Vytvoření cílové stránky pro vaši nabídku SaaS s možností transakce na komerčním marketplace

Tento článek vás provede procesem vytvoření cílové stránky pro aplikaci SaaS, která se bude prodávat na komerčním marketplace Microsoftu.

Důležitý

Azure Active Directory (Azure AD) Graph je od 30. června 2023 zastaralý. V budoucnu již nebudeme investovat do Azure AD Graph. Rozhraní Azure AD Graph API nemají žádné závazky SLA ani údržby, kromě oprav souvisejících se zabezpečením. Investice do nových funkcí a funkcí budou provedeny pouze v Microsoft Graphu.

Azure AD Graph vyřadíme v přírůstkových krocích, abyste měli dostatek času na migraci aplikací do rozhraní Microsoft Graph API. Později, kdy budeme oznamovat, zablokujeme vytváření nových aplikací pomocí Azure AD Graphu.

Další informace najdete v tématu Důležité: Ukončení podpory Azure AD Graphu a vyřazení modulu PowerShellu.

Přehled

Cílovou stránku si můžete představit jako "předsálí" nabídky vašeho softwaru jako služby (SaaS). Jakmile se kupující přihlásí k odběru nabídky, komerční marketplace ho nasměruje na cílovou stránku, aby aktivoval a nakonfiguroval své předplatné vaší aplikace SaaS. Představte si to jako krok potvrzení objednávky, který umožňuje kupujícímu zjistit, co si koupil, a potvrdit podrobnosti o účtu. Pomocí MICROSOFT Entra ID a Microsoft Graphu povolíte pro kupujícího jednotné přihlašování a získáte důležité podrobnosti o kupujícím, které můžete použít k potvrzení a aktivaci předplatného, včetně jeho jména, e-mailové adresy a organizace.

Vzhledem k tomu, že informace potřebné k aktivaci předplatného jsou omezené a poskytují microsoft Entra ID a Microsoft Graph, není nutné žádat o informace, které vyžadují více než základní souhlas. Pokud potřebujete podrobnosti o uživateli, které vyžadují další souhlas pro vaši aplikaci, měli byste po dokončení aktivace předplatného požádat o tyto informace. To umožňuje bezproblémové aktivaci předplatného pro kupujícího a snižuje riziko opuštění.

Cílová stránka obvykle zahrnuje následující:

• Předejte název nabídky a zakoupeného plánu a fakturační podmínky.
• Prezentujte podrobnosti o účtu kupujícího, včetně jména a příjmení, organizace a e-mailu.
• Vyzvat kupujícího, aby potvrdil nebo nahradil jiné podrobnosti o účtu.
• Po aktivaci provede kupujícího dalšími kroky. Můžete například dostávat uvítací e-mail, spravovat předplatné, získat podporu nebo přečíst dokumentaci.

Poznámka

Kupující bude také přesměrován na cílovou stránku při správě svého předplatného po aktivaci. Po aktivaci předplatného kupujícího musíte pomocí jednotného přihlašování povolit uživateli přihlášení. Doporučujeme uživatele nasměrovat na profil účtu nebo konfigurační stránku.

Následující části vás provedou procesem vytvoření cílové stránky:

1. Vytvořte registraci aplikace Microsoft Entra pro cílovou stránku.
2. Použijte ukázku kódu jako výchozí bod pro vaši aplikaci.
3. Použití dvou aplikací Microsoft Entra ke zlepšení zabezpečení v produkčním.
4. Vyřešit token identifikace nákupu na marketplace přidaný do URL komerčního marketplace.
5. čtení informací z deklarací identity kódovaných v tokenu ID, který byl přijat z Microsoft Entra ID po přihlášení, který byl odeslán s požadavkem.
6. k získání dalších informací podle potřeby použijte rozhraní Microsoft Graph API.

Vytvoření registrace aplikace Microsoft Entra

Komerční trh je plně integrován s Microsoft Entra ID. Kupující přicházejí na tržiště ověření pomocí účtu Microsoft Entra nebo účtu Microsoft (MSA). Po zakoupení kupující přejde z komerčního marketplace na adresu URL cílové stránky, aby aktivoval a spravoval své předplatné vaší aplikace SaaS. Musíte nechat kupujícího přihlásit se k vaší aplikaci pomocí Jednotného přihlašování Microsoft Entra. (Adresa URL vstupní stránky je uvedena na stránce v technické konfiguraci nabídky.)

Spropitné

Nezahrnujte znak libry (#) do adresy URL cílové stránky. Jinak zákazníci nebudou mít přístup k cílové stránce.

