A kereskedelmi piactéren létrehozhatja a megvalósítható SaaS-ajánlat kezdőlapját
Ez a cikk végigvezeti a Microsoft kereskedelmi piacterén értékesített, átjárható SaaS-alkalmazás kezdőlapjának létrehozásának folyamatán.
Fontos
Az Azure Active Directory (Azure AD) Graph 2023. június 30-ától elavult. A továbbiakban nem teszünk további befektetéseket az Azure AD Graphban. Az Azure AD Graph API-k nem rendelkeznek SLA-val vagy karbantartási kötelezettségvállalással a biztonsággal kapcsolatos javításokon túl. Az új funkciókba és funkciókba csak a Microsoft Graph-ban lehet befektetni.
Az Azure AD Graphot növekményes lépésekben kivonjuk, hogy elegendő ideje legyen az alkalmazások Microsoft Graph API-kba való migrálására. Egy későbbi időpontban, amikor bejelentjük, letiltjuk az új alkalmazások létrehozását az Azure AD Graph használatával.
További információ: Fontos: Az Azure AD Graph kivonása és a PowerShell-modul elavulása.
Áttekintés
A kezdőlapot a szoftver "előszobájaként" tekintheti szolgáltatásként (SaaS- ajánlat). Miután a vevő feliratkozott egy ajánlatra, a kereskedelmi piactér átirányítja őket a kezdőlapra, hogy aktiválja és konfigurálja az előfizetését az SaaS-alkalmazáshoz. Gondoljon erre a megrendelés megerősítésére szolgáló lépésként, amely lehetővé teszi a vevő számára, hogy lássa, mit vásárolt, és erősítse meg a fiók adatait. A Microsoft Entra ID és a Microsoft Graph használatával engedélyezheti az egyszeri bejelentkezést (SSO) a vevő számára, és fontos információkat kaphat arról a vevőről, amellyel megerősítheti és aktiválhatja előfizetését, beleértve a nevüket, az e-mail-címüket és a szervezetüket.
Mivel az előfizetés aktiválásához szükséges információk korlátozottak, és a Microsoft Entra ID és a Microsoft Graph biztosítják, nem szükséges olyan információkat igényelni, amelyekhez alapszintű hozzájárulásnál többre van szükség. Ha olyan felhasználói adatokra van szüksége, amelyek további hozzájárulást igényelnek az alkalmazáshoz, az előfizetés aktiválásának befejezése után kell kérnie ezeket az adatokat. Ez lehetővé teszi az előfizetés súrlódásmentes aktiválását a vevő számára, és csökkenti a lemondás kockázatát.
A kezdőlap általában a következőket tartalmazza:
- Adja meg a megvásárolt ajánlat és csomag nevét, valamint a számlázási feltételeket.
- Adja meg a vevő fiókadatait, beleértve a vezeték- és utónevet, a szervezetet és az e-mail-címet.
- Kérje meg a vevőt, hogy erősítse meg vagy cserélje le a különböző fiókadatokat.
- Útmutató a vevőnek az aktiválás utáni következő lépésekhez. Fogadjon például egy üdvözlő e-mailt, kezelje az előfizetést, kérje le a támogatást vagy olvassa el a dokumentációt.
Feljegyzés
A vevőt a kezdőlapra is átirányítjuk az előfizetés aktiválás utáni kezelésekor. A vevő előfizetésének aktiválása után SSO használatával kell engedélyeznie a felhasználónak a bejelentkezést. Javasoljuk, hogy a felhasználót egy fiókprofilhoz vagy konfigurációs laphoz irányítsa.
A következő szakaszok végigvezetik a kezdőlap létrehozásának folyamatán:
- Hozzon létre egy Microsoft Entra-alkalmazásregisztrációt a kezdőlaphoz.
- Használjon kódmintát az alkalmazás kiindulópontjaként .
