Créer la page d’accueil de votre offre SaaS transactionnelle sur la Place de marché commerciale
Cet article vous guide tout au long du processus de création d’une page d’accueil pour une application SaaS transactionnable qui sera vendue sur la Place de marché commerciale Microsoft.
Essentiel
Azure Active Directory (Azure AD) Graph est déconseillé depuis le 30 juin 2023. À l’avenir, nous n’effectuons aucun investissement supplémentaire dans Azure AD Graph. Les API Graph Azure AD n’ont pas de contrat SLA ou de maintenance au-delà des correctifs liés à la sécurité. Les investissements dans de nouvelles fonctionnalités et caractéristiques ne seront effectués que pour Microsoft Graph.
Nous allons mettre hors service Azure AD Graph en étapes incrémentielles afin que vous ayez suffisamment de temps pour migrer vos applications vers les API Microsoft Graph. À une date ultérieure que nous annoncerons, nous bloquerons la création de toutes les nouvelles applications à l’aide d’Azure AD Graph.
Pour plus d'informations, consultez Important : Mise à la retraite d'Azure AD Graph et dépréciation du module PowerShell.
Vue d’ensemble
Vous pouvez considérer la page d’accueil comme « lobby » pour votre offre SaaS (Software as a Service). Une fois que l’acheteur s’abonne à une offre, la Place de marché commerciale les dirige vers la page d’accueil pour activer et configurer son abonnement à votre application SaaS. Considérez cela comme une étape de confirmation de commande qui permet à l’acheteur de voir ce qu’il a acheté et de confirmer les détails de son compte. À l’aide de Microsoft Entra ID et de Microsoft Graph, vous allez activer l’authentification unique (SSO) pour l’acheteur et obtenir des détails importants sur l’acheteur que vous pouvez utiliser pour confirmer et activer son abonnement, y compris son nom, son adresse e-mail et son organisation.
Étant donné que les informations nécessaires pour activer l’abonnement sont limitées et fournies par l’ID Microsoft Entra et Microsoft Graph, il n’est pas nécessaire de demander des informations qui nécessitent plus que le consentement de base. Si vous avez besoin de détails utilisateur qui nécessitent un consentement supplémentaire pour votre application, vous devez demander ces informations une fois l’activation de l’abonnement terminée. Cela permet l’activation sans friction de l’abonnement pour l’acheteur et réduit le risque d’abandon.
La page d’accueil inclut généralement les éléments suivants :
- Présentez le nom de l’offre et du plan achetés, ainsi que les conditions de facturation.
- Présentez les détails du compte de l’acheteur, y compris le prénom et le nom, l’organisation et l’e-mail.
- Invitez l’acheteur à confirmer ou à remplacer différents détails de compte.
- Guidez l’acheteur sur les étapes suivantes après l’activation. Par exemple, recevez un e-mail de bienvenue, gérez l’abonnement, obtenez du support ou lisez la documentation.
Remarque
L’acheteur est également dirigé vers la page d’accueil lors de la gestion de son abonnement après l’activation. Une fois l’abonnement de l’acheteur activé, vous devez utiliser l’authentification unique pour permettre à l’utilisateur de se connecter. Il est recommandé de diriger l’utilisateur vers une page de profil ou de configuration de compte.
Les sections suivantes vous guident tout au long du processus de création d’une page d’accueil :
- Créer un enregistrement d'application Microsoft Entra pour la page d’arrivée.
- Utiliser un exemple de code comme point de départ pour votre application.
- Utiliser deux applications Microsoft Entra pour améliorer la sécurité en production.
- Valider le jeton d’identification d’achat de la Place de marché ajouté à l’URL par la Place de marché commerciale.
- Lire les données des revendications encodées dans le jeton d'identification, reçu de Microsoft Entra ID après la connexion, envoyées avec la demande.
- Utiliser l’API Microsoft Graph pour collecter des informations supplémentaires, selon les besoins.
Créer une inscription d’application Microsoft Entra
La Place de marché commerciale est entièrement intégrée à Microsoft Entra ID. Les acheteurs arrivent sur la place de marché authentifiés avec un compte Microsoft Entra ou un compte Microsoft (MSA). Après l’achat, l’acheteur passe de la Place de marché commerciale à votre URL de page d’accueil pour activer et gérer son abonnement à votre application SaaS. Vous devez laisser l’acheteur se connecter à votre application avec l’authentification unique Microsoft Entra. (L’URL de la page d’accueil est spécifiée dans la page de configuration technique de l’offre.)
Conseil / Astuce
N’incluez pas le caractère de signe dièse (#) dans l’URL de la page d’arrivée. Sinon, les clients ne pourront pas accéder à votre page d’accueil.
