コマーシャル マーケットプレースでの Microsoft Entra ID と取引可能な SaaS オファー
Microsoft クラウドベースの ID およびアクセス管理サービスである Microsoft Entra ID (Microsoft Entra ID) は、ユーザーがサインインし、内部リソースと外部リソースにアクセスするのに役立ちます。 Microsoft コマーシャル マーケットプレースでは、Microsoft Entra ID を使用すると、発行元、購入者、ユーザーなど、すべてのユーザーが取引可能な SaaS オファーをより簡単かつ安全に提供できます。 Microsoft Entra ID を使用すると、発行元はサービスとしてのソフトウェア (SaaS) アプリへのユーザーのプロビジョニングを自動化でき、購入者自身がプロビジョニングされたユーザーを管理できます。
さらに、 Microsoft Entra シングル サインオン (SSO) は、ユーザーが Microsoft Entra ID でアプリにサインインするときのセキュリティと利便性を提供します。 より迅速なエンゲージメントと最適化されたエクスペリエンスは、パブリッシャーの SaaS アプリとの最初の対話から購入者とユーザーの信頼を刺激します。 これにより、可視性を築き、取引のリピートを促すポジティブな印象を与えます。
この記事のガイダンスに従うことで、コマーシャル マーケットプレースで SaaS オファーを認定するのに役立ちます。 認定資格の詳細については、コマーシャル マーケットプレースの認定資格ポリシーに関する記事で、これらの SaaS に固有の記述を含む詳しい説明を確認してください。
重要
Azure Active Directory (Azure AD) Graph は、2023 年 6 月 30 日の時点で非推奨となっています。 今後、Azure AD Graph への投資は行いません。 Azure AD Graph API には、セキュリティ関連の修正プログラム以外の SLA やメンテナンス コミットメントはありません。 新機能への投資は Microsoft Graph に対してのみ行われます。
アプリケーションを Microsoft Graph API に移行するのに十分な時間を確保できるように、段階的な手順で Azure AD Graph を廃止します。 後日お知らせしますが、Azure AD Graph を使用して新しいアプリケーションの作成をブロックします。
詳細については、「 Important: Azure AD Graph の廃止と Powershell モジュールの廃止に関するページを参照してください。
開始する前に
パートナー センターで SaaS オファーを作成する場合、オファーのリスト登録に表示される特定のリスト オプションのセットから選択します。 選択することで、コマーシャル マーケットプレースでオファーがどのように処理されるかが決まります。 Microsoft を通じて販売されたオファーは、"取引可能" オファーと呼ばれます。 すべての取引可能なオファーに対して、Microsoft が顧客に代わって請求を行います。 Microsoft を通じて販売することを選択し、お客様に代わってトランザクションをホストする ( Yes オプション) 場合は、取引可能なオファーを作成することを選択しました。この記事はユーザーに代わって提供されます。 全体を読むことをお勧めします。
コマーシャル マーケットプレースを通じてオファーのみを一覧表示し、トランザクションを個別に処理する ( No オプション) 場合は、潜在的な顧客がオファーにアクセスする方法に関する 3 つのオプションがあります。今すぐ入手する (無料)、無料試用版、お問い合わせください。 今すぐ (無料)または 無料試用版を使用する] を選択した場合この記事は適していません。 代わりに、「コマーシャル マーケットプレースで無料または試用版 SaaS オファーのランディング ページを構築する」を参照してください。 [連絡してください] を選んだ場合は、発行元に直接の責任はありません。 パートナー センターでのオファーの作成を継続してください。
Microsoft Entra ID が SaaS オファーのコマーシャル マーケットプレースと連携する方法
Microsoft Entra ID を使用すると、コマーシャル マーケットプレース ソリューションのシームレスな購入、フルフィルメント、管理が可能になります。 図 1 は、サブスクリプションを購入してアクティブ化する際の、発行元、購入者、およびユーザーによる操作方法を示しています。 また、顧客がコマーシャル マーケットプレースから入手した SaaS アプリケーションを使用して管理する方法も示しています。 この図では、購入者とはコマーシャル マーケットプレースから購入を開始した SaaS アプリケーション ユーザーです。
図1 に示すように、購入者がオファーを選択すると、購入、サブスクリプション、およびユーザー管理を含むワークフローのチェーンが開始されます。 このチェーン内では、Microsoft が重要なポイントでサポートを提供したうえで、発行元が特定の要件に対して責任を担います。
