Partilhar via

Opções de autenticação em suplementos do Outlook

  • Artigo

O suplemento do Outlook pode acessar informações de qualquer lugar na Internet, seja do servidor que hospeda o suplemento, da sua rede interna ou de outro lugar na nuvem. Se essas informações estiverem protegidas, o suplemento precisará de uma forma de autenticar o usuário. Os suplementos do Outlook oferecem diversos métodos de autenticação, dependendo do cenário específico.

Token de acesso de início de sessão único com o fluxo OBO

Os tokens de acesso de início de sessão único (SSO) proporcionam uma forma totalmente integrada de o seu suplemento do Outlook autenticar e obter tokens de acesso para chamar a Microsoft Graph API. Esse recurso reduz conflitos porque o usuário não precisa inserir credenciais. Pode utilizar o fluxo em nome de com um servidor de camada média ou a autenticação de aplicações aninhadas (descrita na secção seguinte).

Observação

O SSO que utiliza o fluxo OBO é atualmente suportado para o Word, Excel, Outlook e PowerPoint. Para obter mais informações sobre o suporte, veja IdentityAPI requirement sets (Conjuntos de requisitos de IdentityAPI). Se estiver a trabalhar com um suplemento do Outlook, certifique-se de que ativa a autenticação moderna para o inquilino do Microsoft 365. Para obter informações sobre como fazê-lo, consulte Ativar ou desativar a autenticação moderna para o Outlook no Exchange Online.

Considere usar tokens de acesso SSO se o suplemento:

  • For usado principalmente por usuários do Microsoft 365
  • Precisa de acesso para:
    • Os serviços Microsoft que são expostos como parte do Microsoft Graph
    • Um serviço que não seja da Microsoft que você controle

O método de autenticação SSO usa o Fluxo Em Nome De do OAuth2 fornecido pelo Azure Active Directory. Requer que o registo do suplemento no Portal de Registo de Aplicações e especifique os âmbitos necessários do Microsoft Graph no manifesto do suplemento, se o manifesto apenas do suplemento estiver a ser utilizado. Se o suplemento estiver a utilizar o manifesto unificado para o Microsoft 365, existe alguma configuração de manifesto, mas os âmbitos do Microsoft Graph não são especificados. Em vez disso, os âmbitos necessários são especificados no runtime numa chamada para obter um token para o Microsoft Graph.

Usando este método, o suplemento pode obter um token de acesso com escopo para a API de back-end do servidor. O suplemento usa isso como um token de portador no cabeçalho Authorization para autenticar um retorno de chamada para sua API. Nesse ponto, o servidor pode:

  • concluir o fluxo Em Nome De para obter um token de acesso com escopo para a API do Microsoft Graph
  • Usar as informações de identidade no token para estabelecer a identidade do usuário e autenticar seus serviços de back-end

Para obter uma visão geral mais detalhada, confira a visão geral completa do método de autenticação SSO.

Para obter detalhes sobre como usar o token SSO em um suplemento do Outlook, confira Autenticar o usuário com um token de logon único em um suplemento do Outlook.

Para obter um exemplo de suplemento que usa o token de SSO, confira Suplemento de SSO do Outlook.

Token de acesso de início de sessão único com a autenticação de aplicações aninhadas (pré-visualização)

A Autenticação de Aplicações Aninhadas (NAA) ativa o Sign-On Único (SSO) para Suplementos do Office em execução no contexto de aplicações nativas do Office. Em comparação com o fluxo em nome do utilizado com Office.js e getAccessToken(), o NAA proporciona uma maior flexibilidade na arquitetura de aplicações, permitindo a criação de aplicações avançadas e orientadas pelo cliente. O NAA simplifica o processamento do SSO para o seu código de suplemento. O NAA permite-lhe efetuar chamadas do Microsoft Graph a partir do seu código de cliente de suplemento como SPA sem a necessidade de um servidor de camada média. Não é necessário utilizar Office.js APIs, uma vez que o NAA é fornecido pela biblioteca de MSAL.js.