- Két Microsoft Entra-alkalmazás használata az éles környezet biztonságának javításához.
- Oldja fel a kereskedelmi piactér által az URL-címhez hozzáadott piactéri vásárlási azonosító jogkivonatot .
- Az azonosító jogkivonatában kódolt jogcímek adatainak olvasása, amelyeket a Microsoft Entra ID fogadott a bejelentkezés után, amelyet a kéréssel együtt küldtek el.
- A Microsoft Graph API-val szükség szerint további információkat gyűjthet.
Microsoft Entra-alkalmazásregisztráció létrehozása
A kereskedelmi piactér teljes mértékben integrálva van a Microsoft Entra ID-val. A vásárlók a Microsoft Entra-fiókkal vagy Microsoft-fiókkal (MSA) hitelesített piactérre érkeznek. A vásárlás után a vevő a kereskedelmi piactérről a kezdőlap URL-címére lép az SaaS-alkalmazás előfizetésének aktiválásához és kezeléséhez. Hagyja, hogy a vevő bejelentkezjen az alkalmazásba a Microsoft Entra SSO-val. (A kezdőlap URL-címe az ajánlatban van megadvaTechnikai konfigurációs oldal.)
Tipp.
A kezdőoldal URL-címében ne szerepeljen a kettős kereszt (#) karakter. Ellenkező esetben az ügyfelek nem fogják tudni elérni a kezdőlapot.
Az identitás használatának első lépése annak ellenőrzése, hogy a kezdőlap regisztrálva van-e Microsoft Entra-alkalmazásként. Az alkalmazás regisztrálásával a Microsoft Entra ID használatával hitelesítheti a felhasználókat, és hozzáférést kérhet a felhasználói erőforrásokhoz. Ez tekinthető az alkalmazás definíciójának, amely lehetővé teszi a szolgáltatás számára, hogy az alkalmazás beállításai alapján jogkivonatokat állítson ki az alkalmazás számára.
Új alkalmazás regisztrálása az Azure Portal használatával
Első lépésként kövesse az új alkalmazás regisztrálására vonatkozó utasításokat. Ha engedélyezni szeretné, hogy más vállalatok felhasználói felkeresik az alkalmazást, a több-bérlős lehetőségek közül kell választania, amikor megkérdezik, hogy ki használhatja az alkalmazást.
Ha le szeretné kérdezni a Microsoft Graph API-t, konfigurálja az új alkalmazást a webes API-k eléréséhez. Amikor kiválasztja az alkalmazás API-engedélyeit, a User.Read alapértelmezett értéke elegendő ahhoz, hogy alapvető információkat gyűjtsön a vevőről, hogy zökkenőmentessé és automatikussá tegye az előkészítési folyamatot. Ne kérjen rendszergazdai hozzájárulást igénylő API-engedélyeket, mivel ez letiltja, hogy minden nem rendszergazda felhasználó megtekintse a kezdőlapot.
Ha emelt szintű engedélyekre van szüksége az előkészítési vagy a kiépítési folyamat részeként, fontolja meg a Microsoft Entra ID növekményes hozzájárulási funkciójának használatát, hogy a piactérről küldött összes vásárló először kommunikálhasson a kezdőlaptal.
Kódminta használata kiindulási pontként
Több mintaalkalmazást is biztosítottunk, amelyek egy egyszerű webhelyet implementálnak, és engedélyezve van a Microsoft Entra bejelentkezése. Miután az alkalmazás regisztrálva van a Microsoft Entra-azonosítóban, a gyorsútmutató panel az 1. ábrán látható módon felsorolja a gyakori alkalmazástípusokat és fejlesztési vermeket. Válassza ki a környezetének megfelelőt, és kövesse a letöltésre és a beállításra vonatkozó utasításokat.
