View a markdown version of this page

Richten Sie die OAuth 2.0-Authentifizierung ein für SharePoint - Amazon Bedrock
VoraussetzungenSchritt 1: Registrieren Sie die Anwendung in Microsoft Entra IDSchritt 2: Fügen Sie API-Berechtigungen hinzu und erteilen Sie die Zustimmung des AdministratorsSchritt 3: Erstellen Sie einen geheimen ClientschlüsselSchritt 4: Erstellen Sie das Secrets Manager Manager-GeheimnisFehlerbehebungNächste Schritte

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Richten Sie die OAuth 2.0-Authentifizierung ein für SharePoint

Die OAuth 2.0-Authentifizierung (OAUTH2_APP) authentifiziert sich mit einer Anwendungsclient-ID und einem geheimen Schlüssel zusammen mit dem Benutzernamen und dem Passwort eines Microsoft 365-Benutzerkontos. Dabei wird der OAuth 2.0-Ablauf für Resource-Owner Password Credentials (ROPC) verwendet. Der Connector meldet sich als dieser Benutzer an, um Inhalte zu lesen.

Wichtig

Wir empfehlen Richten Sie die Microsoft Entra App-Only ID-Authentifizierung ein für SharePoint stattdessen. Die OAuth 2.0-Authentifizierung hat zwei Einschränkungen:

  • Da es sich mit einem Benutzernamen und einem Passwort anmeldet, kann es weder eine Multi-Faktor-Authentifizierung (MFA) abschließen noch eine Richtlinie für bedingten Zugriff erfüllen, die eine solche erfordert. Wenn das Konto MFA oder Conditional Access erzwingt, schlägt die Authentifizierung fehl und die Datenquelle kann nicht synchronisiert werden. Viele Organisationen benötigen MFA für die Arten von Konten, die Sie hier verwenden würden.

  • Die Zugriffskontrolle auf Dokumentebene (ACLs) wird nicht unterstützt. Verwenden Sie die Microsoft Entra App-Only ID-Authentifizierung, um Abfrageergebnisse nach Benutzerberechtigungen zu filtern.

Voraussetzungen

  • Ein Microsoft 365-Benutzerkonto, dessen Benutzername und Passwort der Connector für die Anmeldung verwendet. Das Konto muss Zugriff auf die SharePoint Websites haben, die Sie crawlen möchten, und darf für die Anmeldung weder MFA noch Conditional Access erforderlich sein.

  • Microsoft Entra ID-Administratorzugriff zum Registrieren einer Anwendung und zum Erstellen eines geheimen Client-Schlüssels.

  • Ihre Microsoft 365-Mandanten-ID.

Schritt 1: Registrieren Sie die Anwendung in Microsoft Entra ID

  1. Melden Sie sich im Microsoft Entra Admin Center an.

  2. Erweitern Sie in der linken Navigationsleiste Entra ID und wählen Sie App-Registrierungen aus.

  3. Wählen Sie Neue Registrierung.

  4. Geben Sie unter Name einen aussagekräftigen Namen ein, z. B. bedrock-sharepoint-oauth2

  5. Wählen Sie unter Unterstützte Kontotypen die Option Nur Konten in diesem Organisationsverzeichnis (Einzelmandant) aus.

  6. Lassen Sie das Feld Umleitungs-URI leer und wählen Sie Registrieren aus.

  7. Notieren Sie sich auf der Seite mit der Anwendungsübersicht die Anwendungs-ID (Client) und die Verzeichnis-ID (Mandanten-ID).

Schritt 2: Fügen Sie API-Berechtigungen hinzu und erteilen Sie die Zustimmung des Administrators

Für die OAuth 2.0-Authentifizierung sind zwei Berechtigungen erforderlich: eine Microsoft Graph-Anwendungsberechtigung zum Auflisten von Websites und eine SharePoint delegierte Berechtigung zum Lesen von Inhalten. Weisen Sie die beiden folgenden Optionen zu.

Berechtigungen für die OAuth 2.0-Authentifizierung
API Berechtigung Typ Zweck
Microsoft Graph Sites.Read.All Anwendung Zählen SharePoint Sie Websites auf.
SharePoint AllSites.Read Delegiert Lesen Sie den Inhalt der Website über die SharePoint REST-API. Erfordert die Zustimmung des Administrators (siehe den folgenden Hinweis).

  1. Wählen Sie in Ihrer App-Registrierung API-Berechtigungen und dann Berechtigung hinzufügen aus.

  2. Wählen Sie Microsoft Graph und dann Anwendungsberechtigungen. Suchen Sie nachSites.Read.All, wählen Sie es aus und wählen Sie dann Berechtigungen hinzufügen aus.

  3. Wählen Sie erneut „Berechtigung hinzufügen“. Wählen Sie SharePoint(unter Microsoft-APIs) und anschließend Delegierte Berechtigungen aus. Wählen Sie AllSites.Read (Elemente in allen Websitesammlungen lesen) und anschließend Berechtigungen hinzufügen aus.

  4. Wählen Sie auf der Seite mit den API-Berechtigungen die Option Administratorzustimmung für [Ihre Organisation] gewähren aus und bestätigen Sie.

