Autorização e autenticação de suplementos do SharePoint
Quando um usuário entra no SharePoint, o token de segurança do usuário é validado. O token deve ser emitido por um provedor de identidade. O SharePoint é compatível com vários tipos de autenticação de usuário. Para obter mais informações, confira Autenticação, autorização e segurança no SharePoint.
Suplementos do SharePoint também são objetos de segurança que precisam ser autenticados e autorizados. Os suplementos podem ser autenticados e autorizados de várias maneiras diferentes. Para saber mais, confira Três sistemas de autorização para Suplementos do SharePoint.
Políticas de autorização: somente usuário, somente suplemento ou usuário + suplemento
O processo de autorização verifica se um sujeito autenticado (seja um suplemento, um usuário ou ambos) tem permissão para executar algumas operações ou para acessar recursos específicos (por exemplo, uma lista ou uma pasta de documentos do SharePoint).
O SharePoint utiliza três tipos de políticas de autorização:
A política somente usuário requer apenas que a chamada para o SharePoint inclua uma identidade do usuário.
A política somente suplemento requer apenas que a chamada inclua uma identidade do suplemento autenticado.
A política usuário + suplemento requer que a chamada inclua os dois tipos de identidades autenticadas.
Quando um usuário acessa os recursos do SharePoint por meio da interface de usuário do SharePoint em vez usar um suplemento, o SharePoint usa a política somente usuário. No entanto, para chamadas de um Suplemento do SharePoint, o SharePoint usa a política somente suplemento ou a política usuário + suplemento.
O Suplemento do SharePoint determina qual política é usada pelo tipo de token de acesso que ele inclui em sua solicitação para o SharePoint. Se for feita uma solicitação usuário + suplemento, o SharePoint exigirá que o suplemento e o usuário tenham permissão para o recurso que o suplemento está acessando. No caso de uma solicitação somente suplemento, o SharePoint exige que o suplemento tenha permissão para o recurso e não importa se o usuário tem ou não. (Um Suplemento do SharePoint só poderá fazer solicitações somente suplemento se tiver permissão para fazê-lo com antecedência; normalmente, quando for instalado.)
Para saber mais sobre políticas de autorização e como elas funcionam, confira Tipos de política de autorização de suplemento no SharePoint.
Permissões de suplemento e escopos de solicitação de permissão de suplemento
O desenvolvedor de um Suplemento do SharePoint deve especificar, por meio do arquivo de manifesto do suplemento, as permissões que um suplemento precisa para recursos do SharePoint fora da Web do suplemento. (O suplemento tem permissão de controle total automaticamente para toda a web do suplemento.) Quando o suplemento é projetado para ser iniciado no SharePoint, a infraestrutura de instalação do suplemento solicita ao usuário que instale o suplemento para conceder ou recusar as permissões necessárias. Depois de conceder as permissões, os usuários do site podem usar o suplemento sem precisar conceder novamente as permissões.
No entanto, quando o suplemento for projetado para ser iniciado fora do SharePoint, ou seja, se ele não estiver instalado no SharePoint, o SharePoint solicitará ao usuário que executa o suplemento para conceder as permissões necessárias sempre que o suplemento for executado. Os suplementos em dispositivos móveis e os Suplementos do Office são exemplos de suplementos que podem acessar o SharePoint, mas não são instalados nele.
Um proprietário de site pode instalar um Suplemento do SharePoint em um site do SharePoint (a menos que uma função personalizada seja criada com direitos de instalação de suplemento). O usuário pode conceder a um suplemento somente as permissões que ele próprio tem. Portanto, um usuário não pode instalar um suplemento que precise de permissões que ele não tem.
Da mesma forma, um usuário não pode executar um suplemento iniciado externamente que precise de permissões que ele não tem. No entanto, quando um Suplemento do SharePoint está instalado no SharePoint, ele pode pedir permissão para fazer chamadas somente suplemento. Um suplemento com essa permissão pode acessar o SharePoint de maneiras que o usuário que está executando o suplemento não tem permissão para fazê-lo.
Os suplementos também podem ter permissões revogadas ou concedidas por administradores de locatários do SharePoint Online ou administradores de farm do SharePoint.
Um Suplemento do SharePoint especifica as permissões necessárias para funcionar corretamente em seu arquivo de manifesto. As solicitações de permissão especificam os direitos que um suplemento precisa e o escopo no qual ele precisa dos direitos. Os escopos indicam onde, na hierarquia do SharePoint, se aplica uma solicitação de permissão.
O SharePoint fornece suporte para quatro diferentes escopos de conteúdo: locatário, conjunto de sites, site e lista. Também há escopos especiais para executar consultas de pesquisa, acessar dados de taxonomia, recursos sociais, recursos de Serviços Corporativos de Conectividade da Microsoft (BCS) e recursos do Project Server 2013.
Para saber mais, confira Permissões de suplementos no SharePoint.
Quando usar OAuth?
Talvez você já tenha ouvido falar que o OAuth 2.0 desempenha um papel importante na autenticação e autorização de suplementos do SharePoint. Isso é verdade, mas não faz necessariamente parte da história da autorização para cada Suplemento do SharePoint.
Você precisará usar o OAuth se quiser criar um Suplemento do SharePoint para ser executado em um aplicativo Web remoto que se comunica com o SharePoint usando código do lado do servidor.
Se o aplicativo Web remoto estivesse fora do local, você usaria o sistema de autorização de baixa confiabilidade, no qual o Azure ACS é o emissor do token de acesso.
Se estivesse no local, você normalmente usaria o sistema de alta confiabilidade, no qual o suplemento em si e um certificado digital são os emissores de tokens de acesso.
Você não usaria o OAuth para fazer uma chamada de JavaScript em uma página na web do próprio suplemento ou em uma página da Web remota usando a biblioteca entre domínios. Para mais informações sobre a biblioteca entre domínios, confira Criar Suplementos do SharePoint que usam a biblioteca entre domínios.