Поделиться через


Создание или обновление идентификаторов клиентов и секретов в Центре партнеров

Внимание

Вам нужен клиент Microsoft Azure AD/Entra для продолжения использования службы без прерываний после марта 2023 г.. Перейдите к параметрам клиента в учетной записи Центра партнеров и создайте новый идентификатор Microsoft Entra или свяжите текущий идентификатор.

Обновление секрета клиента с истекающим сроком действия в надстройках SharePoint

  1. Создайте и добавьте новый секрет клиента в Центре партнеров, чтобы связать его с определенным идентификатором клиента надстройки. Дополнительные сведения см. в разделе Создание других секретов клиента.
  2. Обновите удаленное веб-приложение, чтобы использовать новый секрет клиента. Для получения дополнительной информации см. раздел Использование нового секрета в статье Обновление удаленного веб-приложения в Visual Studio в Замена истекающего клиентского секрета внадстройке SharePoint.
  3. Повторно опубликуйте удаленное веб-приложение.

Внимание

Средства разработчика Microsoft Office для Visual Studio поддерживают установку дополнительного секрета клиента, который можно использовать для обновления секрета клиента с истекающим сроком действия.

Используйте OAuth для проверки подлинности и авторизации надстроек

Open Authorization (OAuth) — это открытый протокол для авторизации. OAuth обеспечивает безопасную авторизацию с классических и веб-приложений простым и стандартным способом. Он позволяет пользователям утверждать приложение от их имени без предоставления общего доступа к имени пользователя и паролю. Например, пользователи могут совместно использовать свои частные ресурсы или данные (список контактов, документы, фотографии, видео и т. д.), которые хранятся на одном сайте с другим сайтом, не предоставляя свои учетные данные (обычно имя пользователя и пароль).

С помощью OAuth пользователи могут авторизовать поставщика услуг (например, SharePoint) для предоставления маркеров вместо учетных данных (например, имени пользователя и пароля) для данных, размещаемых указанным поставщиком услуг (например, SharePoint). Каждый маркер предоставляет доступ к конкретному сайту (например, репозиторию документов SharePoint), для определенных ресурсов (например, документов из папки) и определенной длительности. Затем пользователи могут предоставить доступ сайту, не связанному с Microsoft, к информации, которая хранится у другого поставщика услуг (например, SharePoint), без необходимости делиться своим именем пользователя и паролем и без предоставления доступа ко всем данным, которые они имеют в SharePoint.

Если для вашей надстройки требуется авторизация этого типа, необходимо связать идентификатор клиента OAuth и секреты клиента с надстройкой. Вы можете создать секреты клиента OAuth в Центре партнеров, а затем добавить их в код надстройки.

Когда пользователь устанавливает надстройку с соответствующим идентификатором клиента и секретом клиента, появится диалоговое окно согласия. Если пользователь дает согласие, надстройка может действовать от имени пользователя для доступа к данным, которые требуются надстройке. Пользователи могут предоставлять только те разрешения, которые у них есть. Полномочия представляют разрешения, которые пользователь делегирует надстройке.

Например, надстройка может быть надстройкой календаря поездки, которая открывается в виде IFRAME на сайте SharePoint в Microsoft 365. OAuth позволяет надстройке определить пользователя, которому принадлежит календарь поездки. Или если надстройка календаря поездки должна получить доступ к другим аспектам Microsoft 365, таким как ресурсы или сведения о календаре, он может получить доступ от имени пользователя, вошедшего в систему.

Примечание.

Дополнительные сведения о OAuth, идентификаторе клиента и секретах клиента см. в статье Авторизация и проверка подлинности надстроек SharePoint, Поток маркера контекста OAuth для надстроек SharePointи Регистрация надстроек SharePoint 2013.

Добавление идентификатора клиента и секрета клиента

С надстройкой можно связать только один идентификатор клиента, но можно связать несколько секретов клиента с идентификатором клиента. В целях безопасности и администрирования рекомендуется ограничить количество секретов клиента, связанных с идентификатором клиента.

Внимание

Чтобы отправить надстройку SharePoint, использующую OAuth и распространить ее в Китай, необходимо:

  • Используйте отдельный идентификатор клиента и секрет клиента для Китая.
  • Добавьте отдельный пакет дополнений под Китай.
  • Блокировать доступ для всех стран и регионов, кроме Китая.
  • Создайте отдельный список дополнений для Китая.