1. ábra: Gyorsútmutató panel az Azure Portalon
Miután letöltötte a kódot, és beállította a fejlesztői környezetet, módosítsa az alkalmazás konfigurációs beállításait úgy, hogy az tükrözze az előző eljárásban rögzített alkalmazásazonosítót, bérlőazonosítót és ügyféltitkot. Vegye figyelembe, hogy a pontos lépések eltérnek attól függően, hogy melyik mintát használja.
Két Microsoft Entra-alkalmazás használata az éles környezet biztonságának javításához
Ez a cikk az architektúra egyszerűsített verzióját mutatja be a kereskedelmi piactéri SaaS-ajánlat kezdőlapjának implementálásához. Ha éles környezetben futtatja a lapot, javasoljuk, hogy növelje a biztonságot, ha csak egy másik, biztonságos alkalmazáson keresztül kommunikál az SaaS-teljesítési API-kkal. Ehhez két új alkalmazás szükséges:
- Először is, az eddig leírt több-bérlős kezdőlap-alkalmazás, kivéve az SaaS fulfillment API-khoz való kapcsolódáshoz használható funkciókat. Ez a funkció ki lesz töltve egy másik alkalmazásba az alábbiak szerint.
- Másodszor, egy alkalmazás, amely az SaaS fulfillment API-kkal folytatott kommunikációt birtokolja. Ennek az alkalmazásnak egyetlen bérlőnek kell lennie, amelyet csak a szervezet használhat, és létrehozhat egy hozzáférés-vezérlési listát, amely csak ebből az alkalmazásból korlátozza az API-khoz való hozzáférést.
Ez lehetővé teszi, hogy a megoldás olyan forgatókönyvekben működjön, amelyek betartják az aggodalmak elvének elkülönítését. A kezdőlap például az első regisztrált Microsoft Entra-alkalmazással jelentkezik be a felhasználóba. A felhasználó bejelentkezése után a kezdőlap a második Microsoft Entra-azonosítóval kér hozzáférési jogkivonatot az SaaS fulfillment API-k meghívásához és a feloldási művelet meghívásához.
A marketplace vásárlási azonosító jogkivonatának feloldása
Amikor a vevőt elküldi a kezdőlapra, a rendszer hozzáad egy jogkivonatot az URL-paraméterhez. Ez a jogkivonat eltér mind a Microsoft Entra ID által kibocsátott jogkivonattól, mind a szolgáltatásközi hitelesítéshez használt hozzáférési jogkivonattól, és bemenetként szolgál az SaaS fulfillment API-k hívásához az előfizetés részleteinek lekéréséhez. Az SaaS-teljesítési API-khoz intézett összes híváshoz hasonlóan a szolgáltatás-szolgáltatás kérése is egy olyan hozzáférési jogkivonattal lesz hitelesítve, amely az alkalmazás Microsoft Entra-alkalmazásazonosító-felhasználóján alapul a szolgáltatások közötti hitelesítéshez.
Feljegyzés
A legtöbb esetben célszerű ezt a hívást egy második, egybérlős alkalmazásból kezdeményezni. A cikk korábbi részében az éles környezet biztonságának javítása érdekében lásd: Két Microsoft Entra-alkalmazás használata az éles környezetben.
Hozzáférési jogkivonat kérése
Az alkalmazás SaaS-teljesítési API-kkal való hitelesítéséhez szüksége van egy hozzáférési jogkivonatra, amely a Microsoft Entra ID OAuth-végpont meghívásával hozható létre. Lásd : A közzétevő engedélyezési jogkivonatának lekérése.
A feloldó végpont meghívása
Az SaaS fulfillment API-k implementálják a feloldási végpontot, amely meghívható a marketplace-jogkivonat érvényességének megerősítéséhez és az előfizetéssel kapcsolatos információk visszaadásához.
