MKG logo
Inloggen

SharePoint-integratie in Entra: de technische inrichting

Dit artikel bevat de vereisten om een Microsoft® SharePoint-integratie met MKG uit te kunnen voeren, zoals licenties op gebruikersniveau, de toegang tot Microsoft® Entra en MKG, de inrichting van SharePoint sites en de beveiligingsgroepen. In dit artikel vind je ook stappenplannen voor het aanmaken van een Entra app-registratie en het inrichten van SharePoint sites.

 

Laat je IT-leverancier de technische inrichting verzorgen
Voor het activeren van een integratie met Microsoft® SharePoint is technische en functionele kennis van SharePoint en Entra vereist. Laat je IT-leverancier daarom deze inrichting verzorgen. Mochten er alsnog vragen zijn, dan kan MKG uiteraard ondersteuning bieden.

 

 

 

Vereisten

 

Licenties

 

Om gebruik te kunnen maken van een SharePoint-integratie met MKG is een Entra-omgeving benodigd voorzien van de juiste licenties op gebruikersniveau.

 

Licentie Entra App-registratie SP Online-opslag Werkt met MKG
Microsoft Entra ID Free
M365 Business Basic (1 TB org + 10 GB/user)
M365 Business Standard
M365 Business Premium
Office 365 E1
Office 365 E3
Office 365 E5
SharePoint Online Plan 1 (los)
SharePoint Online Plan 2 (los)

 

 

Toegangsrechten tot Entra-omgeving

 

Voor het aanmaken van een app-registratie in Entra zijn specifieke rechten vereist. Een beheerder moet minimaal beschikken over de rol 'Application Developer' om een app-registratie te kunnen uitvoeren. Deze rol biedt voldoende rechten om een app aan te maken en API-machtigingen toe te voegen. Echter, voor het verlenen van admin consent op tenantniveau - wat nodig is voor bepaalde machtigingen, zoals Microsoft® Graph - is de rol 'Global Administrator' vereist. Daarom is het aan te raden dat een Global Administrator de app-registratie uitvoert of ten minste beschikbaar is om het benodigde consent te verlenen.

 

SharePoint-site voor documentopslag

 

Voor het gebruik van de SharePoint-integratie binnen MKG is het noodzakelijk dat er een SharePoint-site beschikbaar is die ingezet wordt voor de opslag van documenten. Deze site dient vooraf ingericht te zijn met een stabiele structuur en een duidelijke rechtenconfiguratie. De site moet toegankelijk zijn voor gebruikers die via MKG documenten willen opslaan of raadplegen.

 

Let op!
Wijzigingen in de inrichting van deze site (zoals structuur of rechten) dienen achteraf zo veel mogelijk voorkomen te worden, om de betrouwbaarheid en continuïteit van de koppeling te waarborgen.

 

 

Beveiligingsgroepen en gebruikerslidmaatschap

 

Binnen Entra dienen beveiligingsgroepen ingericht te worden die uiteindelijk gekoppeld worden aan documentcategorieën in MKG. De documentcategorie in MKG bepaalt welke documenten een gebruiker in de MKG-interface te zien krijgt. De daadwerkelijke toegang tot het document wordt bepaald door het lidmaatschap van de gekoppelde beveiligingsgroep.

Het is mogelijk dat een gebruiker een document als record in MKG ziet, maar het niet kan openen vanwege ontbrekend lidmaatschap. Omgekeerd kan het ook voorkomen dat een gebruiker toegang heeft tot een document via SharePoint, maar dat het niet zichtbaar is in MKG.

 

Let op!
Wijzigingen in groepssamenstelling dienen achteraf zo veel mogelijk voorkomen te worden, om de stabiliteit van de documenttoegang te waarborgen.

 

 

 

 

App-registratie in Entra

 

Doorloop onderstaande stappen om een app-registratie aan te maken waarmee MKG-gebruikers via de UI (user interface) documenten kunnen opslaan of raadplegen in combinatie met SharePoint.

 

Stap 1: Aanmelden

 

Ga naar de Microsoft Entra Portal en meld je aan met een gebruiker (aan te raden is een gebruiker met de rol 'Global Administrator').

 

Stap 2: Nieuwe registratie

 

Kies in het menu voor ‘App registrations’ en vervolgens voor de actie New registration.

 

 

 

Stap 3: Vul de app-registratienaam in

 

Vul voor de app-registratie bij Name de naam "MKG ERP Sharepoint" in. Selecteer bij 'Supported account types' de (standaard) optie 'Accounts in this organizational directory only (Single tenant)' en kies voor de actie Register.

