Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ten artykuł przeprowadzi Cię przez proces tworzenia strony docelowej bezpłatnej lub próbnej aplikacji SaaS, która zostanie sprzedana na komercyjnej platformie handlowej firmy Microsoft.
Ważny
Usługa Azure Active Directory (Azure AD) Graph jest przestarzała od 30 czerwca 2023 r. W przyszłości nie dokonujemy dalszych inwestycji w usłudze Azure AD Graph. Interfejsy API programu Graph usługi Azure AD nie mają umowy SLA ani zobowiązania do konserwacji poza poprawkami związanymi z zabezpieczeniami. Inwestycje w nowe funkcje i funkcjonalności będą realizowane wyłącznie w Microsoft Graph.
Wycofamy program Azure AD Graph w krokach przyrostowych, aby mieć wystarczający czas na migrację aplikacji do interfejsów API programu Microsoft Graph. W późniejszym terminie ogłosimy, że zablokujemy tworzenie nowych aplikacji przy użyciu usługi Azure AD Graph.
Aby dowiedzieć się więcej, zobacz Ważne: wycofanie programu Azure AD Graph i wycofanie modułu programu PowerShell.
Przegląd
Możesz traktować stronę docelową jako "lobby" dla oferty oprogramowania jako usługi (SaaS). Gdy klient zdecyduje się pobrać aplikację, komercyjna platforma handlowa kieruje je do strony docelowej w celu aktywowania i konfigurowania subskrypcji aplikacji SaaS. Podczas tworzenia oferty oprogramowania jako usługi (SaaS) w Centrum partnerskim możesz wybrać, czy sprzedawać za pośrednictwem Microsoft. Jeśli chcesz wyświetlić tylko swoją ofertę na platformie handlowej firmy Microsoft, a nie sprzedawać za pośrednictwem firmy Microsoft, możesz określić, w jaki sposób potencjalni klienci mogą korzystać z oferty. Po włączeniu opcji Pobierz teraz (bezpłatnie) lub Bezpłatna wersja próbna, należy określić adres URL strony docelowej, do której użytkownik może przejść, aby uzyskać dostęp do bezpłatnej subskrypcji lub wersji próbnej.
Celem strony docelowej jest po prostu otrzymanie użytkownika, aby mógł aktywować bezpłatną wersję próbną lub bezpłatną subskrypcję. Korzystając z usługi Microsoft Entra ID i Microsoft Graph, włączysz logowanie jednokrotne dla użytkownika i uzyskasz ważne informacje o użytkowniku, którego możesz użyć do aktywowania bezpłatnej wersji próbnej lub bezpłatnej subskrypcji, w tym ich nazwy, adresu e-mail i organizacji.
Ponieważ informacje potrzebne do aktywowania subskrypcji są ograniczone i udostępniane przez microsoft Entra ID i Microsoft Graph, nie powinno być potrzeby żądania informacji, które wymagają więcej niż podstawowej zgody. Jeśli potrzebujesz szczegółów użytkownika, które wymagają większej zgody dla aplikacji, po zakończeniu aktywacji subskrypcji należy zażądać tych informacji. Umożliwia to bezproblemową aktywację subskrypcji dla użytkownika i zmniejsza ryzyko porzucenia.
Strona docelowa zazwyczaj zawiera następujące informacje i opcje wyświetlania:
- Podaj nazwę i szczegóły bezpłatnej wersji próbnej lub bezpłatnej subskrypcji. Na przykład określ limity użycia lub czas trwania wersji próbnej.
- Podaj szczegóły konta użytkownika, w tym imię i nazwisko, organizację i adres e-mail.
- Monituj użytkownika o potwierdzenie lub zastąpienie różnych szczegółów konta.
- Po wykonaniu kolejnych kroków po aktywacji należy poprowadzić użytkownika. Na przykład otrzymuj powitalną wiadomość e-mail, zarządzaj subskrypcją, uzyskaj pomoc techniczną lub przeczytaj dokumentację.
W poniższych sekcjach w tym artykule opisano proces tworzenia strony docelowej:
- Utwórz rejestrację aplikacji Microsoft Entra dla strony docelowej.
