Tworzenie strony docelowej dla transakcyjnej oferty SaaS na platformie handlowej
Ten artykuł przeprowadzi Cię przez proces tworzenia strony docelowej dla transakcyjnej aplikacji SaaS, która zostanie sprzedana na platformie handlowej firmy Microsoft.
Ważne
Usługa Azure Active Directory (Azure AD) Graph jest przestarzała od 30 czerwca 2023 r. W przyszłości nie dokonujemy dalszych inwestycji w usłudze Azure AD Graph. Interfejsy API programu Graph usługi Azure AD nie mają umowy SLA ani zobowiązania do konserwacji poza poprawkami związanymi z zabezpieczeniami. Inwestycje w nowe funkcje i funkcje zostaną dokonane tylko w programie Microsoft Graph.
Wycofamy program Azure AD Graph w krokach przyrostowych, aby mieć wystarczający czas na migrację aplikacji do interfejsów API programu Microsoft Graph. W późniejszym terminie ogłosimy, że zablokujemy tworzenie nowych aplikacji przy użyciu usługi Azure AD Graph.
Aby dowiedzieć się więcej, zobacz Ważne: wycofanie programu Azure AD Graph i wycofanie modułu powershell.
Omówienie
Możesz traktować stronę docelową jako "lobby" dla oferty oprogramowania jako usługi (SaaS). Gdy kupujący subskrybuje ofertę, platforma handlowa kieruje ich do strony docelowej w celu aktywowania i konfigurowania subskrypcji aplikacji SaaS. Pomyśl o tym jako o kroku potwierdzenia zamówienia, który pozwala nabywcy zobaczyć, co kupili i potwierdzili szczegóły konta. Korzystając z microsoft Entra ID i Microsoft Graph, włączysz logowanie jednokrotne (SSO) dla kupującego i uzyskasz ważne szczegóły dotyczące kupującego, którego możesz użyć do potwierdzenia i aktywowania subskrypcji, w tym ich nazwy, adresu e-mail i organizacji.
Ponieważ informacje potrzebne do aktywowania subskrypcji są ograniczone i udostępniane przez microsoft Entra ID i Microsoft Graph, nie powinno być potrzeby żądania informacji, które wymagają więcej niż podstawowej zgody. Jeśli potrzebujesz szczegółów użytkownika, które wymagają dodatkowej zgody dla aplikacji, po zakończeniu aktywacji subskrypcji należy zażądać tych informacji. Umożliwia to bezproblemową aktywację subskrypcji dla nabywcy i zmniejsza ryzyko porzucenia.
Strona docelowa zazwyczaj zawiera następujące elementy:
- Podaj nazwę oferty i zakupionego planu, a także warunki rozliczeniowe.
- Podaj szczegóły konta kupującego, w tym imię i nazwisko, organizację i adres e-mail.
- Monituj kupującego o potwierdzenie lub zastąpienie różnych szczegółów konta.
- Po wykonaniu kolejnych kroków po aktywacji należy poprowadzić kupującego. Na przykład otrzymuj powitalną wiadomość e-mail, zarządzaj subskrypcją, uzyskaj pomoc techniczną lub przeczytaj dokumentację.
Uwaga
Kupujący zostanie również skierowany do strony docelowej podczas zarządzania subskrypcją po aktywacji. Po aktywowaniu subskrypcji kupującego musisz użyć logowania jednokrotnego, aby umożliwić użytkownikowi logowanie. Zaleca się przekierowanie użytkownika do profilu konta lub strony konfiguracji.
W poniższych sekcjach przedstawiono proces tworzenia strony docelowej:
- Utwórz rejestrację aplikacji Microsoft Entra dla strony docelowej.
- Użyj przykładu kodu jako punktu wyjścia dla aplikacji.
- Użyj dwóch aplikacji Firmy Microsoft Entra, aby zwiększyć bezpieczeństwo w środowisku produkcyjnym.
