Microsoft Entra ID-Anwendung basierend auf Gewährung eines Autorisierungscodes erstellen
Die OAuth 2.0-Autorisierungscodegenehmigung kann in Apps verwendet werden, die auf einem Gerät installiert sind, um Zugriff auf geschützte Ressourcen wie Web-APIs zu erhalten. Mithilfe der Microsoft Identity Platform-Implementierung von OAuth 2.0 können Sie Ihrer Anwendung Anmelde- und API-Zugriff hinzufügen.
Beim Registrieren Ihrer Anwendung wird eine Vertrauensstellung zwischen Ihrer App und Microsoft Identity Platform erstellt. Die Vertrauensstellung ist unidirektional: Ihre App vertraut Microsoft Identity Platform und nicht umgekehrt.
Nutzen und Folgen dieser Authentifizierung
Die Verwendung dieser Art der OAuth 2.0-Authentifizierung hat verschiedene Auswirkungen auf das Verhalten von COSMO Dokumentenmanagementsystem.
- Nutzer aus Business Central greifen delegiert auf die Ablagestruktur im SharePoint Online zu. Dadurch erfolgt eine Prüfung der Zugriffsberechtigungen auf die SharePoint Online Dokumentenbibliotheken. Hat ein Nutzer keinen Zugriff auf eine Dokumentenbibliothek, werden die Dokumente in der DMS-Dokumentenbox nicht angezeigt.
- Diese Art der Authentifizierung hat zur Folge, dass Business Central Benutzer sich einmal pro Tag am SharePoint Online anmelden müssen. Die Anmeldung erfolgt beim Aufrufen der ersten Seite mit DMS-Dokumentenbox. Die Anmeldung erfolgt dabei einmal pro Sitzung. Ein geöffneter Browsertab entspricht einer Sitzung.
Voraussetzungen
- Ein Azure-Konto mit einem aktiven Abonnement.
- Das Azure-Konto muss über die Berechtigung zum Verwalten von Anwendungen in Microsoft Entra ID (früher Azure AD) verfügen. Die folgenden Microsoft Entra ID-Rollen verfügen über die erforderlichen Berechtigungen:
- Anwendungsadministrator
- Anwendungsentwickler
- Cloudanwendungsadministrator
- Abschluss der Schnellstartanleitung zum Einrichten eines Mandanten.
Registrieren einer Anwendung
Führen Sie die folgenden Schritte aus, um die App-Registrierung zu erstellen:
Melden Sie sich beim Microsoft Azure-Portal an.
Suchen Sie nach und wählen Sie Microsoft Entra ID.
Wählen Sie unter Verwalten Folgendes aus: App-Registrierungen > Neue Registrierung.
a. Geben Sie einen Anzeigenamen für Ihre Anwendung ein.
b. Geben Sie an, wer die Anwendung verwenden kann. Wir empfehlen, die Option Nur Konten in diesem Organisationsverzeichnis zu verwenden.
c. Lassen Sie Umleitungs-URI (optional) leer. Ein Umleitungs-URI wird im nächsten Abschnitt konfiguriert.
d. Wählen Sie Registrieren aus, um die anfängliche App-Registrierung abzuschließen.
Nach Abschluss der Registrierung wird im Azure-Portal die Übersicht für die App-Registrierung angezeigt.
Hinzufügen eines Umleitungs-URI
Ein Umleitungs-URI ist die Adresse, an die Microsoft Identity Platform den Client eines Benutzers umleitet und nach der Authentifizierung die Sicherheitstoken sendet. Sie fügen Umleitungs-URIs für Ihre registrierten Anwendungen hinzu und ändern sie, indem Sie deren Plattformeinstellungen konfigurieren.
Konfigurieren von Plattformeinstellungen
Führen Sie die folgenden Schritte aus, um Anwendungseinstellungen basierend auf der Zielplattform zu konfigurieren:
Wählen Sie im Azure-Portal unter App-Registrierungen Ihre Anwendung aus.
Wählen Sie unter Verwalten die Option Authentifizierung aus.
Wählen Sie unter Plattformkonfigurationen die Option Plattform hinzufügen aus.
Wählen Sie unter Plattformen konfigurieren die Kachel für Ihren Anwendungstyp (Plattform) aus, um die Einstellungen zu konfigurieren.
a. Web - Wählen Sie diese Plattform für Standardwebanwendungen aus, die auf einem Server ausgeführt werden.
b. Geben Sie einen Umleitungs-URI für Ihre Anwendung ein. Dieser URI ist die Adresse, an die Microsoft Identity Platform den Client eines Benutzers umleitet und nach der Authentifizierung die Sicherheitstoken sendet. Dieser URI ist die Adresse, an die Microsoft Identity Platform den Client eines Benutzers umleitet und nach der Authentifizierung die Sicherheitstoken sendet. Die URI muss dabei den folgenden Aufbau haben:
https://businesscentral.dynamics.com/[my-tennant-id]/OAuthLanding.htm
Wichtig
Die eingetragene Umleitungs-URI (Redirect-URI) muss dem vorgegebenen Aufbau, da es sonst zu Fehlern bei der Authentifizierung kommen kann.
- Wählen Sie Konfigurieren aus, um die Plattformkonfiguration abzuschließen.
Informationen zu den Einschränkungen beim Format der Umleitungs-URIs finden Sie unter Einschränkungen für Umleitungs-URI/Antwort-URL.
Hinzufügen von Anmeldeinformationen
Mit den Anmeldeinformationen kann sich Ihre Anwendung selbst authentifizieren und benötigt zur Laufzeit keine Interaktion durch einen Benutzer.
Geheimen Clientschlüssel hinzufügen
Gehen Sie folgendermaßen vor, um Ihrer vertraulichen Client-App-Registrierung geheime Clientschlüssel (Zeichenfolge) als Anmeldeinformationen hinzuzufügen.
Wählen Sie im Azure-Portal unter App-Registrierungen Ihre Anwendung aus.
Wählen Sie Zertifikate & Geheimnisse > Geheime Clientschlüssel > Neuer geheimer Clientschlüssel.
a. Fügen Sie eine Beschreibung für Ihren geheimen Clientschlüssel hinzu.
b. Wählen Sie für das Geheimnis eine Ablauffrist aus, oder geben Sie eine benutzerdefinierte Lebensdauer an. Die Lebensdauer eines geheimen Clientschlüssels ist auf maximal zwei Jahre (24 Monate) begrenzt. Das bedeutet, dass keine benutzerdefinierte Lebensdauer angegeben werden kann, die über die 24 Monate hinausgeht.
c. Wählen Sie Hinzufügen.
Wichtig
Dieser Geheimniswert kann nach Verlassen dieser Seite nicht erneut angezeigt werden. Notieren Sie sich den Wert des Geheimnisses, bevor Sie die Seite verlassen.
Empfehlungen zur Anwendungssicherheit finden Sie unter Bewährte Methoden und Empfehlungen für Microsoft Identity Platform.
API-Berechtigungen hinzufügen
Berechtigungen ermöglichen es Ihrer Anwendung, grundlegende Vorgänge auszuführen.
Hinzufügen von Berechtigungen für den Zugriff auf SharePoint
Führen Sie die folgenden Schritte aus, um die Berechtigungen des Clients für die SharePoint-API zu konfigurieren:
Wählen Sie im Azure-Portal unter App-Registrierungen Ihre Anwendung aus.
Wählen Sie API-Berechtigungen > Berechtigung hinzufügen, Microsoft APIs und wählen Sie SharePoint.
Wählen Sie den erforderlichen Berechtigungstyp für die Web-API aus.
Die Option Delegierte Berechtigungen ist standardmäßig ausgewählt. Delegierte Berechtigungen sind für Client-Apps geeignet, die als angemeldeter Benutzer auf eine Web-API zugreifen und deren Zugriff auf die Berechtigungen beschränkt werden sollte, die Sie im nächsten Schritt auswählen.
Erweitern Sie unter Berechtigungen auswählen die Ressource, deren Bereiche Sie für Ihre Web-API definiert haben, und wählen Sie die Berechtigungen aus, über die die Client-App im Namen des angemeldeten Benutzers verfügen soll.
Um den Konstruktionsplan des Bibliothekssets auszuführen, ist die Berechtigungsstufe AllSites.FullControl erforderlich, um Web und Listen zu erstellen. Für ausschließliches Lesen, Erstellen, Aktualisieren und Löschen von Artikeln in allen Dokumentbibliotheken und Listen in den Websitesammlungen ist die Berechtigungsstufe AllSites.Manage ausreichend.
Wählen Sie Berechtigungen hinzufügen aus, um den Vorgang abzuschließen.
Die Tabelle Konfigurierte Berechtigungen im Bereich API-Berechtigungen enthält die Liste der Berechtigungen, die Ihre Anwendung zum Ausführen grundlegender Vorgänge benötigt.
Mithilfe der Schaltfläche Administratoreinwilligung erteilen für {Mandant} kann ein Administrator eine Administratoreinwilligung für die Berechtigungen erteilen, die für die Anwendung konfiguriert sind. Wenn Sie die Schaltfläche auswählen, wird ein Dialogfeld angezeigt, in dem Sie die Einwilligungsaktion bestätigen müssen.
Nachdem Sie die Einwilligung erteilt haben, werden die Berechtigungen, für die eine Administratoreinwilligung erforderlich ist, als erteilt angezeigt:
Feedback
Senden Sie Feedback für diese Seite. (Beachten Sie, dass diese Umfrage auf Englisch ist.)