为 SharePoint Online O365 构建多租户应用程序

我正在尝试为 Office 365 构建一个多租户应用程序，该应用程序专注于 SharePoint Online 并使用 OAuth2 通过 Azure 进行身份验证。该问题特定于通过 Azure 登录进行 SharePoint 访问，但仅在使用此 API 通过 OAuth2 进行身份验证时才会发现。

在 Azure 和 Office 中正确注册应用程序和设置用户的许多机制虽然有些复杂，但只要投入适当的时间就可以克服。

即使使用 Azure 的基本 OAuth2 协议也相对顺利。但是，由于 SharePoint 的“资源”参数，我无法使我的应用程序真正成为多租户。这显然要求我的应用程序在最终用户完成登录序列之前知道他们的根 SharePoint 站点 URL。我不明白这怎么可能。请有人指出我正确的方向。

以下是实际登录顺序的示例：

GET /common/oauth2/authorize?client_id=5cb5e93b-57f5-4e09-97c5-e0d20661c59a
&redirect_uri=https://myappdomain.com/v1/oauth2_redirect/
&response_type=code&prompt=login&state=D79E5777 HTTP/1.1
Host: login.windows.net
Cache-Control: no-cache

当用户进行身份验证时，这会导致调用重定向，如下所示：

https://myappdomain.com/v1/oauth2_redirect/?code=AAABAAAAvPM1KaPlrEq...{blah*3} 

到目前为止很棒！三足身份验证的下一步是 POST 返回到 /token 端点，以获取要在所有后续 REST 调用中使用的实际承载令牌。这只是经典的 OAuth2...

POST /common/oauth2/token HTTP/1.1
Host: login.windows.net
Accept: text/json
Cache-Control: no-cache

----WebKitFormBoundaryE19zNvXGzXaLvS5C
Content-Disposition: form-data; name="grant_type"

authorization_code
----WebKitFormBoundaryE19zNvXGzXaLvS5C
Content-Disposition: form-data; name="code"

AAABAAAAvPM1KaPlrEq...{blah*3}
----WebKitFormBoundaryE19zNvXGzXaLvS5C
Content-Disposition: form-data; name="client_id"

5cb5e93b-57f5-4e09-97c5-e0d20661c59a
----WebKitFormBoundaryE19zNvXGzXaLvS5C
Content-Disposition: form-data; name="client_secret"

02{my little secret}I=
----WebKitFormBoundaryE19zNvXGzXaLvS5C
Content-Disposition: form-data; name="redirect_uri"

https://myappdomain.com/v1/oauth2_redirect/
----WebKitFormBoundaryE19zNvXGzXaLvS5C
Content-Disposition: form-data; name="resource"

https://contoso.sharepoint.com/
----WebKitFormBoundaryE19zNvXGzXaLvS5C

这就是它变得棘手的地方。 “resource”参数是必需的，并且必须指向您要访问的特定于用户的端点。对于 Exchange 或 Azure，端点始终相同。 （https://graph.windows.net or https://outlook.office365.com）但是 SharePoint 对于每个租户都有不同的端点。您尚未实际登录用户，但您已经需要有关您尚未拥有的用户信息。

如果我部署的应用程序版本假定“contoso”作为租户名称（如上所述），则只有 contoso 租户中的用户才能成功使用我的应用程序读取 SharePoint 数据。一旦 fabrikam 中的另一个用户尝试使用它，我的POST to the /token端点将请求访问错误站点的许可......这就是问题所在。

我怎样才能检测到正确的端点POST to the /token在用户实际登录之前的端点？是否有一些我可以使用的隐藏信息？是否可以通过某种发现来检测租户的根 SharePoint URL？或者更好的是，是否有一个端点可以作为资源传递代表租客家的（类似于https://office.microsoft.com/sharepoint）？然后可以从返回的 user_id JWT 令牌中收集它。这与其他服务类似，并且对于客户来说管理起来非常简单。然而，我没有看到这一点。

如果没有这些问题的明确答案，或者没有这些问题的解决方法，我不得不猜测不可能编写一个在 SharePoint Online O365 中进行身份验证的多租户应用程序...而这似乎并不正确。有人请帮忙！

