Ticari markette işlem yapılabilir SaaS teklifinizin giriş sayfasını oluşturma

Bu makale, Microsoft ticari marketinde satılacak işlem yapılabilir bir SaaS uygulaması için giriş sayfası oluşturma işleminde size yol gösterir.

Önemli

Azure Active Directory (Azure AD) Graph, 30 Haziran 2023 itibarıyla kullanım dışı bırakılmıştır. Bundan sonra Azure AD Graph'a başka yatırım yapmayız. Azure AD Graph API'lerinin güvenlikle ilgili düzeltmelerin ötesinde SLA veya bakım taahhüdü yoktur. Yeni özelliklere ve işlevlere yapılan yatırımlar yalnızca Microsoft Graph'ta yapılacaktır.

Uygulamalarınızı Microsoft Graph API'lerine geçirmek için yeterli zamanınız olması için Azure AD Graph'ı artımlı adımlarla kullanımdan alacağız. Duyuracağımız sonraki bir tarihte, Azure AD Graph kullanarak yeni uygulamaların oluşturulmasını engelleyeceğiz.

Daha fazla bilgi edinmek için bkz . Önemli: Azure AD Graph Kullanımdan Kaldırma ve PowerShell Modülü Kullanımdan Kaldırma.

Genel bakış

Giriş sayfasını hizmet olarak yazılım (SaaS) teklifinizin "lobisi" olarak düşünebilirsiniz. Alıcı bir teklife abone olduktan sonra ticari market, saas uygulamanıza aboneliğini etkinleştirmek ve yapılandırmak için onu giriş sayfasına yönlendirir. Bunu, alıcının ne satın aldıklarını görmesine ve hesap ayrıntılarını onaylamasına olanak tanıyan bir sipariş onay adımı olarak düşünün. Azure Active Directory (Azure AD) ve Microsoft Graph'ı kullanarak, alıcı için çoklu oturum açmayı (SSO) etkinleştirecek ve alıcı hakkında adı, e-posta adresi ve kuruluşu dahil olmak üzere aboneliğini onaylamak ve etkinleştirmek için kullanabileceğiniz önemli ayrıntıları alacaksınız.

Aboneliği etkinleştirmek için gereken bilgiler sınırlı olduğundan ve Azure AD ve Microsoft Graph tarafından sağlandığından, temel onaydan daha fazlasını gerektiren bilgi istemeye gerek yoktur. Uygulamanız için ek onay gerektiren kullanıcı ayrıntılarına ihtiyacınız varsa, abonelik etkinleştirme tamamlandıktan sonra bu bilgileri istemeniz gerekir. Bu, alıcı için sorunsuz abonelik etkinleştirmesini sağlar ve bırakma riskini azaltır.

Giriş sayfası genellikle aşağıdakileri içerir:

  • Satın alınan teklifin ve planın adını ve faturalama koşullarını sunun.
  • Alıcının ad ve soyadı, kuruluş ve e-posta da dahil olmak üzere hesap ayrıntılarını sunun.
  • Alıcıdan farklı hesap ayrıntılarını onaylamasını veya değiştirmesini iste.
  • Etkinleştirmeden sonraki adımlarda alıcıya kılavuzluk edin. Örneğin, bir karşılama e-postası alın, aboneliği yönetin, destek alın veya belgeleri okuyun.

Not

Etkinleştirmeden sonra aboneliğini yönetirken alıcı da giriş sayfasına yönlendirilir. Alıcının aboneliği etkinleştirildikten sonra, kullanıcının oturum açmasını sağlamak için SSO kullanmanız gerekir. Kullanıcıyı bir hesap profiline veya yapılandırma sayfasına yönlendirmek önerilir.

Aşağıdaki bölümler giriş sayfası oluşturma işleminde size yol gösterir:

  1. Giriş sayfası için bir Azure AD uygulama kaydı oluşturun.
  2. Uygulamanız için başlangıç noktası olarak bir kod örneği kullanın.
  3. Üretimde güvenliği geliştirmek için iki Azure AD uygulaması kullanın.
  4. Ticari market tarafından URL'ye eklenen market satın alma tanımlama belirtecini çözün.
  5. Oturum açma sonrasında Azure AD'den alınan ve istekle birlikte gönderilen kimlik belirtecinde kodlanmış taleplerden gelen bilgileri okuyun.
  6. Gerektiğinde ek bilgi toplamak için Microsoft Graph API'sini kullanın.

Azure AD uygulama kaydı oluşturma

Ticari market, Azure AD ile tamamen tümleşiktir. Alıcılar markete bir Azure AD hesabı veya Microsoft hesabı (MSA) ile kimliği doğrulanmış olarak ulaşır. Satın aldıktan sonra, alıcı SaaS uygulamanızın aboneliğini etkinleştirmek ve yönetmek için ticari marketten giriş sayfası URL'nize gider. Alıcının Azure AD SSO ile uygulamanızda oturum açmasına izin vermelisiniz. (Giriş sayfası URL'si teklifin Teknik yapılandırma sayfası.)