Információk olvasása az azonosító jogkivonatában kódolt jogcímekből
Az OpenID Csatlakozás folyamat részeként helyezze el a kapott https://login.microsoftonline.com/{tenant}/v2.0bérlőazonosító-értéket. A Microsoft Entra ID egy azonosító jogkivonatot ad hozzá a kéréshez, amikor a vevőt elküldi a kezdőlapra. Ez a jogkivonat több alapvető információt tartalmaz, amelyek hasznosak lehetnek az aktiválási folyamat során, beleértve a táblázatban látható információkat is.
| Érték | Leírás |
|---|---|
| Aud | Ennek a jogkivonatnak a célközönsége. Ebben az esetben meg kell egyeznie az alkalmazásazonosítóval, és ellenőriznie kell. |
| preferred_username | A látogató felhasználó elsődleges felhasználóneve. Ez lehet egy e-mail-cím, telefonszám vagy más azonosító. |
| A felhasználó e-mail-címe. Vegye figyelembe, hogy ez a mező üres lehet. | |
| név | Ember által olvasható érték, amely azonosítja a jogkivonat tárgyát. Ebben az esetben ez lesz a vevő neve. |
| Oid | A Microsoft identitásrendszerében található azonosító, amely egyedileg azonosítja a felhasználót az alkalmazások között. A Microsoft Graph ezt az értéket adja vissza egy adott felhasználói fiók azonosító tulajdonságaként. |
| Tid | Annak a Microsoft Entra-bérlőnek az azonosítója, amelyből a vevő származik. MSA-identitás esetén ez mindig így lesz 9188040d-6c67-4c5b-b112-36a304b66dad. További információkért tekintse meg a következő szakaszban található megjegyzést: A Microsoft Graph API használata. |
| Al | Azonosító, amely egyedileg azonosítja a felhasználót ebben az alkalmazásban. |
A Microsoft Graph API használata
Az azonosító jogkivonat alapvető információkat tartalmaz a vevő azonosításához, de az aktiválási folyamathoz további részletekre lehet szükség – például a vevő vállalata – az előkészítési folyamat befejezéséhez. A Microsoft Graph API használatával kérje le ezeket az információkat, hogy ne kényszerítse a felhasználót arra, hogy ismét adja meg ezeket a részleteket. A standard User.Read engedélyek alapértelmezés szerint az alábbi információkat tartalmazzák.
| Érték | Leírás |
|---|---|
| displayName | A felhasználó címjegyzékében megjelenített név. |
| givenName | A felhasználó utóneve. |
| jobTitle | A felhasználó beosztása. |
| levélküldés | A felhasználó SMTP-címe. |
| mobil Telefon | A felhasználó elsődleges mobiltelefonszáma. |
| preferredLanguage | ISO 639-1 kód a felhasználó által előnyben részesített nyelvhez. |
| surname | A felhasználó vezetékneve. |
További tulajdonságokat ( például a felhasználó vállalatának nevét vagy a felhasználó tartózkodási helyét (ország/régió) is kijelölhet a kérelembe való felvételhez. További részletekért tekintse meg a felhasználói erőforrástípus tulajdonságait.
A Microsoft Entra-azonosítóval regisztrált alkalmazások többsége delegált engedélyeket biztosít a felhasználó adatainak beolvasásához a vállalat Microsoft Entra-bérlőjében. A Microsoft Graph-nak az információkra vonatkozó kéréseket egy hitelesítési hozzáférési jogkivonatnak kell kísérnie. A hozzáférési jogkivonat létrehozásának konkrét lépései a használt technológiai veremtől függenek, de a mintakód egy példát fog tartalmazni. További információ: Hozzáférés kérése egy felhasználó nevében.
Feljegyzés
Az MSA-bérlőtől származó fiókok (bérlőazonosítóval 9188040d-6c67-4c5b-b112-36a304b66dad) nem adnak vissza több információt, mint amennyit az azonosító jogkivonattal már összegyűjtöttek. Így ezeket a fiókokat a Graph API-ra is átugorhatja.
Következő lépések
Oktatóvideók
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: