View a markdown version of this page

Configurar la autenticación OAuth 2.0 para SharePoint - Amazon Bedrock

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configurar la autenticación OAuth 2.0 para SharePoint

La autenticación de OAuth 2.0 (OAUTH2_APP) se autentica con un identificador de cliente de aplicación y un secreto junto con el nombre de usuario y la contraseña de una cuenta de usuario de Microsoft 365, mediante el flujo de credenciales de contraseña del propietario del recurso (ROPC) de OAuth 2.0. El conector inicia sesión como ese usuario para leer el contenido.

importante

Configurar la App-Only autenticación de Microsoft Entra ID para SharePointEn su lugar, recomendamos hacerlo. La autenticación OAuth 2.0 tiene dos limitaciones:

  • Como inicia sesión con un nombre de usuario y una contraseña, no puede completar un desafío de autenticación multifactor (MFA) ni cumplir con una política de acceso condicional que lo requiera. Si la cuenta aplica MFA o acceso condicional, la autenticación falla y la fuente de datos no se puede sincronizar. Muchas organizaciones requieren MFA para los tipos de cuentas que utilizaría aquí.

  • No admite el control de acceso (ACL) a nivel de documento. Para filtrar los resultados de las consultas por permisos de usuario, utilice la App-Only autenticación Microsoft Entra ID.

Requisitos previos

  • Una cuenta de usuario de Microsoft 365 cuyo nombre de usuario y contraseña utiliza el conector para iniciar sesión. La cuenta debe tener acceso a los SharePoint sitios que desee rastrear y no debe requerir MFA ni acceso condicional para iniciar sesión.

  • Acceso de administrador de Microsoft Entra ID para registrar una aplicación y crear un secreto de cliente.

  • Su ID de inquilino de Microsoft 365.

Paso 1: Registrar la aplicación en Microsoft Entra ID

  1. Inicie sesión en el Centro de administración de Microsoft Entra.

  2. En el menú de navegación de la izquierda, expande Entra ID y selecciona Registros de aplicaciones.

  3. Selecciona Nuevo registro.

  4. En Nombre, introduzca un nombre descriptivo, comobedrock-sharepoint-oauth2.

  5. Para los tipos de cuentas compatibles, selecciona Solo cuentas de este directorio organizativo (arrendatario único).

  6. Deje el URI de redireccionamiento en blanco y elija Registrar.

  7. En la página de descripción general de la aplicación, registre el ID de la aplicación (cliente) y el ID del directorio (inquilino).

Paso 2: Añade los permisos de la API y otorga el consentimiento del administrador

La autenticación de OAuth 2.0 requiere dos permisos: un permiso de la aplicación Microsoft Graph para enumerar sitios y un permiso SharePoint delegado para leer el contenido. Asigne las dos opciones siguientes.

Permisos para la autenticación de OAuth 2.0
API Permiso Tipo Finalidad
Microsoft Graph Sites.Read.All Aplicación Enumere los sitios SharePoint .
SharePoint AllSites.Read Delegado Lea el contenido del sitio a través de la API SharePoint REST. Requiere el consentimiento del administrador (consulta la siguiente nota).
  1. En el registro de la aplicación, selecciona Permisos de API y, a continuación, Añadir un permiso.

  2. Seleccione Microsoft Graph y, a continuación, Permisos de aplicación. Busque y seleccione ySites.Read.All, a continuación, elija Agregar permisos.

  3. Vuelve a seleccionar Añadir un permiso. Elija SharePoint(en API de Microsoft) y, a continuación, Permisos delegados. Seleccione AllSites.Read (Leer los elementos de todas las colecciones de sitios) y, a continuación, elija Agregar permisos.

