Registro de una aplicación SaaS
En este artículo se explica cómo registrar una aplicación SaaS mediante Microsoft Azure Portal y cómo obtener el token de acceso del publicador (token de acceso de Microsoft Entra). El editor usará este token para autenticar la aplicación SaaS mediante una llamada a las API de suministro de SaaS. Las API de suministro usan las credenciales de cliente de OAuth 2.0 para conceder flujo en los puntos de conexión de Microsoft Entra ID (v1.0) para realizar una solicitud de token de acceso de servicio a servicio.
Azure Marketplace no impone ninguna restricción en el método de autenticación que el servicio SaaS use para los usuarios finales. El flujo siguiente solo es necesario para autenticar el servicio SaaS en Azure Marketplace.
Para obtener más información sobre microsoft Entra ID (Active Directory), consulte ¿Qué es la autenticación?
Registro de una aplicación protegida con id. de Entra de Microsoft
Cualquier aplicación que quiera usar las funcionalidades de Microsoft Entra ID debe registrarse primero en un inquilino de Microsoft Entra. Este proceso de registro implica proporcionar a Microsoft Entra algunos detalles sobre la aplicación. Para registrar una aplicación nueva mediante Azure Portal, realice los pasos siguientes:
Inicie sesión en Azure Portal.
Si la cuenta proporciona acceso a más de uno, seleccione su cuenta en la esquina superior derecha. A continuación, establezca la sesión del portal en el inquilino de Microsoft Entra deseado.
En el panel de navegación izquierdo, seleccione el servicio Microsoft Entra ID, seleccione Registros de aplicaciones y, a continuación, seleccione Nuevo registro de aplicaciones.
En la página "Crear", escriba la información de registro de la aplicación:
Nombre: escriba un nombre de aplicación significativo
Tipos de cuenta admitidos:
Seleccione Cuentas solo en este directorio organizativo (inquilino único).
Cuando termine, seleccione Registrar. Microsoft Entra ID asigna un identificador de aplicación único a la nueva aplicación. Debe registrar una aplicación que acceda solo a la API y como inquilino único.
Para crear un secreto de cliente, vaya a la página Certificados y secretos y seleccione + Nuevo secreto de cliente. Asegúrese de copiar el valor del secreto para usarlo en el código.
El identificador de aplicación de Microsoft Entra está asociado al identificador del publicador, por lo que debe asegurarse de que se usa el mismo identificador de aplicación en todas las ofertas.
Nota:
Si el publicador tiene dos o más cuentas diferentes en el Centro de partners, los detalles del registro de aplicaciones de Microsoft Entra solo se pueden usar en una sola cuenta. No se admite el uso del mismo identificador de inquilino, el par de id. de aplicación de una oferta en una cuenta de publicador diferente.
Nota:
Si el publicador usa una aplicación multiinquilino para acceder a las API de SaaS, asegúrese de que la aplicación está registrada en el inquilino que usa para generar tokens. Consulte Creación de una aplicación empresarial a partir de una aplicación multiinquilino.
Cómo obtener el token de autorización del editor
Después de registrar la aplicación, puede solicitar mediante programación el token de autorización del publicador (token de acceso de Microsoft Entra, mediante el punto de conexión de Azure AD v1). El editor debe usar este token al llamar a las distintas API de suministro de SaaS. Este token es válido durante una hora únicamente.
Para obtener más información sobre estos tokens, consulte Tokens de acceso de Microsoft Entra. En el flujo siguiente se usa el token de punto de conexión V1.
Obtención del token con una solicitud HTTP POST
Método de HTTP
Post
Request URL (URL de la solicitud)
https://login.microsoftonline.com/*{tenantId}*/oauth2/token
Parámetro de URI
| Nombre de parámetro | Obligatorio | Descripción |
|---|---|---|
tenantId |
True | Identificador de inquilino de la aplicación Microsoft Entra registrada. |
Encabezado de solicitud
| Nombre de encabezado | Obligatorio | Descripción |
|---|---|---|
content-type |
True | Tipo de contenido asociado a la solicitud. El valor predeterminado es application/x-www-form-urlencoded. |
Cuerpo de la solicitud
| Nombre de propiedad | Obligatorio | Descripción |
|---|---|---|
grant_type |
True | Tipo de concesión. Use "client_credentials". |
client_id |
True | Identificador de cliente o aplicación asociado a la aplicación Microsoft Entra. |
client_secret |
True | Secreto asociado a la aplicación Microsoft Entra. |
resource |
True | Recurso de destino para el que se solicita el token. Use 20e940b3-4c77-4b0b-9a53-9e16a1b010a7 porque la API de SaaS de Marketplace es siempre el recurso de destino en este caso. |
Respuesta
| Nombre | Escribir | Descripción |
|---|---|---|
| 200 OK | TokenResponse | La solicitud se realizó correctamente. |
TokenResponse
Respuesta de ejemplo:
{
"token_type": "Bearer",
"expires_in": "3600",
"ext_expires_in": "0",
"expires_on": "15251…",
"not_before": "15251…",
"resource": "20e940b3-4c77-4b0b-9a53-9e16a1b010a7",
"access_token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6ImlCakwxUmNxemhpeTRmcHhJeGRacW9oTTJZayIsImtpZCI6ImlCakwxUmNxemhpeTRmcHhJeGRacW9oTTJZayJ9…"
}
| Elemento | Descripción |
|---|---|
access_token |
Este elemento es el <access_token> (token de acceso) que pasará como parámetro de autorización al llamar a todas las API de suministro de SaaS y de medición de Marketplace. Al llamar a una API de REST protegida, el token se inserta en el campo Authorization del encabezado de la solicitud como un token de "portador", lo que permite a la API autenticar el llamador. |
expires_in |
El número de segundos que el token de acceso sigue siendo válido, antes de expirar, desde la hora de emisión. La hora de emisión puede encontrarse en la notificación iat del token. |
expires_on |
La hora a la que expira el token de acceso. La fecha se representa como el número de segundos desde "1970-01-01T0:0:0Z UTC" (se corresponde con la notificación exp del token). |
not_before |
El intervalo de tiempo cuando el token de acceso tiene efecto y se puede aceptar. La fecha se representa como el número de segundos desde "1970-01-01T0:0:0Z UTC" (se corresponde con la notificación nbf del token). |
resource |
El recurso para el que se solicitó el token de acceso, que coincide con el parámetro de la cadena de consulta resource de la solicitud. |
token_type |
El tipo de token, que es un token de acceso al "Portador", lo que significa que el recurso puede permitir el acceso al portador del token. |
Pasos siguientes
La aplicación protegida con id. de Microsoft Entra ahora puede usar las API de suscripción de suministro de SaaS versión 2 y api de operaciones de suministro de SaaS versión 2.
Tutoriales en vídeo
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de