# Exkurs: SharePoint REST & Co. – Historie, Varianten, Versionen

# 1 | Was ist die SharePoint-REST-API?

Die SharePoint-REST-API stellt SharePoint-Objekte (Web/Site, Listen & Items, Bibliotheken/Dateien, Suche etc.) als **OData-Ressourcen** unter `…/_api/...` bereit. Sie wurde mit **SharePoint 2013** eingeführt, bildet die CSOM-Oberflächen weitgehend ab und lässt sich mit OData-Operatoren (z. B. `$filter`, `$select`, `$orderby`) gezielt abfragen. Einstiegspunkte, URL-Muster und Navigationspfade sind in der Microsoft-Doku beschrieben. 

- [Get to know the SharePoint REST service](https:\learn.microsoft.com\en-us\sharepoint\dev\sp-add-ins\get-to-know-the-sharepoint-rest-service)
- [Use OData query operations in SharePoint REST requests](https:\learn.microsoft.com\en-us\sharepoint\dev\sp-add-ins\use-odata-query-operations-in-sharepoint-rest-requests)

### OData-Versionen

Historisch liefert SharePoint-REST **OData v3** – erkennbar z. B. am `$metadata`\-Dokument. Moderne Clients wie **SPFx** sprechen standardmäßig **OData v4** (Header/Format), können aber per Header (`odata-version` leer) wieder in den V3-Modus schalten. **Microsoft Graph** setzt generell auf OData v4. Kurz: In SPO funktionieren heute beide Formate – die API bleibt REST, das Client-Protokoll kann variieren.

- [Sharepoint REST Api OData Version?](https:\sharepoint.stackexchange.com\questions\175026\sharepoint-rest-api-odata-version)
- [Connect to SharePoint APIs](https:\learn.microsoft.com\en-us\sharepoint\dev\spfx\connect-to-sharepoint)

# 2 | Verwandte API-Sets in SharePoint

1. **CSOM (Client-Side Object Model)**: Programmierschnittstelle für .NET/JS (JSOM) und .NET Standard; deckt viele Verwaltungs- und Datenoperationen ab – on-prem und in der Cloud gleichermaßen verbreitet. \[[Using CSOM for .NET Standard instead of CSOM for .NET Framework](https:\learn.microsoft.com\en-us\sharepoint\dev\sp-add-ins\using-csom-for-dotnet-standard) | [Complete basic operations using SharePoint client library code](https:\learn.microsoft.com\en-us\sharepoint\dev\sp-add-ins\complete-basic-operations-using-sharepoint-client-library-code)\]
2. **SSOM (Server-Side Object Model)**: Nur **on-prem** verfügbar (läuft im Farm-Kontext – Webparts, Timerjobs etc.), **nicht** in SharePoint Online. \[[SSOM: SharePoint Services Adapter Web Service](https:\learn.microsoft.com\en-us\biztalk\core\ssom-sharepoint-services-adapter-web-service)\]
3. **SOAP/ASMX-Webservices** (z. B. `Lists.asmx`, `search.asmx`): die **Vorgänger** vor 2013; heute **deprecated** bzw. entfernt (teils noch in älteren Server-Versionen vorhanden). Für neue Entwicklungen nicht mehr empfohlen. \[[Zugriff auf die SOAP-API](https:\learn.microsoft.com\de-de\sharepoint\dev\general-development\accessing-the-soap-api)\] 
4.  **BCS REST** (Business Connectivity Services): REST-Schnittstellen zur Anbindung externer Daten über BCS. \[[BCS REST API reference for SharePoint](https:\learn.microsoft.com\en-us\sharepoint\dev\general-development\bcs-rest-api-reference-for-sharepoint)\]
5. **Microsoft Graph**: Der **vereinheitlichte M365-Endpunkt** (inkl. SharePoint Sites/Lists/Files). Neue Investitionen fokussieren Graph, SharePoint-REST bleibt für SharePoint-spezifische Szenarien verfügbar.

