Sdílet prostřednictvím


Vytvoření cílové stránky pro vaši nabídku SaaS s možností transakce na komerčním marketplace

Tento článek vás provede procesem vytvoření cílové stránky pro aplikaci SaaS, která se bude prodávat na komerčním marketplace Microsoftu.

Důležité

Azure Active Directory (Azure AD) Graph je od 30. června 2023 zastaralý. V budoucnu nepracujeme do Azure AD Graphu žádné další investice. Rozhraní Azure AD Graph API nemají žádné závazky sla ani údržby nad rámec oprav souvisejících se zabezpečením. Investice do nových funkcí a funkcí budou provedeny pouze v Microsoft Graphu.

Azure AD Graph vyřadíme v přírůstkových krocích, abyste měli dostatek času na migraci aplikací do rozhraní Microsoft Graph API. Později, kdy budeme oznamovat, zablokujeme vytváření nových aplikací pomocí Azure AD Graphu.

Další informace najdete v tématu Důležité: Vyřazení azure AD Graphu a vyřazení modulu PowerShellu.

Přehled

Cílovou stránku si můžete představit jako "předsálí" nabídky vašeho softwaru jako služby (SaaS). Jakmile se kupující přihlásí k odběru nabídky, komerční marketplace ho nasměruje na cílovou stránku, aby aktivoval a nakonfiguroval své předplatné vaší aplikace SaaS. Představte si to jako krok potvrzení objednávky, který umožňuje kupujícímu zjistit, co si koupil, a potvrdit podrobnosti o účtu. Pomocí Microsoft Entra ID a Microsoft Graphu povolíte pro kupujícího jednotné přihlašování a získáte důležité podrobnosti o kupujícím, které můžete použít k potvrzení a aktivaci předplatného, včetně jejich jména, e-mailové adresy a organizace.

Vzhledem k tomu, že informace potřebné k aktivaci předplatného jsou omezené a poskytují microsoft Entra ID a Microsoft Graph, není nutné žádat o informace, které vyžadují více než základní souhlas. Pokud potřebujete podrobnosti o uživateli, které vyžadují další souhlas pro vaši aplikaci, měli byste po dokončení aktivace předplatného požádat o tyto informace. To umožňuje bezproblémové aktivaci předplatného pro kupujícího a snižuje riziko opuštění.

Cílová stránka obvykle zahrnuje následující:

  • Předejte název nabídky a zakoupeného plánu a fakturační podmínky.
  • Prezentujte podrobnosti o účtu kupujícího, včetně jména a příjmení, organizace a e-mailu.
  • Vyzvat kupujícího, aby potvrdil nebo nahradil jiné podrobnosti o účtu.
  • Po aktivaci provede kupujícího dalšími kroky. Můžete například dostávat uvítací e-mail, spravovat předplatné, získat podporu nebo přečíst dokumentaci.

Poznámka:

Kupující bude také přesměrován na cílovou stránku při správě svého předplatného po aktivaci. Po aktivaci předplatného kupujícího musíte pomocí jednotného přihlašování povolit uživateli přihlášení. Doporučujeme uživatele nasměrovat na profil účtu nebo konfigurační stránku.

Následující části vás provedou procesem vytvoření cílové stránky:

  1. Vytvořte registraci aplikace Microsoft Entra pro cílovou stránku.
  2. Použijte vzorový kód jako výchozí bod pro vaši aplikaci.
  3. Ke zlepšení zabezpečení v produkčním prostředí použijte dvě aplikace Microsoft Entra.
  4. Vyřešte identifikační token nákupu marketplace přidaný na adresu URL komerčního marketplace.
  5. Přečtěte si informace z deklarací identity kódovaných v tokenu ID, který byl přijat od Microsoft Entra ID po přihlášení, který byl odeslán s požadavkem.
  6. Pomocí rozhraní Microsoft Graph API můžete podle potřeby shromáždit další informace.

Vytvoření registrace aplikace Microsoft Entra

Komerční marketplace je plně integrováno s Id Microsoft Entra. Kupující přicházejí na marketplace ověřené pomocí účtu Microsoft Entra nebo účtu Microsoft (MSA). Po zakoupení kupující přejde z komerčního marketplace na adresu URL cílové stránky, aby aktivoval a spravoval své předplatné vaší aplikace SaaS. Musíte nechat kupujícího přihlásit se k vaší aplikaci pomocí Jednotného přihlašování Microsoft Entra. (Adresa URL cílové stránky se zadává v nabídce .Stránka technické konfigurace .)