 

 

 

Stap 4: Maak een client secret aan

 

Ga in de aangemaakte app-registratie naar ‘Certificates & secrets’ en kies voor New client secret.

 

 

Vul vervolgens bij Description "MKG ERP SharePoint" in, selecteer bij Expires de optie ‘Recommended: 180 days (6 months)’ en klik op Add.

 

 

Let op!
Na het aanmaken van een client secret wordt de ‘Secret Value’ slechts eenmalig getoond in de huidige sessie. Noteer deze waarde direct, samen met de ‘Secret ID’ en de vervaldatum (‘Expiry date’), zodat je deze veilig kunt bewaren voor verdere inrichting. Na het sluiten van de sessie is deze nieuw aangemaakte ‘Secret Value’ niet meer op te vragen.

 

 

 

Stap 5: Voer de API-permissies uit

 

Ga in de aangemaakte app-registratie naar ‘API permissions’ en kies voor Add a permission en voeg de volgende Microsoft Graph-permissies toe (type ‘Delegated’ of Application’).

 

Permission Description Type Admin consent required
Files.ReadWrite.AppFolder Lezen/schrijven in sandbox-folder per gebruiker Delegated
Group.Read.All Lezen van Microsoft 365-groepen Application
Sites.FullControl.All Volledige toegang tot alle Sharepoint-sites Application
Sites.Selected Beperkt toegang tot specifieke SharePoint-sites Application
User.Read Lezen van profiel van ingelogde gebruiker Delegated

 

 

 

  • Voor de permissies ‘Group.Read.All’, ‘Sites.FullControl.All’ en ‘Sites.selected’ is een extra goedkeuring nodig. Voer hiervoor de actie Grant admin consent uit.
  • De permissie ‘Sites.FullControl.All’ is alleen tijdens de inrichting nodig voor het instellen van de rechten (Sites.selected) op een specifieke SP-site.

 

Stap 6: Noteer de Client-ID en Tenant-ID

 

Ga in de aangemaakte app-registratie naar het tabblad ‘Overview’. Neem hier de waarden van zowel de ‘Application (client) ID’ als de ‘Directory (tenant) ID’ over. Noteer deze gegevens, samen met de informatie uit stap 4, voor de uit te voeren vervolgstappen.

 

 

 

 

Sites.selected-inrichting Sharepoint

 

Met Sites.Selected krijgt een app-registratie niet automatisch toegang tot alle SharePoint-sites in de tenant, maar alleen tot die sites waarvoor expliciet toestemming is verleend door een SharePoint-beheerder. Dit voorkomt dat gevoelige of interne informatie onbedoeld toegankelijk wordt voor applicaties.

 

Stap 1: Aanmelden

 

Ga naar het Microsoft 365 Admin Center en meld je aan met een gebruiker (aan te raden is een gebruiker met de rol 'Global Administrator').

 

Stap 2: Selecteer het Admin Center

 

Kies in het menu voor ‘Admin Centers’ en vervolgens voor ‘Sharepoint’. Je komt automatisch in het juiste Admin Center voor jouw tenant (bijvoorbeeld: https://contoso-admin.sharepoint.com).

 

Stap 3: Noteer het siteID

 

Selecteer de site welke gebruikt dient te worden voor de integratie met MKG en haal uit de URL in de adresbalk het ‘siteId’. Noteer deze waarde voor de uit te voeren vervolgstap. Bijvoorbeeld:

URL: https://contoso-admin.sharepoint.com/_layouts/15/online/AdminHome.aspx#/siteManagement/:/SiteDetails/b8df588c-ff95-44b3-bf3b-8d498c712345a

SiteID: b8df588c-ff95-44b3-bf3b-8d498c712345a

 

Stap 4: Download het Sites.Selected-script

 

Het Sites.selected item is helaas niet in te richten via een UI/webpagina. Hiervoor is een template opgesteld, download het script 'MKG_Sites.Selected.ps1' en open deze met een teksteditor naar keuze. Vul in de sectie ‘Config’ bij de items tenantId, appId, clientSecret en siteId de eerder genoteerde waarden in en sla de wijzigingen op.

 

 

 

 

 

Stap 5: Voer het Sites.Selected-script uit

 

Voer het script uit via 'Powershell' (rechtermuisklik op bestand en kiezen voor 'Uitvoeren via Powershell'). Bij een succesvolle uitvoer zal de melding "Write permission has been successfully granted to the application for the site." worden weergegeven.

 

Verwijder de API-permissie
Als stap 5 succesvol is uitgevoerd, is het ten zeerste aan te raden om de permissie ‘Sites.FullControl.All’ te verwijderen uit de app-registratie.