我想为上面评论中简要提到的解决方案添加详细信息 - 这对于在 Office 365 中开发多租户应用程序的任何人都非常重要，特别是如果该应用程序将访问包括 OneDrive 在内的 SharePoint 网站。

从 OAuth 2.0 的角度来看，这里的过程有点不标准，但在多租户世界中有意义。关键是重新使用从 Azure 返回的第一个代码。在这里关注我：

首先我们遵循标准的 OAuth 身份验证步骤：

GET /common/oauth2/authorize?client_id=5cb5e93b-57f5-4e09-97c5-e0d20661c59a
&redirect_uri=https://myappdomain.com/v1/oauth2_redirect/
&response_type=code&prompt=login&state=D79E5777 HTTP/1.1
Host: login.windows.net
Cache-Control: no-cache

这将重定向到用户登录的 Azure 登录页面。如果成功，Azure 将使用代码回调到您的端点：

https://myappdomain.com/v1/oauth2_redirect/?code=AAABAAAA...{ONE-CODE-To-RULE-THEM-ALL}xyz

现在我们回帖到/token端点以获取要在后续 REST 调用中使用的实际承载令牌。再说一遍，这只是经典的 OAuth2...但请注意我们如何使用/Discovery端点作为资源 - 而不是我们实际用来收集数据的任何端点。另外，我们要求UserProfile.Read scope.

POST /common/oauth2/token HTTP/1.1
Host: login.windows.net
Accept: text/json
Cache-Control: no-cache

----WebKitFormBoundaryE19zNvXGzXaLvS5C
Content-Disposition: form-data; name="grant_type"

authorization_code
----WebKitFormBoundaryE19zNvXGzXaLvS5C
Content-Disposition: form-data; name="code"

AAABAAAA...{ONE-CODE-To-RULE-THEM-ALL}xyz
----WebKitFormBoundaryE19zNvXGzXaLvS5C
Content-Disposition: form-data; name="client_id"

5cb5e93b-57f5-4e09-97c5-e0d20661c59a
----WebKitFormBoundaryE19zNvXGzXaLvS5C
Content-Disposition: form-data; name="client_secret"

02{my little secret}I=
----WebKitFormBoundaryE19zNvXGzXaLvS5C
Content-Disposition: form-data; name="redirect_uri"

https://myappdomain.com/v1/oauth2_redirect/
----WebKitFormBoundaryE19zNvXGzXaLvS5C
Content-Disposition: form-data; name="scope"

UserProfile.Read
----WebKitFormBoundaryE19zNvXGzXaLvS5C
Content-Disposition: form-data; name="resource"

https://api.office.com/discovery/
----WebKitFormBoundaryE19zNvXGzXaLvS5C

对此帖子的回复将包含access-token可用于对/discovery端点。

{
    "refresh-token":  "AAABsvRw-mAAWHr8XOY2lVOKZNLJ{BAR}xkSAA", 
    "resource": "https://api.office.com/discovery/", 
    "pwd_exp": "3062796", 
    "pwd_url": "https://portal.microsoftonline.com/ChangePassword.aspx", 
    "expires_in": "3599", 
    "access-token": "ey_0_J0eXAiOiJjsp6PpUhSjpXlm0{F00}-j0aLiFg", 
    "scope": "Contacts.Read", 
    "token-type": "Bearer", 
    "not_before": "1422385173", 
    "expires_on": "1422389073"
}

现在，使用这个access-token，查询/Services端点以了解 Office 365 中该用户还可以使用哪些功能。

GET /discovery/v1.0/me/services HTTP/1.1
Host: api.office.com
Cache-Control: no-cache

----WebKitFormBoundaryE19zNvXGzXaLvS5D
Content-Disposition: form-data; name="Authorization"

Bearer ey_0_J0eXAiOiJjsp6PpUhSjpXlm0{F00}-j0aLiFg
----WebKitFormBoundaryE19zNvXGzXaLvS5D

