Gérer l’accès aux API sécurisées par Azure AD

Lorsque les développeurs créent des solutions SharePoint Framework, ils peuvent avoir besoin de se connecter à une API sécurisée via Azure Active Directory (Azure AD). Les développeurs peuvent spécifier les applications et autorisations Azure AD dont leur solution a besoin, et un administrateur peut gérer la demande d’autorisation à partir de l’accès à l’API dans le Centre d’administration SharePoint.

En savoir plus sur la création de solutions SharePoint Framework qui se connectent à des API sécurisées Azure-AD.

La page Accès à l’API affiche les demandes en attente et approuvées. Il indique également quelles demandes s’appliquent à tout composant SharePoint Framework ou script personnalisé dans votre organisation (à l’échelle de l’organisation) et quelles demandes s’appliquent uniquement au composant spécifique (isolé).

Remarque

Le rôle d’administrateur requis pour approuver les autorisations dépend de l’API. Pour approuver les autorisations sur l’une des API tierces inscrites dans le locataire, le rôle d’administrateur d’application est suffisant. Pour approuver des autorisations pour Microsoft Graph ou toute autre API Microsoft, le rôle Administrateur général est requis. La page d’accès à l’API n’est pas disponible pour les personnes connectées avec le rôle de lecteur global.

Approuver une demande en attente

1. Sélectionnez la demande, puis approuver pour afficher les détails de la demande.

2. Dans le volet Approuver l’accès , sélectionnez Approuver.

   

   Une fois que vous avez approuvé une demande, elle passe à la liste Demandes approuvées.

   Remarque

   Les autorisations de type délégué sont ajoutées au principal d’application web d’extensibilité du client SharePoint Online dans Azure AD.

   Si vous essayez d’approuver une demande d’autorisation pour une ressource disposant déjà de certaines autorisations (par exemple, en accordant d’autres autorisations pour Microsoft Graph), les étendues demandées sont ajoutées aux autorisations accordées précédemment.

Rejeter une demande en attente

1. Sélectionnez la demande, puis Rejeter.
2. Sélectionnez à nouveau Rejeter pour confirmer.

Le rejet de l’accès ne supprime pas l’application du site Applications. Si l’application est utilisée sur des sites, il se peut qu’elle ne fonctionne pas comme prévu. Une fois que vous avez rejeté la demande, elle est supprimée de la page et le développeur doit émettre une nouvelle demande avec la même ressource et la même étendue.

Supprimer l’accès à une demande approuvée précédemment

1. Sélectionnez la demande, puis Supprimer l’accès.
2. Sélectionnez à nouveau Supprimer pour confirmer.

Lorsque vous supprimez l’accès, les solutions et les scripts personnalisés qui s’appuient sur l’autorisation peuvent ne pas fonctionner comme prévu. Une fois l’accès supprimé, la demande est supprimée de la page et le développeur doit émettre une nouvelle demande avec la même ressource et la même étendue.

Gérer l’accès à l’aide de Microsoft PowerShell

Vous pouvez également utiliser PowerShell pour gérer les demandes d’autorisation.

• Pour afficher les demandes en attente, utilisez l’applet de commande Get-SPOTenantServicePrincipalPermissionRequests.
• Pour approuver une demande, utilisez l’applet de commande Approve-SPOTenantServicePrincipalPermissionRequest.
• Pour rejeter une demande, utilisez l’applet de commande Deny-SPOTenantServicePrincipalPermissionRequest.
• Pour supprimer l’accès à une demande approuvée précédemment, utilisez l’applet de commande Revoke-SPOTenantServicePrincipalPermission.