Tip

Do adresy URL cílové stránky nezahrnujte znak znaku libry (#). Jinak zákazníci nebudou mít přístup k cílové stránce.

Prvním krokem k použití identity je zajistit, aby vaše cílová stránka byla zaregistrována jako aplikace Microsoft Entra. Registrace aplikace umožňuje používat ID Microsoft Entra k ověřování uživatelů a vyžádání přístupu k uživatelským prostředkům. Může se považovat za definici aplikace, která službě umožní vydat tokeny pro aplikaci na základě nastavení aplikace.

Registrace nové aplikace pomocí portálu Azure Portal

Pokud chcete začít, postupujte podle pokynů pro registraci nové aplikace. Pokud chcete umožnit uživatelům z jiných společností aplikaci navštívit, musíte zvolit jednu z víceklientských možností, když se zobrazí dotaz, kdo může aplikaci používat.

Pokud chcete dotazovat rozhraní Microsoft Graph API, nakonfigurujte novou aplikaci pro přístup k webovým rozhraním API. Když vyberete oprávnění rozhraní API pro tuto aplikaci, výchozí hodnota User.Read stačí shromáždit základní informace o kupujícím, aby proces onboardingu byl hladký a automatický. Nepožadujte žádná oprávnění rozhraní API označená jako oprávnění správce, protože tím se zablokuje, aby všichni uživatelé bez oprávnění správce navštívili vaši cílovou stránku.

Pokud v rámci procesu onboardingu nebo zřizování vyžadujete zvýšená oprávnění, zvažte použití přírůstkové funkce souhlasu s ID Microsoft Entra, aby všichni kupující odesílaní z marketplace mohli na začátku s cílovou stránkou pracovat.

Použití ukázky kódu jako výchozího bodu

Poskytli jsme několik ukázkových aplikací, které implementují jednoduchý web s povoleným přihlášením Microsoft Entra. Po registraci aplikace v Microsoft Entra ID nabízí okno Rychlý start seznam běžných typů aplikací a vývojových zásobníků, jak je vidět na obrázku 1. Zvolte ten, který odpovídá vašemu prostředí, a postupujte podle pokynů ke stažení a nastavení.

Obrázek 1: Okno Rychlý start na webu Azure Portal

Znázorňuje okno Rychlé zprovoznění na webu Azure Portal.

Po stažení kódu a nastavení vývojového prostředí změňte nastavení konfigurace v aplikaci tak, aby odráželo ID aplikace, ID tenanta a tajný klíč klienta, které jste si poznamenali v předchozím postupu. Všimněte si, že přesný postup se bude lišit v závislosti na tom, jakou ukázku používáte.

Použití dvou aplikací Microsoft Entra ke zlepšení zabezpečení v produkčním prostředí

Tento článek představuje zjednodušenou verzi architektury pro implementaci cílové stránky pro nabídku SaaS komerčního marketplace. Při spouštění stránky v produkčním prostředí doporučujeme zlepšit zabezpečení tím, že komunikujete s rozhraními API pro plnění SaaS pouze prostřednictvím jiné zabezpečené aplikace. To vyžaduje vytvoření dvou nových aplikací:

  • Za prvé, víceklientské cílové stránky popsané až do tohoto okamžiku, s výjimkou bez funkce kontaktovat rozhraní API pro plnění SaaS. Tato funkce se přesměruje do jiné aplikace, jak je popsáno níže.
  • Za druhé, aplikace, která vlastní komunikaci s rozhraními API pro plnění SaaS. Tato aplikace by měla být jediným tenantem, pouze aby ji používala vaše organizace, a seznam řízení přístupu je možné navázat, aby se omezil přístup k rozhraním API pouze z této aplikace.

To umožňuje řešení pracovat ve scénářích, které dodržují princip oddělení obav . Například cílová stránka používá k přihlášení uživatele první zaregistrovanou aplikaci Microsoft Entra. Po přihlášení uživatele použije cílová stránka druhé ID Microsoft Entra k vyžádání přístupového tokenu pro volání rozhraní API pro plnění SaaS a volání operace překladu.

Řešení identifikačního tokenu nákupu marketplace

Při odeslání kupujícího na cílovou stránku se do parametru adresy URL přidá token. Tento token se liší od tokenu vydaného id Microsoft Entra a přístupového tokenu používaného pro ověřování mezi službami a používá se jako vstup pro rozhraní API pro plnění SaaS, které přeloží volání pro získání podrobností o předplatném. Stejně jako u všech volání rozhraní API pro plnění SaaS se váš požadavek na službu ověří pomocí přístupového tokenu, který je založený na uživateli ID aplikace Microsoft Entra pro ověřování mezi službami.

