Создание или обновление идентификаторов клиентов и секретов в Центре партнеров

Предупреждение

Служба управления идентификаторами клиента SharePoint проходит критически важное изменение. Вам потребуется клиент Microsoft Azure AD/Entra для продолжения использования службы без нарушения работы после 1 марта 2023 года. Перейдите к параметрам клиента в учетной записи Центра партнеров и создайте новый идентификатор Записи или свяжите текущий идентификатор для продолжения использования службы.

Обновление секретов клиента с истекающим сроком действия в надстройках SharePoint

  1. Создайте и добавьте новый секрет клиента в Центре партнеров, чтобы связаться с этим идентификатором клиента надстройки. Дополнительные сведения см. в разделе "Создание дополнительных секретов клиента" в обновлении секрета клиента, связанного с идентификатором клиента далее в этой статье.
  2. Обновите удаленное веб-приложение, чтобы использовать новый секрет клиента. Сведения о том, как это сделать с помощью средств разработчика Microsoft Office для Visual Studio, см. в разделе "Обновление удаленного веб-приложения в Visual Studio", чтобы использовать новый секрет в замене секрета клиента с истекающим сроком действия в надстройке SharePoint.
  3. Повторно опубликуйте удаленное веб-приложение.

Важно!

Средства разработчика Microsoft Office для Visual Studio поддерживают установку дополнительного секрета клиента, который можно использовать для обновления секрета клиента с истекающим сроком действия.

Использование OAuth для проверки подлинности и авторизации надстроек

Open Authorization (OAuth) — это открытый протокол для авторизации. OAuth обеспечивает безопасную авторизацию с классических и веб-приложений простым и стандартным способом. Он позволяет пользователям утверждать приложение от имени без предоставления общего доступа к имени пользователя и пароля. Например, пользователи могут совместно использовать свои частные ресурсы или данные (список контактов, документы, фотографии, видео и т. д.), которые хранятся на одном сайте с другим сайтом, не предоставляя свои учетные данные (обычно имя пользователя и пароль).

С помощью OAuth пользователи могут авторизовать поставщика услуг (например, SharePoint) для предоставления маркеров вместо учетных данных (например, имени пользователя и пароля) для данных, размещенных указанным поставщиком услуг (например, SharePoint). Каждый маркер предоставляет доступ к конкретному сайту (например, репозиторию документов SharePoint), для определенных ресурсов (например, документов из папки) и определенной длительности. Затем пользователи могут предоставить сторонним сайтам доступ к данным, хранящимся с другим поставщиком услуг (например, SharePoint), без предоставления общего доступа к имени пользователя и паролям и без предоставления общего доступа ко всем данным, которые они имеют в SharePoint.

Если для вашей надстройки требуется авторизация этого типа, необходимо связать идентификатор клиента OAuth и секреты клиента с надстройкой. Вы можете создать секреты клиента OAuth в Центре партнеров, а затем добавить их в код надстройки.

Когда пользователь устанавливает надстройку с соответствующим идентификатором клиента и секретом клиента, появится диалоговое окно согласия. Если пользователь дает согласие, надстройка может действовать от имени пользователя для доступа к данным, которым требуется надстройка. Пользователи могут предоставлять только те разрешения, которые у них есть. Предоставляет разрешения, делегированные пользователю надстройке.

Например, надстройка может быть надстройкой календаря поездки, которая открывается как IFRAME на сайте Microsoft 365 SharePoint. OAuth позволит надстройке определить пользователя, которому принадлежит календарь поездки, или если надстройка календаря поездки необходима для доступа к другим аспектам Microsoft 365, таким как ресурсы или сведения о календаре, он может получить доступ к ним от имени вошедшего пользователя.

Примечание.

Дополнительные сведения о OAuth, идентификаторе клиента и секретах клиента см. в статье "Авторизация и проверка подлинности надстроек SharePoint", "Поток OAuth контекста" для надстроек SharePoint и регистрация надстроек SharePoint 2013.

Добавление идентификатора клиента и секрета клиента

С надстройкой можно связать только один идентификатор клиента, но можно связать несколько секретов клиента с идентификатором клиента. В целях безопасности и администрирования рекомендуется ограничить количество секретов клиента, связанных с идентификатором клиента.

