Options d’authentification dans les compléments Outlook
Votre complément Outlook peut accéder à des informations à partir de n’importe quel emplacement sur Internet, qu’il s’agisse du serveur qui héberge le complément, de votre réseau interne ou du cloud. Si ces informations sont protégées, votre complément doit trouver un moyen d’authentifier votre utilisateur. Les compléments Outlook offrent différentes méthodes qui permettent de s’authentifier en fonction de votre scénario.
Jeton d’accès d’authentification unique à l’aide du flux OBO
Les jetons d’accès d’authentification unique (SSO) permettent à votre complément Outlook de s’authentifier et d’obtenir des jetons d’accès pour appeler microsoft API Graph. Cette fonctionnalité réduit la friction étant donné que l’utilisateur n’a pas besoin de saisir ses informations d’identification. Vous pouvez utiliser le flux on-behalf-of avec un serveur de niveau intermédiaire ou l’authentification d’application imbriquée (décrite dans la section suivante).
Remarque
L’authentification unique utilisant le flux OBO est actuellement prise en charge pour Word, Excel, Outlook et PowerPoint. Pour plus d’informations sur la prise en charge, consultez Ensembles de conditions requises IdentityAPI. Si vous utilisez un complément Outlook, veillez à activer l’authentification moderne pour la location Microsoft 365. Pour plus d’informations sur la procédure à suivre, voir Activer ou désactiver l’authentification moderne pour Outlook dans Exchange Online.
Vous pouvez utiliser des jetons d’accès d’authentification unique si votre complément :
- Est principalement utilisé par les utilisateurs de Microsoft 365
- doit accéder à ce qui suit :
- Services Microsoft exposés dans le cadre de Microsoft Graph ;
- Service non-Microsoft que vous contrôlez.
La méthode d’authentification unique utilise le flux OAuth2 De la part de fourni par Azure Active Directory. Il nécessite que le complément s’inscrive dans le portail d’inscription d’application et spécifie les étendues Microsoft Graph requises dans le manifeste du complément, si le manifeste du complément uniquement est utilisé. Si le complément utilise le manifeste unifié pour Microsoft 365, il existe une configuration de manifeste, mais les étendues Microsoft Graph ne sont pas spécifiées. Au lieu de cela, les étendues nécessaires sont spécifiées lors de l’exécution dans un appel pour extraire un jeton à Microsoft Graph.
Grâce à cette méthode, votre complément peut obtenir un jeton d’accès inclus dans l’API principale de votre serveur. Le complément l’utilise comme un jeton du porteur dans l’en-tête Authorization pour authentifier un rappel de votre API. À ce stade, votre serveur peut :
- renseigner le flux De la part de pour obtenir un jeton d’accès inclus dans l’API Microsoft Graph ;
- utiliser les informations d’identité dans le jeton pour établir l’identité de l’utilisateur et s’authentifier à vos propres services principaux.
Pour obtenir un aperçu plus détaillé, consultez la présentation complète de la méthode d’authentification unique.
Pour plus d’informations sur l’utilisation du jeton à authentification unique dans un complément Outlook, consultez la section Authentifier un utilisateur avec un jeton à authentification unique dans un complément Outlook.
Pour un complément échantillon qui utilise le jeton à authentification unique, consultez Authentification unique d’un complément Outlook.
Jeton d’accès d’authentification unique à l’aide de l’authentification d’application imbriquée
L’authentification d’application imbriquée (NAA) active l'Sign-On authentification unique (SSO) pour les compléments Office exécutés dans le contexte des applications Office natives. Par rapport au flux on-behalf-of utilisé avec Office.js et getAccessToken(), NAA offre une plus grande flexibilité dans l’architecture des applications, ce qui permet la création d’applications riches et pilotées par le client. NAA simplifie la gestion de l’authentification unique pour le code de votre complément. NAA vous permet d’effectuer des appels Microsoft Graph à partir du code client de votre complément en tant que spa sans avoir besoin d’un serveur de niveau intermédiaire. Il n’est pas nécessaire d’utiliser Office.js API, car NAA est fourni par la bibliothèque MSAL.js.
