Partilhar via


Utilizar o início de sessão único (SSO) ou a partilha de recursos de várias origens (CORS) no suplemento do Outlook baseado em eventos ou em relatórios de spam

Quando um suplemento do Outlook implementa a ativação baseada em eventos ou relatórios de spam integrados, os eventos são executados num runtime separado. Para configurar o início de sessão único (SSO) ou pedir dados externos através da partilha de recursos de várias origens (CORS) nestes suplementos, tem de configurar um URI conhecido. Através deste recurso, o Office poderá identificar os suplementos, incluindo os respetivos ficheiros JavaScript, que suportam pedidos SSO ou CORS.

Observação

Os passos neste artigo aplicam-se apenas aos suplementos do Outlook que são executados no Outlook clássico no Windows. Isto acontece porque o Outlook no Windows clássico utiliza um ficheiro JavaScript, enquanto o Outlook no Mac, na Web e o novo Outlook no Windows utilizam um ficheiro HTML que referencia o mesmo ficheiro JavaScript. Para saber mais, veja Configurar o suplemento do Outlook para ativação baseada em eventos e Implementar um suplemento integrado de relatórios de spam.

Listar suplementos permitidos num URI conhecido

Para listar os suplementos que têm permissão para trabalhar com SSO ou CORS, crie um ficheiro JSON que identifique cada ficheiro JavaScript para cada suplemento. Em seguida, aloje esse ficheiro JSON num URI conhecido. Um URI conhecido permite a especificação de todos os ficheiros JS alojados que estão autorizados a obter tokens para a origem Web atual. Isto garante que o proprietário da origem tem controlo total sobre os ficheiros JavaScript alojados que devem ser utilizados num suplemento e quais não são, evitando quaisquer vulnerabilidades de segurança em torno da representação, por exemplo.

O exemplo seguinte mostra como configurar o SSO ou CORS para dois suplementos (uma versão principal e uma versão beta). Pode listar o número de suplementos necessários, consoante o número que fornecer a partir do servidor Web.

{
    "allowed":
    [
        "https://addin.contoso.com:8000/main/js/autorun.js",
        "https://addin.contoso.com:8000/beta/js/autorun.js"
    ]
}

Aloje o ficheiro JSON numa localização com o nome .well-known no URI na raiz da origem. Por exemplo, se a origem for https://addin.contoso.com:8000/, o URI conhecido é https://addin.contoso.com:8000/.well-known/microsoft-officeaddins-allowed.json. Para esclarecimentos, este ficheiro deve ser alojado no seu Suplemento Web do Office e não no servidor Web ao qual está a tentar fazer um pedido CORS. Veja o exemplo outlook-Add-in-SSO-events para obter um exemplo com a localização recomendada.

A origem refere-se a um padrão de esquema + subdomínio + domínio + porta. O nome da localização tem de ser .well-knowne o nome do ficheiro de recurso tem de ser microsoft-officeaddins-allowed.json. Este ficheiro tem de conter um objeto JSON com um atributo denominado allowed cujo valor é uma matriz de todos os ficheiros JavaScript autorizados para SSO para os respetivos suplementos.

Depois de configurar o URI conhecido, se o suplemento implementar o SSO, pode chamar a API getAccessToken() para obter um token de acesso com a identidade do utilizador.

Importante

Enquanto OfficeRuntime.auth.getAccessToken e Office.auth.getAccessToken executa a mesma funcionalidade de obtenção de um token de acesso, recomendamos chamar OfficeRuntime.auth.getAccessToken no seu suplemento de relatório de spam (pré-visualização) baseado em eventos. Esta API é suportada em todas as versões de cliente do Outlook que suportam ativação baseada em eventos, relatórios de spam integrados e SSO. Por outro lado, Office.auth.getAccessToken só é suportado no Outlook clássico no Windows a partir da Versão 2111 (Compilação 14701.20000).

Confira também