La première étape de l’utilisation de l’identité consiste à vérifier que votre page d’accueil est inscrite en tant qu’application Microsoft Entra. L’inscription de l’application vous permet d’utiliser l’ID Microsoft Entra pour authentifier les utilisateurs et demander l’accès aux ressources utilisateur. Il peut être considéré comme la définition de l’application, qui permet au service de savoir comment émettre des jetons à l’application en fonction des paramètres de l’application.
Inscrire une nouvelle application à l’aide du portail Azure
Pour commencer, suivez les instructions pour l’inscription d’une nouvelle appli. Pour permettre aux utilisateurs d'autres entreprises de visiter l'application, vous devez choisir l'une des options multi-locataires lorsqu'on vous demande qui peut utiliser l'application.
Si vous envisagez d’interroger l’API Microsoft Graph, configurer votre nouvelle application pour accéder aux API web. Lorsque vous sélectionnez les autorisations d’API pour cette application, la valeur par défaut de User.Read suffit pour collecter des informations de base sur l’acheteur pour que le processus d’intégration soit fluide et automatique. Ne demandez aucune autorisation d’API étiquetée a besoin d’un consentement administrateur, car cela empêchera tous les utilisateurs non administrateurs de visiter votre page d’accueil.
Si vous avez besoin d’autorisations élevées dans le cadre de votre processus d’intégration ou d’approvisionnement, envisagez d’utiliser la fonctionnalité de consentement incrémentiel de Microsoft Entra ID afin que tous les acheteurs envoyés à partir de la Place de marché puissent interagir initialement avec la page d’accueil.
Utiliser un exemple de code comme point de départ
Nous avons fourni plusieurs exemples d’applications qui implémentent un site web simple avec la connexion Microsoft Entra activée. Une fois votre application inscrite dans Microsoft Entra ID, le panneau Démarrage rapide propose une liste des types d’applications courants et des piles de développement, comme indiqué dans la figure 1. Choisissez celui qui correspond à votre environnement et suivez les instructions de téléchargement et d’installation.
Figure 1 : panneau Démarrage rapide dans le portail Microsoft Azure
Après avoir téléchargé le code et configuré votre environnement de développement, modifiez les paramètres de configuration de l’application pour refléter l’ID d’application, l’ID de locataire et la clé secrète client que vous avez enregistrés dans la procédure précédente. Notez que les étapes exactes diffèrent selon l’exemple que vous utilisez.
Utiliser deux applications Microsoft Entra pour améliorer la sécurité en production
Cet article présente une version simplifiée de l’architecture permettant d’implémenter une page d’accueil pour votre offre SaaS de la Place de marché commerciale. Lors de l’exécution de la page en production, nous vous recommandons d’améliorer la sécurité en communiquant avec les API de traitement SaaS uniquement via une application sécurisée différente. Cela nécessite la création de deux nouvelles applications :
- Tout d’abord, l’application de page d’arrivée multi-locataire décrite jusqu’à ce stade, sauf sans la fonctionnalité permettant de contacter les API d’exécution SaaS. Cette fonctionnalité est déchargée vers une autre application, comme décrit ci-dessous.
- Deuxièmement, une application qui gère les interactions avec les API de traitement SaaS. Cette application doit être un seul locataire, uniquement pour être utilisée par votre organisation, et une liste de contrôle d’accès peut être établie pour limiter l’accès aux API à partir de cette application uniquement.
Cela permet à la solution de fonctionner dans des scénarios qui observent le principe de séparation des problèmes. Par exemple, la page d’accueil utilise la première application Microsoft Entra enregistrée pour connecter l'utilisateur. Une fois l’utilisateur connecté, la page d’accueil utilise le deuxième ID Microsoft Entra pour demander un jeton d’accès pour appeler les API de traitement SaaS et appeler l’opération de résolution.
Valider le jeton d'identification d’achat de la Place de marché
Lorsque l’acheteur est envoyé à votre page d’accueil, un jeton est ajouté au paramètre d’URL. Ce jeton est différent du jeton émis par Microsoft Entra ID et du jeton d’accès utilisé pour l’authentification de service à service, et il est utilisé comme entrée pour l'appel de résolution des API d'exécution SaaS afin d'obtenir les détails de l’abonnement. Comme pour tous les appels aux API de traitement SaaS, votre demande de service à service est authentifiée avec un jeton d’accès basé sur l’ID d’utilisateur d’application Microsoft Entra de l’application pour l’authentification de service à service.
