CÁC LỖI THƯỜNG GẶP KHI LÀM VIỆC VỚI QUYỀN API CỦA SHAREPOINT FRAMEWORK

SharePoint Framework (SPFx) là một mô hình để xây dựng các tùy chỉnh SharePoint dựa trên JavaScript. Khung dựa trên khái niệm xây dựng các giải pháp phía máy khách tích hợp với SharePoint UX hiện đại. Sử dụng các gói SharePoint Framework, bạn có thể yêu cầu quyền truy cập vào các API được bảo mật bằng Azure AD.

Kết nối với các API là chức năng cần thiết trong giao tiếp ngày nay vì nó mở rộng khả năng giao tiếp linh hoạt với các kho dữ liệu bên ngoài . Các phần web của SharePoint có thể kết xuất dữ liệu không chỉ từ danh sách và thư viện SharePoint mà còn từ các kho lưu trữ bên ngoài. Dữ liệu có thể được sở hữu bởi bất kỳ ai bên ngoài tổ chức. Các kho lưu trữ bên ngoài có thể được kết nối để truy xuất dữ liệu từ SharePoint thông qua lệnh gọi API (Giao diện lập trình ứng dụng). Các kho lưu trữ bên ngoài có thể nằm trên các nền tảng, miền khác nhau, v.v. SPFx đi kèm với nhiều không gian tên để tận dụng giao tiếp giữa phần web SPFx từ SharePoint trực tuyến với các kho lưu trữ khác thông qua lệnh gọi API.

>> Tìm hiểu thêm về giải pháp SharePoint bản quyền

Nhìn chung, quyền của SharePoint Framework API đơn giản hóa đáng kể việc kết nối với các API bảo mật bằng Azure AD. Tuy nhiên, trong quá trình sử dụng có thể phát sinh một số lỗi, hãy theo dõi bài viết dưới đây để biết các lỗi đó là gì và ách khắc phục.

Xác thực rất khó nhưng bảo mật là cần thiết để đảm bảo rằng dữ liệu của tổ chức bạn luôn an toàn. Đồng thời, nó khiến bạn dành nhiều thời gian hơn mức cần thiết để cố gắng kết nối với các API của tổ chức của bạn. Bạn phải quyết định luồng OAuth nào bạn cần, loại ứng dụng Azure AD nào để tạo, cách lưu trữ mã thông báo truy cập an toàn, chưa kể đến việc đảm bảo rằng toàn bộ thiết lập sẽ hoạt động với nhiều phần web trên cùng một trang yêu cầu mã thông báo truy cập đồng thời .

Để xây dựng các giải pháp SharePoint Framework, Microsoft đơn giản hóa việc làm việc với các API được bảo mật bằng Azure AD thông qua AadHttpClient . AadHttpClient tóm tắt việc lấy và quản lý mã thông báo truy cập OAuth cho phép bạn tập trung vào việc xây dựng giải pháp của mình.

AadHttpClient giúp bạn tiết kiệm rất nhiều thời gian. Tuy nhiên, có một số điều bạn cần lưu ý để không gặp khó khăn khi sử dụng nó trong các giải pháp của mình.

2.1. Ứng dụng Azure AD không xác định

Sau khi tải trang, một trong các phần web hoặc tiện ích mở rộng hiển thị lỗi tương tự như sau:

Lỗi này xảy ra khi API của bạn được bảo mật bằng ứng dụng Azure AD được đăng ký trong Azure AD khác với ứng dụng Microsoft 365 tenant sử dụng. Ứng dụng này chưa được quản trị viên đồng ý để sử dụng trong doanh nghiệp.

Để khắc phục sự cố này, bạn cần hoàn thành quy trình đồng ý. Bạn có thể thực hiện việc này trong trình duyệt web bằng cách điều hướng đến URL API, đăng nhập bằng tài khoản Microsoft 365 và đồng ý với việc sử dụng API trong doanh nghiệp mình. Bạn có thể xác nhận rằng quản trị viên đã đồng ý sử dụng ứng dụng trong Azure Portal bằng cách điều hướng đến các ứng dụng Azure AD Enterprise.

2.2. Không đủ quyền để xem trang

Khi cố gắng đồng ý việc sử dụng API được bảo mật bằng Azure AD trong doanh nghiệp, bạn có thể gặp lỗi sau:

Điều này rất có thể xảy ra do ứng dụng Azure AD có cùng URI ID ứng dụng đã được đăng ký trong doanh nghiệp. Bạn có thể xác nhận điều này bằng cách điều hướng trong Azure Portal đến các ứng dụng Azure AD Enterprise.

Để khắc phục sự cố này, hãy thay đổi URI ID ứng dụng của ứng dụng Azure AD được sử dụng để bảo mật API hoặc xóa ứng dụng cũ khỏi Azure AD được Microsoft 365 tenant của bạn sử dụng.

2.3. URL tổ chức phát hành không hợp lệ

Khi cố gắng đồng ý với việc sử dụng API trong tenant, bạn gặp lỗi sau:

Khi bảo mật API bằng Azure AD, rất có thể bạn đã sử dụng chế độ Express để tạo ứng dụng Azure AD. Do đó, Azure AD đã định cấu hình URL Nhà phát hành của ứng dụng này thành Azure AD nơi ứng dụng được đăng ký và khác với Azure AD được Microsoft 365 tenant của bạn sử dụng. Do đó, Azure AD không cho phép các tài khoản từ các Azure AD khác sử dụng ứng dụng.