Важно!

Чтобы отправить надстройку SharePoint, использующую OAuth и распространить ее в Китай, необходимо:

  • Используйте отдельный идентификатор клиента и секрет клиента для Китая.
  • Добавьте отдельный пакет надстройки специально для Китая.
  • Блокировать доступ для всех стран и регионов, кроме Китая.
  • Создайте отдельный список надстроек для Китая.

Дополнительные сведения о распространении надстроек в Китае см. в статье "Отправка приложений для Office 365" под управлением 21Vianet в Китае.

Входящие данные в надстройку подписаны только одним секретом клиента подписывания. В Центре партнеров это секрет клиента с зеленой проверка пометкой "Активный" в столбце "Состояние" на странице идентификаторов клиентов. При удалении секрета клиента подписывания, используемого надстройкой, используется следующий допустимый секрет клиента.

Ваша надстройка может использовать любые допустимые секреты клиента в качестве паролей для обмена данными с корпорацией Майкрософт. Когда срок действия секрета клиента истекает, он больше не может использоваться в качестве пароля. Если существует только один секрет клиента, связанный с идентификатором клиента, удаление этого секрета может предотвратить доступ к нужным данным надстройки.

Если ваша надстройка является службой, и она нуждается в идентификаторах клиента OAuth и секретах клиента, выполните следующие действия.

Добавление идентификатора клиента

  1. Войдите в Центр партнеров с помощью учетной записи разработчика и перейдите на страницу обзора продукта для надстройки.

  2. На вкладке идентификаторов клиентов выберите "Добавить новый идентификатор клиента".

  3. В диалоговом окне "Новый идентификатор клиента" укажите следующие сведения.

    Позиция Сведения для предоставления
    Понятное имя Выберите имя, которое поможет вам распознать, какая надстройка будет использовать этот идентификатор клиента; Например, "приложение календаря"
    Домен приложения Укажите домен, в котором будет выполняться надстройка. Например: app.contoso.com.
    Это должно быть допустимое доменное имя, которое вы владеете; он не должен включать http:// или https://,
    и это не должно быть международным доменным именем
    URL-адрес перенаправления приложений Укажите URL-адрес перенаправления для отправки пользователям после того, как они согласны с требованиями к доступу надстройки в диалоговом окне согласия.
    Этот URL-адрес должен начинаться с https://, http://или ms-app://
  4. Теперь выберите " Создать секрет".

  5. Выберите срок действия секрета клиента. Варианты — один, два или три года. Рекомендуется выбрать один год, так как это может быть проще отслеживать в бизнес-процессах, чем длительные периоды времени. Тем не менее, нет влияния на безопасность выбора двух или трех лет. Когда срок действия секрета клиента истек, необходимо обновить надстройку.

  6. Выберите доступность секрета клиента. Выберите один из следующих вариантов.

    • Этот идентификатор клиента будет использоваться для приложения, доступного по всему миру.
    • Этот идентификатор клиента будет использоваться только для приложения, доступного только в Китае.
  7. Теперь нажмите кнопку "Создать секрет".

  8. На странице "Получение секрета клиента" скопируйте идентификатор клиента и секрет клиента в безопасное расположение, чтобы вы могли ссылаться на него позже.

    Важно!

    Секрет клиента связан с идентификатором клиента, но он не будет отображаться в Центре партнеров снова. Вы также должны записать даты начала и окончания, чтобы вы знали о сроке действия секрета клиента и его сроке действия. Если срок действия секрета клиента близок к истечению срока действия, необходимо создать новый секрет клиента и обновить надстройку. Дополнительные сведения см. в статье Об обновлении секрета клиента, связанного с идентификатором клиента.

  9. Нажмите кнопку Готово.

Обновление секрета клиента, связанного с идентификатором клиента

Обновите секрет клиента в следующих ситуациях:

  • Срок действия секрета клиента истекает

    Рекомендуется добавить новый секрет клиента в Центр партнеров, пока текущий секрет клиента по-прежнему действителен. Обновите надстройку с новым секретом клиента, а затем удалите секрет клиента, близкий к истечению срока действия, выбрав "Удалить рядом с этой записью" на странице идентификаторов клиентов в Центре партнеров.

