Buat halaman arahan untuk penawaran SaaS Anda yang dapat ditransaksikan di marketplace komersial
Artikel ini memandu Anda melalui proses pembangunan halaman arahan untuk penawaran SaaS Anda yang dapat ditransaksikan dan akan dijual di marketplace komersial Microsoft.
Penting
Grafik Azure Active Directory (Azure AD) tidak digunakan lagi per 30 Juni 2023. Ke depannya, kami tidak melakukan investasi lebih lanjut di Azure AD Graph. API Azure AD Graph tidak memiliki komitmen SLA atau pemeliharaan di luar perbaikan terkait keamanan. Investasi dalam fitur dan fungsionalitas baru hanya akan dilakukan di Microsoft Graph.
Kami akan menghentikan Azure AD Graph dalam langkah-langkah bertahap sehingga Anda memiliki waktu yang cukup untuk memigrasikan aplikasi Anda ke MICROSOFT Graph API. Di kemudian hari yang akan kami umumkan, kami akan memblokir pembuatan aplikasi baru apa pun menggunakan Azure AD Graph.
Untuk mempelajari selengkapnya, lihat Penting: Penghentian Azure AD Graph dan Penghentian Modul Powershell.
Gambaran Umum
Anda dapat menganggap halaman arahan sebagai "lobi" untuk perangkat lunak sebagai penawaran layanan (SaaS). Setelah pembeli berlangganan ke penawaran, marketplace komersial mengarahkan mereka ke halaman arahan untuk mengaktifkan dan mengonfigurasi langganan mereka ke aplikasi SaaS Anda. Anggap ini sebagai langkah konfirmasi pesanan yang memungkinkan pembeli melihat apa yang mereka beli dan mengonfirmasi detail akun mereka. Dengan menggunakan MICROSOFT Entra ID dan Microsoft Graph, Anda akan mengaktifkan akses menyeluruh (SSO) untuk pembeli dan mendapatkan detail penting tentang pembeli yang dapat Anda gunakan untuk mengonfirmasi dan mengaktifkan langganan mereka, termasuk nama, alamat email, dan organisasi mereka.
Karena informasi yang diperlukan untuk mengaktifkan langganan dibatasi dan disediakan oleh ID Microsoft Entra dan Microsoft Graph, seharusnya tidak perlu meminta informasi yang memerlukan lebih dari persetujuan dasar. Jika Anda memerlukan detail pengguna yang memerlukan persetujuan tambahan untuk aplikasi Anda, Anda harus meminta informasi ini setelah aktivasi langganan selesai. Cara ini memungkinkan aktivasi langganan tanpa gesekan bagi pembeli dan mengurangi risiko diabaikan.
Halaman arahan biasanya mencakup:
- Penyajian nama penawaran dan rencana pembeliaan, serta ketentuan penagihan.
- Penyajian detail akun pengguna, termasuk nama depan dan belakang, organisasi, dan email.
- Meminta pengguna untuk mengonfirmasi atau mengganti detail akun yang berbeda.
- Panduan pengguna pada langkah berikutnya setelah aktivasi. Misalnya, menerima email selamat datang, mengelola langganan, mendapatkan dukungan, atau membaca dokumentasi.
Catatan
Pembeli juga akan diarahkan ke halaman arahan ketika mengelola langganan mereka setelah aktivasi. Setelah langganan pembeli diaktifkan, Anda harus menggunakan SSO untuk mengizinkan pengguna masuk. Sebaiknya, arahkan pengguna ke halaman profil akun atau konfigurasi.
Bagian berikut dalam artikel ini akan memandu Anda melalui proses membangun halaman arahan:
- Buat pendaftaran aplikasi Microsoft Entra untuk halaman arahan.
- Menggunakan sampel kode sebagai titik awal untuk aplikasi Anda.
- Gunakan dua aplikasi Microsoft Entra untuk meningkatkan keamanan dalam produksi.
- Menyelesaikan token identifikasi pembelian marketplace yang ditambahkan ke URL oleh marketplace komersial.
- Baca informasi dari klaim yang dikodekan dalam token ID, yang diterima dari ID Microsoft Entra setelah masuk, yang dikirim dengan permintaan.
- Menggunakan Microsoft Graph API untuk mengumpulkan informasi tambahan, sebagaimana diperlukan.
Membuat pendaftaran aplikasi Microsoft Entra
Marketplace komersial sepenuhnya terintegrasi dengan ID Microsoft Entra. Pembeli tiba di marketplace yang diautentikasi dengan akun Microsoft Entra atau akun Microsoft (MSA). Setelah pembelian, pembeli beralih dari marketplace komersial ke URL halaman arahan Anda untuk mengaktifkan dan mengelola langganan aplikasi SaaS Anda. Anda harus mengizinkan pembeli masuk ke aplikasi Anda dengan Microsoft Entra SSO. (URL halaman arahan ditentukan di halaman Konfigurasi teknis penawaran.)
