Authentifizierungsoptionen in Outlook-Add-InsAuthentication options in Outlook add-ins

Ihr Outlook-Add-In kann von überall im Internet auf Informationen zugreifen, sei es vom Server, der das Add-In hostet, von Ihrem internen Netzwerk oder von einem anderen Ort in der Cloud. Wenn diese Informationen geschützt sind, benötigt Ihr Add-In eine Möglichkeit, Ihren Benutzer zu authentifizieren. Outlook-Add-Ins bieten eine Reihe von verschiedenen Methoden zur Authentifizierung, abhängig von Ihrem spezifischen Szenario.Your Outlook add-in can access information from anywhere on the Internet, whether from the server that hosts the add-in, from your internal network, or from somewhere else in the cloud. If that information is protected, your add-in needs a way to authenticate your user. Outlook add-ins provide a number of different methods to authenticate, depending on your specific scenario.

Zugriffstoken für einmaliges Anmelden (Single-Sign-On)Single sign-on access token

Single Sign-On-Zugriffstoken bieten Ihrem Add-In eine nahtlose Möglichkeit, Zugriffstoken zum Aufrufen der Microsoft Graph-API zu authentifizieren und abzurufen. Diese Funktion reduziert den Aufwand, da der Benutzer seine Anmeldeinformationen nicht eingeben muss.Single sign-on access tokens provide a seamless way for your add-in to authenticate and obtain access tokens to call the Microsoft Graph API. This capability reduces friction since the user is not required to enter their credentials.

Hinweis

Die Single Sign-On-API ist derzeit in der Vorschau für Word, Excel, Outlook und PowerPoint unterstützt. Weitere Informationen dazu, wo die Single Sign-on-API derzeit unterstützt wird finden Sie unter IdentityAPI Anforderungssätze. Um SSO zu verwenden, müssen Sie die Beta-Version der Office JavaScript Library von https://appsforoffice.microsoft.com/lib/beta/hosted/office.js in die HTML-Startseite des Add-Ins laden. Im Falle eines Outlook-Add-Ins müssen Sie die moderne Authentifizierung für die Office 365-Mandanten aktivieren. Informationen dazu finden Sie unter Exchange Online: Aktivierung des Mandanten für moderne Authentifizierung.The Single Sign-on API is currently supported in preview for Word, Excel, Outlook, and PowerPoint. For more information about where the Single Sign-on API is currently supported, see IdentityAPI requirement sets. To use SSO, you must load the beta version of the Office JavaScript Library from https://appsforoffice.microsoft.com/lib/beta/hosted/office.js in the startup HTML page of the add-in. If you are working with an Outlook add-in, be sure to enable Modern Authentication for the Office 365 tenancy. For information about how to do this, see Exchange Online: How to enable your tenant for modern authentication.

Erwägen Sie die Verwendung von SSO-Zugriffstoken, wenn für Ihr Add-In Folgendes gilt:Consider using SSO access tokens if your add-in:

  • Es wird hauptsächlich von Office 365-Benutzern verwendetIs used primarily by Office 365 users
  • Es benötigt Zugriff auf:Needs access to:
    • Microsoft-Dienste, die im Rahmen von Microsoft Graph bereitgestellt werdenMicrosoft services that are exposed as part of Microsoft Graph
    • Einen Nicht-Microsoft-Dienst, den Sie kontrollierenA non-Microsoft service that you control

Die SSO-Authentifizierungsmethode verwendet den von Azure Active Directory bereitgestellten OAuth2-Im-Auftrag-von-Ablauf. Dieser erfordert, dass sich das Add-In im Anwendungsregistrierungsportal registriert und alle erforderlichen Microsoft Graph-Bereiche im Manifest angibt.The SSO authentication method uses the OAuth2 On-Behalf-Of flow provided by Azure Active Directory. It requires that the add-in register in the Application Registration Portal and specify any required Microsoft Graph scopes in its manifest.

