Authentifizierungsoptionen in Outlook-Add-InsAuthentication options in Outlook add-ins

Ihr Outlook-Add-In kann auf Informationen von beliebigen Stellen im Internet zugreifen, sei es vom Server, der das Add-In hostet, vom internen Netzwerk aus oder von einer anderen Stelle in der Cloud aus.Your Outlook add-in can access information from anywhere on the internet, whether from the server that hosts the add-in, from your internal network, or from somewhere else in the cloud. Wenn diese Informationen geschützt sind, muss das Add-In Ihren Benutzer authentifizieren.If that information is protected, your add-in needs a way to authenticate your user. Outlook-Add-Ins bieten je nach Ihrem speziellen Szenario eine Reihe unterschiedlicher Methoden zum AuthentifizierenOutlook add-ins provide a number of different methods to authenticate, depending on your specific scenario.

Zugriffstoken für einmaliges AnmeldenSingle sign-on access token

Single Sign-On-Zugriffstoken bieten Ihrem Add-In eine nahtlose Möglichkeit, Zugriffstoken zum Aufrufen der Microsoft Graph-API zu authentifizieren und abzurufen.Single sign-on access tokens provide a seamless way for your add-in to authenticate and obtain access tokens to call the Microsoft Graph API. Durch diese Funktion werden Reibungspunkte reduziert, da der Benutzer keine Anmeldeinformationen eingeben muss.This capability reduces friction since the user is not required to enter their credentials. Erwägen Sie die Verwendung von SSO-Zugriffstoken, wenn für Ihr Add-In Folgendes gilt:Consider using SSO access tokens if your add-in:

  • Es wird hauptsächlich von Office 365-Benutzern verwendetIs used primarily by Office 365 users
  • Es benötigt Zugriff auf:Needs access to:
    • Microsoft-Dienste, die im Rahmen von Microsoft Graph bereitgestellt werdenMicrosoft services that are exposed as part of the Microsoft Graph
    • Ein Nicht-Microsoft-Dienst, den Sie steuernA non-Microsoft service that you control

Die SSO-Authentifizierungsmethode verwendet den von Azure Active Directory bereitgestellten OAuth2-Im-Auftrag-von-Ablauf.The SSO authentication method uses the OAuth2 On-Behalf-Of flow provided by Azure Active Directory. Sie erfordert, dass sich das Add-In im Anwendungsregistrierungsportal registriert und alle erforderlichen Microsoft Graph-Bereiche im Manifest angibt.It requires that the add-in register in the Application Registration Portal and specify any required Microsoft Graph scopes in its manifest.

Mit dieser Methode kann Ihr Add-In ein Zugriffstoken abrufen, das auf Ihre Server-Back-End-API ausgelegt ist.Using this method, your add-in can obtain an access token scoped to your server back-end API. Das Add-In verwendet dieses als Bearertoken in der Authorization-Kopfzeile, um einen Aufruf wieder bei Ihrer API zu authentifizieren.The add-in uses this as a bearer token in the Authorization header to authenticate a call back to your API. An diesem Punkt kann Ihr Server Folgendes:At that point your server can:

  • Den Im-Auftrag-von-Ablauf abschließen, um ein Zugriffstoken zu erhalten, das auf die Microsoft Graph-API ausgelegt istComplete the On-Behalf-Of flow to obtain an access token scoped to the Microsoft Graph API
  • Die Identitätsinformationen im Token verwenden, um die Identität des Benutzers zu ermitteln und bei Ihren eigenen Back-End-Diensten zu authentifizierenUse the identity information in the token to establish the user's identity and authenticate to your own back-end services

Eine detailliertere Übersicht finden Sie unter Vollständige Übersicht über die SSO-Authentifizierungsmethode.For a more detailed overview, see the full overview of the SSO authentication method.

Informationen zur Verwendung des SSO-Tokens in einem Outlook-Add-In finden Sie unter Authentifizieren eines Benutzers mit einem Single Sign-On-Token in einem Outlook-Add-In.For details on using the SSO token in an Outlook add-in, see Authenticate a user with an single-sign-on token in an Outlook add-in.

Ein Beispiel-Add-In, das das SSO-Token verwendet, finden Sie unter AttachmentsDemo-Beispiel-Add-In.For a sample add-in that uses the SSO token, see AttachmentsDemo Sample Add-in.

Exchange-BenutzeridentitätstokenExchange user identity token

Mithilfe von Exchange-Benutzeridentitätstoken kann Ihr Add-In die Identität des Benutzers ermitteln.Exchange user identity tokens provide a way for your add-in to establish the identity of the user. Indem Sie die Identität des Benutzers überprüfen, können Sie dann eine einmalige Authentifizierung in Ihr Back-End-System durchführen und dann das Benutzeridentitätstoken als Autorisierung für weitere Anforderungen akzeptieren.By verifying the user's identity, you can then perform a one-time authentication into your back-end system, then accept the user identity token as an authorization for future requests. Erwägen Sie die Verwendung von Benutzeridentitätstoken, wenn für Ihr Add-In Folgendes gilt:Consider using user identity tokens if your add-in:

  • Es wird in erster Linie von lokalen Exchange-Benutzern verwendetIs used primarily by Exchange on-premises users
  • Es benötigt Zugriff auf einen Nicht-Microsoft-Dienst, den Sie steuernNeeds access to a non-Microsoft service that you control

Zugriffstoken, die über OAuth2-Flüsse abgerufen wurdenAccess tokens obtained via OAuth2 flows

Add-Ins können auch auf Drittanbieterdienste zugreifen, die für die Autorisierung OAuth2 unterstützen.Add-ins can also access third-party services that support OAuth2 for authorization. Erwägen Sie die Verwendung von OAuth2-Token, wenn für Ihr Add-In Folgendes gilt:Consider using OAuth2 tokens if your add-in:

  • Es benötigt Zugriff auf einen Drittanbieterdienst, über den Sie keine Kontrolle habenNeeds access to a third-party service outside of your control

Mit dieser Methode fordert das Add-In den Benutzer auf, sich bei dem Dienst entweder mithilfe der displayDialogAsync-Methode zum Initialisieren des OAuth2-Flusses oder mithilfe der office-js-helpers-Bibliothek für den impliziten OAuth2-Fluss anzumelden.Using this method, your add-in prompts the user to sign-in to the service either by using the displayDialogAsync method to initialize the OAuth2 flow, or by using the office-js-helpers library to the OAuth2 Implicit flow.

RückruftokenCallback tokens

Rückruftoken ermöglichen den Zugriff auf das Postfach des Benutzers von Ihrem Server-Back-End, entweder mithilfe der Exchange-Webdienste (EWS) oder der Outlook REST-API.Callback tokens provide access to the user's mailbox from your server back-end, either using Exchange Web Services (EWS), or the Outlook REST API. Erwägen Sie die Verwendung von Rückruftoken, wenn für Ihr Add-In Folgendes gilt:Consider using callback tokens if your add-in:

  • Benötigt Zugriff auf das Postfach des Benutzers von Ihrem Server-Back-End aus.Needs access to the user's mailbox from your server back-end.

Add-Ins rufen Rückruftoken mithilfe der getCallbackTokenAsync-Methode ab.Add-ins obtain callback tokens using the getCallbackTokenAsync method. Die Zugriffsebene wird durch die im Add-in-Manifest angegebenen Berechtigungen gesteuert.The level of access is controlled by the permissions specified in the add-in manifest.