Tip
Jangan sertakan karakter tanda pagar (#) di URL halaman arahan. Jika tidak, pelanggan tidak akan dapat mengakses halaman arahan Anda.
Langkah pertama untuk menggunakan identitas adalah memastikan halaman arahan Anda terdaftar sebagai aplikasi Microsoft Entra. Mendaftarkan aplikasi memungkinkan Anda menggunakan ID Microsoft Entra untuk mengautentikasi pengguna dan meminta akses ke sumber daya pengguna. Cara ini dapat dianggap sebagai definisi aplikasi, yang memungkinkan layanan mengetahui cara mengeluarkan token ke aplikasi berdasarkan pengaturan aplikasi.
Mendaftarkan aplikasi baru menggunakan portal Microsoft Azure
Untuk memulai, ikuti instruksi untuk mendaftarkan aplikasi baru. Untuk mengizinkan pengguna dari perusahaan lain mengunjungi aplikasi, Anda harus memilih salah satu opsi multitenant ketika ditanya siapa yang dapat menggunakan aplikasi.
Jika Anda ingin mengkueri API Microsoft Graph, konfigurasikan aplikasi baru Anda untuk mengakses API web. Ketika Anda memilih izin API untuk aplikasi ini, default User.Read sudah cukup untuk mengumpulkan informasi dasar tentang pengguna untuk membuat proses onboarding menjadi lancar dan otomatis. Jangan meminta izin API berlabel memerlukan persetujuan admin, karena ini akan memblokir semua pengguna non admin untuk mengunjungi halaman arahan Anda.
Jika Anda memerlukan izin yang ditingkatkan sebagai bagian dari proses onboarding atau provisi Anda, pertimbangkan untuk menggunakan fungsionalitas persetujuan bertahap dari ID Microsoft Entra sehingga semua pembeli yang dikirim dari marketplace dapat berinteraksi pada awalnya dengan halaman arahan.
Menggunakan sampel kode sebagai titik awal
Kami telah menyediakan beberapa aplikasi sampel yang menerapkan situs web sederhana dengan login Microsoft Entra diaktifkan. Setelah aplikasi Anda terdaftar di ID Microsoft Entra, bilah Mulai Cepat menawarkan daftar jenis aplikasi umum dan tumpukan pengembangan seperti yang terlihat di Gambar 1. Pilih salah satu yang cocok dengan lingkungan dan ikuti instruksi untuk mengunduh dan mengatur.
Gambar 1: blade mulai cepat di portal Microsoft Azure
Setelah mengunduh kode dan menyiapkan lingkungan pengembangan Anda, ubah pengaturan konfigurasi di aplikasi untuk mencerminkan ID Aplikasi, ID penyewa, dan rahasia klien yang Anda rekam di prosedur sebelumnya. Perhatikan bahwa langkah-langkah yang tepat akan berbeda tergantung pada sampel mana yang Anda gunakan.
Menggunakan dua aplikasi Microsoft Entra untuk meningkatkan keamanan dalam produksi
Artikel ini menyajikan versi arsitektur yang disederhanakan untuk menerapkan halaman arahan untuk penawaran SaaS marketplace komersial Anda. Saat menjalankan halaman dalam produksi, sebaiknya meningkatkan keamanan dengan berkomunikasi ke API pemenuhan SaaS hanya melalui aplikasi yang berbeda dan aman. Tindakan ini membutuhkan pembuatan dua aplikasi baru:
- Pertama, aplikasi halaman arahan multitenant dideskripsikan hingga saat ini, kecuali tanpa fungsionalitas untuk menghubungi API pemenuhan SaaS. Fungsionalitas ini akan di-offload ke aplikasi lain, seperti yang dijelaskan di bawah ini.
- Kedua, aplikasi untuk memiliki komunikasi dengan API pemenuhan SaaS. Aplikasi ini harus penyewa tunggal, hanya digunakan oleh organisasi Anda, dan daftar kontrol akses dapat dibuat untuk membatasi akses ke API hanya dari aplikasi ini.
Tindakan in memungkinkan solusi untuk bekerja dalam skenario yang mengamati prinsip pemisahan masalah. Misalnya, halaman arahan menggunakan aplikasi Microsoft Entra pertama yang terdaftar untuk memasukkan pengguna. Setelah pengguna masuk, halaman arahan menggunakan ID Microsoft Entra kedua untuk meminta token akses untuk memanggil API pemenuhan SaaS dan memanggil operasi penyelesaian.
Menyelesaikan token identifikasi pembelian marketplace
Ketika pembeli dikirim ke halaman arahan Anda, token ditambahkan ke parameter URL. Token ini berbeda dari token yang dikeluarkan ID Microsoft Entra dan token akses yang digunakan untuk autentikasi layanan-ke-layanan, dan digunakan sebagai input untuk API pemenuhan SaaS menyelesaikan panggilan untuk mendapatkan detail langganan. Seperti semua panggilan ke API pemenuhan SaaS, permintaan layanan-ke-layanan Anda akan diautentikasi dengan token akses yang didasarkan pada pengguna ID Aplikasi Microsoft Entra aplikasi untuk autentikasi layanan-ke-layanan.
