Registrieren einer SaaS-Anwendung
In diesem Artikel wird erläutert, wie Sie eine SaaS-Anwendung mithilfe des Microsoft Azure-Portals registrieren und wie Sie das Zugriffstoken des Herausgebers (Microsoft Entra-Zugriffstoken) abrufen. Der Herausgeber verwendet dieses Token, um die SaaS-Anwendung zu authentifizieren, indem er die SaaS-Erfüllungs-APIs aufruft. Die Fulfillment-APIs verwenden die OAuth 2.0-Clientanmeldeinformationen, um Flows an Microsoft Entra ID-Endpunkten (v2.0) zu gewähren und ein Token für den Zugriff zwischen Diensten anzufordern.
Azure Marketplace erzwingt keine Einschränkungen für die Authentifizierungsmethode, die Ihr SaaS-Dienst für Endbenutzer verwendet. Der untenstehende Flow ist nur für die Authentifizierung des SaaS-Diensts in Azure Marketplace erforderlich.
Weitere Informationen zu Microsoft Entra ID (Active Directory) finden Sie unter Was ist die Authentifizierung.
Registrieren einer durch Microsoft Entra-ID gesicherten App
Jede Anwendung, die die Funktionen von Microsoft Entra ID verwenden möchte, muss zuerst in einem Microsoft Entra-Mandanten registriert werden. Bei diesem Registrierungsprozess werden Microsoft Entra einige Details zu Ihrer Anwendung gegeben. Führen Sie die folgenden Schritte aus, um eine neue Anwendung mithilfe des Azure-Portals zu registrieren:
Melden Sie sich beim Azure-Portalan.
Wenn Ihr Konto Ihnen Zugriff auf mehr als ein Konto gewährt, wählen Sie Ihr Konto in der oberen rechten Ecke aus. Legen Sie dann Ihre Portalsitzung auf den gewünschten Microsoft Entra-Mandanten fest.
Wählen Sie im linken Navigationsbereich die Microsoft Entra ID Dienst aus, wählen Sie App-Registrierungenaus, und wählen Sie dann Neue Anwendungsregistrierungaus.
Geben Sie auf der Seite "Erstellen" die Registrierungsinformationen Ihrer Anwendung ein:
Name: Geben Sie einen aussagekräftigen Anwendungsnamen ein.
Unterstützte Kontotypen:
Wählen Sie Nur Konten in diesem Organisationsverzeichnis (einzelner Mandant) aus.
Wenn Sie fertig sind, wählen Sie Registrieren aus. Die Microsoft Entra-ID weist Ihrer neuen Anwendung eine eindeutige Anwendungs-ID zu. Sie müssen eine App registrieren, die als einzelner Mandant nur auf die API zugreift.
Um ein Clientgeheimnis zu erstellen, navigieren Sie zur Seite Zertifikate & Geheimnisse und wählen Sie +Neues Clientgeheimnisaus. Kopieren Sie unbedingt den geheimen Wert, um ihn in Ihrem Code zu verwenden.
Die Microsoft Entra-App-ID ist Ihrer Herausgeber-ID zugeordnet. Stellen Sie daher sicher, dass die gleiche App-ID in allen Ihren Angeboten verwendet wird.
Anmerkung
Wenn der Herausgeber über zwei oder mehr unterschiedliche Konten im Partner Center verfügt, können die Microsoft Entra-App-Registrierungsdetails nur in einem Konto verwendet werden. Die Verwendung derselben Mandanten-ID und App-ID-Paar für ein Angebot unter einem anderen Herausgeberkonto wird nicht unterstützt.
Anmerkung
Sie müssen den Dienstprinzipal der registrierten App im Mandanten erstellen, für den Sie Token erstellen. Beachten Sie die Dokumentation zum Erstellen des Dienstprinzipals für eine App-Registrierung.