Mit dieser Methode kann Ihr Add-In ein Zugriffstoken abrufen, das auf Ihre Server-Back-End-API ausgelegt ist. Das Add-In verwendet dies als Bearertoken im Authorization-Header, um einen Aufruf zurück an Ihre API zu authentifizieren. An diesem Punkt kann Ihr Server:Using this method, your add-in can obtain an access token scoped to your server back-end API. The add-in uses this as a bearer token in the Authorization header to authenticate a call back to your API. At that point your server can:

  • Den Im-Auftrag-von-Ablauf abschließen, um ein Zugriffstoken zu erhalten, das auf die Microsoft Graph-API ausgelegt istComplete the On-Behalf-Of flow to obtain an access token scoped to the Microsoft Graph API
  • Die Identitätsinformationen im Token verwenden, um die Identität des Benutzers zu ermitteln und bei Ihren eigenen Back-End-Diensten zu authentifizierenUse the identity information in the token to establish the user's identity and authenticate to your own back-end services

Eine detailliertere Übersicht finden Sie unter Vollständige Übersicht über die SSO-Authentifizierungsmethoden.For a more detailed overview, see the full overview of the SSO authentication method.

Informationen zur Verwendung des SSO-Tokens in einem Outlook-Add-In finden Sie unter Authentifizieren eines Benutzers mit einem Single Sign-On-Token in einem Outlook-Add-In.For details on using the SSO token in an Outlook add-in, see Authenticate a user with an single-sign-on token in an Outlook add-in.

Ein Beispiel-Add-In, das das SSO-Token verwendet, finden Sie unter AttachmentsDemo-Beispiel-Add-In.For a sample add-in that uses the SSO token, see AttachmentsDemo Sample Add-in.

Exchange-BenutzeridentitätstokenExchange user identity token

Mithilfe von Exchange-Benutzeridentifikationstoken kann Ihr Add-In die Identität des Benutzers ermitteln. Durch die Überprüfung der Benutzeridentität können Sie dann eine einmalige Authentifizierung in Ihrem Backend-System durchführen und das Benutzeridentifikationstoken als Berechtigung für zukünftige Anfragen akzeptieren. Erwägen Sie die Verwendung von Benutzeridentifikationstoken, wenn für Ihr Add-In folgendes gilt:Exchange user identity tokens provide a way for your add-in to establish the identity of the user. By verifying the user's identity, you can then perform a one-time authentication into your back-end system, then accept the user identity token as an authorization for future requests. Consider using user identity tokens if your add-in:

  • Wird in erster Linie von lokalen Exchange-Benutzern verwendetIs used primarily by Exchange on-premises users
  • Es benötigt Zugriff auf einen Nicht-Microsoft-Dienst, den Sie kontrollierenNeeds access to a non-Microsoft service that you control

Zugriffstoken, die über OAuth2-Abläufe abgerufen wurdenAccess tokens obtained via OAuth2 flows

Add-Ins können auch auf Drittanbieterdienste zugreifen, die für die Autorisierung OAuth2 unterstützen. Erwägen Sie die Verwendung von OAuth2-Token, wenn für Ihr Add-In Folgendes gilt:Add-ins can also access third-party services that support OAuth2 for authorization. Consider using OAuth2 tokens if your add-in:

  • Es benötigt Zugriff auf einen Drittanbieterdienst, über den Sie keine Kontrolle habenNeeds access to a third-party service outside of your control

Mit dieser Methode fordert das Add-In den Benutzer auf, sich bei dem Dienst entweder mithilfe der displayDialogAsync-Methode zum Initialisieren des OAuth2-Flusses oder mithilfe der office-js-helpers-Bibliothek für den impliziten OAuth2-Fluss anzumelden.Using this method, your add-in prompts the user to sign-in to the service either by using the displayDialogAsync method to initialize the OAuth2 flow, or by using the office-js-helpers library to the OAuth2 Implicit flow.

RückruftokenCallback tokens

Rückruftoken ermöglichen den Zugriff auf das Postfach des Benutzers von Ihrem Server-Back-End, entweder mithilfe der Exchange-Webdienste (EWS) oder der Outlook REST-API. Erwägen Sie die Verwendung von Rückruftoken, wenn für Ihr Add-In Folgendes gilt:Callback tokens provide access to the user's mailbox from your server back-end, either using Exchange Web Services (EWS), or the Outlook REST API. Consider using callback tokens if your add-in:

  • Benötigt Zugriff auf das Postfach des Benutzers von Ihrem Server-Back-End aus.Needs access to the user's mailbox from your server back-end.

Add-Ins erhalten Rückruftoken durch die Verwendung von einer der Methoden getCallbackTokenAsync. Die Zugriffsebene wird durch die im Add-In-Manifest angegebenen Berechtigungen gesteuert.Add-ins obtain callback tokens using one of the getCallbackTokenAsync methods. The level of access is controlled by the permissions specified in the add-in manifest.