Catatan
Dalam kebanyakan kasus, lebih baik melakukan panggilan ini dari aplikasi penyewa tunggal kedua. Lihat Menggunakan dua aplikasi Microsoft Entra untuk meningkatkan keamanan dalam produksi sebelumnya di artikel ini.
Minta Token Akses
Untuk mengautentikasi aplikasi Anda dengan API pemenuhan SaaS, Anda memerlukan token akses, yang dapat dihasilkan dengan memanggil titik akhir OAuth ID Microsoft Entra. Lihat Cara mendapatkan token otorisasi penerbit.
Memanggil titik akhir penyelesaian
API pemenuhan SaaS menerapkan titik akhir penyelesaian yang dapat dipanggil untuk mengonfirmasi validitas token marketplace dan mengembalikan informasi tentang langganan.
Membaca informasi dari klaim yang dikodekan dalam token ID
Sebagai bagian dari alur OpenID Connect , masukkan nilai id penyewa yang Anda terima di https://login.microsoftonline.com/{tenant}/v2.0. MICROSOFT Entra ID menambahkan token ID ke permintaan saat pembeli dikirim ke halaman arahan. Token ini berisi beberapa bagian informasi dasar yang dapat berguna dalam proses aktivasi, termasuk informasi yang terlihat dalam tabel ini.
| Nilai | Deskripsi |
|---|---|
| aud | Audiens yang dituju untuk token ini. Dalam hal ini, token harus sesuai dengan ID Aplikasi Anda dan divalidasi. |
| preferred_username | Nama pengguna utama pengguna yang berkunjung. Bisa berupa alamat email, nomor telepon, atau pengidentifikasi lainnya. |
| Alamat email pengguna. Perhatikan bahwa bidang ini mungkin kosong. | |
| nama | Nilai yang dapat dibaca manusia yang mengidentifikasi subjek token. Dalam hal ini, nilai berupa nama pengguna. |
| oid | Pengidentifikasi dalam sistem identitas Microsoft yang secara unik mengidentifikasi pengguna di seluruh aplikasi. Microsoft Graph akan mengembalikan nilai ini sebagai properti ID untuk akun pengguna tertentu. |
| tid | Pengidentifikasi yang mewakili penyewa Microsoft Entra tempat pembeli berasal. Dalam kasus identitas MSA, ini akan selalu menjadi 9188040d-6c67-4c5b-b112-36a304b66dad. Selengkapnya, lihat catatan di bagian berikutnya: Menggunakan API Microsoft Graph. |
| sub | Pengidentifikasi yang secara unik mengidentifikasi pengguna dalam aplikasi khusus ini. |
Menggunakan Microsoft Graph API
Token ID berisi informasi dasar untuk mengidentifikasi pembeli, tetapi proses aktivasi Anda mungkin memerlukan detail tambahan—seperti perusahaan pembeli—untuk menyelesaikan proses orientasi. Gunakan Microsoft Graph API untuk meminta informasi ini agar tidak memaksa pengguna memasukkan detail ini lagi. Izin User.Read standar mencakup informasi berikut, secara default.
| Nilai | Deskripsi |
|---|---|
| displayName | Nama yang ditampilkan dalam buku alamat untuk pengguna. |
| givenName | Nama depan pengguna. |
| jobTitle | Jabatan pengguna. |
| Alamat SMTP untuk pengguna. | |
| mobilePhone | Nomor telepon seluler utama untuk pengguna. |
| preferredLanguage | Kode ISO 639-1 untuk bahasa pilihan pengguna. |
| surname | Nama belakang pengguna. |
Properti tambahan—seperti nama perusahaan pengguna atau lokasi pengguna (negara/wilayah)—dapat dipilih untuk dimasukkan dalam permintaan. Untuk detail selengkapnya, lihat Properti untuk jenis sumber daya pengguna.
Sebagian besar aplikasi yang terdaftar di ID Microsoft Entra memberikan izin yang didelegasikan untuk membaca informasi pengguna dari penyewa Microsoft Entra perusahaan mereka. Setiap permintaan ke Microsoft Graph untuk informasi tersebut harus disertai dengan token akses sebagai autentikasi. Langkah-langkah khusus untuk menghasilkan token akses akan tergantung pada tumpukan teknologi yang Anda gunakan, tetapi kode sampel akan berisi sebuah contoh. Selengkapnya, lihat Mendapatkan akses atas nama pengguna.
Catatan
Akun dari penyewa MSA (dengan ID penyewa 9188040d-6c67-4c5b-b112-36a304b66dad) tidak akan mengembalikan informasi lebih banyak daripada yang telah dikumpulkan dengan token ID. Jadi Anda dapat melompati panggilan ini ke API Graph untuk akun-akun ini.
Langkah berikutnya
Tutorial video
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk