Authentifizieren eines Benutzers mit einem Single Sign-On-Token in einem Outlook-Add-In (Vorschau)Authenticate a user with an single-sign-on token in an Outlook add-in (preview)

Single Sign-On bietet Ihrem Add-In eine nahtlose Möglichkeit, Benutzer zu authentifizieren (und optional Zugriffstoken zum Aufrufen der Microsoft Graph-API abzurufen).Single sign-on (SSO) provides a seamless way for your add-in to authenticate users (and optionally to obtain access tokens to call the Microsoft Graph API).

Mit dieser Methode kann Ihr Add-In ein Zugriffstoken abrufen, das auf Ihre Server-Back-End-API ausgelegt ist. Das Add-In verwendet dies als Bearertoken in der Authorization-Kopfzeile, um einen Aufruf zurück an Ihre API zu authentifizieren. An diesem Punkt kann Ihr Server:Using this method, your add-in can obtain an access token scoped to your server back-end API. The add-in uses this as a bearer token in the Authorization header to authenticate a call back to your API. Optionally, you can also have your server-side code:

  • Den Im-Auftrag-von-Ablauf abschließen, um ein Zugriffstoken zu erhalten, das auf die Microsoft Graph-API ausgelegt istComplete the On-Behalf-Of flow to obtain an access token scoped to the Microsoft Graph API
  • Die Identitätsinformationen im Token verwenden, um die Identität des Benutzers zu ermitteln und bei Ihren eigenen Back-End-Diensten zu authentifizierenUse the identity information in the token to establish the user's identity and authenticate to your own back-end services

Eine Übersicht über SSO in Office-Add-Ins finden Sie unter Aktivieren des Single Sign-On für Office-Add-Ins und Autorisieren von Microsoft Graph in Ihrem Office-Add-In.For an overview of SSO in Office add-ins, see Enable single sign-on for Office Add-ins and Authorize to Microsoft Graph in your Office Add-in.

Hinweis

Um SSO verwenden, müssen Sie die Betaversion der Office-JavaScript-Bibliothek aushttps://appsforoffice.microsoft.com/lib/beta/hosted/office.js auf die HTML-Startseite des Add-Ins laden.To use SSO, you must load the beta version of the Office JavaScript Library from https://appsforoffice.microsoft.com/lib/beta/hosted/office.js in the startup HTML page of the add-in.

Aktivieren der modernen Authentifizierung in Ihrem Office 365-MandantenEnable modern authentication in your Office 365 tenancy

Um SSO mit einem Outlook-Add-In zu verwenden, müssen Sie für die Office 365-Mandanten die moderne Authentifizierung aktivieren. Informationen dazu finden Sie unter Exchange Online: Aktivieren Ihres Mandanten für die moderne Authentifizierung.To use SSO with an Outlook add-in, you must enable Modern Authentication for the Office 365 tenancy. For information about how to do this, see Exchange Online: How to enable your tenant for modern authentication.

Registrieren Ihres Add-InsRegister your add-in

Für die Verwendung von SSO benötigt Ihr Outlook-Add-In eine serverseitige Web-API, die mit Azure Active Directory (AAD) v2. 0 registriert ist. Weitere Informationen finden Sie unter Registrieren eines Office-Add-Ins, das SSO mit dem Azure AD-v2. 0-Endpunkt verwendet.To use SSO, your Outlook add-in will need to have a server-side web API that is registered with Azure Active Directory (AAD) v2.0. For more information, see Register an Office Add-in that uses SSO with the Azure AD v2.0 endpoint.

Wenn ein Add-in, das SSO verwendet, aus dem Office Store erworben wird, verarbeitet die Benutzeroberfläche des Stores die Aufforderung an den Benutzer, seine Zustimmung zu den angeforderten Graph-Berechtigungen zu geben. Wenn Sie ein Add-In entwickeln, müssen Sie jedoch Ihre Zustimmung im Voraus bereitstellen. Weitere Informationen finden Sie unter Gewährung der Administrator-Zustimmung für das Add-InWhen an add-in that uses SSO is acquired from the Office Store, the store UI handles prompting the user for consent to the requested Graph permissions. However, when you are developing an add-in, you have to provide consent in advance. For more information, see Grant administrator consent to the add-in

Aktualisieren des Add-In-ManifestsUpdate the add-in manifest

Der nächste Schritt zur Aktivierung von SSO für das Add-In besteht im Hinzufügen eines WebApplicationInfo Elements am Ende des VersionOverridesV1_1 VersionOverrides -Elements. Weitere Informationen finden Sie unter Konfigurieren des Add-Ins.The next step to enable SSO in the add-in is to add a WebApplicationInfo element at the end of the VersionOverridesV1_1 VersionOverrides element. For more information, see Configure the add-in.

Abrufen des SSO-TokensGet the SSO token

Das Add-In ruft ein SSO-Token mit einem clientseitigem Skript ab. Weitere Informationen finden Sie unter Hinzufügen von clientseitigem Code.The add-in gets an SSO token with client-side script. For more information, see Add client-side code.

Verwenden des SSO-Tokens im Back-EndUse the SSO token at the back-end

In den meisten Szenarien würde es wenig Sinn machen, einen Zugriffstoken abzurufen, wenn Ihr Add-In ihn nicht serverseitig weitergibt, um ihn dort zu verwenden. Ausführliche Informationen dazu, was Ihre Serverseite tun kann und sollte, finden Sie unter Hinzufügen von serverseitigem Code.In most scenarios, there would be little point to obtaining the access token, if your add-in does not pass it on to a server-side and use it there. For details on what your server-side could and should do, see Add server-side code.

Wichtig

Wenn Sie das SSO-Token als Identität in einem Outlook -Add-In verwenden, sollten Sie als Alternative Identität auch Exchange-Identitätstokens verwenden . Benutzer Ihres Add-Ins können mehrere Clients verwenden, und einige unterstützen möglicherweise nicht die Bereitstellung von SSO-Token. Mithilfe der Exchange-Identitätstokens als Alternative können Sie vermeiden, dass Benutzer mehrmals aufgefordert werden, ihre Anmeldeinformationen einzugeben. Weitere Informationen finden Sie unterSzenario: Implementiern von einmaligem Anmelden auf Ihrem Dienst in einem Outlook-Add-In.When using the SSO token as an identity in an Outlook add-in, we recommend that you also use the Exchange identity token as an alternate identity. Users of your add-in may use multiple clients, and some may not support providing an SSO token. By using the Exchange identity token as an alternate, you can avoid having to prompt these users for credentials multiple times. For more information, seeScenario: Implement single sign-on to your service in an Outlook add-in.

RessourcenResources

Ein Beispiel-Outlook-Add-In, das mit dem SSO-Token auf die Microsoft Graph-API zugreift, finden Sie unter AttachmentsDemo-Beispiel-Add-In.For a sample Outlook add-in that uses the SSO token to access the Microsoft Graph API, see AttachmentsDemo Sample Add-in.