- Rozwiąż token identyfikacji zakupu platformy handlowej dodany do adresu URL przez komercyjną platformę handlową.
- Przeczytaj informacje z oświadczeń zakodowanych w tokenie identyfikatora, który został odebrany z identyfikatora Entra firmy Microsoft po zalogowaniu, który został wysłany przy użyciu żądania.
- Użyj interfejsu API programu Microsoft Graph, aby zebrać dodatkowe informacje zgodnie z potrzebami.
Tworzenie rejestracji aplikacji Entra firmy Microsoft
Platforma handlowa jest w pełni zintegrowana z identyfikatorem Entra firmy Microsoft. Kupujący przybywają na platformę handlową uwierzytelnianą przy użyciu konta Microsoft Entra lub konta Microsoft (MSA). Po zakupie kupujący przechodzi z platformy handlowej do adresu URL strony docelowej, aby aktywować swoją subskrypcję aplikacji SaaS i zarządzać nią. Musisz zezwolić nabywcy na zalogowanie się do aplikacji przy użyciu logowania jednokrotnego firmy Microsoft Entra. (Adres URL strony docelowej jest określony w ofercie Strona konfiguracji technicznej).
Napiwek
Nie dołączaj znaku funta (#) do adresu URL strony docelowej. W przeciwnym razie klienci nie będą mogli uzyskać dostępu do strony docelowej.
Pierwszym krokiem do korzystania z tożsamości jest upewnienie się, że strona docelowa jest zarejestrowana jako aplikacja Firmy Microsoft Entra. Zarejestrowanie aplikacji umożliwia użycie identyfikatora Entra firmy Microsoft do uwierzytelniania użytkowników i żądania dostępu do zasobów użytkownika. Można ją uznać za definicję aplikacji, która pozwala usłudze wiedzieć, jak wystawiać tokeny do aplikacji na podstawie ustawień aplikacji.
Rejestrowanie nowej aplikacji w witrynie Azure Portal
Aby rozpocząć pracę, postępuj zgodnie z instrukcjami dotyczącymi rejestrowania nowej aplikacji. Aby umożliwić użytkownikom z innych firm odwiedzanie aplikacji, należy wybrać jedną z wielodostępnych opcji, gdy zostanie wyświetlony monit o to, kto może korzystać z aplikacji.
Jeśli zamierzasz wykonać zapytanie dotyczące interfejsu API programu Microsoft Graph, skonfiguruj nową aplikację w celu uzyskiwania dostępu do internetowych interfejsów API. Po wybraniu uprawnień interfejsu API dla tej aplikacji wartość domyślna User.Read wystarczy, aby zebrać podstawowe informacje o nabywcy, aby proces dołączania był bezproblemowy i automatyczny. Nie żądaj żadnych uprawnień interfejsu API oznaczonych etykietą wymaga zgody administratora, ponieważ spowoduje to zablokowanie wszystkim użytkownikom niebędącym administratorami odwiedzania strony docelowej.
Jeśli potrzebujesz podwyższonych uprawnień w ramach procesu dołączania lub aprowizacji, rozważ użycie funkcji przyrostowej zgody firmy Microsoft Entra ID, aby wszyscy nabywcy wysłani z witryny Marketplace mogli początkowo korzystać ze strony docelowej.
Używanie przykładu kodu jako punktu wyjścia
Udostępniliśmy kilka przykładowych aplikacji, które implementują prostą witrynę internetową z włączonym logowaniem firmy Microsoft Entra. Po zarejestrowaniu aplikacji w usłudze Microsoft Entra ID blok Szybki start zawiera listę typowych typów aplikacji i stosów programistycznych, jak pokazano na rysunku 1. Wybierz ten, który jest zgodny ze środowiskiem, i postępuj zgodnie z instrukcjami dotyczącymi pobierania i konfigurowania.
