Erreur « 401 non autorisé » lors de l’utilisation des revendications OAuth et SAML

Symptômes

Prenons l’exemple du scénario suivant :

  • Vous utilisez des types de revendications SAML (Security Assertions Markup Language) qui utilisent les services AD FS (Active Directory Federated Services) comme fournisseur d’authentification dans votre batterie de serveurs.
  • Vous utilisez la revendication Role ou GroupSID pour accorder des autorisations aux utilisateurs sur les sites Microsoft SharePoint 2013 de la batterie de serveurs.
  • La version de votre batterie de serveurs est antérieure à la version 15.0.4805.1000 (mise à jour cumulative de mars 2016).

Dans ce scénario, les utilisateurs qui ont les autorisations appropriées qui leur sont attribuées via le type de revendication Role ou GroupSID reçoivent des messages d’erreur « 401 non autorisé » lorsqu’ils utilisent la méthode d’authentification OAuth dans les cas suivants :

  • Workflow Manager (flux de travail SharePoint 2013)
  • Compagnon d’application web (WAC - Office Web Apps)
  • Applications hébergées par un fournisseur à haut niveau de confiance ou à faible niveau de confiance
  • Publication/consommation d’applications de service entre batteries de serveurs
  • Scénarios SharePoint 2013/SharePoint Online hybrides
  • Intégration de SharePoint à Exchange et Lync 2013/Skype Entreprise

Résolution

Pour résoudre ce problème, installez la mise à jour cumulative de mars 2016 pour Microsoft SharePoint Server sur tous les serveurs de la batterie.

Dans le cadre du correctif, une nouvelle propriété, GroupClaimType, est ajoutée à l’objet SPTrustedIdentityTokenIssuer. Pour qu’OAuth fonctionne correctement, cette propriété doit être définie sur le type de revendication correct pour l’autorisation pour les utilisateurs qui se voit attribuer des autorisations par le biais du type de revendication Role ou GroupSID.

Pour définir la propriété GroupClaimType, exécutez les commandes suivantes Windows PowerShell suivantes :

#Create a variable containing the SPTrustedIdentityTokenIssuer object  
$issuer = Get-SPTrustedIdentityTokenIssuer  

#Set the GroupClaimType property to the Role claim type, do not run for GroupSID claim type  
$issuer.GroupClaimType = [Microsoft.IdentityModel.Claims.ClaimTypes]::Role   

#Set the GroupClaimType property to the GroupSID claim type, do not run for Role claim type  
$issuer.GroupClaimType = [Microsoft.IdentityModel.Claims.ClaimTypes]::GroupSid  

#Update the SPTrustedIdenityTokenIssuer object to apply the change   
$issuer.Update()   

Informations supplémentaires

Exemple de message d’erreur provenant d’un flux de travail défactuant :

RequestorId: <Requestor ID>. Details: System.ApplicationException: HTTP 401 {"error":{"code":"-2147024891, System.UnauthorizedAccessException","message":{"lang":"en-US","value":"Access denied. You do not have permission to perform this action or access this resource."}} } {"Transfer-Encoding":["chunked"],"X-SharePointHealthScore":["0"],"SPRequestGuid":["<SP Request GUID>"],"request-id":["<Request ID>"],"X-FRAME-OPTIONS":["SAMEORIGIN"],"MicrosoftSharePointTeamServices":["15.0.0.4805"],"X-Content-Type-Options":["nosniff"],"X-MS-InvokeApp":["1; RequireReadOnly"],"Cache-Control":["max-age=0, private"],"Date":["Fri, 19 Aug 2016 20:35:30 GMT"],"Server":["Microsoft-IIS\/8.0"],"WWW-Authenticate":["NTLM"],"X-AspNet-Version":["4.0.30319"],"X-Powered-By":["ASP.NET"]} at Microsoft.Activities.Hosting.Runtime.Subroutine.SubroutineChild.Execute(CodeActivityContext context) at System.Activities.CodeActivity.InternalExecute(ActivityInstance instance, ActivityExecutor executor, BookmarkManager bookmarkManager) at System.Activities.Runtime.ActivityExecutor.ExecuteActivityWorkItem.ExecuteBody(ActivityExecutor executor, BookmarkManager bookmarkManager, Location resultLocation)

