnement.
• Das Azure-Konto muss über die Berechtigung zum Verwalten von Anwendungen in Microsoft Entra ID (früher Azure AD) verfügen. Die folgenden Microsoft Entra ID-Rollen verfügen über die erforderlichen Berechtigungen:
  • Anwendungsadministrator
  • Anwendungsentwickler
  • Cloudanwendungsadministrator
• Abschluss der Schnellstartanleitung zum Einrichten eines Mandanten.

Registrieren einer Anwendung

Führen Sie die folgenden Schritte aus, um die App-Registrierung zu erstellen:

1. Melden Sie sich beim Microsoft Azure-Portal an.

2. Suchen Sie nach und wählen Sie Microsoft Entra ID.

3. Wählen Sie unter Verwalten Folgendes aus: App-Registrierungen > Neue Registrierung.

   a. Geben Sie einen Anzeigenamen für Ihre Anwendung ein.

   b. Geben Sie an, wer die Anwendung verwenden kann Wir empfehlen, die Option Nur Konten in diesem Organisationsverzeichnis zu verwenden.

   c. Lassen Sie Umleitungs-URI (optional) leer. Für den Gewährungstyp Client-Anmeldeinformationen sind keine Umleitungs-URIs erforderlich.

   d. Wählen Sie Registrieren aus, um die anfängliche App-Registrierung abzuschließen.

   

4. Nach Abschluss der Registrierung wird im Azure-Portal die Übersicht für die App-Registrierung angezeigt.

Hinzufügen von Anmeldeinformationen

Mit den Anmeldeinformationen kann sich Ihre Anwendung selbst authentifizieren und benötigt zur Laufzeit keine Interaktion durch einen Benutzer.

Geheimen Clientschlüssel hinzufügen

Gehen Sie folgendermaßen vor, um Ihrer vertraulichen Client-App-Registrierung geheime Clientschlüssel (Zeichenfolge) als Anmeldeinformationen hinzuzufügen.

1. Wählen Sie im Azure-Portal unter App-Registrierungen Ihre Anwendung aus.

2. Wählen Sie Zertifikate & Geheimnisse > Geheime Clientschlüssel > Neuer geheimer Clientschlüssel.

   a. Fügen Sie eine Beschreibung für Ihren geheimen Clientschlüssel hinzu.

   b. Wählen Sie für das Geheimnis eine Ablauffrist aus, oder geben Sie eine benutzerdefinierte Lebensdauer an. Die Lebensdauer eines geheimen Clientschlüssels ist auf maximal zwei Jahre (24 Monate) begrenzt. Das bedeutet, dass keine benutzerdefinierte Lebensdauer angegeben werden kann, die über die 24 Monate hinausgeht.

   c. Wählen Sie Hinzufügen.

Wichtig

Dieser Geheimniswert kann nach Verlassen dieser Seite nicht erneut angezeigt werden. Notieren Sie sich den Wert des Geheimnisses, bevor Sie die Seite verlassen.

Empfehlungen zur Anwendungssicherheit finden Sie unter Bewährte Methoden und Empfehlungen für Microsoft Identity Platform.

API-Berechtigungen hinzufügen

Berechtigungen ermöglichen es Ihrer Anwendung, grundlegende Vorgänge auszuführen.

Hinzufügen von Berechtigungen für den Zugriff auf SharePoint

Führen Sie die folgenden Schritte aus, um die Berechtigungen des Clients für die SharePoint-API zu konfigurieren:

1. Wählen Sie im Azure-Portal unter App-Registrierungen Ihre Anwendung aus.

2. Wählen Sie API-Berechtigungen > Berechtigung hinzufügen, Microsoft APIs und wählen Sie SharePoint.

3. Wählen Sie den erforderlichen Berechtigungstyp für die Web-API aus.

   Wählen Sie Anwendungsberechtigungen. Anwendungsberechtigungen eignen sich für Szenarien, in denen eine Anwendung unabhängig und ohne Benutzerinteraktion auf Ressourcen oder APIs zugreifen muss. Der Zugriff ist auf die vom Administrator erteilten Berechtigungen beschränkt.

4. Erweitern Sie unter Berechtigungen auswählen die Ressource, deren Bereiche Sie für Ihre Web-API definiert haben, und wählen Sie die Berechtigungen aus, über die die Client-App im Namen des angemeldeten Benutzers verfügen soll. Wir empfehlen die Verwendung der Option Sites.Selected.