Prvním krokem k použití identity je zajistit, aby vaše cílová stránka byla zaregistrována jako aplikace Microsoft Entra. Registrace aplikace umožňuje používat ID Microsoft Entra k ověřování uživatelů a vyžádání přístupu k uživatelským prostředkům. Může se považovat za definici aplikace, která službě umožní vydat tokeny pro aplikaci na základě nastavení aplikace.

Registrace nové aplikace pomocí webu Azure Portal

Pokud chcete začít, postupujte podle pokynů pro registraci nové aplikace. Pokud chcete umožnit uživatelům z jiných společností aplikaci navštívit, musíte zvolit jednu z víceklientských možností, když se zobrazí dotaz, kdo může aplikaci používat.

Pokud chcete dotazovat rozhraní Microsoft Graph API, nakonfigurujte novou aplikaci pro přístup k webovým API. Když vyberete oprávnění rozhraní API pro tuto aplikaci, výchozí nastavení User.Read je dostačující ke shromáždění základních informací o kupujícím, což umožní, aby proces začlenění byl hladký a automatický. Nepožadujte žádná oprávnění rozhraní API označená , která vyžadují souhlas správce, protože tím bude návštěva vaší cílové stránky zablokována pro všechny uživatele bez oprávnění správce.

Pokud v rámci procesu onboardingu nebo zřizování vyžadujete zvýšená oprávnění, zvažte použití přírůstkového souhlasu funkce ID Microsoft Entra, aby všichni kupující odesílaní z marketplace mohli na začátku s cílovou stránkou pracovat.

Použití ukázky kódu jako výchozího bodu

Poskytli jsme několik ukázkových aplikací, které implementují jednoduchý web s povoleným přihlášením Microsoft Entra. Po registraci aplikace v Microsoft Entra ID nabízí Quickstart blade seznam běžných typů aplikací a vývojových zásobníků, jak je znázorněno na Obrázku 1. Zvolte ten, který odpovídá vašemu prostředí, a postupujte podle pokynů ke stažení a nastavení.

obrázek 1: Panel Rychlý start na webu Azure portál

Po stažení kódu a nastavení vývojového prostředí změňte nastavení konfigurace v aplikaci tak, aby odráželo ID aplikace, ID tenanta a tajný klíč klienta, které jste si poznamenali v předchozím postupu. Všimněte si, že přesný postup se bude lišit v závislosti na tom, jakou ukázku používáte.

Použití dvou aplikací Microsoft Entra ke zlepšení zabezpečení v produkčním prostředí

Tento článek představuje zjednodušenou verzi architektury pro implementaci cílové stránky pro nabídku SaaS komerčního marketplace. Při spouštění stránky v produkčním prostředí doporučujeme zlepšit zabezpečení tím, že komunikujete s rozhraními API pro plnění SaaS pouze prostřednictvím jiné zabezpečené aplikace. To vyžaduje vytvoření dvou nových aplikací:

• Za prvé, víceklientské cílové stránky popsané až do tohoto okamžiku, s výjimkou bez funkce kontaktovat rozhraní API pro plnění SaaS. Tato funkce se přesměruje do jiné aplikace, jak je popsáno níže.
• Za druhé, aplikace, která vlastní komunikaci s rozhraními API pro plnění SaaS. Tato aplikace by měla být jediným tenantem, pouze aby ji používala vaše organizace, a seznam řízení přístupu je možné navázat, aby se omezil přístup k rozhraním API pouze z této aplikace.

To umožňuje řešení pracovat ve scénářích, které sledují oddělení obav principu. Například cílová stránka používá k přihlášení uživatele první zaregistrovanou aplikaci Microsoft Entra. Po přihlášení uživatele použije vstupní stránka druhé ID Microsoft Entra k vyžádání přístupového tokenu pro volání rozhraní API pro plnění SaaS a spuštění operace vyřešení.

Řešení identifikačního tokenu nákupu marketplace

Při odeslání kupujícího na cílovou stránku se do parametru adresy URL přidá token. Tento token se liší od tokenu vydaného Microsoft Entra ID i přístupového tokenu používaného pro ověřování mezi službami a používá se jako vstup pro volání resolve rozhraní API pro plnění SaaS k získání podrobností o předplatném. Stejně jako u všech volání rozhraní API pro plnění SaaS se váš požadavek na službu ověří pomocí přístupového tokenu, který je založený na uživateli ID aplikace Microsoft Entra pro ověřování mezi službami.