図 1: コマーシャル マーケットプレースでの SaaS オファーに Microsoft Entra ID を使用する
以降のセクションでは、各プロセスの手順の要件について詳しく説明します。
購入管理のプロセスの手順
この図は、購入管理の 4 つのプロセスの手順を示しています。
この表は、購入管理プロセスの手順の詳細を示しています。
プロセスの手順 | 発行元のアクション | 発行元での推奨または必須 |
---|---|---|
1. 購入者は、Azure ID ID を使用してコマーシャル マーケットプレースにサインインし、SaaS オファーを選択します。 | 発行元には、必要な操作はありません。 | 適用なし |
2. 購入後、購入者は Azure Marketplace で Configure アカウント を選択するか、AppSource で 今すぐ構成します このオファーの発行元のランディング ページに購入者を誘導します。 購入者は、Microsoft Entra SSO を使用して発行元の SaaS アプリケーションにサインインできる必要があり、Microsoft Entra 管理者の承認を必要としない最小限の同意のみを求める必要があります。 | Microsoft Entra ID または Microsoft アカウント (MSA) ID を持つユーザーを受け取り必要な追加のプロビジョニングまたはセットアップを容易にするように、オファーのランド ページを設計します。 | 必須 |
3. 発行元は、SaaS フルフィルメント API に購入の詳細を要求します。 | ランディング ページのアプリケーション ID から生成アクセス トークンを使用して、解決エンドポイントを呼び出し購入に関する詳細を取得します。 | 必須 |
4. 発行元は、Microsoft Entra ID と Microsoft Graph API を使用して、パブリッシャーの SaaS アプリケーションで購入者をプロビジョニングするために必要な会社とユーザーの詳細を収集します。 | Microsoft Entra ユーザー トークンを分解して名前と電子メールを検索するか、Microsoft Graph API を呼び出し委任されたアクセス許可を使用して、ログインしているユーザーに関する情報をします。 | 必須 |
サブスクリプション管理のプロセスの手順
この図は、サブスクリプション管理の 2 つのプロセスの手順を示しています。
この表は、サブスクリプション管理プロセスの手順の詳細を示しています。
プロセスの手順 | 発行元のアクション | 発行元での推奨または必須 |
---|---|---|
5. 発行元は、SaaS フルフィルメント API を使用して SaaS アプリケーションへのサブスクリプションを管理します。 | SaaS フルフィルメント API を通じて、サブスクリプションの変更やその他の管理タスクを処理します。 プロセスの手順 3 に説明されているように、この手順ではアクセス トークンが必要になります。 |
必須 |
6. 従量制課金を使用する場合、発行元は使用状況イベントを測定サービス API に出力します。 | SaaS アプリによって使用状況に基づく課金が行われる場合は、Marketplace の測定サービス API を通じて使用状況の通知を行います。 手順 3 に説明されているように、この手順ではアクセス トークンが必要になります。 |
測定では必須 |
ユーザー管理のプロセスの手順
この図は、ユーザー管理の 3 つのプロセスの手順を示しています。
プロセスの手順 7 から 9 は、省略可能なユーザー管理プロセスの手順です。 Microsoft Entra シングル サインオン (SSO) をサポートするパブリッシャーには、追加の利点があります。 この表は、ユーザー管理プロセスの手順の詳細を示しています。
プロセスの手順 | 発行元のアクション | 発行元での推奨または必須 |
---|---|---|
7. 購入者の会社の Microsoft Entra 管理者は、必要に応じて、Microsoft Entra ID を使用してユーザーとグループのアクセスを管理できます。 | Microsoft Entra SSO がユーザーに対して設定されている場合、これを有効にするために発行元の操作は必要ありません (手順 9)。 | 適用なし |
8. Microsoft Entra プロビジョニング サービスは、Microsoft Entra ID と発行元の SaaS アプリケーション間の変更を伝達します。 | SCIM エンドポイントを実装し ユーザーが追加および削除されると、Microsoft Entra ID から更新プログラムを受信します。 | 推奨 |
9. アプリのアクセス許可とプロビジョニングが完了すると、購入者の会社のユーザーは Microsoft Entra SSO を使用して発行元の SaaS アプリケーションにログインできます。 | Microsoft Entra SSO を使用して、ユーザーがパブリッシャーの SaaS アプリケーションに 1 つのアカウントで 1 回サインインできるようにします。 | 推奨 |