Bahşiş

Giriş sayfası URL'sine pound işareti karakterini (#) eklemeyin. Aksi takdirde müşteriler giriş sayfanıza erişemez.

Kimliği kullanmanın ilk adımı, giriş sayfanızın Azure AD uygulaması olarak kayıtlı olduğundan emin olmaktır. Uygulamayı kaydetmek, kullanıcıların kimliğini doğrulamak ve kullanıcı kaynaklarına erişim istemek için Azure AD'yi kullanmanıza olanak tanır. Uygulamanın tanımı olarak kabul edilebilir. Bu tanım, hizmetin uygulamanın ayarlarına göre uygulamaya belirteçlerin nasıl verildiğini bilmesini sağlar.

Yeni bir uygulamayı Azure portalını kullanarak kaydetme

Başlamak için yeni bir uygulama kaydetme yönergelerini izleyin. Diğer şirketlerden kullanıcıların uygulamayı ziyaret etmesine izin vermek için, uygulamayı kimin kullanabileceği sorulduğunda çok kiracılı seçeneklerden birini seçmeniz gerekir.

Microsoft Graph API'sini sorgulamak istiyorsanız yeni uygulamanızı web API'lerine erişecek şekilde yapılandırın. Bu uygulama için API izinlerini seçtiğinizde varsayılan User.Read değeri, ekleme işlemini sorunsuz ve otomatik hale getirmek için alıcı hakkında temel bilgileri toplamak için yeterlidir. Yönetici onayı gerekiyor etiketli API izinleri istemeyin, bu durum yönetici olmayan tüm kullanıcıların giriş sayfanızı ziyaret etmelerini engeller.

Ekleme veya sağlama sürecinizin bir parçası olarak yükseltilmiş izinlere ihtiyacınız varsa, marketten gönderilen tüm alıcıların başlangıçta giriş sayfasıyla etkileşim kurabilmesi için Azure AD'nin artımlı onay işlevini kullanmayı göz önünde bulundurun.

Başlangıç noktası olarak kod örneği kullanma

Azure AD oturum açma özelliğinin etkinleştirildiği basit bir web sitesi uygulayan birkaç örnek uygulama sağladık. Uygulamanız Azure AD'ye kaydedildikten sonra Hızlı Başlangıç dikey penceresi, Şekil 1'de görüldüğü gibi yaygın uygulama türlerinin ve geliştirme yığınlarının listesini sunar. Ortamınızla eşleşen bir ortam seçin ve indirme ve kurulum yönergelerini izleyin.

Şekil 1: Azure portalında Hızlı Başlangıç dikey penceresi

Illustrates the quickstart blade in the Azure portal.

Kodu indirip geliştirme ortamınızı ayarladıktan sonra, uygulamadaki yapılandırma ayarlarını önceki yordamda kaydettiğiniz Uygulama Kimliği, kiracı kimliği ve istemci gizli dizisini yansıtacak şekilde değiştirin. Tam adımların, kullandığınız örneğe bağlı olarak farklılık göstereceğini unutmayın.

Üretimde güvenliği geliştirmek için iki Azure AD uygulaması kullanma

Bu makalede, ticari market SaaS teklifiniz için giriş sayfası uygulamaya yönelik mimarinin basitleştirilmiş bir sürümü sunulmaktadır. Sayfayı üretim ortamında çalıştırırken, SaaS yerine getirme API'lerine yalnızca farklı, güvenli bir uygulama üzerinden iletişim kurarak güvenliği geliştirmenizi öneririz. Bunun için iki yeni uygulama oluşturulması gerekir:

  • İlk olarak, SaaS yerine getirme API'leriyle iletişim kurma işlevselliği olmadan çok kiracılı giriş sayfası uygulaması bu noktaya kadar açıklanmıştır. Bu işlev, aşağıda açıklandığı gibi başka bir uygulamaya yüklenir.
  • İkinci olarak, SaaS yerine getirme API'leri ile iletişimlere sahip olan bir uygulama. Bu uygulama tek bir kiracı olmalıdır, yalnızca kuruluşunuz tarafından kullanılmalıdır ve yalnızca bu uygulamadan API'lere erişimi sınırlandırmak için bir erişim denetimi listesi oluşturulabilir.

Bu, çözümün endişelerin ayrılması ilkesini gözlemleyen senaryolarda çalışmasını sağlar. Örneğin, giriş sayfası kullanıcıda oturum açmak için ilk kayıtlı Azure AD uygulamasını kullanır. Kullanıcı oturum açtıktan sonra, giriş sayfası SaaS karşılama API'lerini çağırmak ve çözümleme işlemini çağırmak üzere bir erişim belirteci istemek için ikinci Azure AD'yi kullanır.

Market satın alma tanımlama belirtecini çözme

Alıcı giriş sayfanıza gönderildiğinde, URL parametresine bir belirteç eklenir. Bu belirteç hem Azure AD tarafından verilen belirteçten hem de hizmetten hizmete kimlik doğrulaması için kullanılan erişim belirtecinden farklıdır ve aboneliğin ayrıntılarını almak için SaaS gerçekleştirme API'leri çözüm çağrısı için giriş olarak kullanılır. SaaS yerine getirme API'lerine yapılan tüm çağrılarda olduğu gibi, hizmet-hizmet kimlik doğrulaması için uygulamanın Azure AD Uygulama Kimliği kullanıcısını temel alan bir erişim belirteci ile hizmet-hizmet isteğinizin kimliği doğrulanır.

Not

Çoğu durumda, bu çağrının ikinci, tek kiracılı bir uygulamadan yapılması tercih edilir. Bu makalenin önceki bölümlerinde üretimde güvenliği artırmak için iki Azure AD uygulaması kullanma konusuna bakın.

Erişim belirteci isteme

SaaS gerçekleştirme API'leriyle uygulamanızın kimliğini doğrulamak için, Azure AD OAuth uç noktası çağrılarak oluşturulabilen bir erişim belirteci gerekir. Bkz . Yayımcının yetkilendirme belirtecini alma.

Çözüm uç noktasını çağırma

SaaS gerçekleştirme API'leri, market belirtecinin geçerliliğini onaylamak ve abonelikle ilgili bilgileri döndürmek için çağrılabilen çözüm uç noktasını uygular.

Kimlik belirtecinde kodlanmış taleplerden bilgi okuma

OpenID Connect akışının bir parçası olarak, aldığınız kiracı kimliği değerini içine https://login.microsoftonline.com/{tenant}/v2.0yerleştirin. Azure AD, alıcı giriş sayfasına gönderildiğinde isteğe bir kimlik belirteci ekler. Bu belirteç, bu tabloda görülen bilgiler de dahil olmak üzere etkinleştirme işleminde yararlı olabilecek birden çok temel bilgi içerir.

Değer Tanım
Aud Bu belirteç için hedeflenen hedef kitle. Bu durumda uygulama kimliğiniz ile eşleşmeli ve doğrulanmalıdır.
preferred_username Ziyaret eden kullanıcının birincil kullanıcı adı. Bu bir e-posta adresi, telefon numarası veya başka bir tanımlayıcı olabilir.
E-posta Kullanıcının e-posta adresi. Bu alanın boş olabileceğini unutmayın.
ad Belirtecin konusunu tanımlayan insan tarafından okunabilir değer. Bu durumda, alıcının adı olacaktır.
Oıd Microsoft kimlik sisteminde kullanıcıyı uygulamalar arasında benzersiz olarak tanımlayan tanımlayıcı. Microsoft Graph bu değeri belirli bir kullanıcı hesabının ID özelliği olarak döndürür.
Tid Alıcının ait olduğu Azure AD kiracısını temsil eden tanımlayıcı. MSA kimliği söz konusu olduğunda, bu her zaman olacaktır 9188040d-6c67-4c5b-b112-36a304b66dad. Daha fazla bilgi için sonraki bölümdeki nota bakın: Microsoft Graph API'sini kullanma.
alt Bu uygulamadaki kullanıcıyı benzersiz olarak tanımlayan tanımlayıcı.

Microsoft Graph API’sini kullanma

Kimlik belirteci, alıcıyı tanımlamak için temel bilgiler içerir, ancak etkinleştirme işleminiz, ekleme işlemini tamamlamak için alıcının şirketi gibi ek ayrıntılar gerektirebilir. Kullanıcıyı bu ayrıntıları yeniden giriş yapmaya zorlamamak için Microsoft Graph API'sini kullanarak bu bilgileri isteyin. Standart User.Read izinleri varsayılan olarak aşağıdaki bilgileri içerir.

Değer Tanım
displayName Kullanıcının adres defterinde görüntülenen ad.
givenName Kullanıcının adı.
jobTitle Kullanıcının iş unvanı.
posta Kullanıcının SMTP adresi.
Mobilephone Kullanıcının birincil cep telefonu numarası.
preferredLanguage Kullanıcının tercih ettiği dil için ISO 639-1 kodu.
Soyadı Kullanıcının soyadı.

İsteğin eklenmesi için kullanıcının şirketinin adı veya kullanıcının konumu (ülke/bölge) gibi ek özellikler seçilebilir. Daha fazla ayrıntı için bkz . kullanıcı kaynak türünün özellikleri.

Azure AD'ye kayıtlı uygulamaların çoğu, şirketin Azure AD kiracısından kullanıcının bilgilerini okumak için temsilci izinleri verir. Bu bilgiler için Microsoft Graph'a yapılan tüm isteklere kimlik doğrulaması için bir erişim belirteci eşlik etmelidir. Erişim belirtecini oluşturmak için belirli adımlar kullandığınız teknoloji yığınına bağlıdır, ancak örnek kod bir örnek içerir. Daha fazla bilgi için, bkz. Kullanıcı adına erişim sağlama.

Not

MSA kiracısından (kiracı kimliğine 9188040d-6c67-4c5b-b112-36a304b66dadsahip) hesaplar, kimlik belirteciyle daha önce toplanmış olandan daha fazla bilgi döndürmez. Bu nedenle, bu hesaplar için Graph API'sine yapılan bu çağrıyı atlayabilirsiniz.

Sonraki adımlar

Video eğiticileri