  4. En la página de permisos de la API, selecciona Otorgar el consentimiento de administrador a [tu organización] y confirma.

importante

Debes conceder el consentimiento del administrador aunque el portal Entra muestre que se requiere el consentimiento del administrador: no para el permiso SharePoint AllSites.Read delegado. Esa columna indica que un usuario normalmente podría dar su consentimiento durante un inicio de sesión interactivo, pero el flujo de credenciales con la contraseña del propietario del recurso no tiene una superficie interactiva, por lo que el permiso no se puede dar al iniciar sesión y debe concederse previamente en toda la organización con el consentimiento del administrador de [su organización]. Sin ella, la solicitud del SharePoint token no se realiza correctamente AADSTS65001 (el usuario o el administrador no han dado su consentimiento para usar la aplicación) y la fuente de datos no se puede sincronizar.

nota

Si su inquilino tiene habilitados los valores de seguridad predeterminados, es posible que el flujo de credenciales de la contraseña del propietario del recurso esté bloqueado. Es posible que necesites que un administrador ajuste los valores predeterminados de seguridad o las políticas de acceso condicional de tu inquilino para que la cuenta utilizada aquí pueda iniciar sesión sin MFA. Para obtener más información, consulte la documentación de Microsoft sobre los valores predeterminados de seguridad.

Paso 3: Crea un secreto de cliente

  1. En el registro de la aplicación, selecciona Certificados y secretos, luego Secretos de cliente y, por último, Nuevo secreto de cliente.

  2. Introduce una descripción, elige una caducidad y selecciona Añadir.

  3. Registre el valor secreto inmediatamente; solo se muestra una vez. Registre el valor, no el identificador secreto.

Paso 4: Crea el secreto de Secrets Manager

Guarde las credenciales en un AWS Secrets Manager secreto con los siguientes pares clave-valor:

  • clientId— el ID de la aplicación (cliente) del paso 1.

  • clientSecret— el valor secreto del cliente del paso 3.

  • userName— el nombre de usuario (UPN) de la cuenta de usuario de Microsoft 365.

  • password— la contraseña de esa cuenta.

{ "clientId": "your-client-id", "clientSecret": "your-client-secret", "userName": "user@yourdomain.onmicrosoft.com", "password": "your-account-password" }

Cree el secreto con AWS Command Line Interface:

aws secretsmanager create-secret \ --name bedrock-sharepoint-oauth2-creds \ --secret-string file://secret.json

Registre el ARN secreto de la respuesta. Se usa como fuente secretArn de datos.

nota

La contraseña de la cuenta se guarda en el secreto y se usa para cada sincronización. Si la contraseña cambia, actualiza el secreto. Como el conector inicia sesión con esta cuenta, trate el secreto como altamente confidencial y restrinja el acceso a él.

Resolución de problemas

Si la fuente de datos no se sincroniza, compara el error con las siguientes firmas.

Errores de sincronización de OAuth 2.0
Error Causa y resolución
AADSTS65001(el usuario o el administrador no ha dado su consentimiento para utilizar la aplicación) El permiso SharePoint AllSites.Read delegado no ha recibido el consentimiento del administrador. En el registro de tu aplicación, selecciona Permisos de API y, a continuación, otorga el consentimiento de administrador a [tu organización]. Consulta el paso 2.
Rest API token request failed with status: 400 No se pudo iniciar sesión con las credenciales de contraseña del propietario del recurso durante la autenticación, normalmente porque la cuenta requiere MFA o una política de acceso condicional que el flujo no puede cumplir. Utilice una cuenta que no requiera MFA y confirme que los userName y password del secreto son correctos.
SharePoint app is missing required scopes No se ha concedido (ni consentido) el permiso de la Sites.Read.All aplicación Microsoft Graph. El conector comprueba el token de la aplicación Graph para este ámbito antes de rastrearlo. Agregue el permiso de la Sites.Read.All aplicación Microsoft Graph y otorgue el consentimiento del administrador. Consulte el paso 2.

Siguientes pasos

Después de almacenar el secreto, cree la fuente de datos con el authType valor establecido enOAUTH2_APP. No se proporciona un certificado para este método. Consulte Conectar una fuente SharePoint de datos.