Autenticar um utilizador com um token de início de sessão único num suplemento do Outlook

O SSO (logon único) oferece uma maneira simples para que o suplemento autentique usuários (e, opcionalmente, obtenha tokens de acesso para fazer uma chamada à API do Microsoft Graph).

Usando este método, o suplemento pode obter um token de acesso com escopo para a API de back-end do servidor. O suplemento usa isso como um token de portador no cabeçalho Authorization para autenticar um retorno de chamada para sua API. Opcionalmente, também pode ter o código do lado do servidor.

• concluir o fluxo Em Nome De para obter um token de acesso com escopo para a API do Microsoft Graph
• Usar as informações de identidade no token para estabelecer a identidade do usuário e autenticar seus serviços de back-end

Para obter uma visão geral do SSO em suplementos do Office, confira Habilitar o logon único para suplementos do Office e Autorizar acesso ao Microsoft Graph em suplementos do Office.

Ativar a autenticação moderna no seu inquilino do Microsoft 365

Para utilizar o SSO com um suplemento do Outlook, tem de ativar a Autenticação Moderna para o inquilino do Microsoft 365. Para obter informações sobre como fazê-lo, consulte Ativar ou desativar a autenticação moderna para o Outlook no Exchange Online.

Registrar seu suplemento

Para usar o SSO, o suplemento do Outlook precisará ter uma API Web no lado do servidor registrada com o AAD (Azure Active Directory) v2.0. Para mais informações, confira Registrar um Suplemento do Office que usa SSO com o ponto de extremidade do Azure AD v2.0.

Fornecer consentimento quando estiver realizando o sideload de um suplemento

Quando estiver a desenvolver um suplemento, terá de dar consentimento com antecedência. Para obter mais informações, veja Consentimento do administrador.

Atualizar o manifesto do suplemento

O próximo passo para ativar o SSO no suplemento é adicionar algumas informações ao manifesto a partir do registo da plataforma de identidades da Microsoft do suplemento. A marcação varia consoante o tipo de manifesto.

• Manifesto apenas de suplemento: adicione um WebApplicationInfo elemento no final do VersionOverridesV1_1 elemento VersionOverrides. Em seguida, adicione os elementos subordinados necessários. Para obter informações detalhadas sobre a marcação, veja Configurar o suplemento.

• Manifesto unificado para o Microsoft 365: adicione uma propriedade "webApplicationInfo" ao objeto raiz { ... } no manifesto. Atribua a este objeto uma propriedade "id" subordinada definida para o ID de aplicação da aplicação Web do suplemento, tal como foi gerada no portal do Azure quando registou o suplemento. (Consulte a secção Registar o seu suplemento anteriormente neste artigo.) Atribua-lhe também uma propriedade "recurso" subordinada definida para o mesmo URI do ID da Aplicação que definiu quando registou o suplemento. Este URI deve ter o formulário api://<fully-qualified-domain-name>/<application-id>. Apresentamos um exemplo a seguir.

  "webApplicationInfo": {
        "id": "a661fed9-f33d-4e95-b6cf-624a34a2f51d",
        "resource": "api://addin.contoso.com/a661fed9-f33d-4e95-b6cf-624a34a2f51d"
    },
  

Obter o token SSO

O suplemento é um token SSO com script no lado do cliente. Para saber mais, confira Adicionar o código no lado do cliente.

Usar o token SSO no back-end

Na maioria dos cenários, não haverá muitas razões para obter o token de acesso, se o suplemento não o passar no lado do servidor e o utilizar lá. Para obter detalhes sobre o que pode e deve ser feito no lado do servidor, confira Adicionar código no lado do servidor.

Importante

Ao usar o token SSO como uma identidade em um suplemento do Outlook, é recomendável usar também o token de identidade do Exchange como uma identidade alternativa. Os usuários do suplemento podem usar vários clientes, mas alguns podem não ser compatíveis com o fornecimento de tokens SSO. Usando o token de identidade do Exchange como uma alternativa, é possível evitar solicitações múltiplas de credenciais a esses usuários. Para mais informações, confira Cenário: implementar o logon único no serviço em um Suplemento do Outlook.

SSO para ativação baseada em eventos ou relatórios de spam integrados

Existem passos adicionais a seguir se o suplemento utilizar a ativação baseada em eventos ou relatórios de spam integrados (pré-visualização). Para obter mais informações, veja Utilizar o início de sessão único (SSO) ou a partilha de recursos de várias origens (CORS) no seu suplemento do Outlook baseado em eventos ou relatórios de spam.

Confira também

• getAccessToken
• Para obter um suplemento de exemplo do Outlook que utiliza o token de SSO para aceder à Microsoft Graph API, veja SSO do Suplemento do Outlook.
• Referência da API do SSO
• Conjunto de requisitos IdentityAPI
• Utilizar o início de sessão único (SSO) ou a partilha de recursos de várias origens (CORS) no suplemento do Outlook baseado em eventos ou em relatórios de spam