Poznámka

Ve většině případů je vhodnější provést toto volání z druhé aplikace s jedním tenantem. Viz dříve v tomto článku: Použít dvě aplikace Microsoft Entra ke zlepšení zabezpečení v produkčním prostředí.

Vyžádání přístupového tokenu

K ověření aplikace pomocí rozhraní API pro plnění SaaS potřebujete přístupový token, který se dá vygenerovat voláním koncového bodu OAuth Pro Microsoft Entra ID. Viz Jak získat autorizační token vydavatele.

Vyvolejte koncový bod řešení

Rozhraní API pro plnění SaaS implementují vyřeší koncový bod, který je možné volat, aby potvrdilo platnost tokenu tržiště a vrátilo informace o předplatném.

Čtení informací z deklarací identity kódovaných v tokenu ID

Jako součást toku OpenID Connect vložte hodnotu ID tenanta, kterou obdržíte, do https://login.microsoftonline.com/{tenant}/v2.0. Microsoft Entra ID přidá do požadavku ID token , když je kupující odeslán na cílovou stránku. Tento token obsahuje několik základních informací, které můžou být užitečné při procesu aktivace, včetně informací zobrazených v této tabulce.

Hodnota	Popis
aud	Zamýšlená cílová skupina pro tento token. V tomto případě by se mělo shodovat s ID vaší aplikace a být ověřeno.
preferované_jméno_uživatele	Primární uživatelské jméno navštíveného uživatele Může se jednat o e-mailovou adresu, telefonní číslo nebo jiný identifikátor.
E-mail	E-mailová adresa uživatele Všimněte si, že toto pole může být prázdné.
Jméno	Hodnota čitelná pro člověka, která identifikuje předmět tokenu. V tomto případě to bude jméno kupujícího.
oid	Identifikátor v systému identit Microsoftu, který jednoznačně identifikuje uživatele napříč aplikacemi. Microsoft Graph vrátí tuto hodnotu jako vlastnost ID pro daný uživatelský účet.
Tid	Identifikátor, který představuje tenanta Microsoft Entra, z něhož pochází kupující. V případě identity MSA je to vždy 9188040d-6c67-4c5b-b112-36a304b66dad. Další informace najdete v poznámce v další části: Použití rozhraní Microsoft Graph API.
pod	Identifikátor, který jednoznačně identifikuje uživatele v této konkrétní aplikaci.

Použití rozhraní Microsoft Graph API

Token ID obsahuje základní informace pro identifikaci kupujícího, ale proces aktivace může vyžadovat další podrobnosti, například společnost kupujícího, k dokončení procesu onboardingu. Pomocí rozhraní Microsoft Graph API požádejte o tyto informace, abyste zabránili vynucení opětovného zadání těchto podrobností uživatelem. Standardní oprávnění User.Read standardně obsahují následující informace.

Hodnota	Popis
zobrazované jméno	Jméno zobrazené v adresáři uživatele
givenName	Jméno uživatele.
pracovní pozice	Pracovní pozice uživatele.
pošta	Adresa SMTP pro uživatele.
mobilní telefon	Primární mobilní telefonní číslo uživatele.
preferovanýJazyk	Kód ISO 639-1 pro preferovaný jazyk uživatele.
příjmení	Příjmení uživatele.

Pro zahrnutí do žádosti je možné vybrat další vlastnosti, například jméno společnosti uživatele nebo umístění uživatele (země nebo oblast). Další podrobnosti najdete ve vlastnostech pro typ uživatelského prostředku.

Většina aplikací zaregistrovaných v Microsoft Entra ID uděluje delegovaná oprávnění ke čtení informací uživatele z tenanta Microsoft Entra společnosti. Všechny požadavky na Microsoft Graph týkající se této informace musí být doprovázeny přístupovým tokenem pro ověření. Konkrétní kroky pro vygenerování přístupového tokenu budou záviset na použitém technologickém zásobníku, ale ukázkový kód bude obsahovat příklad. Další informace najdete v tématu Získání přístupu jménem uživatele.

Poznámka

Účty z tenanta MSA (s ID tenanta 9188040d-6c67-4c5b-b112-36a304b66dad) nebudou vracet více informací, než už bylo shromážděno s tokenem ID. Toto volání rozhraní Graph API pro tyto účty tedy můžete přeskočit.

Související obsah

• Vytvoření nabídky SaaS na komerčním marketplace

Videokursy

• vytvoření jednoduché cílové stránky SaaS v rozhraní .NET