Inscrire des autorisations d’application

S’applique à : Développeur

Inscrivez les autorisations d’application de type de conteneur avant que votre application SharePoint Embedded ne crée des conteneurs ou accède au contenu dans un locataire consommateur.

Commencez par créer et configurer un type de conteneur afin d’avoir un ID de type de conteneur et l’application propriétaire.

Pourquoi l’inscription est requise

Une application SharePoint Embedded ne peut pas interagir avec des conteneurs dans un locataire consommateur tant que le type de conteneur n’est pas inscrit dans ce locataire.

Contrôles d’inscription :

  • Quels ID d’application peuvent accéder au type de conteneur.
  • Autorisations déléguées dont dispose chaque application.
  • Autorisations d’application uniquement dont dispose chaque application.
  • Indique si les applications invitées peuvent interagir avec les conteneurs de l’application propriétaire.

Si l’inscription est manquante ou incomplète, les appels ultérieurs peuvent échouer avec des erreurs d’accès refusé.

Comprendre qui peut s’inscrire

Seule l’application propriétaire du type de conteneur peut appeler l’API d’inscription dans le locataire consommateur.

L’application propriétaire doit avoir :

  • Un principal de service installé sur le locataire consommateur.
  • Administration consentement pour effectuer l’inscription dans le locataire consommateur.
  • L’autorisation FileStorageContainerTypeReg.Selected Microsoft Graph (déléguée par l’utilisateur ou l’application uniquement).
  • Jeton valide pour la ressource Microsoft Graph.

Remarque

L’API d’inscription de type de conteneur est disponible dans Microsoft Graph v1.0. Lorsque l’application propriétaire appelle l’API d’inscription au nom d’un utilisateur (délégué), cet utilisateur doit se voir attribuer le rôle Administrateur incorporé SharePoint ou Administrateur général . Lorsqu’il appelle sans contexte utilisateur (application uniquement), il utilise le flux d’octroi des informations d’identification du client.

Demandez à un administrateur client consommateur d’accorder le consentement administrateur à l’application propriétaire.

Utilisez le point de terminaison de consentement administrateur Plateforme d'identités Microsoft :

https://login.microsoftonline.com/{consuming-tenant-id}/v2.0/adminconsent?client_id={owning-app-clientid}&scope=https://graph.microsoft.com/.default&redirect_uri={spe-app-redirect-uri}

Configurez la gestion des réussites et des erreurs pour votre flux d’intégration.

Pour les points de terminaison de cloud national, consultez Plateforme d'identités Microsoft points de terminaison sur les clouds nationaux.

Acquérir un jeton pour l’inscription

Utilisez l’authentification déléguée ou l’authentification d’application uniquement pour l’inscription.

L’inscription nécessite :

  • Autorisation FileStorageContainerTypeReg.Selected Microsoft Graph.
  • Pour les appels d’application uniquement, le flux d’octroi des informations d’identification du client.
  • Pour les appels délégués, un utilisateur connecté avec le rôle Administrateur SharePoint Incorporé ou Administrateur général.

Inscrire les autorisations de type de conteneur

Appelez le point de terminaison d’inscription dans le locataire consommateur.

PUT https://graph.microsoft.com/v1.0/storage/fileStorage/containerTypeRegistrations/{containerTypeId}

{containerTypeId} est l’ID de type de conteneur créé dans le locataire propriétaire.

Dans le corps de la demande, fournissez les autorisations d’application pour le type de conteneur.

Accorder des autorisations à l’application propriétaire

Une première inscription courante accorde à l’application propriétaire des autorisations complètes pour les appels délégués et d’application uniquement.

{
  "applicationPermissionGrants": [
    {
      "appId": "71392b2f-1765-406e-86af-5907d9bdb2ab",
      "delegatedPermissions": ["full"],
      "applicationPermissions": ["full"]
    }
  ]
}

Remplacez l’exemple d’ID d’application par votre ID d’application propriétaire.

