Autorisation et authentification des compléments SharePoint
Lorsqu’un utilisateur se connecte à SharePoint, son jeton de sécurité est validé. Le jeton est émis par un fournisseur d’identité. SharePoint prend en charge différents types d’authentification des utilisateurs. Pour plus d’informations, consultez Authentification, autorisation et sécurité dans SharePoint.
Les compléments SharePoint sont également des principaux de sécurité qui doivent être authentifiés et autorisés. Il existe différents moyens d’authentification et d’autorisation des compléments. Pour plus d’informations, reportez-vous à la rubrique Trois systèmes d’autorisation pour les compléments SharePoint.
Stratégies d’autorisation : utilisateur uniquement, complément uniquement ou utilisateur et complément
Le processus d’autorisation vérifie qu’un sujet authentifié (un utilisateur, un complément ou les deux) possède l’autorisation d’effectuer certaines opérations ou d’accéder à des ressources spécifiques (une liste ou un dossier de documents SharePoint, par exemple).
SharePoint utilise trois types de stratégie d’autorisation :
La stratégie d’utilisateur uniquement exige uniquement que l’appel vers SharePoint contienne une identité d’utilisateur authentifié.
La stratégie de complément uniquement exige uniquement que l’appel vers SharePoint contienne une identité de complément authentifié.
La stratégie utilisateur+complément exige que l’appel contienne les deux types d’identités authentifiées.
Lorsqu’un utilisateur accède à des ressources SharePoint via l’interface utilisateur de SharePoint et non par l’intermédiaire d’un complément, SharePoint utilise la stratégie utilisateur uniquement. En revanche, pour les appels à partir d’un complément SharePoint, SharePoint utilise la stratégie de complément uniquement ou d’utilisateur+complément.
Le complément SharePoint détermine la stratégie utilisée par le type de jeton d’accès qu’il inclut dans sa demande à SharePoint. Si une demande utilisateur+complément est effectuée, SharePoint a besoin que le complément et l’utilisateur soient autorisés à accéder à la ressource à laquelle le complément accède. Dans le cas d’une demande de type complément uniquement, SharePoint a besoin que le complément soit autorisé à accéder à la ressource, mais l’autorisation de l’utilisateur n’est pas prise en compte. (Un complément SharePoint peut uniquement effectuer des demandes de type complément uniquement s’il a été autorisé à l’avance à le faire ; en règle générale, lors de son installation.)
Pour plus d’informations sur les stratégies d’autorisation et sur leur mode de fonctionnement, reportez-vous à la rubrique Types de stratégie d’autorisation des compléments dans SharePoint.
Autorisations pour les compléments et étendues de demande d’autorisation de complément
Le développeur d’un complément SharePoint doit spécifier dans le fichier manifeste de complément les autorisations dont un complément a besoin pour accéder à des ressources SharePoint en dehors du site web du complément. (Le complément bénéficie automatiquement d’une autorisation Contrôle total sur tout le site web de complément.) Lorsque le complément est conçu pour être lancé à partir de SharePoint, l’infrastructure d’installation du complément invite l’utilisateur qui installe celui-ci à accorder ou refuser les autorisations nécessaires. Une fois que les autorisations ont été accordées, les utilisateurs du site web peuvent utiliser le complément sans avoir à accorder de nouvelles autorisations.
Toutefois, lorsque le complément est conçu pour être lancé en dehors de SharePoint, autrement dit s’il n’est pas installé sur SharePoint, SharePoint invite l’utilisateur qui exécute le complément à accorder les autorisations nécessaires à chaque fois qu’il est exécuté. Les compléments sur des appareils mobiles et les compléments Office, par exemple, peuvent accéder à SharePoint, mais n’y sont pas installés.
Seul un propriétaire de site web peut installer un complément SharePoint sur un site web SharePoint (sauf si un rôle personnalisé bénéficiant de droits d’installation de compléments a été créé). Un utilisateur peut uniquement accorder à un complément les autorisations dont il bénéficie lui-même. En l’occurrence, il ne peut pas installer un complément qui a besoin d’autorisations dont il ne dispose pas.
De même, un utilisateur ne peut pas exécuter un complément lancé en externe qui a besoin d’autorisations que cet utilisateur ne possède pas. Toutefois, lorsqu’un complément SharePoint est installé sur SharePoint, il peut demander l’autorisation d’effectuer des appels de type complément uniquement. Un complément bénéficiant de cette autorisation bénéficie de moyens d’accès à SharePoint dont l’utilisateur qui l’exécute ne dispose pas.
Les compléments peuvent également comporter des autorisations révoquées ou accordées par les administrateurs client SharePoint Online ou les administrateurs de batterie de serveurs SharePoint.
Dans le fichier manifeste de complément, un complément SharePoint spécifie les autorisations dont il a besoin pour fonctionner correctement. Les demandes d’autorisation spécifient les droits dont un complément a besoin et l’étendue sur laquelle il en a besoin. Les étendues indiquent le niveau de la hiérarchie SharePoint auquel une demande d’autorisation s’applique.
SharePoint prend en charge quatre étendues de contenu : client, collection de sites, site web et liste. Il existe également des étendues spéciales permettant d’effectuer des requêtes de recherche, d’accéder aux données de taxonomie, aux fonctionnalités sociales, aux fonctionnalités de Microsoft Business Connectivity Services (BCS) et aux fonctionnalités de Project Server 2013.
Pour en savoir plus, consultez l’article Autorisations des compléments dans SharePoint.
Quand OAuth est-il utilisé ?
Vous avez peut-être déjà entendu dire que OAuth 2.0 jouait un rôle important dans l’authentification et l’autorisation des compléments SharePoint. C’est le cas, mais il ne fait pas nécessairement partie des procédures d’autorisation de tous les compléments SharePoint.
Si vous envisagez de créer un complément SharePoint capable de s’exécuter dans une application web à distance et de communiquer des informations à SharePoint au moyen de code côté serveur, vous devez utiliser OAuth.
Si l’application web distante est hors site, vous devez utiliser le système d’autorisation à faible niveau de confiance, avec lequel Azure ACS est l’émetteur du jeton d’accès.
Si elle est locale, vous utilisez habituellement le système à haut niveau de fiabilité, avec lequel le complément lui-même et un certificat numérique sont les émetteurs du jeton d’accès.
Vous ne devez pas utiliser OAuth pour émettre un appel à partir de JavaScript sur une page du site web du complément lui-même, ni à partir d’une page web distante au moyen de la bibliothèque inter-domaines. Pour en savoir plus sur la bibliothèque inter-domaines, consultez l’article Création de compléments SharePoint qui utilisent la bibliothèque inter-domaines.