Авторизация приложения для доступа к OneDrive
Чтобы приложение могло отправлять запросы к OneDrive, пользователь должен пройти проверку подлинности и разрешить приложению доступ к своим данным. Способ получения авторизации зависит от того, для каких служб предназначено приложение: OneDrive и SharePoint Online или SharePoint Server 2016.
Microsoft Graph, OneDrive и SharePoint поддерживают использование стандартных потоков авторизации OAuth2 и Open ID Connect. Запросы к Microsoft Graph проходят проверку подлинности с использованием токенов носителей, полученных в одном из этих потоков.
Microsoft Graph (OneDrive и SharePoint Online)
Microsoft Graph использует Azure Active Directory для аутентификации учетных записей и авторизации приложений. Используя конечную точку версии 2.0, приложение может выполнять аутентификацию пользователей с учетными записями Майкрософт и сотрудников организаций и учащихся с учетными записями Azure Active Directory. Для начала посмотрим, как OAuth используется в Microsoft Graph:
| Метод | Описание |
|---|---|
| Вход | Вход в учетную запись Майкрософт и OneDrive персональный. |
| Обновление | Обновление маркера доступа. |
| Выход | Выход из учетной записи Майкрософт и OneDrive персональный. |
Полный список сценариев аутентификации для Microsoft Graph см. в статье Получение маркеров доступа для вызова Microsoft Graph.
SharePoint Server 2016
API OneDrive поддерживает механизмы, предоставляемые в SharePoint Server 2016, в том числе службу контроля доступа Microsoft Azure (ACS), Windows NT LAN Manager (NTLM) и службы федерации Active Directory (AD FS), для аутентификации пользователей и приложений. Пользователи в гибридных конфигурациях также могут использовать аутентификацию AAD.
Проверка подлинности AAD
Пользователи в гибридных конфигурациях или локальных средах, интегрирующие свои локальные удостоверения с AAD, могут использовать API OneDrive со стандартной схемой OAuth 2.0 для аутентификации пользователей и создания маркеров доступа. OneDrive для бизнеса использует Azure Active Directory для аутентификации пользователей и приложений.
| Метод | Описание |
|---|---|
| Вход | Вход в учетную запись AAD и OneDrive для бизнеса. |
| Refresh | Обновление маркера доступа. |
Проверка подлинности ACS
SharePoint Server 2016 поддерживает аутентификацию на основе утверждений. Результатом аутентификации на основе утверждений является маркер безопасности на основе утверждений, который создает служба токенов безопасности SharePoint. SharePoint Server 2016 поддерживает аутентификацию Windows, аутентификацию на основе форм и аутентификацию на основе утверждений на языке разметки заявлений системы безопасности (SAML).
Для аутентификации ACS приложению необходимо получить маркер доступа из службы контроля доступа Microsoft Azure (ACS) или путем подписания маркера доступа самозаверяющим сертификатом, которому доверяет SharePoint Server 2016. Затем маркер доступа подтверждает запрос на доступ к определенному ресурсу SharePoint и содержит сведения, определяющие приложение и связанного пользователя, вместо проверки учетных данных пользователя.
Проверка подлинности AD FS
API OneDrive также может использовать аутентификацию AD FS в SharePoint Server 2016 для аутентификации пользователей и приложений. AD FS в Windows Server 2016 (AD FS 2016) позволяет добавлять к приложениям стандартную аутентификацию и авторизацию на основе OpenID Connect и OAuth 2.0, в результате чего эти приложения выполняют аутентификацию пользователей непосредственно в AD FS.
Вы можете добавить современную аутентификацию AD FS в приложение, используя те же инструменты и библиотеки, которыми вы уже пользуетесь для аутентификации пользователей в Azure AD. В сценариях с использованием служб AD FS именно эти службы, а не Azure AD, служат поставщиком удостоверений и сервером авторизации. В остальных отношениях эти принципы идентичны: пользователи предоставляют учетные данные и получают маркеры (напрямую или через посредника) для доступа к ресурсам.
Дополнительные сведения об аутентификации AD FS см. в статье Сценарии AD FS для разработчиков.