Attention

Utilisez le privilège minimum pour la production. Accordez full uniquement lorsque l’application a besoin d’un accès complet au type de conteneur.

Accorder des autorisations à une application invitée

L’application propriétaire peut également inscrire des autorisations pour une autre application.

Utilisez ce modèle lorsqu’une application invitée a besoin d’une charge de travail définie, telle que la sauvegarde ou le traitement.

{
  "applicationPermissionGrants": [
    {
      "appId": "71392b2f-1765-406e-86af-5907d9bdb2ab",
      "delegatedPermissions": ["full"],
      "applicationPermissions": ["full"]
    },
    {
      "appId": "89ea5c94-7736-4e25-95ad-3fa95f62b6",
      "delegatedPermissions": ["read", "write"],
      "applicationPermissions": ["none"]
    }
  ]
}

Remplacez les deux ID d’application par vos applications.

Valeurs d’autorisation

Autorisation Utilisation
None N’accordez aucune autorisation.
ReadContent Lire du contenu dans des conteneurs de ce type.
WriteContent Écrire du contenu dans des conteneurs de ce type.
Create Créez des conteneurs de ce type.
Delete Supprimez les conteneurs de ce type.
Read Lire les métadonnées de conteneur.
Write Mettre à jour les métadonnées du conteneur.
EnumeratePermissions Énumérer les membres et les rôles du conteneur.
AddPermissions Ajoutez des membres de conteneur.
UpdatePermissions Mettre à jour les appartenances existantes.
DeletePermissions Supprimez les autres membres.
DeleteOwnPermission Supprimez l’appartenance de l’appelant.
ManagePermissions Gérer les attributions de rôles de conteneur.
ManageContent Gérer le contenu des conteneurs de ce type.
Full Accordez toutes les autorisations.

Remarque

WriteContent ne peut pas être accordé sans ReadContent.

Valider l’inscription

Une inscription réussie retourne 201 Created et les autorisations configurées dans le corps de la réponse.

Une fois l’inscription réussie :

  1. Vérifiez que la réponse inclut les ID d’application attendus.
  2. Vérifiez que les tableaux délégués et les tableaux d’application uniquement correspondent aux octrois prévus.
  3. Acquérir un jeton Microsoft Graph avec des autorisations SharePoint Embedded.
  4. Essayez une opération à faible risque qui correspond à l’autorisation inscrite.
  5. Passez à Configurer l’authentification et l’autorisation.
Symptôme Cause probable Action
401 Unauthorized Jeton manquant ou non valide Demandez un jeton d’application uniquement valide.
403 Forbidden L’application n’a pas d’autorisation ou n’est pas propriétaire de l’application Confirmez FileStorageContainerTypeReg.Selected, le consentement et l’ID d’application.
404 Not Found Le type de conteneur n’existe pas Vérifiez l’ID et le locataire.
Accès refusé sur les appels Graph Inscription manquante ou insuffisante Réinscrire avec les autorisations nécessaires.
Administration ne trouve pas l’autorisation masquée Le portail ne l’expose pas Utilisez une URL de consentement administrateur.

Réinscrire en toute sécurité

Il n’existe aucune restriction sur le nombre d’appels de l’API d’inscription.

Le dernier appel d’inscription réussi détermine les paramètres utilisés dans le locataire consommateur.

Utilisez un processus de mise à jour sécurisé :

  1. Créez une charge utile d’inscription complète.
  2. Incluez toutes les applications qui doivent conserver l’accès.
  3. Envoyez l’appel d’inscription.
  4. Validez la réponse.
  5. Exécutez des tests de détection de fumée pour chaque rôle d’application.

Importante

N’envoyez pas de charge utile partielle, sauf si vous envisagez que l’inscription résultante contienne uniquement cet ensemble d’applications et d’autorisations.

Étapes suivantes

Configurez les jetons et les flux d’autorisation dans Configurer l’authentification et l’autorisation.