La solution Jint est une extension de SharePoint Online qui propose, au travers de différentes fonctionnalités, l'accès simplifié à des informations issues des services Microsoft 365 de votre environnement. Cet accès se fait via des API sécurisées par Entra ID, ce qui nécessite que certaines autorisations soient accordées sur votre tenant.
Cet article explique la nature de ces permissions, les garanties de sécurité qu'elles impliquent, et la procédure pour les approuver.
Sommaire
- Permissions déléguées vs permissions applicatives
- Pourquoi Jint n'utilise quasi-exclusivement que des permissions déléguées
- Récapitulatif des permissions par application Jint
- Tableau des permissions Microsoft Graph et APIs Jint par composant
- Gérer les demandes d'autorisations
1. Permissions déléguées vs permissions applicatives
Dans le modèle de sécurité Microsoft 365, deux types de permissions existent pour les applications inscrites dans Entra ID :
- Les permissions déléguées (Delegated permissions) : l'application agit pour le compte d'un utilisateur connecté. Elle ne peut jamais faire plus que ce que cet utilisateur est autorisé à faire lui-même.
- Les permissions applicatives (Application permissions) : l'application agit de manière autonome, sans utilisateur connecté, avec un niveau d'accès défini indépendamment des droits individuels.
Jint utilise des permissions déléguées pour l'ensemble de ses applications, à l'exception de Mozzaik365 Deployment, qui dispose d'une permission applicative à périmètre limité, décrite dans la section 4.
2. Pourquoi Jint n'utilise quasi-exclusivement que des permissions déléguées
Ce choix de conception est fondamental pour la sécurité de votre environnement. Concrètement, cela signifie que :
- Jint ne peut jamais agir sans qu'un utilisateur soit authentifié.
- L'application hérite exactement du périmètre d'accès de l'utilisateur connecté — ni plus, ni moins.
- Si un utilisateur dispose d'un accès en lecture seule sur un site, Jint aura également un accès en lecture seule.
- Si un utilisateur n'est pas autorisé à publier du contenu, Jint ne pourra pas publier de contenu en son nom.
- Jint ne peut pas escalader des privilèges ni contourner les politiques d'accès définies dans Microsoft 365.
L'ensemble des autorisations sont soumises au consentement explicite d'un administrateur Entra ID, conformément au standard OAuth 2.0 implémenté par la Microsoft Identity Platform.
Exception : Mozzaik365 Deployment
Mozzaik365 Deployment est la seule application Jint qui dispose d'une permission applicative. Cette permission (Sites.Selected) est strictement limitée au(x) sites(s) contenant le(s) catalogue(s) d'applications SharePoint. Son unique fonction est de permettre à Jint de déployer et mettre à jour les packages SharePoint de la solution.
3. Récapitulatif des permissions par application Jint
| Application Entra ID | Type de permission | Permissions demandées |
|---|---|---|
| Mozzaik365 Deployment | Applicative |
SharePoint Sites.Selected (site(s) contenant le(s) catalogue(s) d'applications uniquement) |
| Jint Configurator | Déléguée |
User.Read, GroupMember.Read.All
|
| Jint Administration | Déléguée |
User.Read, SharePoint AllSites.FullControl
|
| Jint Site Engine | Déléguée |
User.Read, SharePoint AllSites.FullControl, SharePoint TermStores.Read.All
|
| Jint Contribution Center | Déléguée |
User.Read, SharePoint AllSites.FullControl
|
Comprendre AllSites.FullControl
Certaines applications Jint demandent la permission SharePoint > AllSites.FullControl. Cette dénomination peut paraître préoccupante ; elle mérite une explication précise.
En contexte de permission déléguée, cette permission ne confère pas à l'application un contrôle total et autonome sur tous les sites SharePoint. Elle signifie que l'application est autorisée à effectuer, pour le compte de l'utilisateur connecté, les mêmes actions que cet utilisateur pourrait réaliser directement dans l'interface SharePoint. L'application ne pourra jamais excéder les droits de l'utilisateur connecté.
En d'autres termes :
- Un utilisateur sans droits d'administration sur un site ne pourra pas, via Jint, effectuer des actions d'administration sur ce site.
- Un utilisateur dont le compte a été désactivé ou restreint ne pourra pas utiliser Jint pour contourner ces restrictions.
- Les politiques d'accès conditionnel et les contrôles définis dans votre tenant Microsoft 365 s'appliquent intégralement.
Pourquoi cette permission étendue est-elle nécessaire ?
Des fonctionnalités comme l'Usine à site (duplication et création d'espaces SharePoint à partir d'un modèle) ou le Centre de contribution (publication de contenu sur différents sites) nécessitent d'interagir avec plusieurs collections de sites. La permission AllSites.FullControl en mode délégué permet à ces fonctionnalités d'opérer sur l'ensemble des sites auxquels l'utilisateur a accès, sans avoir à demander une approbation site par site.
4. Tableau des permissions Microsoft Graph et APIs Jint par composant
Ces permissions sont approuvées depuis le Centre d'administration SharePoint > Gestion de l'API. Elles permettent aux composants Jint d'appeler les APIs Microsoft Graph et les APIs Jint pour le compte de l'utilisateur connecté.
| Nom de l'API | Permissions | Composants utilisant la permission |
|---|---|---|
| Microsoft Graph | User.Read.All | Teams, Trombinoscope, Nouveaux arrivants, Anniversaires Professionnels, Mon résumé, Organigramme |
| Microsoft Graph | Group.Read.All | Teams, Répertoire de site, Mes Applications, Trombinoscope, Nouveaux arrivants, Anniversaires Professionnels |
| Microsoft Graph | ChannelMessage.Send | Teams, Centre de contribution |
| Microsoft Graph | Sites.Read.All | Répertoire de site, Mes événements, Mes Documents, Résultat de recherche |
| Microsoft Graph | Mail.Read | Mes Mails, Mon résumé |
| Microsoft Graph | Calendars.Read | Mes réunions, Mon résumé |
| Microsoft Graph | Calendars.ReadWrite | Mes réunions |
| Microsoft Graph | Tasks.ReadWrite | Mes tâches, Mon résumé |
| Microsoft Graph | Team.ReadBasic.All | Centre de contribution |
|
Mozzaik365 Contribution Center
|
Access_as_user | Centre de contribution |
5. Gérer les demandes d'autorisations
Afin d'accorder les autorisations nécessaires au fonctionnement de la solution Jint, veuillez suivre les étapes ci-dessous :
- Dans le Centre d'administration Office 365, dans le groupe Centres d'administration, sélectionnez SharePoint.
- Pour afficher les demandes d'autorisations en attente, dans le menu du Centre d'administration SharePoint moderne, sélectionnez le lien Gestion de WebApiPermission.
- Cliquer sur Gestion de l'API.
- Sélectionner, une par une, les demandes de permissions de la solution Jint et approuver.
Commentaires
0 commentaire
Vous devez vous connecter pour laisser un commentaire.