Để khắc phục sự cố này, trong cấu hình xác thực API, hãy thay đổi chế độ cấu hình Azure AD thành Nâng cao và xóa URL của nhà phát hành.

2.4. Ứng dụng single-tenant Azure AD

Khi cố gắng đồng ý với việc sử dụng API trong tenant, bạn gặp lỗi sau:

Lỗi này là do bạn cố gắng sử dụng API trong ngữ cảnh Microsoft 365 tenant, trong khi ứng dụng Azure AD được sử dụng để bảo mật API được đăng ký dưới dạng ứng dụng dành cho single-tenant trong Azure AD khác với ứng dụng được sử dụng Microsoft 365.

Để khắc phục sự cố này, hãy thay đổi ứng dụng thành multi-tenant trong cài đặt đăng ký.

2.5. Dịch vụ chính không được tìm thấy

Khi cố gắng cấp quyền API hoặc phê duyệt yêu cầu cấp quyền API, bạn gặp lỗi sau:

Bạn đang cố gắng cấp quyền API cho ứng dụng Azure AD được đăng ký trong Azure AD khác với ứng dụng được Microsoft 365 của bạn sử dụng, trong khi quản trị viên vẫn chưa đồng ý sử dụng ứng dụng.

Để khắc phục sự cố này, bạn cần sự đồng ý của quản trị viên. Bạn có thể thực hiện việc này trong trình duyệt web bằng cách điều hướng đến URL API, đăng nhập bằng tài khoản Microsoft 365 của bạn và đồng ý với việc sử dụng API trong doanh nghiệp mình.

2.6. Phạm vi user_impersonation không tìm thấy

Khi cố gắng cấp quyền API, bạn gặp lỗi sau:

Lỗi này thường xảy ra khi cố gắng cấp quyền cho ứng dụng Azure AD được đăng ký trong Azure AD khác và ứng dụng này đã bị xóa. Rất tiếc, việc xóa ứng dụng Azure AD trong AD gốc của nó sẽ không xóa các tham chiếu hiện có, vì vậy mặc dù Azure AD được Microsoft 365 tenant sử dụng sẽ vẫn hiển thị ứng dụng Azure AD trong danh sách ứng dụng của nó, bạn sẽ không thể cấp cho nó bất kỳ quyền nào.

Để khắc phục sự cố này, hãy tạo một ứng dụng Azure AD mới và sử dụng nó để bảo mật API của bạn.

2.7. Quyền API không được cấp

Sau khi tải trang, một trong các phần web hoặc tiện ích mở rộng hiển thị lỗi tương tự như sau:

Lỗi phổ biến này là do các quyền API yêu cầu của thành phần không được cấp trong trang quản lý API. Bạn nên kiểm tra kỹ các quyền nào và API nào mà thành phần của bạn yêu cầu, và chúng có được cấp trong quản lý API hay không.

2.8. Cấu hình CORS không đủ

Sau khi tải trang, một trong các yêu cầu của bạn hiển thị lỗi tương tự như sau:

Lỗi này do không đủ cấu hình CORS trên API yêu cầu. Bởi vì yêu cầu của bạn đang giao tiếp với phía máy khách API, nên API phải chỉ định miền của SharePoint tenant của bạn trong cấu hình CORS của nó, nếu không yêu cầu sẽ bị trình duyệt web chặn với lỗi nói trên.

Để khắc phục sự cố, hãy điều hướng đến cài đặt CORS của Azure Function và thêm miền SharePoint Online của bạn vào danh sách nguồn gốc đã được phê duyệt.

TÓM LẠI

Quyền của SharePoint Framework API đơn giản hóa đáng kể việc kết nối với các API bảo mật bằng Azure AD. Để bảo mật thành công một API bằng Azure AD và giao tiếp với nó từ giải pháp SharePoint Framework, bạn cần lưu ý một số cài đặt nếu không bạn sẽ gặp khó khăn khi cố gắng giải mã các thông báo lỗi khó hiểu.

Các lỗ hổng bảo mật mới đều được phát hiện, vì vậy điều quan trọng là phải giữ chặt chẽ những gì đang xảy ra với các quyền API của bạn. Không đủ để kiểm tra các ứng dụng và môi trường SharePoint của bạn chỉ một lần. Thường xuyên phân tích các ứng dụng của bạn sẽ giúp bạn phát hiện ra bất kỳ mối đe dọa nào trước khi chúng trở thành vấn đề.

Thấu hiểu những nỗi lo lắng đó, với mục đích nhằm giúp cho các công ty có chiến lược cải thiện hệ thống security trong ngắn hạn và dài hạn, Microsoft đã khởi động chương trình miễn phí khảo sát hệ thống “Đánh giá rủi ro và xây dựng chiến lược an ninh thông tin cho doanh nghiệp dựa trên chuẩn an toàn thông tin Microsoft Zero Trust và CIS Control version 8.0” hoàn toàn miễn phí cho các công ty ở Việt Nam. Hãy thử đánh giá rủi ro miễn phí của chúng tôi ngay hôm nay và an toàn.