结果将包括一系列服务结构，描述各种端点和每个端点的功能。

{
    "@odata.context": "https://api.office.com/discovery/v1.0/me/$metadata#allServices",
    "value": [
        {
            "capability": "MyFiles",
            "entityKey": "MyFiles@O365_SHAREPOINT",
            "providerId": "72f988bf-86f1-41af-91ab-2d7cd011db47",
            "serviceEndpointUri": "https://contoso-my.sharepoint.com/_api/v1.0/me",
            "serviceId": "O365_SHAREPOINT",
            "serviceName": "Office 365 SharePoint",
            "serviceResourceId": "https://contoso-my.sharepoint.com/"
        },
        {
            "capability": "RootSite",
            "entityKey": "RootSite@O365_SHAREPOINT",
            "providerId": "72f988bf-86f1-41af-91ab-2d7cd011db47",
            "serviceEndpointUri": "https://contoso.sharepoint.com/_api",
            "serviceId": "O365_SHAREPOINT",
            "serviceName": "Office 365 SharePoint",
            "serviceResourceId": "https://contoso.sharepoint.com/"
        },
        {
            "capability": "Contacts",
            "entityKey": "Contacts@O365_EXCHANGE",
            "providerId": "72f988bf-86f1-41af-91ab-2d7cd011db47",
            "serviceEndpointUri": "https://outlook.office365.com/api/v1.0",
            "serviceId": "O365_EXCHANGE",
            "serviceName": "Office 365 Exchange",
            "serviceResourceId": "https://outlook.office365.com/"
        }
    ]
}

现在到了棘手的部分......此时，我们知道我们真正想要对其进行身份验证的端点 - 其中一些是特定于租户的。通常您会认为我们需要对每个端点重新进行 OAuth2 舞蹈。但在这种情况下，我们可以稍微作弊 - 只需 POST 我们最初从 Azure 收到的相同代码 - 使用上面相同的 HTTP 请求，仅更改resource和scope字段使用serviceResourceId and capability从上面的服务结构来看。像这样：

POST /common/oauth2/token HTTP/1.1
Host: login.windows.net
Accept: text/json
Cache-Control: no-cache

----WebKitFormBoundaryE19zNvXGzXaLvS5C
Content-Disposition: form-data; name="grant_type"

authorization_code
----WebKitFormBoundaryE19zNvXGzXaLvS5C
Content-Disposition: form-data; name="code"

AAABAAAA...{ONE-CODE-To-RULE-THEM-ALL}xyz
----WebKitFormBoundaryE19zNvXGzXaLvS5C
Content-Disposition: form-data; name="client_id"

5cb5e93b-57f5-4e09-97c5-e0d20661c59a
----WebKitFormBoundaryE19zNvXGzXaLvS5C
Content-Disposition: form-data; name="client_secret"

02{my little secret}I=
----WebKitFormBoundaryE19zNvXGzXaLvS5C
Content-Disposition: form-data; name="redirect_uri"

https://myappdomain.com/v1/oauth2_redirect/
----WebKitFormBoundaryE19zNvXGzXaLvS5C
Content-Disposition: form-data; name="scope"

MyFiles.Read
----WebKitFormBoundaryE19zNvXGzXaLvS5C
Content-Disposition: form-data; name="resource"

https://contoso-my.sharepoint.com/
----WebKitFormBoundaryE19zNvXGzXaLvS5C

然后对另外两个做同样的事情：

...
----WebKitFormBoundaryE19zNvXGzXaLvS5C
Content-Disposition: form-data; name="scope"

RootSite.Read
----WebKitFormBoundaryE19zNvXGzXaLvS5C
Content-Disposition: form-data; name="resource"

https://contoso.sharepoint.com/
----WebKitFormBoundaryE19zNvXGzXaLvS5C

and

...
----WebKitFormBoundaryE19zNvXGzXaLvS5C
Content-Disposition: form-data; name="scope"

Contacts.Read
----WebKitFormBoundaryE19zNvXGzXaLvS5C
Content-Disposition: form-data; name="resource"

https://outlook.office365.com/
----WebKitFormBoundaryE19zNvXGzXaLvS5C

所有这三个调用都会产生类似于上面第一个 POST 的响应，为每个相应端点提供刷新令牌和访问令牌。所有这一切的代价只是一次用户身份验证。 :)

中提琴！谜团已解开 - 您可以为 O365 编写多租户应用程序。 :)