Table of contents
TOC
Inhaltsverzeichnis reduzieren
Inhaltsverzeichnis erweitern
Zuletzt aktualisiert: 25.07.2018

Verständnis der Authentifizierung mit Office 365-APIs

Gilt für: Office 365

Damit Ihre Anwendung Zugriff auf die Office 365-Daten eines Benutzers erhält, muss sie zunächst beweisen, dass sie die Anwendung ist, für die sie sich ausgibt, und dass sie auch die Berechtigung hat, auf die entsprechenden Daten des Benutzers zuzugreifen. Dieses Thema gibt einen kurzen Überblick darüber, wie dieser Authentifizierungsprozess von Office 365-Diensten implementiert wird, und enthält Verweise auf Ressourcen, in denen Sie mehr über die Handhabung der Authentifizierung für Ihre Anwendungen erfahren können.

Authentifizierungskonzepte

Bevor Sie über die Autorisierung sprechen, sollten Sie einige Begriffe kennen.

  • Authentifizierung bezieht sich auf die Überprüfung der Identität einer Anwendung oder eines Benutzers.

    Alle Benutzerkonten, Anwendungsregistrierungen und Berechtigungen werden in Azure AD gespeichert. Dadurch können Sie Anmeldedaten angeben und als gültiger Benutzer bestätigt werden.

    Informationen zur Authentifizierung finden Sie unter Authentifizierungsszenarien für Azure AD.

  • Berechtigung ist der Prozess der Zugriffsgewährung auf Ressourcen sowie die Angabe der erlaubten Zugriffsstufe.

    Beispielsweise könnte Ihre Anwendung Zugriff benötigen, um bestimmte Kalenderereignisse eines Benutzers aufzulisten. Wenn Sie eine Lese- Berechtigung für den Kalender angeben, hat die Anwendung die Berechtigung, eine Liste der Kalenderereignisse des Benutzers zu erstellen.

    Weitere Informationen zur Autorisierung finden Sie unter Verwendung von Active Directory zur Authentifizierung in Azure App Service.

  • Consent_bezieht sich wie die Autorisierung auf die Erteilung der Berechtigung für eine Anwendung oder einen Benutzer, bestimmte Ressourcen zu nutzen. Es gibt _dem Benutzer die Möglichkeit, Zugriff auf bestimmte Ressourcen zu gewähren oder zu verweigern.

    Ein Beispiel ist, wenn ein Benutzer eine App installiert. Der Benutzer sieht in einem Dialogfeld die Aufforderung an die App, auf ihr Postfach zuzugreifen. Der Benutzer sieht in einem Dialogfenster die Aufforderung an die App, auf ihr Postfach zuzugreifen. Der Nutzer stimmt der Anfrage zu oder lehnt sie ab.

Office 365 verwendet Azure AD zur Authentifizierung.

Die Office 365-API-Dienste verwenden Azure Active Directory (Azure AD) zur sicheren Authentifizierung und Autorisierung der Office 365-Daten der Benutzer. Azure AD implementiert Berechtigungsflüsse nach dem OAuth 2.0 Protokoll.

Die Authentifizierung Ihrer Anwendung für den Zugriff auf Office 365-Daten besteht daher aus zwei grundlegenden Schritten:

  • Registrieren der App bei Azure AD
  • Implementieren Sie Code in Ihrer Anwendung, der den entsprechenden Authentifizierungsfluss handhabt.

Registrieren Sie Ihre Anwendung bei Azure AD, um auf die Office 365 API-Dienste zuzugreifen.

Wenn Sie eine Anwendung erstellen, die Zugriff auf die Office 365-API-Dienste benötigt, müssen Sie dem Dienst mitteilen, dass Ihre Anwendung Zugriffsrechte hat. Die Office 365-APIs verwenden Azure AD, um Authentifizierungsdienste bereitzustellen, mit denen Sie der Anwendung entsprechende Rechte für den Zugriff auf diese Dienste erteilen können.

Um Ihrer Anwendung den Zugriff auf die Office 365-APIs zu ermöglichen, müssen Sie Ihre Anwendung bei Azure AD registrieren. Die Registrierung Ihrer Anwendung ermöglicht Ihnen Folgendes:

  • Stellen Sie eine Identität für Ihre Anwendung her. Dies beinhaltet eine Client-ID, eine eindeutige Kennung für Ihre Anwendung innerhalb von Azure.
  • Geben Sie den oder die App-Endpunkte an, die Azure für die Umleitung während der Authentifizierung verwendet.
  • Geben Sie an, auf welche Ressourcen zugegriffen werden soll, und legen Sie Berechtigungsstufen fest oder Bereiche, um auf diese Ressourcen zuzugreifen.

    Eine vollständige Liste der verfügbaren Office 365-API-Bereiche finden Sie unter Office 365 API-Berechtigungen referenzieren.