Rysunek 1. Blok Szybki start w witrynie Azure Portal
Po pobraniu kodu i skonfigurowaniu środowiska projektowego zmień ustawienia konfiguracji w aplikacji, aby odzwierciedlić identyfikator aplikacji, identyfikator dzierżawy i wpis tajny klienta zarejestrowany w poprzedniej procedurze. Należy pamiętać, że dokładne kroki będą się różnić w zależności od używanego przykładu.
Korzystanie z dwóch aplikacji Firmy Microsoft Entra w celu poprawy bezpieczeństwa w środowisku produkcyjnym
W tym artykule przedstawiono uproszczoną wersję architektury na potrzeby implementowania strony docelowej dla oferty SaaS platformy handlowej. Podczas uruchamiania strony w środowisku produkcyjnym zalecamy zwiększenie bezpieczeństwa przez komunikację z interfejsami API realizacji SaaS tylko za pośrednictwem innej, zabezpieczonej aplikacji. Wymaga to utworzenia dwóch nowych aplikacji:
- Najpierw wielodostępna aplikacja strony docelowej opisana do tego momentu, z wyjątkiem możliwości kontaktu z interfejsami API realizacji SaaS. Ta funkcja zostanie odciążona do innej aplikacji, zgodnie z poniższym opisem.
- Po drugie, aplikacja będąca właścicielem komunikacji z interfejsami API realizacji SaaS. Ta aplikacja powinna być jedną dzierżawą, tylko do użycia przez organizację, a można ustanowić listę kontroli dostępu, aby ograniczyć dostęp do interfejsów API tylko z tej aplikacji.
Dzięki temu rozwiązanie może działać w scenariuszach, które obserwują separację kwestii. Na przykład strona docelowa używa pierwszej zarejestrowanej aplikacji Microsoft Entra do zalogowania użytkownika. Po zalogowaniu użytkownika strona docelowa używa drugiego identyfikatora Entra firmy Microsoft do żądania tokenu dostępu w celu wywołania interfejsów API realizacji SaaS i wywołania operacji rozpoznawania.
Rozwiązywanie problemów z tokenem identyfikacji zakupu w witrynie Marketplace
Po wysłaniu kupującego na stronę docelową token jest dodawany do parametru adresu URL. Ten token różni się zarówno od tokenu wystawionego przez identyfikator entra firmy Microsoft, jak i tokenu dostępu używanego do uwierzytelniania między usługami i jest używany jako dane wejściowe interfejsów API realizacji SaaS, aby uzyskać szczegółowe informacje o subskrypcji. Podobnie jak we wszystkich wywołaniach interfejsów API realizacji SaaS, żądanie service-to-service zostanie uwierzytelnione przy użyciu tokenu dostępu opartego na użytkowniku Microsoft Entra Application ID aplikacji firmy Microsoft na potrzeby uwierzytelniania typu usługa-usługa.
Uwaga
W większości przypadków zaleca się wykonanie tego wywołania z drugiej aplikacji z jedną dzierżawą. Zobacz Używanie dwóch aplikacji Firmy Microsoft Entra do poprawy bezpieczeństwa w środowisku produkcyjnym wcześniej w tym artykule.
Poproś o token dostępu
Aby uwierzytelnić aplikację za pomocą interfejsów API realizacji SaaS, potrzebujesz tokenu dostępu, który można wygenerować przez wywołanie punktu końcowego OAuth identyfikatora entra firmy Microsoft. Zobacz Jak uzyskać token autoryzacji wydawcy.
Wywoływanie punktu końcowego rozpoznawania
Interfejsy API realizacji SaaS implementują punkt końcowy rozpoznawania, który można wywołać, aby potwierdzić ważność tokenu witryny Marketplace i zwrócić informacje o subskrypcji.
Odczytywanie informacji z oświadczeń zakodowanych w tokenie identyfikatora
W ramach przepływu OpenID Connect umieść wartość identyfikatora dzierżawy otrzymaną w pliku https://login.microsoftonline.com/{tenant}/v2.0
. Identyfikator entra firmy Microsoft dodaje token identyfikatora do żądania, gdy kupujący jest wysyłany do strony docelowej. Ten token zawiera wiele podstawowych informacji, które mogą być przydatne w procesie aktywacji, w tym informacje widoczne w tej tabeli.
Wartość | Opis |
---|---|
Aud | Docelowi odbiorcy dla tego tokenu. W takim przypadku powinna być zgodna z identyfikatorem aplikacji i zostać zweryfikowana. |
preferred_username | Podstawowa nazwa użytkownika odwiedzającego. Może to być adres e-mail, numer telefonu lub inny identyfikator. |
adres e-mail | Adres e-mail użytkownika. Należy pamiętać, że to pole może być puste. |
name | Czytelna dla człowieka wartość identyfikująca podmiot tokenu. W tym przypadku będzie to nazwa kupującego. |
Oid | Identyfikator w systemie tożsamości firmy Microsoft, który jednoznacznie identyfikuje użytkownika w aplikacjach. Program Microsoft Graph zwróci tę wartość jako właściwość ID dla danego konta użytkownika. |
Tid | Identyfikator reprezentujący dzierżawę firmy Microsoft Entra, z którego pochodzi nabywca. W przypadku tożsamości MSA zawsze będzie 9188040d-6c67-4c5b-b112-36a304b66dad to . Aby uzyskać więcej informacji, zobacz notatkę w następnej sekcji: Korzystanie z interfejsu API programu Microsoft Graph. |
sub | Identyfikator, który jednoznacznie identyfikuje użytkownika w tej konkretnej aplikacji. |
Korzystanie z interfejsu API programu Microsoft Graph
Token identyfikatora zawiera podstawowe informacje dotyczące identyfikowania nabywcy, ale proces aktywacji może wymagać dodatkowych szczegółów , takich jak firma kupującego, aby ukończyć proces dołączania. Użyj interfejsu API programu Microsoft Graph, aby zażądać tych informacji, aby uniknąć ponownego wymuszenia wprowadzenia tych szczegółów przez użytkownika. Standardowe uprawnienia User.Read domyślnie zawierają następujące informacje.
Wartość | Popis |
---|---|
displayName | Nazwa wyświetlana w książce adresowej użytkownika. |
givenName | Imię użytkownika. |
jobTitle | Stanowisko użytkownika. |
poczta | Adres SMTP użytkownika. |
mobilePhone | Podstawowy numer telefonu komórkowego użytkownika. |
preferredLanguage | Kod ISO 639-1 dla preferowanego języka użytkownika. |
surname | Nazwisko użytkownika. |
Dodatkowe właściwości — takie jak nazwa firmy użytkownika lub lokalizacja użytkownika (kraj/region) — można wybrać do dołączenia do żądania. Aby uzyskać więcej szczegółów, zobacz właściwości typu zasobu użytkownika.
Większość aplikacji zarejestrowanych w usłudze Microsoft Entra ID przyznaje delegowane uprawnienia do odczytywania informacji użytkownika z dzierżawy firmy Microsoft Entra. Każde żądanie do programu Microsoft Graph dla tych informacji musi towarzyszyć token dostępu do uwierzytelniania. Konkretne kroki generowania tokenu dostępu zależą od używanego stosu technologii, ale przykładowy kod będzie zawierać przykład. Aby uzyskać więcej informacji, zobacz Uzyskiwanie dostępu w imieniu użytkownika.
Uwaga
Konta z dzierżawy MSA (z identyfikatorem 9188040d-6c67-4c5b-b112-36a304b66dad
dzierżawy) nie będą zwracać więcej informacji niż zostały już zebrane przy użyciu tokenu identyfikatora. Aby pominąć to wywołanie interfejsu API programu Graph dla tych kont.
Powiązana zawartość
Samouczki wideo