L'utilisation d'une authentification application seule (app-only) basée sur des certificats est la méthodologie la plus sécurisée pour permettre à une application Microsoft Entra ID de gérer les enregistrements de sites SharePoint.
Pour faciliter la capacité d'une application à modifier du contenu sur un site SharePoint connecté à Teams, Microsoft préconise une approche moderne “app-only” basée sur des certificats. Cela garantit que votre service fonctionne indépendamment d'une identité utilisateur spécifique tout en respectant des limites de sécurité strictes.
Les étapes suivantes décrivent le cadre complet requis pour mettre en œuvre efficacement ce modèle d'authentification :
Enregistrement de l'application : enregistrement d'application dans Microsoft Entra ID pour servir de principal de service.
Exigences d'authentification : SharePoint Online impose l'utilisation de certificats X.509 pour l'authentification app-only ; les secrets clients standard ne sont pas pris en charge pour cette configuration spécifique.
Stratégie d'autorisation : autorisation Sites.Selected est la norme privilégiée pour respecter le principe du moindre privilège. Cette configuration garantit que l'application ne possède pas d'accès non autorisé sur l'ensemble du tenant.
Provisionnement au niveau du site : Une fois les autorisations consenties dans Entra ID, un administrateur doit explicitement accorder à l'application l'accès au site SharePoint cible via l'
API REST ou PowerShell.
Exécution opérationnelle : Suite à cette configuration, l'application peut s'authentifier via un flux d'informations d'identification client (client credentials flow) pour gérer le contenu du site via Microsoft Graph ou le modèle d'objet côté client (CSOM).
Certaines considérations de sécurité critiques doivent être prises en compte pour garantir l'intégrité et la sécurité mise en œuvre :
Étendue des autorisations : les autorisations sont appliquées strictement au niveau du site SharePoint et sont indépendantes de l'appartenance à Microsoft Teams.
Gestion des informations d'identification : Le maintien de la sécurité de la clé privée du certificat est primordial. L'utilisation d'une solution dédiée, telle qu'Azure Key Vault, pour le stockage et la rotation est fortement recommandée.
Ressources techniques :