Remarque
Dans la plupart des cas, il est préférable d’effectuer cet appel à partir d’une deuxième application à locataire unique. Consultez Utiliser deux applications Microsoft Entra pour améliorer la sécurité en production plus haut dans cet article.
Demander un jeton d’accès
Pour authentifier votre application avec les API de traitement SaaS, vous avez besoin d’un jeton d’accès, qui peut être généré en appelant le point de terminaison OAuth de l’ID Microsoft Entra. Consultez Comment obtenir le jeton d’autorisation de l’éditeur.
Appeler le point de terminaison de résolution
Les API d'exécution SaaS implémentent le point de terminaison de résolution qui peut être appelé pour valider le jeton de la Place de marché et fournir des informations sur l'abonnement.
Lire des informations à partir de revendications encodées dans le jeton d’ID
Dans le cadre du flux OpenID Connect, placez la valeur d’ID de locataire que vous recevez dans https://login.microsoftonline.com/{tenant}/v2.0. Microsoft Entra ID ajoute un jeton ID à la demande lorsque l'acheteur est envoyé à la page de destination. Ce jeton contient plusieurs éléments d’informations de base qui pourraient être utiles dans le processus d’activation, y compris les informations affichées dans ce tableau.
| Valeur | Description |
|---|---|
| aud | Public cible pour ce jeton. Dans ce cas, il doit correspondre à votre ID d’application et être validé. |
| nom d'utilisateur préféré | Nom d’utilisateur principal de l’utilisateur invité. Il peut s’agir d’une adresse e-mail, d’un numéro de téléphone ou d’un autre identificateur. |
| Adresse e-mail de l’utilisateur. Notez que ce champ peut être vide. | |
| name | Valeur lisible par l’homme qui identifie l’objet du jeton. Dans ce cas, il s’agit du nom de l’acheteur. |
| oid | Identificateur dans le système d’identités Microsoft qui identifie de manière unique l’utilisateur entre les applications. Microsoft Graph retourne cette valeur en tant que propriété ID pour un compte d’utilisateur donné. |
| tid | Identificateur qui représente le client Microsoft Entra d'où provient l'acheteur. Dans le cas d’une identité MSA, cela sera toujours 9188040d-6c67-4c5b-b112-36a304b66dad. Pour plus d’informations, consultez la remarque dans la section suivante : Utiliser l’API Microsoft Graph. |
| sub | Identificateur qui identifie de manière unique l’utilisateur dans cette application spécifique. |
Utiliser l’API Microsoft Graph
Le jeton d’ID contient des informations de base pour identifier l’acheteur, mais votre processus d’activation peut nécessiter des détails supplémentaires, tels que l’entreprise de l’acheteur, pour terminer le processus d’intégration. Utilisez le API Microsoft Graph pour demander ces informations afin d’éviter de forcer l’utilisateur à entrer ces détails à nouveau. Les autorisations standard User.Read incluent les informations suivantes, par défaut.
| Valeur | Description |
|---|---|
| displayName | Nom affiché dans le carnet d’adresses de l’utilisateur. |
| givenName | Prénom de l’utilisateur. |
| jobTitle | Titre du travail de l’utilisateur. |
| Adresse SMTP de l’utilisateur. | |
| mobilePhone | Numéro de téléphone cellulaire principal pour l’utilisateur. |
| preferredLanguage | Code ISO 639-1 pour la langue préférée de l’utilisateur. |
| nom de famille | Nom de l’utilisateur. |
Des propriétés supplémentaires, telles que le nom de l’entreprise de l’utilisateur ou l’emplacement de l’utilisateur (pays/région) peuvent être sélectionnées pour l’inclusion dans la demande. Consultez les propriétés pour le type de ressource utilisateur pour plus de détails.
La plupart des applications enregistrées avec l'ID Microsoft Entra accordent des autorisations déléguées pour lire les informations de l'utilisateur à partir du tenant Microsoft Entra de leur entreprise. Toute demande adressée à Microsoft Graph pour ces informations doit être accompagnée d’un jeton d’accès pour l’authentification. Les étapes spécifiques pour générer le jeton d’accès dépendent de la pile de technologies que vous utilisez, mais l’exemple de code contient un exemple. Pour plus d’informations, consultez Obtenir l’accès pour le compte d’un utilisateur.
Remarque
Les comptes du locataire MSA (avec l’ID de locataire 9188040d-6c67-4c5b-b112-36a304b66dad) ne retournent pas plus d’informations que ceux qui ont déjà été collectés avec le jeton d’ID. Vous pouvez donc ignorer cet appel à l’API Graph pour ces comptes.
Contenu associé
Tutoriels vidéo