Konfigurowanie OAuth M2M na potrzeby pozyskiwania danych z SharePoint

Dowiedz się, jak skonfigurować uwierzytelnianie maszynowe (M2M) OAuth do importowania danych z SharePoint do Azure Databricks.

Którego modelu uprawnień należy użyć?

Uwierzytelnianie M2M obsługuje następujące modele uprawnień na platformie Microsoft Azure:

• Sites.Read.All: udziela dostępu do wszystkich witryn programu SharePoint w organizacji. Ta opcja ma mniej kroków konfiguracji, ale zapewnia szerszy dostęp.
• Sites.Selected: udziela dostępu tylko do określonych witryn programu SharePoint. Wymaga to dodatkowej konfiguracji, ale jest zgodne z zasadą najniższych uprawnień.

Usługa Databricks zaleca użycie Sites.Selected , jeśli jest to możliwe, aby ograniczyć dostęp jednostki usługi tylko do witryn, które należy pozyskać.

Wymagania wstępne

• Uprawnienia administratora w dzierżawcy Microsoft Entra ID.

Sites.Read.All Uprawnienia

Ta opcja umożliwia jednostce usługi dostęp do wszystkich witryn programu SharePoint w organizacji.

Krok 1. Pobieranie identyfikatora witryny programu SharePoint

1. Odwiedź żądaną witrynę programu SharePoint w przeglądarce.
2. Dołącz /_api/site/id do adresu URL.
3. Wpisz Enter.

Krok 2. Pobieranie nazw dysków programu SharePoint (opcjonalnie)

Jeśli chcesz zaimportować wszystkie dyski i dokumenty w swojej witrynie SharePoint, pomiń ten krok. Jeśli chcesz importować tylko podzbiór dysków, musisz zebrać ich nazwy.

Nazwy dysków są wyświetlane w menu po lewej stronie. W każdej witrynie istnieje dysk domyślny o nazwie Dokumenty . Jednak organizacja może mieć dodatkowe dyski. Na przykład dyski na poniższym zrzucie ekranu obejmują doclib1, subsite1doclib1i inne.

Niektóre dyski mogą być ukryte w liście. Twórca dysku może to skonfigurować w ustawieniach dysku. W takim przypadku ukryte dyski mogą być widoczne w sekcji Zawartość witryny .

Krok 3. Tworzenie aplikacji Microsoft Entra ID

W tym kroku tworzy się rejestrację aplikacji, która umożliwia dostęp do plików SharePoint przy pomocy pryncypału usługi.

1. W witrynie Microsoft Azure Portal (https://portal.azure.com) kliknij pozycję Microsoft Entra ID. Może być konieczne wyszukanie "Microsoft Entra ID".

   

2. Na pasku bocznym po lewej stronie w sekcji Zarządzanie kliknij pozycję Rejestracje aplikacji.

3. Kliknij pozycję Nowa rejestracja.

   

4. W formularzu Rejestrowanie aplikacji określ następujące elementy:

   • Nazwa aplikacji (na przykład "Databricks SharePoint Ingestion").
   • Czy chcesz, aby inni najemcy uzyskiwali dostęp do tej aplikacji.

   Nie musisz określać adresu URL przekierowania dla uwierzytelniania M2M.

5. Kliknij pozycję Zarejestruj. Nastąpi przekierowanie do strony szczegółów aplikacji.

6. Zanotuj następujące wartości:

   • Identyfikator aplikacji (klienta)
   • Identyfikator katalogu (klienta)

7. Kliknij pozycję Poświadczenia klienta: Dodaj certyfikat lub wpis tajny.

8. Kliknij + Nowy sekret klienta.

   

9. Dodaj opis.

10. Kliknij przycisk Dodaj. Wyświetla się zaktualizowana lista tajemnic klienta.

11. Skopiuj wartość klucza tajnego klienta i zapisz ją bezpiecznie. Po opuszczeniu strony nie można uzyskać dostępu do klucza tajnego klienta.