Wichtig

Sie müssen die Zustimmung des Administrators erteilen, obwohl im Entra-Portal die Meldung Admin-Zustimmung erforderlich angezeigt wird: Nein für die SharePoint AllSites.Read delegierte Berechtigung. Diese Spalte gibt an, dass ein Benutzer normalerweise bei einer interaktiven Anmeldung seine Zustimmung geben könnte. Der Ablauf der Anmeldeinformationen für den Ressourcenbesitzer hat jedoch keine interaktive Oberfläche, sodass der Genehmigung bei der Anmeldung nicht zugestimmt werden kann und organisationsweit vorab mit Grant admin consent for [your organization] erteilt werden muss. Andernfalls schlägt die SharePoint Tokenanforderung fehl mit AADSTS65001 (der Benutzer oder Administrator hat der Verwendung der Anwendung nicht zugestimmt) und die Datenquelle kann nicht synchronisiert werden.

Anmerkung

Wenn für Ihren Mandanten die Sicherheitsstandards aktiviert sind, ist der Fluss der Anmeldeinformationen für das Kennwort des Ressourcenbesitzers möglicherweise blockiert. Möglicherweise benötigen Sie einen Administrator, der die Sicherheitsstandards oder die Richtlinien für bedingten Zugriff Ihres Mandanten anpasst, damit sich das hier verwendete Konto ohne MFA anmelden kann. Weitere Informationen finden Sie in der Microsoft-Dokumentation zu Sicherheitsstandards.

Schritt 3: Erstellen Sie einen geheimen Clientschlüssel

  1. Wählen Sie in Ihrer App-Registrierung Certificates & Secrets, dann Client Secrets und dann New client secret aus.

  2. Geben Sie eine Beschreibung ein, wählen Sie ein Ablaufdatum und klicken Sie auf Hinzufügen.

  3. Notieren Sie den geheimen Wert sofort — er wird nur einmal angezeigt. Notieren Sie den Wert, nicht die geheime ID.

Schritt 4: Erstellen Sie das Secrets Manager Manager-Geheimnis

Speichern Sie die Anmeldeinformationen in einem AWS Secrets Manager geheimen Ordner mit den folgenden Schlüssel-Wert-Paaren:

  • clientId— die Anwendungs-ID (Client) aus Schritt 1.

  • clientSecret— der geheime Client-Wert aus Schritt 3.

  • userName— der Benutzername (UPN) des Microsoft 365-Benutzerkontos.

  • password— das Passwort für dieses Konto.

{
    "clientId": "your-client-id",
    "clientSecret": "your-client-secret",
    "userName": "user@yourdomain.onmicrosoft.com",
    "password": "your-account-password"
}

Erstelle das Geheimnis mit dem AWS Command Line Interface:

aws secretsmanager create-secret \
  --name bedrock-sharepoint-oauth2-creds \
  --secret-string file://secret.json

Notieren Sie den geheimen ARN aus der Antwort. Sie verwenden es als DatenquellesecretArn.

Anmerkung

Das Kontopasswort wird geheim gespeichert und für jede Synchronisierung verwendet. Wenn sich das Passwort ändert, aktualisieren Sie das Geheimnis. Da sich der Connector mit diesem Konto anmeldet, sollten Sie das Geheimnis als hochsensibel behandeln und den Zugriff darauf einschränken.

Fehlerbehebung

Wenn die Datenquelle nicht synchronisiert werden kann, vergleichen Sie den Fehler mit den folgenden Signaturen.

OAuth 2.0-Synchronisierungsfehler
Fehler Ursache und Lösung
AADSTS65001(der Benutzer oder Administrator hat der Nutzung der Anwendung nicht zugestimmt) Die SharePoint AllSites.Read delegierte Berechtigung wurde nicht vom Administrator genehmigt. Wählen Sie in Ihrer App-Registrierung die Option API-Berechtigungen und anschließend Administratorzustimmung für [Ihre Organisation] gewähren aus. Siehe Schritt 2.
Rest API token request failed with status: 400 Die Anmeldung mit den Kennwortanmeldeinformationen des Ressourcenbesitzers schlug bei der Authentifizierung fehl. Dies liegt in der Regel daran, dass für das Konto MFA oder eine Richtlinie für bedingten Zugriff erforderlich ist, die der Flow nicht erfüllen kann. Verwenden Sie ein Konto, für das keine MFA erforderlich ist, und vergewissern Sie sich, dass die userName und password im Secret korrekt sind.
SharePoint app is missing required scopes Die Microsoft Sites.Read.All Graph-Anwendungsberechtigung wurde nicht erteilt (oder genehmigt). Der Connector überprüft vor dem Crawlen das Graph-Anwendungstoken für diesen Bereich. Fügen Sie die Microsoft Sites.Read.All Graph-Anwendungsberechtigung hinzu und erteilen Sie die Zustimmung des Administrators. Siehe Schritt 2.

Nächste Schritte

Nachdem Sie das Geheimnis gespeichert haben, erstellen Sie die Datenquelle mit der authType Einstellung aufOAUTH2_APP. Sie stellen kein Zertifikat für diese Methode bereit. Siehe Eine SharePoint Datenquelle Connect.