MSTeams 桌面客户端中的 SPFx webpart 引发 UnauthorizedAccessException

Question

这个问题与之前在 StackOverflow 上提出的问题非常相似。但是，我得到的错误是不同的。

AadHttpClient fails when loading SP page with SPFx webpart in MSTeams Desktop Client

我还有一个 Sharepoint Online 站点，其中有一个使用 AadHttpClient 的 SPFx Web 部件。

如果我从浏览器导航到 Sharepoint 站点或打开 MS Teams Web 客户端，则此 Web 部件有效。

一瞥我的设置：

这是我面临的问题的“重现步骤”概述。

• 将 Web 部件部署到 SharePoint
• 在 SharePoint 中查看 Web 部件 - Web 部件显示并正常加载
• 在 Teams 中添加 SharePoint 选项卡并将其绑定到带有 Web 部件的页面
• 在 Teams Desktop 客户端中查看选项卡 - 数据无法加载到 Web 部件中（请参阅下文）
• 在 Teams Web 客户端中查看选项卡 - Web 部件显示并正常加载

当我调试 MS Teams 桌面客户端时，我在“网络请求”选项卡中进行了此调用：

https://{mytenant}.sharepoint.com/sites/{mysite}/_api/Microsoft.SharePoint.Internal.ClientSideComponent.Token.AcquireOBOToken?resource={GUID of my AAD app registration}&clientId={GUID of SharePoint Online Client Extensibility AAD app registration}

响应：

错误 403：

{"odata.error":{"code":"-2147024891, System.UnauthorizedAccessException","message":{"lang":"en-US","value":"访问 否认。您无权执行此操作或访问 这个资源。"}}}

一个有趣的观察是，这个 Web 请求只发生在 Microsoft Teams 桌面客户端中。

我很想知道为什么这只发生在 MS Teams 桌面客户端，而不是 MS Teams Web 客户端或 Sharepoint Online。

更新：2020 年 10 月 2 日

另一个观察结果：我们在不同的租户（个人租户而不是我们的公司租户）上尝试了相同的设置。我们注意到，当在 Azure Active Directory 上打开 MFA 时，可能会重现相同的行为。

失败的请求是：

https://{personal tenant}.sharepoint.com/sites/{site name}/_api/Microsoft.SharePoint.Internal.ClientSideComponent.Token.AcquireOBOToken?resource={GUID of the AD app registration}&clientId={GUID of the SPO Client Extensibility app registration}

但是，现在返回的错误是 500 响应：

{"odata.error":{"code":"-1, System.AggregateException","message":{"lang":"en-US","value":"一个或 出现更多错误。"}}}

在 Github 上发现了类似的问题（但出现了不同的错误）：https://github.com/SharePoint/sp-dev-docs/issues/4915

Answer 1

我最近遇到了一个调用 graphAPI 的 webpart 的类似问题。在桌面团队中，电话永远不会发生，而且会卡住。我可以通过以下步骤修复它：-

步骤 1. 访问租户管理站点上的新 API 权限管理页面。这会在幕后创建一个客户端机密。

第 2 步。转到 -> https://aad.portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/RegisteredApps

第 3 步。点击SharePoint Online Client Extensibility Web Application Principal

Step 4. 点击左侧菜单中的 Manifest Step 5. 从 oAuth2Permission 数组中复制 id

"oauth2Permissions": [
        {
            "adminConsentDescription": "Allow the application to access SharePoint Online Client Extensibility Web Application Principal on behalf of the signed-in user.",
            "adminConsentDisplayName": "Access SharePoint Online Client Extensibility Web Application Principal",
            "id": "2143704b-186b-4210-b555-d03aa61823cf",
            "isEnabled": true,
            "lang": null,
            "origin": "Application",
            "type": "User",
            "userConsentDescription": "Allow the application to access SharePoint Online Client Extensibility Web Application Principal on your behalf.",
            "userConsentDisplayName": "Access SharePoint Online Client Extensibility Web Application Principal",
            "value": "user_impersonation"
        }
    ],

步骤 6. 将“preAuthorizedApplications”条目替换为以下 json。保留 appId 如下所示。

"preAuthorizedApplications": [
    {
        "appId": "00000003-0000-0ff1-ce00-000000000000",
        "permissionIds": [
            "YOUR COPIED ID FROM STEP 5"
        ]
    }
],

第 7 步。点击保存。

让我知道这是否适合您。我从https://github.com/SharePoint/sp-dev-docs/issues/3923#issuecomment-514726341引用了上述步骤