Дополнительные сведения о распространении надстроек в Китае см. в разделе Отправка приложений для Office 365 под управлением 21Vianet в Китае.

Входящие данные в вашу надстройку подписаны с использованием только одного секрета клиента для подписи. В Центре партнеров секретный ключ клиента с зеленой галочкой рядом с Активным в столбце "Состояние" на странице Идентификаторы клиента. Если вы удалите секрет клиента для подписания, используемый вашей надстройкой, будет использован следующий допустимый секрет клиента.

Ваша надстройка может использовать любые допустимые секреты клиента в качестве паролей для обмена данными с корпорацией Майкрософт. Когда срок действия секрета клиента истекает, он больше не может использоваться в качестве пароля. Если с вашим идентификатором клиента связан только один секрет клиента, то удаление этого секрета может лишить вашу надстройку доступа к необходимым данным.

Если ваша надстройка является службой, и она нуждается в идентификаторах клиента OAuth и секретах клиента, выполните следующие действия.

Добавление нового идентификатора клиента

Внимание

Предложение должно быть опубликовано в магазинах Microsoft перед использованием идентификаторов клиента в производственной среде. Это может негативно повлиять на удобство использования приложения вашими клиентами. Мы рекомендуем переместить неопубликованные приложения в решения SharePoint, так как надстройки SharePoint постепенно удаляются.

  1. Войдите в Центр партнеров с помощью учетной записи разработчика и перейдите на страницу общей информации о продукте для надстройки.

  2. На вкладке идентификаторов клиентов выберите "Добавить новый идентификатор клиента".

  3. В диалоговом окне "Новый идентификатор клиента" укажите следующие сведения.

    Элемент Сведения для предоставления
    Дружественное имя Выберите имя, чтобы узнать, какая надстройка использует идентификатор клиента; Например, "приложение календаря"
    Домен приложения Укажите домен, в котором выполняется надстройка. Например: app.contoso.com.
    Это должно быть допустимое доменное имя, которое вы владеете; он не должен включать http:// или https://,
    и это не должно быть международным доменным именем
    URL-адрес перенаправления приложений Укажите URL-адрес перенаправления для отправки пользователям после того, как они согласны с требованиями к доступу надстройки в диалоговом окне согласия.
    Этот URL-адрес должен начинаться с https://, http://или ms-app://
  4. Теперь выберите " Создать секрет".

  5. Выберите срок действия секрета клиента. Варианты — один, два или три года. Мы рекомендуем выбрать один год, так как это может быть проще отслеживать в бизнес-процессах, чем более длительные периоды времени. Но нет никаких последствий для безопасности выбора двух или трех лет. Когда срок действия ключа клиента истекает, необходимо обновить надстройку.

  6. Выберите тип доступности секрета клиента:

    • Этот идентификатор клиента будет использоваться для приложения, доступного по всему миру.
    • Этот идентификатор клиента будет использоваться только для приложения, доступного только в Китае.
  7. Теперь нажмите кнопку "Создать секрет".

  8. На странице "Получение секрета клиента" скопируйте идентификатор клиента и секрет клиента в безопасное расположение, чтобы вы могли ссылаться на него позже.

    Внимание

    Секрет клиента связан с идентификатором клиента, но он не отображается в Центре партнеров снова, поэтому обязательно запишите его. Кроме того, запишите дату начала и истечения, чтобы вы знали о сроке действия клиентского секрета и дате его истечения. Если срок действия секрета клиента близок к истечению, необходимо создать новый секрет клиента и обновить надстройку. Дополнительные сведения см. в статье Об обновлении секрета клиента, связанного с идентификатором клиента.

  9. Нажмите кнопку Готово.

Обновление ключа безопасности клиента, связанного с идентификатором клиента

Обновите секрет клиента в следующих ситуациях:

  • Срок действия секрета клиента истекает

    Рекомендуется добавить новый секрет клиента в Центр партнеров, пока текущий секрет клиента по-прежнему действителен. Обновите надстройку с новым секретом клиента, а затем удалите секрет клиента, близкий к истечению срока действия, выбрав "Удалить рядом с этой записью" на странице идентификаторов клиентов в Центре партнеров.

