Microsoft商業市集中的 Entra 識別碼和可交易 SaaS 供應專案
Microsoft雲端式身分識別和存取管理服務, Microsoft Entra ID (Microsoft Entra ID)可協助使用者登入及存取內部和外部資源。 在Microsoft商業市集中,Microsoft Entra ID 可讓所有人更容易且更安全的 SaaS 供應專案,包括發行者、買家和使用者。 透過Microsoft Entra標識符,發行者可以將使用者布建至其軟體即服務 (SaaS) 應用程式,而購買者本身也可以管理這些布建的使用者。
此外, Microsoft Entra 單一登錄 (SSO) 會在使用者登入 Microsoft Entra ID 中的應用程式時,提供安全性和便利性。 更快速的參與和優化體驗也會從與發行者的 SaaS 應用程式第一次互動中激發買家和使用者的信心。 這給人留下正面印象,可建立可見度並鼓勵重複業務。
依照本文中的指引,您將協助在商業市集中認證您的 SaaS 供應專案。 如需認證的詳細資訊,請參閱詳細的 商業市集認證原則,包括 SaaS 特有的認證原則。
重要
自 2023 年 6 月 30 日起,Azure Active Directory (Azure AD) Graph 已淘汰。 接下來,我們不會對 Azure AD Graph 進行進一步的投資。 Azure AD Graph API 除了安全性相關修正之外,沒有 SLA 或維護承諾。 我們只會對 Microsoft Graph 投資發展新的功能。
我們會以累加步驟淘汰 Azure AD Graph,讓您有足夠的時間將應用程式移轉至 Microsoft Graph API。 在稍後宣佈的日期,我們將封鎖使用 Azure AD Graph 建立任何新的應用程式。
若要深入瞭解,請參閱 重要事項:Azure AD Graph 淘汰和 Powershell 模組淘汰。
開始之前
當您 在合作夥伴中心建立 SaaS 供應專案 時,您可以從供應專案清單上顯示的一組特定清單選項中選擇。 您選擇的決定您的供應專案在商業市集中交易的方式。 透過 Microsoft 銷售的供應專案稱為可交易的供應專案。 我們會代表您向客戶收取所有可交易的供應項目費用。 如果您選擇透過Microsoft銷售,並讓我們代表您託管交易 ( 是 ] 選項),則您已選擇建立可交易的供應專案,本文適合您。 建議您完整閱讀。
如果您選擇只透過商業市集列出您的供應專案,並獨立處理交易( 無 選項),您有三個選項可供潛在客戶存取您的供應專案:立即取得供應專案(免費)、免費試用和連絡我。 如果您選取 [立即取得] 或 [免費試用],本文就不適合您。 相反地,如需詳細資訊,請參閱 在商業市 集中建置免費或試用版 SaaS 供應專案的登陸頁面。 如果您選取 [ 連絡我],則沒有直接發行者的責任。 繼續在合作夥伴中心建立您的供應專案。
Microsoft Entra ID 如何與 SaaS 供應專案的商業市集搭配運作
Microsoft Entra ID 可讓您順暢地購買、履行和管理商業市集解決方案。 圖 1 顯示發行者、購買者和使用者如何與購買和啟用訂閱互動。 它也會顯示客戶如何使用及管理他們從商業市集取得的 SaaS 應用程式。 為了此圖例的目的,買家是從商業市集起始購買的 SaaS 應用程式使用者。
如圖 1 所示,當買家選取您的供應專案時,他們會啟動包含購買、訂用帳戶和使用者管理的工作流程鏈結。 在此鏈結中,您身為發行者負責特定需求,Microsoft提供關鍵點的支援。
圖 1:在商業市集中針對 SaaS 供應專案使用Microsoft項目識別符
下列各節提供每個程式步驟需求的詳細數據。
購買管理的程式步驟
此圖顯示購買管理的四個程式步驟。
下表提供購買管理程式步驟的詳細數據。
| 程式步驟 | 發行者動作 | 發行者的建議或必要專案 |
|---|---|---|
| 1.買家使用其 Azure 標識符身分識別登入商業市集,並選取 SaaS 供應專案。 | 不需要發行者動作。 | 不適用 |
| 2. 購買之後,購買者會選取 [在 Azure Marketplace 中設定帳戶 ] 或 [立即 在 AppSource 中設定],以將購買者導向至此供應專案的發行者登陸頁面。 購買者必須能夠使用 Microsoft Entra SSO 登入發行者的 SaaS 應用程式,而且必須要求最少同意,而不需要Microsoft Entra 系統管理員核准。 | 設計供應專案的登陸頁面,使其接收使用者及其Microsoft Entra標識碼或Microsoft帳戶 (MSA) 身分識別,並協助進行所需的任何其他布建或設定。 | 必要 |
| 3.發行者會向 SaaS 履行 API 要求購買詳細數據。 | 使用從登陸頁面的應用程式標識符產生的存取令牌,呼叫解析端點以擷取購買的特定數據。 | 必要 |
| 4.透過Microsoft Entra ID 和 Microsoft Graph API,發行者會收集在發行者 SaaS 應用程式中布建購買者所需的公司和使用者詳細數據。 | 分解 Microsoft Entra 使用者令牌以尋找名稱和電子郵件,或 呼叫 Microsoft Graph API ,並使用委派的許可權來 擷取登入使用者的相關信息 。 | 必要 |
訂用帳戶管理的程式步驟
此圖顯示訂用帳戶管理的兩個程式步驟。
下表描述訂用帳戶管理程式步驟的詳細數據。
| 程式步驟 | 發行者動作 | 發行者的建議或必要專案 |
|---|---|---|
| 5.發行者會透過 SaaS 履行 API 管理 SaaS 應用程式的訂用帳戶。 | 透過 SaaS 履行 API 處理訂用帳戶變更和其他管理工作。 此步驟需要如程式步驟 3 中所述的存取令牌。 |
必要 |
| 6.使用計量定價時,發行者會將使用量事件發出至計量服務 API。 | 如果您的 SaaS 應用程式具有以使用量為基礎的計費功能,請透過 Marketplace 計量服務 API 來通知使用量通知。 此步驟需要如步驟 3 中所述的存取令牌。 |
計量的必要專案 |
使用者管理的程式步驟
此圖顯示使用者管理的三個程式步驟。
程式步驟 7 到 9 是選擇性的使用者管理程式步驟。 它們為支援 Microsoft Entra 單一登錄 (SSO) 的發行者提供額外的好處。 下表描述使用者管理程式步驟的詳細數據。
| 程式步驟 | 發行者動作 | 發行者的建議或必要專案 |
|---|---|---|
| 7. Microsoft 購買者公司的 Entra 系統管理員可以選擇性地透過 Microsoft Entra ID 來管理使用者和群組的存取權。 | 如果已為用戶設定 Microsoft Entra SSO,則不需要發行者動作才能啟用此動作(步驟 9)。 | 不適用 |
| 8. Microsoft Entra 布建服務會在Microsoft Entra 標識符與發行者的 SaaS 應用程式之間通訊變更。 | 實作 SCIM 端點 ,以在新增和移除使用者時,從 Microsoft Entra 識別碼接收更新。 | 建議需求 |
| 9. 在應用程式獲得許可權並布建之後,來自買家公司的使用者可以使用 Microsoft Entra SSO 來登入發行者的 SaaS 應用程式。 | 使用 Microsoft Entra SSO 讓使用者使用一個帳戶登入發行者的 SaaS 應用程式一次。 | 建議需求 |