Exemples d’entrées de journal dans les journaux ULS (Unified Logging System) :

15:54:30.25 w3wp.exe (0x9FCC) 0x5F78 SharePoint Foundation CSOM aii1c Verbose Checking   
SPBasePermissions.Open permission  

15:54:30.25 w3wp.exe (0x9FCC) 0x5F78 SharePoint Foundation Authentication Authorization ajmmu   
Medium Permission check failed. asking for 0x10000, have 0x2000000000 645f0edc-7ec9-44c5-84b7-  
2adfba2f7f92  

15:54:30.25 w3wp.exe (0x9FCC) 0x5F78 SharePoint Foundation CSOM afxwb High  
System.UnauthorizedAccessException: Attempted to perform an unauthorized operation. at   
Microsoft.SharePoint.SPGlobal.HandleUnauthorizedAccessException(UnauthorizedAccessException ex) at   
Microsoft.SharePoint.SPSecurableObject.CheckPermissions(SPBasePermissions permissionMask) at   
Microsoft.SharePoint.Client.SPClientServiceHost.OnBeginRequest() at   
Microsoft.SharePoint.Client.Rest.RestService.ProcessQuery(Stream inputStream, IList`1   
pendingDisposableContainer)  

15:54:30.25 w3wp.exe (0x9FCC) 0x5F78 SharePoint Foundation CSOM agmjp High Original error:  
System.UnauthorizedAccessException: Attempted to perform an unauthorized operation. at   
Microsoft.SharePoint.SPGlobal.HandleUnauthorizedAccessException(UnauthorizedAccessException ex) at   
Microsoft.SharePoint.SPSecurableObject.CheckPermissions(SPBasePermissions permissionMask) at   
Microsoft.SharePoint.Client.SPClientServiceHost.OnBeginRequest() at   
Microsoft.SharePoint.Client.Rest.RestService.ProcessQuery(Stream inputStream, IList`1   
pendingDisposableContainer)   

15:54:30.25 w3wp.exe (0x9FCC) 0x5F78 SharePoint Portal Server Microfeeds aizmo Medium   
SocialRESTExceptionProcessingHandler.DoServerExceptionProcessing - SharePoint Server Exception   
[System.UnauthorizedAccessException: Attempted to perform an unauthorized operation. at   
Microsoft.SharePoint.SPGlobal.HandleUnauthorizedAccessException(UnauthorizedAccessException ex) at   
Microsoft.SharePoint.SPSecurableObject.CheckPermissions(SPBasePermissions permissionMask) at   
Microsoft.SharePoint.Client.SPClientServiceHost.OnBeginRequest() at   
Microsoft.SharePoint.Client.Rest.RestService.ProcessQuery(Stream inputStream, IList`1   
pendingDisposableContainer)] 645f0edc-7ec9-44c5-84b7-2adfba2f7f92  

15:54:30.25 w3wp.exe (0x9FCC) 0x5F78 SharePoint Foundation Claims Authentication af32v Verbose   
Claims Windows Sign-In: Sending 401 for request  
'http://<;servername>;:30079/_vti_bin/client.svc/web/lists/getbyid(guid'<GUID>')' because the request is not from a browser.   

15:54:30.25 w3wp.exe (0x9FCC) 0x5F78 SharePoint Foundation Authentication Authorization alkvd   
Medium Throw UnauthorizedAccessException instead of SPUtilityInternal.Send401 for client.svc request.      

Statut

Microsoft a confirmé qu’il s’agit d’un problème dans les versions de batterie de serveurs SharePoint antérieures à la mise à jour cumulative de mars 2016 (v. 15.0.4805.1000).

Références

SharePoint Updates

Encore besoin d’aide ? Go to SharePoint Community.