Überblick über den Authentifizierungsablauf

Azure AD implementiert das OAuth 2.0 Protokoll für die Autorisierung des Zugriffs von Ihrer Anwendung auf Office 365 Ressourcen. Das OAuth 2.0-Protokoll definiert mehrere Berechtigungsabläufe. Welchen Ablauf Sie implementieren, hängt von der Art der Anwendung ab, die Sie erstellen, sei es eine Web-Anwendung wie eine MVC- oder Web Forms-Lösung oder eine native Anwendung wie ein Smartphone oder ein anderes mobiles Gerät.

Im Folgenden finden Sie einen Überblick über einen typischen Authentifizierungsfluss; in diesem Fall den Berechtigungscode Grant Fow, der häufig für Webanwendungen verwendet wird.

Die erfolgreiche Handhabung der Autorisierung in Ihrer Anwendung setzt voraus, dass Sie den Authentifizierungsfluss für Ihren Anwendungstyp verstehen. Für detaillierte Informationen darüber, wie Azure AD OAuth 2.0 implementiert, siehe OAuth 2.0 in Azure AD.

Beispiel: Berechtigungscode Grant Flow

BeschreibungHyperion
Flow Ihre Anwendung leitet sie an den Azure AD-Authentifizierungs-Endpunkt weiter.Der Benutzer ruft die Anwendung auf, die Anwendung ruft den Autorisierungsendpunkt in Azure AD auf.

Der Benutzer authentifiziert sich und erteilt seine Zustimmung, wenn die Anwendung mit eingeschränkten Zugriffsrechten konfiguriert ist.

Azure AD vergibt einen Autorisierungscode. Berechtigungscodes werden verwendet, um Zugriffscodes für bestimmte Ressourcen anzufordern.

Nachdem Benutzer seine Zustimmung gibt, stellt Azure AD einen Autorisierungscode für die App aus.

Nachdem Ihre Anwendung den Berechtigungscode erhalten hat, kann die Anwendung die Zugriffs- und Aktualisierungs-Tokens anfordern. Ihre Anwendung übergibt den Autorisierungscode an den Azure AD Token Aussteller-Endpunkt.

Azure AD gibt Zugriffs- und Aktualisierungs-Token zurück.

Die App übergibt den Autorisierungscode an Azure AD, Azure AD gibt Zugriffs- und Aktualisierungstoken an die App zurück.

Ihre Anwendung kann dann die Zugriffs- und Aktualisierungs-Token verwenden, um auf die Office 365-API-Endpunkte zuzugreifen und entsprechende Daten zurückzugeben.

Ihre Anwendung kann diese Token dann im Namen des Benutzers dem/den Office 365-API-Dienst(en) präsentieren. Die angegebene Ressource gibt dann die von der Anwendung angeforderten Informationen zurück.

Die App verwendet dann die Zugriffs- und Autorisierungstoken, um auf die Office 365-API-Endpunkte zuzugreifen.

Um die Anzahl der Aufrufe einer Anwendung an Azure AD zu reduzieren und auch die Anzahl der Zustimmungen, die ein Benutzer erteilen muss, zu reduzieren, wird vom Autorisierungsdienst ein Refresh-Token für mehrere Ressourcen ausgegeben. Nachdem dieses Refresh-Token empfangen wurde, kann es verwendet werden, um Zugriffstoken (und zusätzliche Refresh-Token) für mehrere Ressourcen anzufordern.

Weitere Informationen zu Aktualisierungstokens finden Sie unter Refresh Tokens for Multiple Resources (Aktualisierungstokens für mehrere Ressourcen).

Die Funktionsweise von OAuth 2.0 unter der Office 365 OAuth Sandbox erkunden

Wenn Sie herausfinden möchten, wie OAuth 2.0 mit den Office 365 REST-APIs funktioniert, haben wir eine Webanwendung erstellt, die Office 365 OAuth Sandbox, mit der Sie die Nachrichten und Tokens beobachten können, die bei der Authentifizierung der Anwendung mit Azure AD übertragen werden. Sie können auch Beispielaufrufe an die Office 365-APIs durchführen und die zurückgesendeten Daten beobachten. Weitere Informationen zur Verwendung der Sandbox finden Sie unter OAuth2 in Aktion mit Office 365 Kalender, Kontakte und Mail.

Office 365 API-Codebeispiele, die die Autorisierung implementieren

Die Office Developer Repo auf GitHub enthält zahlreiche Codebeispiele, die über Azure AD auf Office 365 APIs zugreifen, darunter:

Zusätzlich enthält das Azure Active Directory Entwicklerhandbuch Schnellstarts und Anleitungen zur Implementierung der Azure AD-Authentifizierung auf verschiedenen Entwicklerplattformen, einschließlich iOS, Android, .NET, Xamarinund Cordova.

Zusätzliche Ressourcen

© 2018 Microsoft