    Примечание.

    Средства разработчика Microsoft Office для Visual Studio поддерживают установку дополнительного секрета клиента, который можно использовать для обновления секрета клиента с истекающим сроком действия.

  • Безопасность секрета клиента скомпрометирована

    Чтобы быстро реагировать на компромисс безопасности, можно сначала удалить скомпрометированный секрет клиента из Центра партнеров, добавить новый секрет клиента, а затем обновить надстройку с новым секретом клиента.

    Внимание

    После удаления скомпрометированного секрета клиента и перед добавлением нового секрета клиента надстройка может временно быть недоступна. Но этот сценарий может быть лучше, чем потенциально серьезные последствия для бизнеса, вызванные потерей или украденным секретом клиента.

Генерировать другие ключи клиента

  1. Войдите в Центр партнеров с помощью учетной записи разработчика и перейдите на страницу сведений о продукте для надстройки.

  2. На вкладке идентификаторы клиента выберите идентификатор клиента, с которым требуется связать другие секреты клиента.

  3. На странице сведений об идентификаторе клиента выберите новый секрет клиента.

  4. Выберите время, в течение которого секрет будет допустимым. Варианты — один, два или три года.

  5. Нажмите кнопку создания.

  6. В диалоговом окне "Получение секрета клиента" скопируйте секрет клиента в безопасное расположение, чтобы вы могли ссылаться на него позже.

    Внимание

    Секрет клиента связан с идентификатором клиента, но он не отображается в Центре партнеров снова, поэтому обязательно запишите его. Кроме того, запишите даты начала и окончания, чтобы вы знали о сроке действия и истечении срока действия секрета клиента.

  7. Нажмите кнопку Готово.

    Примечание.

    Новый секрет клиента активен в течение 15 минут.

Удаление секрета клиента

  1. Войдите в Центр партнеров с помощью учетной записи разработчика и перейдите на страницу обзора продукта для надстройки.

  2. На вкладке идентификаторов клиентов выберите "Удалить" рядом с идентификатором клиента, который содержит секрет клиента, который требуется удалить.

    Внимание

    Удаление секрета клиента может предотвратить доступ надстройки к нужным данным, если только вы не создали дополнительные секреты, которые вы проверяете и связываете с надстройкой. Кроме того, необходимо настроить надстройку для использования дополнительных секретов клиента. Если у вас есть только один секрет клиента, связанный с идентификатором клиента, рекомендуется создать другой секрет клиента перед его удалением.

  3. В диалоговом окне "Подтверждение" нажмите кнопку "Удалить".

Удаление идентификатора клиента

Может потребоваться удалить идентификатор клиента в определенных ситуациях, например:

  • Вы больше не хотите предлагать надстройку.
  • Вы хотите предложить новую версию надстройки и больше не хотите предлагать предыдущую версию. В этой ситуации может потребоваться удалить идентификатор клиента, связанный с предыдущей версией надстройки.

Предупреждение

При удалении идентификатора клиента, связанного с вашей надстройкой, удаляются все связанные секреты клиента, что предотвращает доступ к необходимым данным. Любой клиент, использующий вашу надстройку, столкнется с простоем после того, как вы удалите идентификатор клиента, связанный с ней.

  1. Войдите в Центр партнеров с помощью учетной записи разработчика и перейдите на страницу обзора продукта для надстройки.
  2. На вкладке идентификаторов клиентов выберите "Удалить" рядом с идентификатором клиента, который содержит секрет клиента, который требуется удалить.
  3. В диалоговом окне "Подтверждение" нажмите кнопку "Удалить".

Чтобы удалить идентификатор клиента, но продолжать предлагать свою надстройку

  1. Добавьте другой идентификатор клиента и по крайней мере один допустимый секрет клиента. Дополнительные сведения см. в разделе "Добавление идентификатора клиента и секрета клиента".

  2. Удалите идентификатор клиента из кода.

  3. Удалите идентификатор клиента из Центра партнеров, как описано в предыдущей процедуре.

  4. Добавьте новый идентификатор клиента и секрет клиента в код.

  5. На странице обзора продукта нажмите кнопку "Опубликовать".

    Примечание.

    Клиенты, использующие вашу надстройку, сталкиваются с простоем во время обновления вашего кода и процесса утверждения в Центре партнеров.