Opções de autenticação em suplementos do Outlook
O suplemento do Outlook pode acessar informações de qualquer lugar na Internet, seja do servidor que hospeda o suplemento, da sua rede interna ou de outro lugar na nuvem. Se essas informações estiverem protegidas, o suplemento precisará de uma forma de autenticar o usuário. Os suplementos do Outlook oferecem diversos métodos de autenticação, dependendo do cenário específico.
Token de acesso de início de sessão único com o fluxo OBO
Os tokens de acesso de início de sessão único (SSO) proporcionam uma forma totalmente integrada de o seu suplemento do Outlook autenticar e obter tokens de acesso para chamar o Microsoft API do Graph. Esse recurso reduz conflitos porque o usuário não precisa inserir credenciais. Pode utilizar o fluxo em nome de com um servidor de camada média ou a autenticação de aplicações aninhadas (descrita na secção seguinte).
Observação
O SSO com o fluxo OBO é atualmente suportado para Word, Excel, Outlook e PowerPoint. Para obter mais informações sobre o suporte, veja IdentityAPI requirement sets (Conjuntos de requisitos de IdentityAPI). Se estiver a trabalhar com um suplemento do Outlook, certifique-se de que ativa a autenticação moderna para o inquilino do Microsoft 365. Para obter informações sobre como fazê-lo, consulte Ativar ou desativar a autenticação moderna para o Outlook no Exchange Online.
Considere usar tokens de acesso SSO se o suplemento:
- For usado principalmente por usuários do Microsoft 365
- Precisa de acesso para:
- Os serviços Microsoft que são expostos como parte do Microsoft Graph
- Um serviço que não seja da Microsoft que você controle
O método de autenticação SSO usa o Fluxo Em Nome De do OAuth2 fornecido pelo Azure Active Directory. Requer que o registo do suplemento no Portal de Registo de Aplicações e especifique os âmbitos necessários do Microsoft Graph no manifesto do suplemento, se o manifesto apenas do suplemento estiver a ser utilizado. Se o suplemento estiver a utilizar o manifesto unificado para o Microsoft 365, existe alguma configuração de manifesto, mas os âmbitos do Microsoft Graph não são especificados. Em vez disso, os âmbitos necessários são especificados no runtime numa chamada para obter um token para o Microsoft Graph.
Usando este método, o suplemento pode obter um token de acesso com escopo para a API de back-end do servidor. O suplemento usa isso como um token de portador no cabeçalho Authorization
para autenticar um retorno de chamada para sua API. Nesse ponto, o servidor pode:
- concluir o fluxo Em Nome De para obter um token de acesso com escopo para a API do Microsoft Graph
- Usar as informações de identidade no token para estabelecer a identidade do usuário e autenticar seus serviços de back-end
Para obter uma visão geral mais detalhada, confira a visão geral completa do método de autenticação SSO.
Para obter detalhes sobre como usar o token SSO em um suplemento do Outlook, confira Autenticar o usuário com um token de logon único em um suplemento do Outlook.
Para obter um exemplo de suplemento que usa o token de SSO, confira Suplemento de SSO do Outlook.
Token de acesso de início de sessão único com a autenticação de aplicações aninhadas
A Autenticação de Aplicações Aninhadas (NAA) ativa o Sign-On Único (SSO) para Suplementos do Office em execução no contexto de aplicações nativas do Office. Em comparação com o fluxo em nome do utilizado com Office.js e getAccessToken()
, o NAA proporciona uma maior flexibilidade na arquitetura de aplicações, permitindo a criação de aplicações avançadas e orientadas pelo cliente. O NAA simplifica o processamento do SSO para o seu código de suplemento. O NAA permite-lhe efetuar chamadas do Microsoft Graph a partir do seu código de cliente de suplemento como SPA sem a necessidade de um servidor de camada média. Não é necessário utilizar Office.js APIs, uma vez que o NAA é fornecido pela biblioteca de MSAL.js.
Para ativar o seu suplemento do Outlook para utilizar NAA, consulte Ativar o SSO num Suplemento do Office através da autenticação de aplicações aninhadas (pré-visualização). O NAA funciona da mesma forma em todos os Suplementos do Office.
Token de identidade do usuário do Exchange
Importante
Os tokens legados do Exchange foram preteridos. A partir de fevereiro de 2025, vamos começar a desativar a identidade de utilizador e os tokens de chamada de retorno legados do Exchange para Exchange Online inquilinos. Para obter os detalhes e linha do tempo, consulte a nossa página de FAQ. Isto faz parte da Iniciativa Secure Future da Microsoft, que fornece às organizações as ferramentas necessárias para responder ao cenário de ameaças atual. Os tokens de identidade de utilizador do Exchange continuarão a funcionar para o Exchange no local. A autenticação de aplicações aninhadas é a abordagem recomendada para tokens em curso.
Os tokens de identidade do usuário do Exchange fornecem uma maneira de o suplemento estabelecer a identidade do usuário. Ao verificar a identidade do usuário, em seguida, você pode executar uma única autenticação no seu sistema de back-end e aceitar o token de identidade de usuário como uma autorização solicitações futuras. Use o token de identidade do usuário do Exchange:
- Quando o suplemento for usado principalmente por usuários locais do Exchange.
- Quando o suplemento precisar acessar um serviço que não seja da Microsoft que você controle.
- Como uma autenticação de recurso quando o suplemento está sendo executado em uma versão do Office que não suporta SSO.
Seu suplemento pode chamar getUserIdentityTokenAsync para obter tokens de identidade do usuário do Exchange. Para obter detalhes sobre o uso desses tokens, confira Autenticar um usuário com um token de identidade para o Exchange.
Tokens de acesso obtidos por meio de fluxos do OAuth2
Os suplementos também podem acessar serviços da Microsoft e de outros que oferecem suporte ao OAuth2 para autorização. Considere usar tokens OAuth2 se o suplemento:
- Precisa de acesso a um serviço fora do seu controle.
Usando esse método, seu suplemento solicita que o usuário entre no serviço usando o método displayDialogAsync para inicializar o fluxo OAuth2.
Tokens de retorno de chamada
Importante
Os tokens legados do Exchange foram preteridos. A partir de fevereiro de 2025, vamos começar a desativar a identidade de utilizador e os tokens de chamada de retorno legados do Exchange para Exchange Online inquilinos. Para obter os detalhes e linha do tempo, consulte a nossa página de FAQ. Isto faz parte da Iniciativa Secure Future da Microsoft, que fornece às organizações as ferramentas necessárias para responder ao cenário de ameaças atual. Os tokens de identidade de utilizador do Exchange continuarão a funcionar para o Exchange no local. A autenticação de aplicações aninhadas é a abordagem recomendada para tokens em curso.
Os tokens de retorno de chamada fornecem acesso à caixa de correio do usuário a partir do back-end do servidor usando o Exchange Web Services (EWS) ou a API REST do Outlook. Considere usar tokens de retorno de chamada se o suplemento:
- Precisar acessar a caixa de correio do usuário a partir do back-end do servidor.
Os suplementos obtêm tokens de retorno de chamada usando um dos métodos getCallbackTokenAsync. O nível de acesso é controlado pelas permissões especificadas no manifesto do suplemento.