Krok 4. Konfigurowanie uprawnień interfejsu API

Udziel aplikacji niezbędnych uprawnień do odczytywania plików programu SharePoint.

1. Na stronie rejestracji aplikacji kliknij pozycję Uprawnienia interfejsu API w menu po lewej stronie.

2. Kliknij pozycję + Dodaj uprawnienie.

3. W panelu Żądanie uprawnień interfejsu API kliknij Microsoft Graph.

4. Kliknij pozycję Uprawnienia aplikacji.

5. Wyszukaj i wybierz następujące uprawnienia:

   • Sites.Read.All
   • Files.Read.All

6. Kliknij pozycję Dodaj uprawnienia.

7. Kliknij pozycję Udziel zgody administratora dla [twojej organizacji].

8. Kliknij przycisk Tak , aby potwierdzić.

   Lista uprawnień zawiera zielony znacznik wyboru w kolumnie Stan wskazujący, że udzielono zgody administratora.

Krok 5. Tworzenie połączenia w usłudze Azure Databricks

1. W Eksploratorze wykazu kliknij pozycję Dane zewnętrzne w menu po lewej stronie.

2. Kliknij pozycję Utwórz połączenie.

3. W oknie dialogowym Tworzenie połączenia określ następujące elementy:

   • Nazwa połączenia: unikatowa nazwa połączenia
   • Typ połączenia: Microsoft SharePoint
   • Typ uwierzytelniania: OAuth typu maszyna do maszyny
   • Identyfikator klienta: identyfikator aplikacji (klienta) z kroku 3
   • Klucz tajny klienta: wartość wpisu tajnego klienta z kroku 3
   • Domena: Domena programu SharePoint w formacie https://YOURINSTANCE.sharepoint.com
   • Identyfikator dzierżawy: identyfikator katalogu (dzierżawy) z kroku 3

4. Kliknij pozycję Utwórz.

Sites.Selected Uprawnienia

Ta opcja ogranicza dostęp jednostki usługi tylko do określonych witryn programu SharePoint.

Kroki 1–3. Ukończenie podstawowej konfiguracji

Wykonaj kroki 1–3 w Sites.Read.All sekcji . Te kroki są takie same dla obu modeli uprawnień.

1. Pobierz identyfikator witryny programu SharePoint.
2. Pobierz nazwy dysków programu SharePoint (opcjonalnie).
3. Utwórz aplikację Microsoft Entra ID.

Krok 4. Konfigurowanie uprawnień interfejsu API dla Sites.Selected

Przyznaj aplikacji ograniczone uprawnienia, które wymagają dodatkowej autoryzacji specyficznej dla lokacji.

1. Na stronie rejestracji aplikacji kliknij pozycję Uprawnienia interfejsu API w menu po lewej stronie.

2. Kliknij pozycję + Dodaj uprawnienie.

3. W panelu Żądanie uprawnień interfejsu API kliknij Microsoft Graph.

4. Kliknij pozycję Uprawnienia aplikacji.

5. Wyszukaj i wybierz pozycję Sites.Selected.

6. Kliknij pozycję Dodaj uprawnienia.

7. Kliknij pozycję Udziel zgody administratora dla [twojej organizacji].

   Ten krok wymaga posiadania uprawnień administratora w dzierżawie Microsoft Entra ID.

8. Kliknij przycisk Tak , aby potwierdzić.

   Lista uprawnień zawiera zielony znacznik wyboru w kolumnie Stan wskazujący, że udzielono zgody administratora.

Krok 4b. Udzielanie uprawnień specyficznych dla witryny

Po skonfigurowaniu Sites.Selected na platformie Azure należy jawnie udzielić aplikacji dostępu do określonych witryn programu SharePoint. Można to zrobić przy użyciu Eksploratora programu Microsoft Graph lub notesu języka Python.

