Compartir a través de


Use el inicio de sesión único (SSO) o el uso compartido de recursos entre orígenes (CORS) en el complemento de Outlook de informes de correo no deseado o basado en eventos.

Cuando un complemento de Outlook implementa la activación basada en eventos o informes de correo no deseado integrados, los eventos se ejecutan en un entorno de ejecución independiente. Para configurar el inicio de sesión único (SSO) o solicitar datos externos mediante el uso compartido de recursos entre orígenes (CORS) en estos complementos, debe configurar un URI conocido. A través de este recurso, Office podrá identificar los complementos, incluidos sus archivos JavaScript, que admiten solicitudes de SSO o CORS.

Nota:

Los pasos de este artículo solo se aplican a los complementos de Outlook que se ejecutan en Outlook clásico en Windows. Esto se debe a que Outlook clásico en Windows usa un archivo JavaScript, mientras que Outlook en Mac, en la web y outlook nuevo en Windows usan un archivo HTML que hace referencia al mismo archivo JavaScript. Para obtener más información, vea Configurar el complemento de Outlook para la activación basada en eventos e Implementar un complemento integrado de informes de correo no deseado.

Enumeración de complementos permitidos en un URI conocido

Para enumerar qué complementos pueden trabajar con SSO o CORS, cree un archivo JSON que identifique cada archivo JavaScript para cada complemento. A continuación, hospede ese archivo JSON en un URI conocido. Un URI conocido permite la especificación de todos los archivos JS hospedados que están autorizados para obtener tokens para el origen web actual. Esto garantiza que el propietario del origen tenga control total sobre qué archivos JavaScript hospedados están diseñados para usarse en un complemento y cuáles no, lo que evita, por ejemplo, cualquier vulnerabilidad de seguridad en torno a la suplantación.

En el ejemplo siguiente se muestra cómo configurar SSO o CORS para dos complementos (una versión principal y una versión beta). Puede enumerar tantos complementos como sea necesario en función de cuántos proporcione desde el servidor web.

{
    "allowed":
    [
        "https://addin.contoso.com:8000/main/js/autorun.js",
        "https://addin.contoso.com:8000/beta/js/autorun.js"
    ]
}

Hospede el archivo JSON en una ubicación denominada .well-known en el URI en la raíz del origen. Por ejemplo, si el origen es https://addin.contoso.com:8000/, el URI conocido es https://addin.contoso.com:8000/.well-known/microsoft-officeaddins-allowed.json. Para aclaración, este archivo se hospedará en el complemento web de Office, no en el servidor web al que intenta realizar una solicitud CORS. Consulte el ejemplo Outlook-Add-in-SSO-events para obtener un ejemplo con la ubicación recomendada.

El origen hace referencia a un patrón de esquema + subdominio + dominio + puerto. El nombre de la ubicación debe ser .well-knowny el nombre del archivo de recursos debe ser microsoft-officeaddins-allowed.json. Este archivo debe contener un objeto JSON con un atributo denominado allowed cuyo valor es una matriz de todos los archivos JavaScript autorizados para sso para sus respectivos complementos.

Después de configurar el URI conocido, si el complemento implementa el inicio de sesión único, puede llamar a la API getAccessToken() para obtener un token de acceso con la identidad del usuario.

Importante

Aunque OfficeRuntime.auth.getAccessToken y Office.auth.getAccessToken realizan la misma funcionalidad de recuperación de un token de acceso, se recomienda llamar a OfficeRuntime.auth.getAccessToken en el complemento de informes de correo no deseado (versión preliminar) o basado en eventos. Esta API se admite en todas las versiones de cliente de Outlook que admiten la activación basada en eventos, los informes de correo no deseado integrados y el inicio de sesión único. Por otro lado, Office.auth.getAccessToken solo se admite en Outlook clásico en Windows a partir de la versión 2111 (compilación 14701.20000).

Vea también