# 3 | Authentifizierung – Alt vs. Modern

- **Legacy** <span style="color: var(--vscode-foreground);"> (Basic, WS-Trust/SAML, FBA) ist in </span> **SharePoint Online** <span style="color: var(--vscode-foreground);"> praktisch </span> **abgeschaltet** <span style="color: var(--vscode-foreground);"> / nicht unterstützt; in On-Prem nur noch aus Kompatibilitätsgründen. Graph akzeptiert ausschließlich </span> **OAuth2 Bearer Tokens**<span style="color: var(--vscode-foreground);">.&nbsp;</span> 
- **Modern**<span style="color: var(--vscode-foreground);">: OAuth2/OpenID Connect via </span> **Microsoft Entra ID (Azure AD)** <span style="color: var(--vscode-foreground);"> – </span> **delegiert** <span style="color: var(--vscode-foreground);"> (Benutzerkontext, z. B. Device Code) oder </span> **App-Only** <span style="color: var(--vscode-foreground);"> (Client Credentials mit Secret/Zertifikat). </span> **SE** <span style="color: var(--vscode-foreground);"> (Subscription Edition) unterstützt </span> **OIDC 1.0** <span style="color: var(--vscode-foreground);"> on-prem.&nbsp;</span> 

**Hinweis zu De-/Retirements** (Cloud): Das **SharePoint Add-In/ACS-Modell** ist abgekündigt – **neue Tenants**: ab **1\. Nov 2024** nicht mehr; **alle Tenants**: Ende **2\. Apr 2026**. App-Zugriffe sollen auf Entra-ID (OAuth/Graph/REST) migriert werden.

# 4 | Chronologie & Funktionsstand nach Version/Umgebung

- <span style="color: var(--vscode-foreground);">SharePoint 2013 (Server)</span>
    - **Neu**<span style="color: var(--vscode-foreground);">: Einführung </span> **REST/OData** <span style="color: var(--vscode-foreground);">(</span>`/_api`<span style="color: var(--vscode-foreground);">) neben </span> **CSOM/JSOM**<span style="color: var(--vscode-foreground);">; SOAP weiterhin vorhanden, aber schon als Alt-Technik eingeordnet. </span> <span class="" data-state="closed" style="color: var(--vscode-foreground);"><span class="ms-1 inline-flex max-w-full items-center relative top-[-0.094rem] animate-[show_150ms_ease-in]" data-testid="webpage-citation-pill"><a href="https://learn.microsoft.com/en-us/archive/msdn-magazine/2013/may/sharepoint-2013-understanding-and-using-the-sharepoint-2013-rest-interface?utm_source=chatgpt.com" target="_blank" rel="noopener" alt="https://learn.microsoft.com/en-us/archive/msdn-magazine/2013/may/sharepoint-2013-understanding-and-using-the-sharepoint-2013-rest-interface?utm_source=chatgpt.com" class="flex h-4.5 overflow-hidden rounded-xl px-2 text-[9px] font-medium text-token-text-secondary! bg-[#F4F4F4]! dark:bg-[#303030]! transition-colors duration-150 ease-in-out">Microsoft Learn</a></span></span>
    - Typische Auth: Windows/Claims, FBA optional; für Cloud (SPO 2013-Ära) liefen erste moderne Auth-Wege an.
- SharePoint 2016 (Server)
    - REST/CSOM ausgebaut; **SOAP/ASMX weiterhin vorhanden, aber de-facto deprecated**<span style="color: var(--vscode-foreground);">. Empfehlung: neue Lösungen über CSOM/REST. </span> <span class="" data-state="closed" style="color: var(--vscode-foreground);"><span class="ms-1 inline-flex max-w-full items-center relative top-[-0.094rem] animate-[show_150ms_ease-in]" data-testid="webpage-citation-pill"><a href="https://techcommunity.microsoft.com/discussions/sharepoint_general/sharepoint-2010-to-2016-migration---feature-compatibility---soap-web-services/133832?utm_source=chatgpt.com" target="_blank" rel="noopener" alt="https://techcommunity.microsoft.com/discussions/sharepoint_general/sharepoint-2010-to-2016-migration---feature-compatibility---soap-web-services/133832?utm_source=chatgpt.com" class="flex h-4.5 overflow-hidden rounded-xl px-2 text-[9px] font-medium text-token-text-secondary! bg-[#F4F4F4]! dark:bg-[#303030]! transition-colors duration-150 ease-in-out">Microsoft Tech Community</a></span></span>
- SharePoint 2019 (Server)
    - REST/CSOM Standard; **bestimmte SOAP-Listenmethoden** <span style="color: var(--vscode-foreground);">(für die alte </span> **Groove**<span style="color: var(--vscode-foreground);">-Sync-App) </span> **deprecatet**<span style="color: var(--vscode-foreground);">. </span> <span class="" data-state="closed" style="color: var(--vscode-foreground);"><span class="ms-1 inline-flex max-w-full items-center relative top-[-0.094rem] animate-[show_150ms_ease-in]" data-testid="webpage-citation-pill"><a href="https://learn.microsoft.com/en-us/sharepoint/what-s-new/what-s-deprecated-or-removed-from-sharepoint-server-2019?utm_source=chatgpt.com" target="_blank" rel="noopener" alt="https://learn.microsoft.com/en-us/sharepoint/what-s-new/what-s-deprecated-or-removed-from-sharepoint-server-2019?utm_source=chatgpt.com" class="flex h-4.5 overflow-hidden rounded-xl px-2 text-[9px] font-medium text-token-text-secondary! bg-[#F4F4F4]! dark:bg-[#303030]! transition-colors duration-150 ease-in-out">Microsoft Learn</a></span></span>
- SharePoint Server **Subscription Edition (SE)**
    