5. Wählen Sie Berechtigungen hinzufügen aus, um den Vorgang abzuschließen.

Die Tabelle Konfigurierte Berechtigungen im Bereich API-Berechtigungen enthält die Liste der Berechtigungen, die Ihre Anwendung zum Ausführen grundlegender Vorgänge benötigt.

Mithilfe der Schaltfläche Administratoreinwilligung erteilen für {Mandant} kann ein Administrator eine Administratoreinwilligung für die Berechtigungen erteilen, die für die Anwendung konfiguriert sind. Wenn Sie die Schaltfläche auswählen, wird ein Dialogfeld angezeigt, in dem Sie die Einwilligungsaktion bestätigen müssen.

Nachdem Sie die Einwilligung erteilt haben, werden die Berechtigungen, für die eine Administratoreinwilligung erforderlich ist, als erteilt angezeigt:

Berechtigungen für Apps in SharePoint hinzufügen

Die App benötigt Berechtigungen zum Ausführen von Aktionen in SharePoint. Alle Aktionen aus dem COSMO Dokumentenmanagementsystem werden im Kontext von App-Anmeldeinformationen ausgeführt (Lesen, Schreiben, Erstellen usw.).

1. Wechseln Sie zu https://[mytenant].sharepoint.com/sites/[mysubsite]/_layouts/15/appinv.aspx
2. Geben Sie die App-Id (Client-Id) aus dem ersten Schritt ein und wählen Sie dann Lookup.

3. Geben Sie in das Feld App Berechtigungsanforderung XML eine gültige XML basierend auf SharePoint Add-In-Berechtigungen ein, siehe Add-In-Berechtigungen in SharePoint.
4. Wählen Sie die Schaltfläche Erstellen aus.

5. Wählen Sie dann im nächsten Dialog die Schaltfläche Vertrauen aus.

Beispiel-Berechtigungen für das Lesen, Schreiben und Löschen von Elementen in allen Listen/Bibliotheken in der Websitesammlung:

<AppPermissionRequests AllowAppOnlyPolicy="true">
    <AppPermissionRequest Scope="http://sharepoint/content/sitecollection" Right="Write"/>
</AppPermissionRequests>

Um den Konstruktionsplan des Bibliothekssets auszuführen, ist die Berechtigungsstufe Vollzugriff erforderlich, um Web und Listen zu erstellen.

<AppPermissionRequests AllowAppOnlyPolicy="true">
    <AppPermissionRequest Scope="http://sharepoint/content/sitecollection" Right="FullControl"/>
</AppPermissionRequests>

Zusätzliche Informationen für App-Berechtigungsanforderungen

• http://sharepoint/content/sitecollection erteilt Genehmigungen für alle Websites und Unterwebsites innerhalb der Websitesammlung, unabhängig davon, auf welchem Web die appinv.aspx-Genehmigungen erteilt wurden

• http://sharepoint/content/sitecollection/web vererbt keine Berechtigungen auf Unterwebsites. Genehmigungen müssen auf allen Unterwebsites erteilt werden (zum Beispiel, https://[mytenant].sharepoint.com/sites/[mysubsite]/[mysubsubsite]/_layouts/15/appinv.aspx)

• http://sharepoint/content/sitecollection/web/list vererbt keine Berechtigungen auf Unterwebsites. Es gibt die Erlaubnis für eine bestimmte Liste nach der appinv.aspx-Berechtigungsanforderung. Es ist möglich, Listenvorlagen als Eigenschaft hinzuzufügen.

App-Prinzipal im Web validieren

Die App ist nun auf den angegebenen Websites erlaubt. Um dies zu überprüfen, gehen Sie auf https://[mytenant].sharepoint.com/sites/[mysubsite]/_layouts/15/appprincipals.aspx und finden Sie Ihre App aufgelistet.

Achten Sie auf den Bereich in der URL, zum Beispiel https://mytenant.sharepoint.com/sites/mysubsite/_layouts/15/appprincipals.aspx?Scope=Web. Apps mit webspezifischen Berechtigungen (wie zum Beispiel http://sharepoint/content/sitecollection/web oder http://sharepoint/content/sitecollection/web/list) sind im Web-Bereich aufgeführt. Apps mit sitecollection-Berechtigungen werden ohne Bereich aufgelistet.

Feedback

Senden Sie Feedback für diese Seite. (Beachten Sie, dass diese Umfrage auf Englisch ist.)