- Użyj przykładu kodu jako punktu początkowego dla aplikacji.
- Odczytaj informacje z roszczeń zakodowanych w tokenie ID, otrzymanym od Microsoft Entra ID po zalogowaniu, który został wysłany z żądaniem.
- Użyj interfejsu API programu Microsoft Graph, aby zebrać dodatkowe informacje zgodnie z potrzebami.
Tworzenie rejestracji aplikacji Entra firmy Microsoft
Platforma handlowa jest w pełni zintegrowana z identyfikatorem Entra firmy Microsoft. Użytkownicy docierają do witryny Marketplace uwierzytelnionej przy użyciu konta Microsoft Entra lub konta Microsoft (MSA). Po uzyskaniu subskrypcji bezpłatnej lub bezpłatnej wersji próbnej za pośrednictwem oferty dostępnej wyłącznie dla określonej listy, użytkownik przechodzi z komercyjnej platformy handlowej do adresu URL strony docelowej, aby aktywować i zarządzać swoją subskrypcją aplikacji SaaS. Musisz zezwolić użytkownikowi na logowanie się do aplikacji przy użyciu logowania jednokrotnego firmy Microsoft Entra. (Adres URL strony docelowej jest określony na stronie konfiguracji technicznej oferty).
Napiwek
Nie dołączaj znaku funta (#) do adresu URL strony docelowej. W przeciwnym razie klienci nie będą mogli uzyskać dostępu do strony docelowej.
Pierwszym krokiem do korzystania z tożsamości jest upewnienie się, że strona docelowa jest zarejestrowana jako aplikacja Firmy Microsoft Entra. Zarejestrowanie aplikacji umożliwia użycie identyfikatora Entra firmy Microsoft do uwierzytelniania użytkowników i żądania dostępu do zasobów użytkownika. Można ją uznać za definicję aplikacji, która pozwala usłudze wiedzieć, jak wystawiać tokeny do aplikacji na podstawie ustawień aplikacji.
Rejestrowanie nowej aplikacji przy użyciu witryny Azure Portal
Aby rozpocząć pracę, postępuj zgodnie z instrukcjami dotyczącymi rejestrowania nowej aplikacji . Aby umożliwić użytkownikom z innych firm odwiedzanie aplikacji, należy wybrać Konta w dowolnym katalogu organizacyjnym (dowolnym katalogu Microsoft Entra — wielodostępny) i osobiste konta Microsoft (na przykład Skype lub Xbox), gdy zapytano, kto może korzystać z aplikacji.
Jeśli zamierzasz wykonać zapytanie do interfejsu API Microsoft Graph, skonfiguruj nową aplikację, aby uzyskać dostęp do internetowych interfejsów API. Po wybraniu uprawnień interfejsu API dla tej aplikacji, domyślne User.Read wystarczy, aby zebrac podstawowe informacje o użytkowniku i uczynić proces wdrażania bezproblemowym i automatycznym. Nie żądaj żadnych uprawnień interfejsu API oznaczonych etykietą wymaga zgody administratora, ponieważ spowoduje to zablokowanie wszystkim użytkownikom niebędącym administratorami odwiedzania strony docelowej.
Jeśli w ramach procesu dołączania lub aprowizacji wymagane są podwyższone uprawnienia, rozważ użycie przyrostowej zgody funkcji identyfikatora Entra firmy Microsoft, aby wszyscy użytkownicy wysłani z witryny Marketplace mogli początkowo wchodzić w interakcję ze stroną docelową.
Używanie przykładu kodu jako punktu wyjścia
Firma Microsoft udostępniła kilka przykładowych aplikacji, które implementują prostą witrynę internetową z włączonym logowaniem firmy Microsoft Entra. Po zarejestrowaniu aplikacji w usłudze Microsoft Entra ID, panel Szybki start oferuje listę typowych typów aplikacji i stosów programistycznych (Rysunek 1). Wybierz ten, który jest zgodny ze środowiskiem, i postępuj zgodnie z instrukcjami dotyczącymi pobierania i konfigurowania.
Rysunek 1: Panel Szybki start w portalu Azure
Po pobraniu kodu i skonfigurowaniu środowiska programistycznego zmień ustawienia konfiguracji w aplikacji, aby odzwierciedlić identyfikator aplikacji, identyfikator dzierżawy i tajny klucz klienta zarejestrowany w poprzedniej procedurze. Dokładne kroki różnią się w zależności od używanego przykładu.
Odczytywanie informacji z oświadczeń zakodowanych w tokenie identyfikatora
W ramach przepływu OpenID Connect Microsoft Entra ID dodaje token ID do żądania, gdy użytkownik jest wysyłany do strony głównej. Ten token zawiera wiele podstawowych informacji, które mogą być przydatne w procesie aktywacji, w tym informacje widoczne w tej tabeli.
Wartość | Opis |
---|---|
Aud | Docelowi odbiorcy dla tego tokenu. W takim przypadku powinna być zgodna z identyfikatorem aplikacji i zostać zweryfikowana. |
preferowana_nazwa_użytkownika | Podstawowa nazwa użytkownika odwiedzającego. Może to być adres e-mail, numer telefonu lub inny identyfikator. |
Adres e-mail użytkownika. To pole może być puste. | |
nazwa | Czytelna dla człowieka wartość identyfikująca podmiot tokenu. W takim przypadku jest to nazwa użytkownika. |
Oid | Identyfikator w systemie tożsamości firmy Microsoft, który jednoznacznie identyfikuje użytkownika w aplikacjach. Program Microsoft Graph zwróci tę wartość jako właściwość ID dla danego konta użytkownika. |
Tid | Identyfikator reprezentujący dzierżawcę Microsoft Entra, z którego pochodzi użytkownik. W przypadku tożsamości MSA zawsze będzie to 9188040d-6c67-4c5b-b112-36a304b66dad . Aby uzyskać więcej informacji, zobacz notatkę w następnej sekcji: Korzystanie z interfejsu API programu Microsoft Graph. |
Sub | Identyfikator, który jednoznacznie identyfikuje użytkownika w tej konkretnej aplikacji. |
Korzystanie z interfejsu API programu Microsoft Graph
Token identyfikatora zawiera podstawowe informacje dotyczące identyfikowania użytkownika, ale proces aktywacji może wymagać dodatkowych szczegółów, takich jak firma użytkownika, w celu ukończenia procesu wdrażania. Użyj interfejsu API Microsoft Graph , aby zażądać tych informacji i uniknąć konieczności ponownego wprowadzania tych szczegółów przez użytkownika. Standardowe uprawnienia User.Read obejmują domyślnie następujące informacje:
Wartość | Opis |
---|---|
nazwa wyświetlana | Nazwa wyświetlana w książce adresowej użytkownika. |
givenName | Imię użytkownika. |
Nazwa stanowiska | Stanowisko użytkownika. |
poczta | Adres SMTP użytkownika. |
telefon komórkowy | Podstawowy numer telefonu komórkowego użytkownika. |
preferowanyJęzyk | Kod ISO 639-1 dla preferowanego języka użytkownika. |
nazwisko | Nazwisko użytkownika. |
Więcej właściwości — takich jak nazwa firmy użytkownika lub lokalizacja użytkownika (kraj/region) — można wybrać do dołączenia do żądania. Aby uzyskać więcej informacji, zobacz Właściwości dla typu zasobu użytkownika.
Większość aplikacji zarejestrowanych w Microsoft Entra ID przyznaje delegowane uprawnienia do odczytywania informacji użytkownika z dzierżawcy Microsoft Entra w firmie użytkownika. Każde żądanie do usługi Microsoft Graph o te informacje musi być opatrzone tokenem dostępu w celu uwierzytelnienia. Konkretne kroki generowania tokenu dostępu zależą od używanego stosu technologii, ale przykładowy kod będzie zawierać przykład. Aby uzyskać więcej informacji, zobacz Uzyskiwanie dostępu w imieniu użytkownika.
Notatka
Konta z dzierżawy MSA (z identyfikatorem dzierżawy 9188040d-6c67-4c5b-b112-36a304b66dad
) nie będą zwracać więcej informacji niż zostały już zebrane przy użyciu tokenu identyfikatora. Możesz pominąć to wywołanie interfejsu API Graph dla tych kont.