    - Kontinuierliche Updates; **OpenID Connect 1.0** <span style="color: var(--vscode-foreground);">für moderne Auth wird unterstützt.</span>
    - Diverse Altfeatures/Altendpunkte **deprecatet/entfernt** <span style="color: var(--vscode-foreground);">(u. a. Listen-Webservice-APIs für Groove).&nbsp;</span>  
    - **Basic Authentication** <span style="color: var(--vscode-foreground);">ist </span> **deprecated**<span style="color: var(--vscode-foreground);">; Unterstützung läuft </span> **bis 14. Jul 2026**<span style="color: var(--vscode-foreground);">, danach Entfernung. Empfehlung: Trusted Identity Provider / OIDC.&nbsp;</span> 
    
- SharePoint **Online** (Microsoft 365)
    - **REST `/_api`** <span style="color: var(--vscode-foreground);">und </span> **CSOM (.NET Standard, JSOM)** <span style="color: var(--vscode-foreground);">verfügbar; neue Features i. d. R. zuerst/primär über </span> **Microsoft Graph**<span style="color: var(--vscode-foreground);">.</span>
    - **Legacy-Auth** <span style="color: var(--vscode-foreground);">(Basic, WS-Trust, FBA) in SPO nicht mehr nutzbar; OAuth2 (Entra ID) ist zwingend.</span>
    - **SharePoint Add-Ins/ACS**<span style="color: var(--vscode-foreground);">: Retirement wie oben (2024/2026).&nbsp;</span>

# 5 | SharePoint-REST vs. Microsoft Graph – Einordnung

- **SharePoint-REST**<span style="color: var(--vscode-foreground);">: Direkter Zugriff auf SharePoint-Spezifika (Listen/Dateien/Suche) – teils Features, die in Graph (noch) fehlen; OData-Operatoren wie gewohnt. Gut, wenn man </span> **nur** <span style="color: var(--vscode-foreground);"> SharePoint adressiert.&nbsp;</span> 
    - [Complete basic operations using SharePoint REST endpoints](https:\learn.microsoft.com\en-us\sharepoint\dev\sp-add-ins\complete-basic-operations-using-sharepoint-rest-endpoints)
    - [SharePoint Search REST API overview](https:\learn.microsoft.com\en-us\sharepoint\dev\general-development\sharepoint-search-rest-api-overview)  
    
- **Microsoft Graph**<span style="color: var(--vscode-foreground);">: Einheitlicher Endpunkt für M365 (Sites/Lists/Files + Benutzer, Teams, Planner …); moderne Auth/Consent-Story, OData v4; Microsoft empfiehlt Graph als </span> **Default** <span style="color: var(--vscode-foreground);"> für neue Lösungen.</span>
    - [Microsoft Graph API vs. SharePoint REST API: A Comprehensive Comparison](https:\www.alphabold.com\microsoft-graph-api-vs-sharepoint-rest-api-comparison\)

# 6 | „Welche Arten gibt es aktuell, welche gab es vorher?“ – Überblick

  

| Kategorie | On-Prem (2013/2016/2019/SE) | Cloud (SharePoint Online) | Status heute |
| --- | --- | --- | --- |
| **SSOM** | Ja (nur im Farm-Kontext) | Nein | Nur on-prem nutzbar.    |
| **CSOM/JSOM** | Ja | Ja (.NET Standard/JS) | Aktiv & unterstützt.    |
| **REST `/_api`** | Ja | Ja | Aktiv; OData-Query, Change-APIs etc.    |
| **SOAP/ASMX** | Vorhanden, aber deprecated/teilweise entfernt | Praktisch nicht | Für neue Lösungen vermeiden.    |
| **Search REST** | Ja | Ja | Bevorzugt ggü. altem `search.asmx`.    |
| **BCS REST** | Ja | Ja | Für externe Daten via BCS.    |
| **Graph** | Nein | Ja | Empfohlen für M365-weite Szenarien.    |

# 7 | Praktische Empfehlungen (heute)

- **Cloud-first / SPO**<span style="color: var(--vscode-foreground);">: Für neue Lösungen </span> **Graph** <span style="color: var(--vscode-foreground);"> nutzen; bei SharePoint-Spezialfällen </span> **REST `/_api`**<span style="color: var(--vscode-foreground);">. Auth immer via </span> **OAuth2** <span style="color: var(--vscode-foreground);"> (delegiert oder App-Only). </span> **Add-In/ACS** <span style="color: var(--vscode-foreground);"> nicht mehr einsetzen.&nbsp;</span> 
- **On-Prem (SE/2019)**<span style="color: var(--vscode-foreground);">: </span> **REST/CSOM** <span style="color: var(--vscode-foreground);"> bevorzugen; </span> **SSOM** <span style="color: var(--vscode-foreground);"> nur, wenn Code </span> **im Farm-Kontext** <span style="color: var(--vscode-foreground);"> läuft. </span> **OIDC** <span style="color: var(--vscode-foreground);"> in SE prüfen/verwenden. </span> **Basic** <span style="color: var(--vscode-foreground);"> und </span> **SOAP** <span style="color: var(--vscode-foreground);"> vermeiden (Deprecation/Entfernung beachten).&nbsp;</span> 
- **Migration/Modernisierung**<span style="color: var(--vscode-foreground);">: Alt-Integrationen über SOAP/Add-Ins/ACS auf </span> **Entra-ID + Graph/REST** <span style="color: var(--vscode-foreground);"> heben; Consent-Modell und </span> **Least Privilege** <span style="color: var(--vscode-foreground);"> (z. B. </span> `Sites.Selected`<span style="color: var(--vscode-foreground);">) berücksichtigen.&nbsp;</span>

# 8 | Python & SharePoint APIs

## 8.1 | Microsoft Graph API (heute der Default für M365/SPO)

**Was?** Vereinheitlichter M365-Endpunkt, u. a. für SharePoint Sites, Listen/Items, Drives/Dateien. Parliert OData v4, modernes Consent-/Berechtigungsmodell.  
**Wie in Python?**

- **MSAL + requests** (direkt), oder
    
- **python-o365** (höhere Abstraktion), oder
    
- **office365-rest-python-client** (enthält auch Graph-Client).  
    **Typische Auth:** Delegiert (Device Code, Auth Code/PKCE) oder App-Only (Client Credentials, Secret/Zertifikat).  
    **Status:** Aktiv/empfohlen, stetig erweitert. Beispiele: `GET /sites/{host}:/sites/{path}:/lists/{list}/items?$expand=fields`. 
    

* * *

## 8.2 | SharePoint REST API (`/_api/...`) – seit SP2013

**Was?** Direkter REST-Zugriff auf SharePoint-Objekte (Web, Listen/Items, Files/Folders, Suche). Historisch OData v3, in SPO auch v4-Kompatibilitäten.  
**Wie in Python?**

- **requests** (roh, mit MSAL-Token),
    
- **office365-rest-python-client** (komfortabler, CSOM-ähnliche Modelle),
    
- für On-Prem klassisch auch **requests-ntlm** (NTLM) oder FBA-Login per `requests.Session`.  
    **Status:** Aktiv (SPO & On-Prem); sinnvoll, wenn Graph (noch) keine Parität hat oder man sehr SharePoint-spezifische Pfade braucht. [GitHub](https://github.com/vgrem/office365-rest-python-client)
    

* * *

## 8.3 | CSOM / JSOM / SSOM

- **CSOM (.NET, JSOM)**: Offizielles Clientmodell seit SP2013; in Python **nicht** nativ, aber viele Python-Libs (z. B. _office365-rest-python-client_) **mappen CSOM-Operationen intern auf REST** und bieten ähnliche Objekte/Methoden.
    
- **SSOM** (Server-Side Object Model): Nur **on-prem** im Farm-Kontext (C#/PowerShell), **nicht** aus Python gegen SPO nutzbar.  
    **Status:** CSOM weiterhin relevant; SSOM nur on-prem. [GitHub](https://github.com/vgrem/office365-rest-python-client)
    

