Registrieren von Anwendungsberechtigungen

Gilt für: Entwickler

Registrieren Sie Containertyp-Anwendungsberechtigungen, bevor Ihre SharePoint Embedded-App Container erstellt oder auf Inhalte in einem verarbeitenden Mandanten zugreift.

Schließen Sie zuerst Erstellen und Konfigurieren eines Containertyps ab, damit Sie über eine Containertyp-ID und eine besitzende Anwendung verfügen.

Warum eine Registrierung erforderlich ist

Eine SharePoint Embedded-Anwendung kann erst dann mit Containern in einem Nutzen-Mandanten interagieren, wenn der Containertyp in diesem Mandanten registriert ist.

Registrierungskontrollen:

  • Welche Anwendungs-IDs auf den Containertyp zugreifen können.
  • Welche delegierten Berechtigungen jede Anwendung besitzt.
  • Welche app-only-Berechtigungen jede Anwendung hat.
  • Gibt an, ob Gastanwendungen mit den Containern der besitzenden Anwendung interagieren können.

Wenn die Registrierung fehlt oder unvollständig ist, können spätere Aufrufe mit Fehlern vom Typ "Zugriff verweigert" fehlschlagen.

Verstehen, wer sich registrieren kann

Nur die besitzende Anwendung des Containertyps kann die Registrierungs-API im nutzenden Mandanten aufrufen.

Die besitzende Anwendung muss über Folgendes verfügen:

  • Ein Dienstprinzipal, der auf dem Nutzen des Mandanten installiert ist.
  • Admin zustimmung, die Registrierung im nutzenden Mandanten durchzuführen.
  • Die FileStorageContainerTypeReg.Selected Microsoft Graph-Berechtigung (benutzerdelegiert oder nur App).
  • Ein gültiges Token für die Microsoft Graph-Ressource.

Hinweis

Die API für die Containertypregistrierung ist in Microsoft Graph v1.0 verfügbar. Wenn die besitzende Anwendung die Registrierungs-API im Namen eines Benutzers aufruft (delegiert), muss diesem Benutzer die Rolle SharePoint Embedded-Administrator oder Globaler Administrator zugewiesen werden. Wenn ohne Benutzerkontext (nur App) aufgerufen wird, wird der Flow zur Gewährung von Clientanmeldeinformationen verwendet.

Bitten Sie einen mandantenverarbeitenden Administrator, der besitzenden Anwendung die Administratoreinwilligung zu erteilen.

Verwenden Sie den Endpunkt für die Microsoft Identity Platform Administratoreinwilligung:

https://login.microsoftonline.com/{consuming-tenant-id}/v2.0/adminconsent?client_id={owning-app-clientid}&scope=https://graph.microsoft.com/.default&redirect_uri={spe-app-redirect-uri}

Konfigurieren Sie die Erfolgs- und Fehlerbehandlung für Ihren Onboardingflow.

Informationen zu Endpunkten der nationalen Cloud finden Sie unter Microsoft Identity Platform Endpunkte in nationalen Clouds.

Abrufen eines Tokens für die Registrierung

Verwenden Sie entweder die delegierte Authentifizierung oder die reine App-Authentifizierung für die Registrierung.

Für die Registrierung ist Folgendes erforderlich:

  • Die FileStorageContainerTypeReg.Selected Microsoft Graph-Berechtigung.
  • Bei Nur-App-Aufrufen wird der Ablauf der Clientanmeldeinformationen erteilt.
  • Bei delegierten Aufrufen ein angemeldeter Benutzer mit der Rolle SharePoint Embedded-Administrator oder Globaler Administrator.

Registrieren von Containertypberechtigungen

Rufen Sie den Registrierungsendpunkt im verbrauchenden Mandanten auf.

PUT https://graph.microsoft.com/v1.0/storage/fileStorage/containerTypeRegistrations/{containerTypeId}

{containerTypeId} ist die Containertyp-ID, die im besitzenden Mandanten erstellt wurde.

Geben Sie im Anforderungstext die Anwendungsberechtigungen für den Containertyp an.

Erteilen von Berechtigungen für die besitzende App

Eine allgemeine erste Registrierung gewährt der besitzenden App vollständige Berechtigungen für delegierte und nur App-Aufrufe.

{
  "applicationPermissionGrants": [
    {
      "appId": "71392b2f-1765-406e-86af-5907d9bdb2ab",
      "delegatedPermissions": ["full"],
      "applicationPermissions": ["full"]
    }
  ]
}

Ersetzen Sie die Beispiel-App-ID durch Ihre eigene Anwendungs-ID.

Achtung

Verwenden Sie die geringsten Rechte für die Produktion. Nur gewähren full , wenn die Anwendung vollständigen Containertypzugriff benötigt.

Erteilen von Berechtigungen für eine Gast-App

Die besitzende App kann auch Berechtigungen für eine andere Anwendung registrieren.

Verwenden Sie dieses Muster, wenn eine Gast-App eine definierte Workload benötigt, z. B. Sicherung oder Verarbeitung.

{
  "applicationPermissionGrants": [
    {
      "appId": "71392b2f-1765-406e-86af-5907d9bdb2ab",
      "delegatedPermissions": ["full"],
      "applicationPermissions": ["full"]
    },
    {
      "appId": "89ea5c94-7736-4e25-95ad-3fa95f62b6",
      "delegatedPermissions": ["read", "write"],
      "applicationPermissions": ["none"]
    }
  ]
}

Ersetzen Sie beide App-IDs durch Ihre Anwendungen.

Berechtigungswerte

Permission Verwendung
None Erteilen Sie keine Berechtigungen.
ReadContent Lesen von Inhalten in Containern dieses Typs.
WriteContent Schreiben von Inhalten in Containern dieses Typs.
Create Erstellen Sie Container dieses Typs.
Delete Löschen Sie Container dieses Typs.
Read Lesen von Containermetadaten.
Write Aktualisieren der Containermetadaten.
EnumeratePermissions Auflisten von Containermitgliedern und -rollen.
AddPermissions Fügen Sie Containermitglieder hinzu.
UpdatePermissions Aktualisieren vorhandener Mitgliedschaften.
DeletePermissions Löschen Sie andere Mitglieder.
DeleteOwnPermission Entfernen Sie die eigene Mitgliedschaft des Aufrufers.
ManagePermissions Verwalten von Containerrollenzuweisungen.
ManageContent Verwalten sie den Inhalt von Containern dieses Typs.
Full Erteilen Sie alle Berechtigungen.

Hinweis

WriteContent kann ohne ReadContentnicht gewährt werden.

Überprüfen der Registrierung

Eine erfolgreiche Registrierung gibt und die konfigurierten Berechtigungen im Antworttext zurück 201 Created .

Nach der erfolgreichen Registrierung:

  1. Vergewissern Sie sich, dass die Antwort die erwarteten App-IDs enthält.
  2. Vergewissern Sie sich, dass delegierte Arrays und Nur-App-Arrays ihren beabsichtigten Zuweisungen entsprechen.
  3. Abrufen eines Microsoft Graph-Tokens mit SharePoint Embedded-Berechtigungen.
  4. Probieren Sie einen Vorgang mit geringem Risiko aus, der der registrierten Berechtigung entspricht.
  5. Fahren Sie mit Konfigurieren der Authentifizierung und Autorisierung fort.
Problembeschreibung Wahrscheinliche Ursache Aktion
401 Unauthorized Fehlendes oder ungültiges Token Fordern Sie ein gültiges Nur-App-Token an.
403 Forbidden App hat keine Berechtigung oder besitzt keine App Bestätigen, FileStorageContainerTypeReg.SelectedZustimmung und App-ID.
404 Not Found Containertyp ist nicht vorhanden Überprüfen Sie ID und Mandant.
Zugriff verweigert bei Graph-Aufrufen Registrierung fehlt oder reicht nicht aus Registrieren Sie sich mit den erforderlichen Berechtigungen erneut.
Admin können ausgeblendete Berechtigungen nicht finden. Portal macht es nicht verfügbar Verwenden Sie eine Administratoreinwilligungs-URL.

Sicheres erneutes Registrieren

Es gibt keine Einschränkung, wie oft die Registrierungs-API aufgerufen werden kann.

Der letzte erfolgreiche Registrierungsaufruf bestimmt die Einstellungen, die im verbrauchenden Mandanten verwendet werden.

Verwenden Sie einen sicheren Updateprozess:

  1. Erstellen Sie eine vollständige Registrierungsnutzlast.
  2. Schließen Sie alle Apps ein, die zugriff behalten sollen.
  3. Übermitteln Sie den Registrierungsaufruf.
  4. Überprüfen Sie die Antwort.
  5. Führen Sie Feuerprobetests für jede App-Rolle aus.

Wichtig

Senden Sie keine Teilnutzlast, es sei denn, Sie beabsichtigen, dass die resultierende Registrierung nur diesen Satz von Anwendungen und Berechtigungen enthält.

Nächste Schritte

Konfigurieren von Token und Autorisierungsflüssen unter Konfigurieren von Authentifizierung und Autorisierung.