Eksplorator programu Microsoft Graph

1. Przejdź do Eksploratora programu Microsoft Graph.

2. Zaloguj się przy użyciu konta z uprawnieniami administratora witryny programu SharePoint.

3. Kliknij pozycję Modyfikuj uprawnienia i wyrażaj zgodę na wymagane uprawnienia (Sites.FullControl.All).

4. Zmień metodę HTTP na POST.

5. Wprowadź następujący adres URL, zastępując ciąg {site_id} identyfikatorem witryny programu SharePoint z kroku 1:

   https://graph.microsoft.com/v1.0/sites/{site_id}/permissions
   

6. W sekcji Treść żądania wklej następujący kod JSON, zastępując wartości symboli zastępczych:

   {
     "roles": ["read"],
     "grantedToIdentities": [
       {
         "application": {
           "id": "<YOUR_CLIENT_ID>",
           "displayName": "<YOUR_APP_NAME>"
         }
       }
     ]
   }
   

   Replace:

   • <YOUR_CLIENT_ID>: Identyfikator aplikacji (klienta) z kroku 3
   • <YOUR_APP_NAME>: nazwa rejestracji aplikacji

7. Kliknij pozycję Uruchom zapytanie.

   Pomyślna odpowiedź wskazuje, że udzielono uprawnienia.

Notatnik Python

1. Utwórz nowy notes w obszarze roboczym usługi Azure Databricks.

2. Zainstaluj bibliotekę MSAL, uruchamiając następujące polecenie w komórce:

   %pip install msal
   

3. W nowej komórce wklej następujący kod i zastąp wartości symboli zastępczych:

   import msal
   import requests
   
   # Configuration - Replace these values
   TENANT_ID = "<YOUR_TENANT_ID>"  # Directory (tenant) ID from Step 3
   ADMIN_CLIENT_ID = "<ADMIN_CLIENT_ID>"  # Client ID of an app with admin consent
   ADMIN_CLIENT_SECRET = "<ADMIN_CLIENT_SECRET>"  # Client secret of admin app
   TARGET_APP_CLIENT_ID = "<TARGET_CLIENT_ID>"  # Client ID from Step 3
   TARGET_APP_DISPLAY_NAME = "<TARGET_APP_NAME>"  # Name of your app
   SITE_ID = "<YOUR_SITE_ID>"  # SharePoint site ID from Step 1
   
   # Authenticate using MSAL
   authority = f"https://login.microsoftonline.com/{TENANT_ID}"
   app = msal.ConfidentialClientApplication(
       ADMIN_CLIENT_ID,
       authority=authority,
       client_credential=ADMIN_CLIENT_SECRET
   )
   
   # Acquire token
   token_result = app.acquire_token_for_client(
       scopes=["https://graph.microsoft.com/.default"]
   )
   
   if "access_token" in token_result:
       access_token = token_result["access_token"]
   
       # Grant site permissions
       grant_url = f"https://graph.microsoft.com/v1.0/sites/{SITE_ID}/permissions"
       headers = {
           "Authorization": f"Bearer {access_token}",
           "Content-Type": "application/json"
       }
       grant_payload = {
           "roles": ["read"],
           "grantedToIdentities": [
               {
                   "application": {
                       "id": TARGET_APP_CLIENT_ID,
                       "displayName": TARGET_APP_DISPLAY_NAME
                   }
               }
           ]
       }
   
       response = requests.post(grant_url, headers=headers, json=grant_payload)
   
       if response.status_code in [200, 201]:
           print("Successfully granted site permissions")
           print(response.json())
       else:
           print(f"Error: {response.status_code}")
           print(response.text)
   else:
       print("Failed to acquire token")
       print(token_result.get("error"))
       print(token_result.get("error_description"))
   

4. Uruchom komórkę. Pomyślna odpowiedź wskazuje, że udzielono uprawnienia.

Krok 5. Tworzenie połączenia w usłudze Azure Databricks

Wykonaj krok 5 z sekcji Sites.Read.All, aby utworzyć połączenie w usłudze Azure Databricks przy użyciu poświadczeń z rejestracji aplikacji.

Następne kroki

1. Utwórz potok pozyskiwania Microsoft SharePoint
2. Typowe zadania konserwacji rurociągu