SharePoint-Login für Excel-Links in empower® Chart Creation

Im Folgenden behandelt dieser Artikel die Excel-Link-Szenarien, für die eine SharePoint-Anmeldung erforderlich ist.

Beispiel: Ein Benutzer möchte ein Chart aktualisieren, das mit einer Excel-Online-Datei verknüpft ist und derzeit nicht auf dem Gerät des Benutzers geöffnet ist.

Zum Arbeiten mit Excel-Online-Dateien wird für empower^® ein SharePoint-Login benötigt. Der Grund hierfür ist, dass die Excel-Online-Dateien in diesen Fällen ausschließlich über eine Online-Quelle verfügbar sind und daher von empower^® heruntergeladen werden müssen.

Für den Zugriff auf eine solche Online-Quelle muss sich der Benutzer authentifizieren.

Um die Authentifizierung auszuführen, verwendet empower^® die Microsoft Authentication Library (MSAL).

Bei der Verwendung von MSAL werden Benutzer anhand des Microsoft Entra ID-Tenants authentifiziert, in dem die jeweiligen Konten erstellt wurden. Dies ist normalerweise die Microsoft Entra ID Ihres Unternehmens.

Damit empower^® die Erlaubnis hat, eine solche Authentifizierung anzufragen, benötigen Sie eine sogenannte App-Registrierung.

Die Art und Weise, wie MSAL arbeitet, erfordert die Verwendung der zuvor genannten App-Registrierung durch empower^®, um sich selbst bei der Microsoft Identity Platform als App zu authentifizieren, die autorisiert ist, Authentifizierungs-Token für Benutzer aus der Microsoft Entra ID Ihres Unternehmens zu akzeptieren.

Um eine Verbindung zwischen der App-Registrierung und der Microsoft Entra ID Ihres Unternehmens aufzubauen, ist es notwendig, empower^® als sogenannten Service Principal zu registrieren.

Dies ist das von Microsoft vorgeschriebene Standardverfahren.

Weitere Informationen über Service Principals finden Sie unter den folgenden Links:

Anwendungs- und Dienstprinzipalobjekte in Microsoft Entra ID

Wie und warum Anwendungen zu Microsoft Entra ID hinzugefügt werden

Als nächstes müssen dem Service Principal die von der empower^® App-Registrierung angefragten Leseberechtigungen erteilt werden. Das kann entweder von allen Benutzern einzeln übernommen werden bei deren ersten Anmeldung oder von einem Azure-Admin für das gesamte Unternehmen.

Je nachdem, wie die Microsoft Entra ID ihres Unternehmens konfiguriert ist, kann das Eintragen des Service Principal entweder automatisch bei der ersten Anmeldung eines Benutzers passieren, oder sie muss manuell durch einen Azure-Admin durchgeführt werden.

Der Service Principal wird immer in der Microsoft Entra ID Ihrer Organisation registriert, wenn ein Benutzer der empower^® App-Registrierung Berechtigungen erteilt.

Aus Sicht der Benutzer werden nur die angeforderten Berechtigungen angezeigt, während die Service Principal automatisch von Microsoft in der Microsoft Entra ID Ihres Unternehmens registriert wird.

Berechtigungen, im Zusammenhang mit Microsoft Entra ID auch Scopes genannt, werden bei ihrer Ausgabe in Authentifizierungs-Token eingebettet.

Da empower^® Chart Creation im Nachgang diese Authentifizierungs-Token zum Herunterladen der Excel-Dateien verwendet, müssen die Tokens gewisse Leseberechtigungen enthalten.

Alle benötigten Berechtigungen sind bereits in der empower^® App-Registrierung konfiguriert.

Die konfigurierten Scopes sind die folgenden:

Alle von der empower^® App-Registrierung verwendeten Berechtigungen sind sogenannte delegierte Berechtigungen.

Das Berechtigungssystem von Microsoft funktioniert, indem es eine Schnittstelle zwischen den Berechtigungen des aktuell aktiven Benutzers und den von der empower^® App-Registrierung angefragten Berechtigungen erstellt.

Das bedeutet, dass bei der Verwendung von empower^® Chart Creation kein Benutzer jemals Zugriff auf Dateien hat, auf die er nicht zugreifen darf.