    Примечание.

    Средства разработчика Microsoft Office для Visual Studio поддерживают установку дополнительного секрета клиента, который можно использовать для обновления секрета клиента с истекающим сроком действия.

  • Безопасность секрета клиента скомпрометирована

    Чтобы быстро реагировать на компромисс безопасности, можно сначала удалить скомпрометированный секрет клиента из Центра партнеров, добавить новый секрет клиента, а затем обновить надстройку с новым секретом клиента.

    Важно!

    После удаления скомпрометированного секрета клиента и до добавления нового секрета клиента надстройка может временно быть недоступна. Это может быть приемлемо в зависимости от серьезности влияния бизнеса на потерянный или украденный секрет клиента.

Создание дополнительных секретов клиента

  1. Войдите в Центр партнеров с помощью учетной записи разработчика и перейдите на страницу обзора продукта для надстройки.

  2. На вкладке идентификаторов клиента выберите идентификатор клиента, с которым требуется связать дополнительные секреты клиента.

  3. На странице сведений об идентификаторе клиента выберите новый секрет клиента.

  4. Выберите время, в течение которого секрет будет допустимым. Варианты — один, два или три года.

  5. Нажмите кнопку создания.

  6. Скопируйте секрет клиента, показанный в диалоговом окне "Получение секрета клиента" в безопасное расположение, чтобы вы могли ссылаться на него позже.

    Важно!

    Секрет клиента связан с идентификатором клиента, но он не будет отображаться в Центре партнеров снова. Запишите даты начала и окончания, чтобы вы знали о сроке действия секрета клиента и его сроке действия.

  7. Нажмите кнопку Готово.

    Примечание.

    Новый секрет клиента будет активен в течение 15 минут.

Удаление секрета клиента

  1. Войдите в Центр партнеров с помощью учетной записи разработчика и перейдите на страницу обзора продукта для надстройки.

  2. На вкладке идентификаторов клиентов выберите "Удалить" рядом с идентификатором клиента, который содержит секрет клиента, который требуется удалить.

    Важно!

    Удаление секрета клиента может предотвратить доступ надстройки к нужным данным, если вы не создали дополнительные секреты, которые являются допустимыми и которые связаны с надстройкой, и вы настроили его для использования этих дополнительных секретов клиента. Если у вас есть только один секрет клиента, связанный с идентификатором клиента, рекомендуется создать дополнительный секрет клиента перед его удалением.

  3. В диалоговом окне "Подтверждение" нажмите кнопку "Удалить".

Удаление идентификатора клиента

Может потребоваться удалить идентификатор клиента в определенных ситуациях, например:

  • Вы больше не хотите предлагать надстройку.
  • Вы хотите предложить новую версию надстройки и больше не хотите предлагать предыдущую версию. В этой ситуации может потребоваться удалить идентификатор клиента, связанный с предыдущей версией надстройки.

Предупреждение

Удаление идентификатора клиента, связанного с надстройкой, удаляет все связанные секреты клиента и предотвращает доступ к нужным данным. Любой клиент, использующий надстройку, будет испытывать простой после удаления идентификатора клиента, связанного с ним.

Удаление идентификатора клиента

  1. Войдите в Центр партнеров с помощью учетной записи разработчика и перейдите на страницу обзора продукта для надстройки.
  2. На вкладке идентификаторов клиентов выберите "Удалить" рядом с идентификатором клиента, который содержит секрет клиента, который требуется удалить.
  3. В диалоговом окне "Подтверждение" нажмите кнопку "Удалить".

Удаление идентификатора клиента, но продолжение предложения надстройки

  1. Добавьте другой идентификатор клиента и по крайней мере один допустимый секрет клиента. Дополнительные сведения см. в разделе "Добавление идентификатора клиента и секрета клиента".

  2. Удалите идентификатор клиента из кода.

  3. Удалите идентификатор клиента из Центра партнеров, как описано в предыдущей процедуре.

  4. Добавьте новый идентификатор клиента и секрет клиента в код.

  5. На странице обзора продукта нажмите кнопку "Опубликовать".

    Примечание.

    Клиенты, использующие надстройку, будут испытывать простой во время обновления кода и процесса утверждения Центра партнеров.

См. также