Condividi tramite


Registrare un'applicazione SaaS

Questo articolo illustra come registrare un'applicazione SaaS usando microsoft portale di Azure e come ottenere il token di accesso dell'editore (token di accesso Microsoft Entra). Il server di pubblicazione userà questo token per autenticare l'applicazione SaaS chiamando le API di evasione SaaS. Le API di evasione usano le credenziali client OAuth 2.0 per concedere il flusso sugli endpoint di Microsoft Entra ID (v2.0) per effettuare una richiesta di token di accesso da servizio a servizio.

Azure Marketplace non impone vincoli al metodo di autenticazione usato dal servizio SaaS per gli utenti finali. Il flusso seguente è obbligatorio solo per l'autenticazione del servizio SaaS in Azure Marketplace.

Per altre informazioni su Microsoft Entra ID (Active Directory), vedere Che cos'è l'autenticazione.

Registrare un'app protetta da Microsoft Entra ID

Tutte le applicazioni che vogliono usare le funzionalità di Microsoft Entra ID devono prima essere registrate in un tenant di Microsoft Entra. Questo processo di registrazione implica la creazione di alcuni dettagli sull'applicazione da parte di Microsoft Entra. Per registrare una nuova applicazione nel portale di Azure, seguire i passaggi seguenti:

  1. Accedere al portale di Azure.

  2. Se l'account consente di accedere a più di uno, selezionare l'account nell'angolo in alto a destra. Impostare quindi la sessione del portale sul tenant Microsoft Entra desiderato.

  3. Nel riquadro di spostamento a sinistra selezionare il servizio Microsoft Entra ID, selezionare Registrazioni app e quindi selezionare Nuova registrazione dell'applicazione.

    Screenshot di una schermata di registrazione dell'app SaaS Entra.

  4. Nella pagina Crea immettere le informazioni di registrazione dell'applicazione:

    • Nome: Immettere un nome significativo per l'applicazione

    • Tipi di account supportati:

      Selezionare Account solo in questa directory organizzativa (tenant singolo).

  5. Al termine, selezionare Registra. Microsoft Entra ID assegna un ID applicazione univoco alla nuova applicazione. È necessario registrare un'app che accede solo all'API e come tenant singolo.

  6. Per creare un segreto client, passare alla pagina Certificati e segreti e selezionare +Nuovo segreto client. Assicurarsi di copiare il valore del segreto per usarlo nel codice.

L'ID app Microsoft Entra è associato all'ID editore, quindi assicurati che lo stesso ID app venga usato in tutte le offerte.

Nota

Se l'editore ha due o più account diversi nel Centro per i partner, i dettagli di registrazione dell'app Microsoft Entra possono essere usati in un solo account. Usando lo stesso ID tenant, la coppia ID app per un'offerta con un account di pubblicazione diverso non è supportata.

Nota

È necessario creare un'entità servizio dell'app registrata nel tenant usato per creare token. Vedere questa documentazione Come creare un'entità servizio per la registrazione di un'app.

Come ottenere il token di autorizzazione dell'autore

Dopo aver registrato l'applicazione, è possibile richiedere a livello di codice il token di autorizzazione dell'editore (token di accesso Microsoft Entra, usando l'endpoint di Azure AD v2). Il server di pubblicazione deve usare questo token quando si chiamano le varie API di evasione SaaS. Questo token è valido solo per un'ora.

Per altre informazioni su questi token, vedere Token di accesso di Microsoft Entra. Nel flusso seguente viene usato il token dell'endpoint V2.

Ottenere il token con un POST HTTP

Metodo HTTP

Registra

Request URL (URL richiesta)

https://login.microsoftonline.com/*{tenantId}*/oauth2/v2.0/token

Parametro URI
Nome parametro Obbligatorio Descrizione
tenantId Vero ID tenant dell'applicazione Microsoft Entra registrata.
Intestazione della richiesta
Nome intestazione Obbligatorio Descrizione
content-type Vero Tipo di contenuto associato alla richiesta. Il valore predefinito è application/x-www-form-urlencoded.
Testo della richiesta
Nome della proprietà Obbligatorio Descrizione
grant_type Vero Tipo di concessione. Usare "client_credentials".
client_id Vero Identificatore client/app associato all'app Microsoft Entra.
client_secret Vero Segreto associato all'app Microsoft Entra.
scope Vero Risorsa di destinazione per la quale viene richiesto il token con un ambito predefinito. Usare perché l'API 20e940b3-4c77-4b0b-9a53-9e16a1b010a7/.default SaaS del Marketplace è sempre la risorsa di destinazione in questo caso.
Response
Nome Tipo Descrizione
200 OK TokenResponse La richiesta ha avuto esito positivo.
TokenResponse

Risposta campione:

{
      "token_type": "Bearer",
      "expires_in": "3600",
      "ext_expires_in": "0",
      "access_token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6ImlCakwxUmNxemhpeTRmcHhJeGRacW9oTTJZayIsImtpZCI6ImlCakwxUmNxemhpeTRmcHhJeGRacW9oTTJZayJ9…"
  }
Elemento Descrizione
access_token Questo elemento è l'elemento <access_token> che verrà passato come parametro di autorizzazione quando si chiamano tutte le API saaS di evasione e misurazione del Marketplace. Quando si chiama un'API REST protetta, il token è incorporato nel campo di intestazione della richiesta Authorization come token di connessione, in modo da consentire all'API di autenticare il chiamante.
expires_in Numero di secondi per cui il token di accesso continua a essere valido, prima della scadenza, dal momento del rilascio. L'ora del rilascio è indicata nell'attestazione iat del token.
expires_on Intervallo di tempo in cui il token di accesso scade. La data è rappresentata come numero di secondi da "1970-01-01T0:0:0Z UTC" (corrisponde all'attestazione exp del token).
token_type Tipo di token, ovvero un token di accesso di connessione, che indica che la risorsa può concedere l'accesso al titolare del token.

L'app protetta con ID Microsoft Entra ora può usare le API di sottoscrizione per l'evasione SaaS versione 2 e le API per le operazioni di evasione SaaS versione 2.

Esercitazioni in video