Poznámka:

Ve většině případů je vhodnější provést toto volání z druhé aplikace s jedním tenantem. Viz Použití dvou aplikací Microsoft Entra ke zlepšení zabezpečení v produkčním prostředí dříve v tomto článku.

Vyžádání přístupového tokenu

K ověření aplikace pomocí rozhraní API pro plnění SaaS potřebujete přístupový token, který se dá vygenerovat voláním koncového bodu OAuth Pro Microsoft Entra ID. Přečtěte si , jak získat autorizační token vydavatele.

Volání koncového bodu řešení

Rozhraní API pro plnění SaaS implementují koncový bod řešení , který je možné volat, aby potvrdila platnost tokenu marketplace a vrátila informace o předplatném.

Čtení informací z deklarací identity kódovaných v tokenu ID

Jako součást toku OpenID Connect vložte hodnotu ID tenanta, kterou https://login.microsoftonline.com/{tenant}/v2.0obdržíte. Id Microsoft Entra přidá do požadavku token ID při odeslání kupujícího na cílovou stránku. Tento token obsahuje několik základních informací, které můžou být užitečné při procesu aktivace, včetně informací zobrazených v této tabulce.

Hodnota Popis
aud Zamýšlená cílová skupina pro tento token. V tomto případě by se mělo shodovat s ID vaší aplikace a ověřit.
preferred_username Primární uživatelské jméno navštíveného uživatele Může se jednat o e-mailovou adresu, telefonní číslo nebo jiný identifikátor.
E-mail E-mailová adresa uživatele Všimněte si, že toto pole může být prázdné.
name Hodnota čitelná pro člověka, která identifikuje předmět tokenu. V tomto případě to bude jméno kupujícího.
Oid Identifikátor v systému identit Microsoftu, který jednoznačně identifikuje uživatele napříč aplikacemi. Microsoft Graph vrátí tuto hodnotu jako vlastnost ID pro daný uživatelský účet.
Tid Identifikátor, který představuje tenanta Microsoft Entra, od kterého je kupující. V případě identity MSA to bude vždy 9188040d-6c67-4c5b-b112-36a304b66dad. Další informace najdete v poznámce v další části: Použití rozhraní Microsoft Graph API.
předmět Identifikátor, který jednoznačně identifikuje uživatele v této konkrétní aplikaci.

Použití rozhraní Microsoft Graph API

Token ID obsahuje základní informace pro identifikaci kupujícího, ale proces aktivace může vyžadovat další podrobnosti, například společnost kupujícího, k dokončení procesu onboardingu. Pomocí rozhraní Microsoft Graph API požádejte o tyto informace, aby se zabránilo vynucení opětovného zadání těchto podrobností uživatelem. Standardní oprávnění User.Read obsahují ve výchozím nastavení následující informace.

Hodnota Description
displayName Jméno zobrazené v adresáři uživatele
givenName Jméno uživatele.
jobTitle Pracovní pozice uživatele.
pošta Adresa SMTP pro uživatele.
mobilePhone Primární mobilní telefonní číslo uživatele.
preferredLanguage Kód ISO 639-1 pro preferovaný jazyk uživatele.
surname Příjmení uživatele.

Pro zahrnutí do žádosti je možné vybrat další vlastnosti, například jméno společnosti uživatele nebo umístění uživatele (země nebo oblast). Další podrobnosti najdete v vlastnostech pro typ prostředku uživatele.

Většina aplikací zaregistrovaných v Microsoft Entra ID uděluje delegovaná oprávnění ke čtení informací uživatele z tenanta Microsoft Entra společnosti. Všechny požadavky na Microsoft Graph týkající se této informace musí být doprovázeny přístupovým tokenem pro ověření. Konkrétní kroky pro vygenerování přístupového tokenu budou záviset na použitém technologickém zásobníku, ale ukázkový kód bude obsahovat příklad. Další informace popisuje článek Získání přístupu jménem uživatele.

Poznámka:

Účty z tenanta MSA (s ID 9188040d-6c67-4c5b-b112-36a304b66dadtenanta) nebudou vracet více informací, než je již shromážděno s tokenem ID. Toto volání rozhraní Graph API pro tyto účty tedy můžete přeskočit.

Videonávody