So rufen Sie das Autorisierungstoken des Herausgebers ab
Nachdem Sie Ihre Anwendung registriert haben, können Sie programmgesteuert das Autorisierungstoken des Herausgebers anfordern (Microsoft Entra-Zugriffstoken mit Azure AD v2-Endpunkt). Der Herausgeber muss dieses Token verwenden, wenn die verschiedenen SaaS-Erfüllungs-APIs aufgerufen werden. Dieses Token ist nur für eine Stunde gültig.
Weitere Informationen zu diesen Token finden Sie unter Microsoft Entra-Zugriffstoken. Im folgenden Flow wird das Token des V2-Endpunkts verwendet.
Abrufen des Tokens mit HTTP POST
HTTP-Methode
Post
Anforderungs-URL
https://login.microsoftonline.com/*{tenantId}*/oauth2/v2.0/token
URI-Parameter
| Parametername | Erforderlich | Beschreibung |
|---|---|---|
tenantId |
Stimmt | Mandanten-ID der registrierten Microsoft Entra-Anwendung |
Anforderungsheader
| Kopfzeilenname | Erforderlich | Beschreibung |
|---|---|---|
content-type |
Stimmt | Inhaltstyp, der der Anforderung zugeordnet ist. Der Standardwert ist application/x-www-form-urlencoded. |
Anforderungstext
| Eigenschaftsname | Erforderlich | Beschreibung |
|---|---|---|
grant_type |
Stimmt | Förderungstyp Verwenden Sie "client_credentials". |
client_id |
Stimmt | Client-/App-ID, die der Microsoft Entra-App zugeordnet ist. |
client_secret |
Stimmt | Geheimer Schlüssel, der der Microsoft Entra-App zugeordnet ist. |
scope |
Stimmt | Zielressource, für die das Token mit einem Standardbereich angefordert wird. Verwenden Sie 20e940b3-4c77-4b0b-9a53-9e16a1b010a7/.default, da die Marketplace SaaS-API in diesem Fall immer die Zielressource ist. |
Antwort
| Name | Typ | Beschreibung |
|---|---|---|
| 200 OK | TokenResponse | Anforderung erfolgreich |
TokenResponse
Beispielantwort:
{
"token_type": "Bearer",
"expires_in": "3600",
"ext_expires_in": "0",
"access_token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6ImlCakwxUmNxemhpeTRmcHhJeGRacW9oTTJZayIsImtpZCI6ImlCakwxUmNxemhpeTRmcHhJeGRacW9oTTJZayJ9…"
}
| Element | Beschreibung |
|---|---|
access_token |
Dieses Element ist die <access_token>, die Sie beim Aufrufen aller SaaS-Erfüllungs- und Marketplace-Metering-APIs als Autorisierungsparameter übergeben werden. Beim Aufrufen einer gesicherten REST-API wird das Token in das Authorization Anforderungsheaderfeld als "Bearer"-Token eingebettet, sodass die API den Aufrufer authentifizieren kann. |
expires_in |
Die Anzahl der Sekunden, die das Zugriffstoken ab dem Zeitpunkt seiner Ausstellung gültig bleibt, bevor es abläuft. Der Zeitpunkt der Ausstellung ist im iat-Anspruch des Tokens zu finden. |
expires_on |
Die Zeitspanne, in der das Zugriffstoken abläuft. Das Datum wird als Anzahl von Sekunden von "1970-01-01T0:0:0Z UTC" dargestellt (entspricht dem exp Anspruch des Tokens). |
token_type |
Der Tokentyp, bei dem es sich um ein "Bearer"-Zugriffstoken handelt, was bedeutet, dass die Ressource Zugriff auf den Bearer dieses Tokens gewähren kann. |
Verwandte Inhalte
Ihre durch Microsoft Entra ID gesicherte App kann jetzt SaaS Fulfillment Subscription APIs Version 2 und SaaS Fulfillment Operations APIs Version 2 verwenden.
Videolernprogramme