Importante

A autenticação de aplicações aninhadas está atualmente em pré-visualização. Para experimentar esta funcionalidade, adira ao Programa Insider do Microsoft 365. Em seguida, selecione Canal Atual (Pré-visualização) a partir de uma aplicação suportada do Microsoft 365. Não utilize NAA em suplementos de produção. Convidamo-lo a experimentar o NAA em ambientes de teste ou de desenvolvimento e a receber feedback sobre a sua experiência através do GitHub (consulte a secção Feedback no final desta página).

Para ativar o seu suplemento do Outlook para utilizar NAA, consulte Ativar o SSO num Suplemento do Office através da autenticação de aplicações aninhadas (pré-visualização). O NAA funciona da mesma forma em todos os Suplementos do Office.

Token de identidade do usuário do Exchange

Importante

Os tokens legados do Exchange foram preteridos. A partir de outubro de 2024, a identidade de utilizador e os tokens de chamada de retorno legados do Exchange começarão a ser desativados para os inquilinos do Exchange Online. Para obter a linha cronológica e os detalhes, veja a nossa página de FAQ. Isto faz parte da Iniciativa Secure Future da Microsoft, que fornece às organizações as ferramentas necessárias para responder ao cenário de ameaças atual. Os tokens de identidade de utilizador do Exchange continuarão a funcionar para o Exchange no local. A autenticação de aplicações aninhadas é a abordagem recomendada para tokens em curso.

Os tokens de identidade do usuário do Exchange fornecem uma maneira de o suplemento estabelecer a identidade do usuário. Ao verificar a identidade do usuário, em seguida, você pode executar uma única autenticação no seu sistema de back-end e aceitar o token de identidade de usuário como uma autorização solicitações futuras. Use o token de identidade do usuário do Exchange:

  • Quando o suplemento for usado principalmente por usuários locais do Exchange.
  • Quando o suplemento precisar acessar um serviço que não seja da Microsoft que você controle.
  • Como uma autenticação de recurso quando o suplemento está sendo executado em uma versão do Office que não suporta SSO.

Seu suplemento pode chamar getUserIdentityTokenAsync para obter tokens de identidade do usuário do Exchange. Para obter detalhes sobre o uso desses tokens, confira Autenticar um usuário com um token de identidade para o Exchange.

Tokens de acesso obtidos por meio de fluxos do OAuth2

Os suplementos também podem acessar serviços da Microsoft e de outros que oferecem suporte ao OAuth2 para autorização. Considere usar tokens OAuth2 se o suplemento:

  • Precisa de acesso a um serviço fora do seu controle.

Usando esse método, seu suplemento solicita que o usuário entre no serviço usando o método displayDialogAsync para inicializar o fluxo OAuth2.

Tokens de retorno de chamada

Importante

Os tokens legados do Exchange foram preteridos. A partir de outubro de 2024, a identidade de utilizador e os tokens de chamada de retorno legados do Exchange começarão a ser desativados para os inquilinos do Exchange Online. Para obter a linha cronológica e os detalhes, veja a nossa página de FAQ. Isto faz parte da Iniciativa Secure Future da Microsoft, que fornece às organizações as ferramentas necessárias para responder ao cenário de ameaças atual. Os tokens de identidade de utilizador do Exchange continuarão a funcionar para o Exchange no local. A autenticação de aplicações aninhadas é a abordagem recomendada para tokens em curso.

Os tokens de retorno de chamada fornecem acesso à caixa de correio do usuário a partir do back-end do servidor usando o Exchange Web Services (EWS) ou a API REST do Outlook. Considere usar tokens de retorno de chamada se o suplemento:

  • Precisar acessar a caixa de correio do usuário a partir do back-end do servidor.

Os suplementos obtêm tokens de retorno de chamada usando um dos métodos getCallbackTokenAsync. O nível de acesso é controlado pelas permissões especificadas no manifesto do suplemento.