* * *

## 8.4 | SOAP/ASMX-Webservices (z. B. `Lists.asmx`) – „früher“

**Was?** Vor SP2013 waren SOAP-Webservices üblich (Lists, UserGroup, Search).  
**Wie in Python?**

- **Zeep** (SOAP-Client) oder raw **requests** (SOAP-Envelope),
    
- **SharePlum** (Python-Wrapper, arbeitet schwerpunktmäßig mit den Listen-Webservices; on-prem oft via NTLM).  
    **Status:** **Deprecated**/teilweise entfernt; für neue Lösungen wird **REST oder Graph** empfohlen. Einzelne SOAP-Listen-Methoden wurden in **SP2019** explizit deprecatet (u. a. „_…WithKnowledge_“). \[[shareplum.readthedocs.io](https:\shareplum.readthedocs.io\) | [Microsoft Learn](https:\learn.microsoft.com\en-us\sharepoint\what-s-new\what-s-deprecated-or-removed-from-sharepoint-server-2019)\]
    

* * *

## 8.5 | Authentifizierung – was Python (früher) konnte und was heute zählt

- **Früher/Legacy (SPO & on-prem):**
    
    - **WS-Trust/SAML** → FedAuth/rtFA-Cookies; mit Python per SOAP-Post an `extSTS.srf` + POST auf `/_forms/default.aspx?wa=wsignin1.0`. In modernen Tenants weitgehend blockiert.
        
    - **FBA** (formularbasiert, on-prem): per `requests.Session` (Login-POST, Cookies).
        
    - **NTLM** (on-prem): per **requests-ntlm**.
        
    - **Basic Auth**: heute i. d. R. deaktiviert/unsicher.
        
- **Heute/modern (SPO & SE):**
    
    - **OAuth2/OIDC** via **MSAL** (delegiert & App-Only).
        
    - **ADAL** ist **deprecated** → **MSAL** verwenden.
        
    - **ACS/Add-In-Modell** (App-Only über Azure ACS) ist im **Retirement**: neue Tenants seit **1\. Nov 2024** aus, **finales Ende 2. Apr 2026** → auf **Entra ID + Graph/REST** migrieren. 
        

* * *

## 8.6 | Praktische Zuordnung (heute vs. früher)

| API-Familie | Python-Zugriff (typisch) | SPO (Cloud) | On-Prem (2013/2016/2019/SE) | Bemerkungen |
| --- | --- | --- | --- | --- |
| **Microsoft Graph** | `msal` + `requests`, `python-o365`, (auch via `office365-rest-python-client` GraphClient) | ✔︎ | – | Empfohlener Weg für Sites/Lists/Drives über M365.    |
| **SharePoint REST (`/_api`)** | `msal` + `requests`, `office365-rest-python-client` | ✔︎ | ✔︎ | Direkter SPO/On-Prem-Zugriff; vollwertige SharePoint-Features.    |
| **CSOM/JSOM** | (indirekt via Libs, die REST nutzen) | ✔︎ | ✔︎ | Python nutzt hier i. d. R. Wrapper (z. B. office365-rest-python-client).    |
| **SOAP/ASMX** | `zeep`, `requests`, **SharePlum** | ✖︎ (praktisch) | ✔︎ (Legacy) | Deprecated; in SP2019 teils Methoden entfernt; neu lieber REST/Graph.  [](https://learn.microsoft.com/en-us/sharepoint/what-s-new/what-s-deprecated-or-removed-from-sharepoint-server-2019?utm_source=chatgpt.com)   |
| **NTLM (Auth)** | `requests-ntlm` | ✖︎ | ✔︎ | Für alte on-prem-Sites. In SPO nicht.    |

* * *

## 8.7 |Empfohlene Python-Libraries (kuratiert)

- **MSAL** (Token-Erwerb für Graph/SPO) + **requests** (HTTP) – _Basisbausteine_. 
    
- **office365-rest-python-client** – deckt SharePoint REST ab, unterstützt auch Graph-Szenarien; mehrere Auth-Flows (inkl. App-Only, Zertifikat, interaktiv). 
    
- **python-o365** – komfortabler Graph-Wrapper (u. a. SharePoint-Sites/Drives/Lists). 
    
- **requests-ntlm** – für NTLM (on-prem). 
    
- **SharePlum** (SOAP/Legacy-Lists) & **Zeep** (generischer SOAP-Client) – _nur noch für Altlandschaften_. 
    

* * *

### Kurzfazit

- **Heute**: Python greift SharePoint-Daten am besten über **Microsoft Graph** oder **SharePoint REST** zu – mit **MSAL-basiertem OAuth** (delegiert/App-Only).
    
- **Früher**: SOAP/ASMX, NTLM, FBA, WS-Trust waren verbreitet – sind in **SPO** praktisch abgeschaltet und **on-prem** nur noch für Legacy-Fälle relevant.
    
- **Add-Ins/ACS** werden abgelöst; **ADAL** ist deprecated → **MSAL** verwenden.