Authentifizieren eines Benutzers mit einem Single Sign-On-Token in einem Outlook-Add-In (Vorschau)Authenticate a user with an single-sign-on token in an Outlook add-in (preview)

Single Sign-On bietet Ihrem Add-In eine nahtlose Möglichkeit, Benutzer zu authentifizieren (und optional Zugriffstoken zum Aufrufen der Microsoft Graph-API abzurufen).Single sign-on (SSO) provides a seamless way for your add-in to authenticate users (and optionally to obtain access tokens to call the Microsoft Graph API).

Mit dieser Methode kann Ihr Add-In ein Zugriffstoken abrufen, das auf Ihre Server-Back-End-API ausgelegt ist.Using this method, your add-in can obtain an access token scoped to your server back-end API. Das Add-In verwendet dieses als Bearertoken in der Authorization-Kopfzeile, um einen Aufruf wieder bei Ihrer API zu authentifizieren.The add-in uses this as a bearer token in the Authorization header to authenticate a call back to your API. Optional können Sie auch dafür sorgen, dass Ihr serverseitiger Code Folgendes ausführt:Optionally, you can also have your server-side code:

  • Den Im-Auftrag-von-Ablauf abschließen, um ein Zugriffstoken zu erhalten, das auf die Microsoft Graph-API ausgelegt istComplete the On-Behalf-Of flow to obtain an access token scoped to the Microsoft Graph API
  • Die Identitätsinformationen im Token verwenden, um die Identität des Benutzers zu ermitteln und bei Ihren eigenen Back-End-Diensten zu authentifizierenUse the identity information in the token to establish the user's identity and authenticate to your own back-end services

Eine Übersicht über SSO in Office-Add-Ins finden Sie unter Aktivieren des Single Sign-On für Office-Add-Ins und Autorisieren von Microsoft Graph in Ihrem Office-Add-In.For an overview of SSO in Office add-ins, see Enable single sign-on for Office Add-ins and Authorize to Microsoft Graph in your Office Add-in.

Aktivieren der modernen Authentifizierung in Ihrem Office 365-MandantenEnabling modern authentication in your Office 365 tenancy

Um SSO in einem Outlook-Add-In zu verwenden, müssen Sie die moderne Authentifizierung für die Office 365-Mandantschaft aktivieren.To use SSO with an Outlook add-in, you must enable Modern Authentication for the Office 365 tenancy. Informationen hierzu finden Sie unter Exchange Online: Aktivieren des Mandanten für die moderne Authentifizierung.For information about how to do this, see Exchange Online: How to enable your tenant for modern authentication.

Registrieren Ihres Add-InsRegistering your add-in

Zur Verwendung von SSO benötigt Ihr Outlook-Add-In eine serverseitige Web-API, die bei Azure Active Directory (AAD) v2.0 registriert ist.To use SSO, your Outlook add-in will need to have a server-side web API that is registered with Azure Active Directory (AAD) v2.0. Details finden Sie unter Registrieren eines Office-Add-Ins, das SSO mit dem Azure AD v2.0-Endpunkt verwendet.Details are at: Register an Office Add-in that uses SSO with the Azure AD v2.0 endpoint.

Wenn ein Add-In, das SSO verwendet, aus dem Office Store erworben wird, wird der Benutzer auf der Store-Benutzeroberfläche aufgefordert, den angeforderten Graph-Berechtigungen zuzustimmen.When an add-in that uses SSO is acquired from the Office Store, the store UI handles prompting the user for consent to the requested Graph permissions. Wenn Sie jedoch ein Add-In entwickeln, müssen Sie vorab zustimmen.However, when you are developing an add-in, you have to provide consent in advance. Details finden Sie unter Dem Administrator Zustimmung für das Add-In erteilen.Details are at: Grant administrator consent to the add-in

Aktualisieren des Add-In-ManifestsUpdating the add-in manifest

Der nächste Schritt zum Aktivieren von SSO im Add-In besteht darin, ein WebApplicationInfo-Element am Ende des VersionOverridesV1_1VersionOverrides-Elements einzufügen.The next step to enable SSO in the add-in is to add a WebApplicationInfo element at the end of the VersionOverridesV1_1 VersionOverrides element. Weitere Informationen hierzu finden Sie unter Konfigurieren des Add-Ins.For more details, see Configure the add-in.

Abrufen des SSO-TokensGetting the SSO token

Das Add-In ruft ein SSO-Token mit clientseitigem Skript ab.The add-in gets an SSO token with client-side script. Weitere Informationen finden Sie unter Hinzufügen des clientseitigen Codes.For more information, see Add client-side code.

Verwenden des SSO-Tokens im Back-EndUsing the SSO token at the back-end

In den meisten Szenarien würde es wenig Sinn machen, das Zugriffstoken abzurufen, wenn das Add-In dieses nicht an eine Serverseite übergibt und es dort verwendet.In most scenarios, there would be little point to obtaining the access token, if your add-in does not pass it on to a server-side and use it there. Informationen dazu, was die Serverseite ausführen kann und sollte, finden Sie unter Hinzufügen des serverseitigen Codes.For details on what your server-side could and should do, see Add server-side code.

Wichtig

Wenn Sie das SSO-Token als Identität in einem Outlook-Add-In verwenden, sollten Sie auch das Exchange-Identitätstoken als eine andere Identität verwenden.When using the SSO token as an identity in an Outlook add-in, we recommend that you also use the Exchange identity token as an alternate identity. Benutzer Ihres Add-Ins verwenden möglicherweise mehrere Clients, von denen einige möglicherweise keine SSO-Token unterstützen.Users of your add-in may use multiple clients, and some may not support providing an SSO token. Wenn Sie das Exchange-Identitätstoken als eine Alternative verwenden, müssen diese Benutzer nicht mehrmals zur Eingabe von Anmeldeinformationen aufgefordert werden.By using the Exchange identity token as an alternate, you can avoid having to prompt these users for credentials multiple times. Weitere Informationen finden Sie unter Szenario: Implementieren von Single Sign-On bei Ihrem Dienst in einem Outlook-Add-In.For more details, see Scenario: Implement single sign-on to your service in an Outlook add-in.

RessourcenResources

Ein Beispiel-Outlook-Add-In, das mit dem SSO-Token auf die Microsoft Graph-API zugreift, finden Sie unter AttachmentsDemo-Beispiel-Add-In.For a sample Outlook add-in that uses the SSO token to access the Microsoft Graph API, see AttachmentsDemo Sample Add-in.