View a markdown version of this page

Configure a autenticação OAuth 2.0 para SharePoint - Amazon Bedrock

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configure a autenticação OAuth 2.0 para SharePoint

A autenticação OAuth 2.0 (OAUTH2_APP) é autenticada com um ID e segredo do cliente do aplicativo, juntamente com o nome de usuário e a senha de uma conta de usuário do Microsoft 365, usando o fluxo de credenciais de senha do proprietário do recurso (ROPC) do OAuth 2.0. O conector faz login como esse usuário para ler o conteúdo.

Importante

Configurar a App-Only autenticação Microsoft Entra ID para SharePointEm vez disso, recomendamos. A autenticação OAuth 2.0 tem duas limitações:

  • Como ele faz login com um nome de usuário e senha, ele não pode concluir um desafio de autenticação multifator (MFA) nem satisfazer uma política de acesso condicional que exija uma. Se a conta aplicar MFA ou acesso condicional, a autenticação falhará e a fonte de dados não poderá ser sincronizada. Muitas organizações exigem MFA para os tipos de contas que você usaria aqui.

  • Ele não oferece suporte ao controle de acesso em nível de documento (ACLs). Para filtrar os resultados da consulta pelas permissões do usuário, use a App-Only autenticação Microsoft Entra ID.

Pré-requisitos

  • Uma conta de usuário do Microsoft 365 cujo nome de usuário e senha o conector usa para entrar. A conta deve ter acesso aos SharePoint sites que você deseja rastrear e não deve exigir MFA ou acesso condicional para fazer login.

  • Acesso de administrador do Microsoft Entra ID para registrar um aplicativo e criar um segredo de cliente.

  • Seu ID de locatário do Microsoft 365.

Etapa 1: registrar o aplicativo no Microsoft Entra ID

  1. Faça login no centro de administração do Microsoft Entra.

  2. No painel de navegação à esquerda, expanda Entra ID e escolha Registros de aplicativos.

  3. Escolha Novo registro.

  4. Em Nome, insira um nome descritivo, comobedrock-sharepoint-oauth2.

  5. Para Tipos de conta compatíveis, selecione Contas somente neste diretório organizacional (inquilino único).

  6. Deixe o URI de redirecionamento em branco e escolha Registrar.

  7. Na página Visão geral do aplicativo, registre o ID do aplicativo (cliente) e o ID do diretório (inquilino).

Etapa 2: adicionar permissões de API e conceder o consentimento do administrador

A autenticação OAuth 2.0 requer duas permissões: uma permissão do aplicativo Microsoft Graph para enumerar sites e uma permissão SharePoint delegada para ler conteúdo. Atribua as duas opções a seguir.

Permissões para autenticação OAuth 2.0
solicitações de Permissão Tipo Finalidade
Microsoft Graph Sites.Read.All Aplicação Enumere os sites SharePoint .
SharePoint AllSites.Read Delegado Leia o conteúdo do site por meio da API SharePoint REST. Requer o consentimento do administrador (consulte a nota a seguir).
  1. No registro do seu aplicativo, escolha Permissões de API e, em seguida, Adicionar uma permissão.

  2. Escolha Microsoft Graph e, em seguida, Permissões do aplicativo. Pesquise e selecione eSites.Read.All, em seguida, escolha Adicionar permissões.

  3. Escolha Adicionar uma permissão novamente. Escolha SharePoint(em APIs da Microsoft) e, em seguida, Permissões delegadas. Selecione AllSites.Read (Ler itens em todos os conjuntos de sites) e escolha Adicionar permissões.

  4. Na página de permissões da API, escolha Conceder consentimento do administrador para [sua organização] e confirme.

Importante

Você deve conceder o consentimento do administrador, mesmo que o portal Entra mostre que o consentimento do administrador é necessário: Não para a permissão SharePoint AllSites.Read delegada. Essa coluna indica que um usuário normalmente poderia consentir durante um login interativo, mas o fluxo de credenciais de senha do proprietário do recurso não tem superfície interativa, portanto, a permissão não pode ser consentida no momento do login e deve ser pré-concedida em toda a organização com o Conceder consentimento do administrador para [sua organização]. Sem ela, a solicitação de SharePoint token falha AADSTS65001 (o usuário ou administrador não consentiu em usar o aplicativo) e a fonte de dados não pode ser sincronizada.

nota

Se seu inquilino tiver os padrões de segurança habilitados, o fluxo de credenciais de senha do proprietário do recurso poderá estar bloqueado. Talvez você precise de um administrador para ajustar os padrões de segurança ou as políticas de acesso condicional do seu inquilino para que a conta usada aqui possa fazer login sem MFA. Para obter mais informações, consulte a documentação da Microsoft sobre padrões de segurança.

Etapa 3: criar um segredo de cliente

  1. No registro do seu aplicativo, escolha Certificados e segredos, depois Segredos do cliente e depois Novo segredo do cliente.

  2. Insira uma descrição, escolha uma expiração e escolha Adicionar.

  3. Registre o valor secreto imediatamente — ele é exibido apenas uma vez. Registre o valor, não a ID secreta.

Etapa 4: Criar o segredo do Secrets Manager

Armazene as credenciais em um AWS Secrets Manager segredo com os seguintes pares de valores-chave:

  • clientId— o ID do aplicativo (cliente) da Etapa 1.

  • clientSecret— o valor secreto do cliente da Etapa 3.

  • userName— o nome de usuário (UPN) da conta de usuário do Microsoft 365.

  • password— a senha dessa conta.

{ "clientId": "your-client-id", "clientSecret": "your-client-secret", "userName": "user@yourdomain.onmicrosoft.com", "password": "your-account-password" }

Crie o segredo com o AWS Command Line Interface:

aws secretsmanager create-secret \ --name bedrock-sharepoint-oauth2-creds \ --secret-string file://secret.json

Registre o ARN secreto da resposta. Você o usa como fonte de dadossecretArn.

nota

A senha da conta é armazenada em segredo e usada para cada sincronização. Se a senha mudar, atualize o segredo. Como o conector faz login com essa conta, trate o segredo como altamente confidencial e restrinja o acesso a ele.

Solução de problemas

Se a fonte de dados falhar na sincronização, compare o erro com as seguintes assinaturas.

Erros de sincronização do OAuth 2.0
Erro Causa e resolução
AADSTS65001(o usuário ou administrador não consentiu em usar o aplicativo) A permissão SharePoint AllSites.Read delegada não foi autorizada pelo administrador. No registro do seu aplicativo, escolha as permissões da API e, em seguida, conceda o consentimento do administrador para [sua organização]. Consulte a Etapa 2.
Rest API token request failed with status: 400 O login das credenciais da senha do proprietário do recurso falhou na autenticação, normalmente porque a conta exige MFA ou uma política de acesso condicional que o fluxo não pode satisfazer. Use uma conta que não exija MFA e confirme se userName e password no segredo estão corretos.
SharePoint app is missing required scopes A permissão do Sites.Read.All aplicativo Microsoft Graph não foi concedida (ou consentida). O conector verifica o token do aplicativo Graph para esse escopo antes de rastrear. Adicione a permissão do Sites.Read.All aplicativo Microsoft Graph e conceda o consentimento do administrador. Consulte a Etapa 2.

Próximas etapas

Depois de armazenar o segredo, crie a fonte de dados com authType definido comoOAUTH2_APP. Você não fornece um certificado para esse método. Consulte Conectar uma fonte SharePoint de dados.