Dotyczy wersji 2025.2.1.348 i powyżej, autor: Tomasz Błach
Wprowadzenie
W związku z końcem wsparcia uwierzytelnienia Basic Authorization (opartego o login i hasło) dla połączeń SharePoint Online przez firmę Microsoft, jako mechanizm uwierzytelniania dla tego połączenia w WEBCON został wprowadzony standard uwierzytelnienia OAuth 2.0 zintegrowany z Microsoft Entra ID. Rozwiązanie to zapewnia najwyższy poziom ochrony, eliminując ryzyka związane z tradycyjnym uwierzytelnianiem opartym na loginach i hasłach. Dostęp do zasobów SharePoint oparty jest na modelu App-only, co oznacza, że aplikacja posiada własną tożsamość, niezależną od kont użytkowników indywidualnych.
Dlaczego stosujemy OAuth 2.0?
Przyjęty standard jest zgodny z aktualnymi wytycznymi bezpieczeństwa Microsoft opisanych w tym artykule i zapewnia:
- Brak przechowywania haseł: W przeciwieństwie do metody
SharePointOnlineCredentials, system nie przechowuje ani nie przesyła haseł
użytkowników, co eliminuje ryzyko ich przejęcia. - Certyfikat zamiast hasła: Wykorzystanie certyfikatów gwarantuje, że tylko
uprawnione instancje naszej aplikacji mogą nawiązać połączenie. - Zgodność ze standardami: Wykorzystanie Microsoft Entra ID pozwala na pełny
audyt logowań i precyzyjne zarządzanie uprawnieniami wewnątrz organizacji.
W związku z powyższym, zarówno dla istniejących, jak i nowych połączeń SharePoint Online konieczne jest wcześniejsze utworzenie aplikacji w środowisku Microsoft Entra ID. Wynika to z faktu, że konfiguracja uwierzytelniania OAuth 2.0 wymaga podania identyfikatorów Tenant ID i Client ID oraz certyfikatu, które są dostępne wyłącznie w ramach aplikacji zarejestrowanej w Entra ID.
Konfiguracja środowiska Microsoft Entra ID
Rejestracja aplikacji
Rejestracja nowej aplikacji jest możliwa z poziomu portalu Microsoft Entra ID, w sekcji App Registration.
W liście rozwijanej Supported account types zalecany jest wybór Single tenant only.
Konfiguracja uwierzytelniania aplikacji opartego na certyfikacie
W ustawieniach aplikacji należy przejść do sekcji Certificates & secrets i w zakładce Certificates wybrać Upload certificate.
WAŻNE: Do portalu Entra ID wgrywane są certyfikaty wyłącznie z kluczem publicznym.
Nadawanie aplikacji uprawnień API
Następnie należy skonfigurować uprawnienia aby aplikacja otrzymała zgodę na dostęp do zasobów SharePoint.
W tym celu, w sekcji API permissions należy wybrać Add a permission i następnie nacisnąć kafelek SharePoint.
Po wybraniu Application permissions należy dobrać odpowiedni zakres uprawnień. Warto zauważyć, że uprawnienia Delegated permissions nie są zalecane, ponieważ wymagają zalogowanego użytkownika do wykonania operacji.
Poniżej został przedstawiony podstawowy zakres uprawnień wraz z krótkim opisem:
| Nazwa uprawnienia | Wymaga Admin Consent? | Opis |
| Sites.Selected | TAK | Rekomendowane. Pozwala aplikacji na dostęp tylko do konkretnych, wybranych witryn SharePoint (wymaga dodatkowej konfiguracji do wskazania witryn) |
| Sites.Read.All | TAK | Pozwala aplikacji czytać treść we wszystkich witrynach SharePoint w całej organizacji. |
| Sites.ReadWrite.All | TAK | Pozwala aplikacji czytać i zapisywać (edytować/usuwać) pliki we wszystkich witrynach SharePoint. |
| Sites.FullControl.All | TAK | Pełna kontrola nad wszystkimi witrynami (włącznie z zarządzaniem uprawnieniami). Używać tylko w ostateczności. |
Konfiguracja połączenia w WEBCON Designer Studio
W Designer Studio należy przejść na zakładkę Źródła danych → Połączenia → Połączenie do Sharepointa i w konfiguracji nowego połączenia z listy rozwijanej Sposób uwierzytelnienia wybrać OAuth 2.0 oraz wprowadzić dane techniczne wygenerowane podczas rejestracji aplikacji w portalu Microsoft Entra ID.
Warto zaznaczyć, że Tenant ID i Client ID należy skopiować z sekcji Overview w portalu Entra ID z pól Application (client) ID i Directory (tenant) ID.
Podsumowanie
Przedstawione podejście zapewnia bezpieczną i zgodną ze standardami Microsoft integrację z SharePoint Online. Poprawna konfiguracja aplikacji w Microsoft Entra ID oraz odpowiedni dobór uprawnień są kluczowe dla stabilnego i bezproblemowego działania tego połączenia w środowisku WEBCON.