Partager via


Authentifier un utilisateur avec un jeton d’authentification unique dans un complément Outlook

L’authentification unique (SSO) permet à votre complément d’authentifier les utilisateurs en toute transparence (et éventuellement d’obtenir des jetons d’accès pour appeler l’API Microsoft Graph).

Grâce à cette méthode, votre complément peut obtenir un jeton d’accès inclus dans l’API principale de votre serveur. Le complément l’utilise comme un jeton du porteur dans l’en-tête Authorization pour authentifier un rappel de votre API. Si vous le souhaitez, vous pouvez également avoir votre code côté serveur.

  • renseigner le flux De la part de pour obtenir un jeton d’accès inclus dans l’API Microsoft Graph ;
  • utiliser les informations d’identité dans le jeton pour établir l’identité de l’utilisateur et s’authentifier à vos services principaux.

Pour une vue d’ensemble de l’authentification unique dans les compléments Office, reportez-vous à Activer l’authentification unique pour des compléments Office et Autorisation de l’accès à Microsoft Graph dans votre complément Office.

Activer l’authentification moderne dans votre location Microsoft 365

Pour utiliser l’authentification unique avec un complément Outlook, vous devez activer l’authentification moderne pour la location Microsoft 365. Pour plus d’informations sur la procédure à suivre, voir Activer ou désactiver l’authentification moderne pour Outlook dans Exchange Online.

Inscription de votre complément

Pour utiliser l’authentification unique, votre complément Outlook devra avoir une API web côté serveur enregistrée auprès d’Azure Active Directory (AAD) v2.0. Pour obtenir plus d’informations, reportez-vous à Enregistrer un complément Office qui utilise l’authentification unique auprès du point de terminaison Azure AD v2.0.

Lorsque vous développez un complément, vous devez fournir votre consentement à l’avance. Pour plus d’informations, consultez Consentement administrateur.

Mise à jour du manifeste de complément

L’étape suivante pour activer l’authentification unique dans le complément consiste à ajouter des informations au manifeste à partir de l’inscription de la plateforme d’identités Microsoft du complément. Le balisage varie en fonction du type de manifeste.

  • Manifeste de complément uniquement : ajoutez un WebApplicationInfo élément à la fin de l’élément VersionOverridesV1_1VersionOverrides . Ensuite, ajoutez les éléments enfants requis. Pour plus d’informations sur le balisage, consultez Configurer le complément.

  • Manifeste unifié pour Microsoft 365 : ajoutez une propriété « webApplicationInfo » à l’objet racine { ... } dans le manifeste. Attribuez à cet objet une propriété « id » enfant définie sur l’ID d’application de l’application web du complément tel qu’il a été généré dans le portail Azure lorsque vous avez inscrit le complément. (Consultez la section Inscrire votre complément plus haut dans cet article.) Attribuez-lui également une propriété « ressource » enfant qui est définie sur le même URI d’ID d’application que celui que vous avez défini lors de l’inscription du complément. Cet URI doit avoir la forme api://<fully-qualified-domain-name>/<application-id>. Voici un exemple.

    "webApplicationInfo": {
          "id": "a661fed9-f33d-4e95-b6cf-624a34a2f51d",
          "resource": "api://addin.contoso.com/a661fed9-f33d-4e95-b6cf-624a34a2f51d"
      },
    

Obtention du jeton SSO

Le complément obtient un jeton SSO avec le script côté client. Pour plus d’informations, reportez-vous à Ajouter du code côté client.

Utilisation du jeton SSO dans le back-end

Dans la plupart des scénarios, il n’est pas vraiment utile d’obtenir le jeton d’accès si votre complément ne le transmet pas côté serveur et ne l’utilise pas à cet emplacement. Pour plus d’informations sur ce que votre côté serveur peut et doit faire, reportez-vous à la section Ajouter du code côté serveur.

Importante

Quand vous utilisez le jeton SSO sous forme d’identité dans le complément Outlook, nous vous recommandons d’utiliser le jeton d’identité Exchange comme identité alternative. Les utilisateurs de votre complément peuvent utiliser plusieurs clients, dont certains ne fourniront peut-être pas de jeton SSO. En utilisant le jeton d’identité Exchange comme alternative, vous pouvez éviter d’inviter les utilisateurs à entrer leurs informations d’identification plusieurs fois. Pour plus d’informations, voirScénario : Implémenter l’authentification unique sur votre service dans un complément Outlook.

Authentification unique pour l’activation basée sur les événements ou la création de rapports de courrier indésirable intégré

Des étapes supplémentaires doivent être effectuées si votre complément utilise l’activation basée sur les événements ou la création de rapports de courrier indésirable intégrés (préversion). Pour plus d’informations, consultez Utiliser l’authentification unique (SSO) ou le partage de ressources cross-origin (CORS) dans votre complément Outlook basé sur les événements ou la création de rapports de courrier indésirable.

Voir aussi