Pour permettre à votre complément Outlook d’utiliser NAA, consultez Activer l’authentification unique dans un complément Office à l’aide de l’authentification d’application imbriquée (préversion) . NAA fonctionne de la même façon sur tous les compléments Office.
Jeton d’identité d’utilisateur Exchange
Importante
Les jetons Exchange hérités sont déconseillés. À partir de février 2025, nous commencerons à désactiver l’identité et les jetons de rappeld’utilisateur Exchange hérités pour les locataires Exchange Online. Pour plus d’chronologie et de détails, consultez notre page FAQ. Cela fait partie de l’initiative Avenir sécurisé de Microsoft, qui fournit aux organisations les outils nécessaires pour répondre au paysage actuel des menaces. Les jetons d’identité utilisateur Exchange fonctionnent toujours pour Exchange en local. L’authentification d’application imbriquée est l’approche recommandée pour les jetons à l’avenir.
Les jetons d’identité d’utilisateur Exchange permettent à votre complément d’établir l’identité de l’utilisateur. En vérifiant l’identité de l’utilisateur, vous pouvez ensuite effectuer une authentification unique dans votre système principal, puis accepter le jeton d’identité d’utilisateur comme une autorisation pour les demandes futures. Utilisez le jeton d’identité d’utilisateur Exchange :
- quand le complément est utilisé principalement par des utilisateurs locaux Exchange ;
- quand le complément doit accéder à un service non-Microsoft que vous contrôlez ;
- En tant qu’authentification de secours quand le complément est exécuté sur une version d’Office qui ne prend pas en charge SSO.
Votre complément peut appeler la méthode getUserIdentityTokenAsync pour obtenir des jetons d’identité d’utilisateur Exchange. Pour plus d’informations sur l’utilisation de ces jetons, voir Authentifier un utilisateur avec un jeton d’identité pour Exchange.
Jetons d’accès obtenus via les flux OAuth2
Les compléments peuvent également accéder à des services de Microsoft et d’autres entreprises qui prennent en charge OAuth2 pour l’autorisation. Vous pouvez utiliser les jetons OAuth2 si votre complément :
- Doit accéder à un service en dehors de votre contrôle.
Grâce à cette méthode, votre module complémentaire invite l'utilisateur à se connecter au service en utilisant la méthode displayDialogAsync pour initialiser le flux OAuth2.
Jetons de rappel
Importante
Les jetons Exchange hérités sont déconseillés. À partir de février 2025, nous commencerons à désactiver l’identité et les jetons de rappeld’utilisateur Exchange hérités pour les locataires Exchange Online. Pour plus d’chronologie et de détails, consultez notre page FAQ. Cela fait partie de l’initiative Avenir sécurisé de Microsoft, qui fournit aux organisations les outils nécessaires pour répondre au paysage actuel des menaces. Les jetons d’identité utilisateur Exchange fonctionnent toujours pour Exchange en local. L’authentification d’application imbriquée est l’approche recommandée pour les jetons à l’avenir.
Les jetons de rappel permettent d’accéder à la boîte aux lettres de l’utilisateur à partir de votre serveur principal à l’aide d’Exchange Web Services (EWS) ou de l’API REST Outlook. Vous pouvez utiliser les jetons de rappel si votre complément :
- Doit accéder à la boîte aux lettres de l’utilisateur à partir de votre serveur principal.
Les compléments obtiennent des jetons de rappel à l’aide d’une méthode getCallbackTokenAsync. Le niveau d’accès est contrôlé par les autorisations spécifiées dans le manifeste du complément.
Voir aussi
- Ensemble de conditions requises pour l’authentification d’application imbriquée
- Activer l’authentification unique dans un complément Office à l’aide de l’authentification d’application imbriquée (préversion)
- FAQ sur l’authentification des applications imbriquées et la dépréciation des jetons hérités Outlook