Authentifizierungsoptionen in Outlook-Add-Ins

Ihr Outlook-Add-In kann auf Informationen von beliebigen Stellen im Internet zugreifen, sei es vom Server, der das Add-In hostet, vom internen Netzwerk aus oder von einer anderen Stelle in der Cloud aus. Wenn diese Informationen geschützt sind, muss das Add-In Ihren Benutzer authentifizieren. Outlook-Add-Ins bieten je nach Ihrem speziellen Szenario eine Reihe unterschiedlicher Methoden zum Authentifizieren

Zugriffstoken für einmaliges Anmelden

Single Sign-On-Zugriffstoken bieten Ihrem Add-In eine nahtlose Möglichkeit, Zugriffstoken zum Aufrufen der Microsoft Graph-API zu authentifizieren und abzurufen. Durch diese Funktion werden Reibungspunkte reduziert, da der Benutzer keine Anmeldeinformationen eingeben muss. Erwägen Sie die Verwendung von SSO-Zugriffstoken, wenn für Ihr Add-In Folgendes gilt:

  • Es wird hauptsächlich von Office 365-Benutzern verwendet
  • Es benötigt Zugriff auf:
    • Microsoft-Dienste, die im Rahmen von Microsoft Graph bereitgestellt werden
    • Ein Nicht-Microsoft-Dienst, den Sie steuern

Die SSO-Authentifizierungsmethode verwendet den von Azure Active Directory bereitgestellten OAuth2-Im-Auftrag-von-Ablauf. Sie erfordert, dass sich das Add-In im Anwendungsregistrierungsportal registriert und alle erforderlichen Microsoft Graph-Bereiche im Manifest angibt.

Mit dieser Methode kann Ihr Add-In ein Zugriffstoken abrufen, das auf Ihre Server-Back-End-API ausgelegt ist. Das Add-In verwendet dieses als Bearertoken in der Authorization-Kopfzeile, um einen Aufruf wieder bei Ihrer API zu authentifizieren. An diesem Punkt kann Ihr Server Folgendes:

  • Den Im-Auftrag-von-Ablauf abschließen, um ein Zugriffstoken zu erhalten, das auf die Microsoft Graph-API ausgelegt ist
  • Die Identitätsinformationen im Token verwenden, um die Identität des Benutzers zu ermitteln und bei Ihren eigenen Back-End-Diensten zu authentifizieren

Eine detailliertere Übersicht finden Sie unter Vollständige Übersicht über die SSO-Authentifizierungsmethode.

Informationen zur Verwendung des SSO-Tokens in einem Outlook-Add-In finden Sie unter Authentifizieren eines Benutzers mit einem Single Sign-On-Token in einem Outlook-Add-In.

Ein Beispiel-Add-In, das das SSO-Token verwendet, finden Sie unter AttachmentsDemo-Beispiel-Add-In.

Exchange-Benutzeridentitätstoken

Mithilfe von Exchange-Benutzeridentitätstoken kann Ihr Add-In die Identität des Benutzers ermitteln. Indem Sie die Identität des Benutzers überprüfen, können Sie dann eine einmalige Authentifizierung in Ihr Back-End-System durchführen und dann das Benutzeridentitätstoken als Autorisierung für weitere Anforderungen akzeptieren. Erwägen Sie die Verwendung von Benutzeridentitätstoken, wenn für Ihr Add-In Folgendes gilt:

  • Es wird in erster Linie von lokalen Exchange-Benutzern verwendet
  • Es benötigt Zugriff auf einen Nicht-Microsoft-Dienst, den Sie steuern

Zugriffstoken, die über OAuth2-Flüsse abgerufen wurden

Add-Ins können auch auf Drittanbieterdienste zugreifen, die für die Autorisierung OAuth2 unterstützen. Erwägen Sie die Verwendung von OAuth2-Token, wenn für Ihr Add-In Folgendes gilt:

  • Es benötigt Zugriff auf einen Drittanbieterdienst, über den Sie keine Kontrolle haben

Mit dieser Methode fordert das Add-In den Benutzer auf, sich bei dem Dienst entweder mithilfe der displayDialogAsync-Methode zum Initialisieren des OAuth2-Flusses oder mithilfe der office-js-helpers-Bibliothek für den impliziten OAuth2-Fluss anzumelden.

Rückruftoken

Rückruftoken ermöglichen den Zugriff auf das Postfach des Benutzers von Ihrem Server-Back-End, entweder mithilfe der Exchange-Webdienste (EWS) oder der Outlook REST-API. Erwägen Sie die Verwendung von Rückruftoken, wenn für Ihr Add-In Folgendes gilt:

  • Benötigt Zugriff auf das Postfach des Benutzers von Ihrem Server-Back-End aus.

Add-Ins rufen Rückruftoken mithilfe der getCallbackTokenAsync-Methode ab. Die Zugriffsebene wird durch die im Add-in-Manifest angegebenen Berechtigungen gesteuert.