Создание целевой страницы для бесплатного или пробного предложения SaaS на коммерческой платформе
В этой статье описано, как создать целевую страницу для бесплатного или пробного приложения SaaS, которое будет продаваться на коммерческой платформе Майкрософт.
Важный
Azure Active Directory (Azure AD) Graph не рекомендуется использовать с 30 июня 2023 г. В дальнейшем мы не будем делать дальнейших инвестиций в Azure AD Graph. API Azure AD Graph не имеет соглашения об уровне обслуживания или обязательств по обслуживанию, кроме исправлений, связанных с безопасностью. Инвестиции в новые функции и функциональные возможности будут сделаны только в Microsoft Graph.
Мы выведем из эксплуатации Azure AD Graph поэтапно, чтобы у вас было достаточно времени для переноса приложений на API Microsoft Graph. На более позднюю дату, которую мы объявим, мы заблокируем создание новых приложений с помощью Azure AD Graph.
Дополнительные сведения см. в статье Важно: прекращение использования Azure AD Graph и прекращение использования модуля PowerShell.
Обзор
Целевую страницу можно рассматривать как "лобби" для вашего программного обеспечения как услуги (SaaS). После того как клиент решит получить приложение, коммерческая платформа направляет их на целевую страницу, чтобы активировать и настроить подписку на приложение SaaS. При создании предложения saaS в Центре партнеров можно выбрать, следует ли продавать через Microsoft. Если вы хотите указать только свое предложение на коммерческой платформе Майкрософт, а не продавать через корпорацию Майкрософт, можно указать, как потенциальные клиенты могут взаимодействовать с предложением. Если включить параметр Get it now (Free) или Free trial, необходимо указать URL-адрес целевой страницы, на которую пользователь может перейти, чтобы получить бесплатную подписку или пробную версию.
Цель целевой страницы — это просто получить пользователя, чтобы он смог активировать бесплатную пробную версию или бесплатную подписку. Используя идентификатор Microsoft Entra и Microsoft Graph, вы включите единый вход для пользователя и получите важные сведения о пользователе, который можно использовать для активации бесплатной пробной версии или бесплатной подписки, включая их имя, адрес электронной почты и организацию.
Так как сведения, необходимые для активации подписки, ограничены и предоставляются идентификатором Microsoft Entra и Microsoft Graph, не требуется запрашивать информацию, требующую больше базового согласия. Если вам нужны сведения о пользователе, для которых требуется больше согласия для приложения, необходимо запросить эти сведения после завершения активации подписки. Это позволяет безукоризненной активации подписки для пользователя и снижает риск отказа.
Целевая страница обычно включает следующие сведения и варианты списка.
- Укажите имя и сведения о бесплатной пробной версии или бесплатной подписке. Например, укажите ограничения использования или длительность пробной версии.
- Представление сведений об учетной записи пользователя, включая имя и фамилию, организацию и электронную почту.
- Предложите пользователю подтвердить или заменить другие сведения об учетной записи.
- Руководство пользователя по следующим шагам после активации. Например, получите приветственное сообщение электронной почты, управляйте подпиской, получите поддержку или ознакомьтесь с документацией.
В следующих разделах этой статьи описано, как создать целевую страницу:
- Создайте регистрацию приложения Microsoft Entra для целевой страницы.
- Используйте пример кода в качестве отправной точки для вашего приложения.
- чтение сведений из утверждений в ID-токене, закодированного и полученного от Microsoft Entra ID после входа, который был отправлен с запросом.
- Использовать API Microsoft Graph для сбора дополнительных сведений по мере необходимости.
Создание регистрации приложения Microsoft Entra
Коммерческая платформа полностью интегрирована с идентификатором Microsoft Entra. Пользователи приходят в Marketplace, прошедшие проверку подлинности с помощью учетной записи Майкрософт или учетной записи Майкрософт (MSA). Получив бесплатную подписку или подписку с бесплатным пробным периодом через предложение, доступное только для списка, пользователь переходит с коммерческой платформы на вашу целевую страницу по URL-адресу, чтобы активировать и управлять подпиской в вашем SaaS-приложении. Необходимо разрешить пользователю войти в приложение с помощью единого входа Microsoft Entra. (URL-адрес целевой страницы указан на странице технической конфигурации предложения.)
Совет
Не включайте символ знака фунта (#) в URL-адрес целевой страницы. В противном случае клиенты не смогут получить доступ к целевой странице.
Первым шагом к использованию идентификации является проверка, что ваша страница приземления зарегистрирована в качестве приложения Microsoft Entra. Регистрация приложения позволяет использовать идентификатор Microsoft Entra для проверки подлинности пользователей и запроса доступа к ресурсам пользователей. Его можно считать определением приложения, что позволяет службе знать, как выдавать маркеры приложению на основе параметров приложения.
Регистрация нового приложения с помощью портала Azure
Чтобы приступить к работе, следуйте инструкциям по регистрации нового приложения. Чтобы разрешить пользователям из других компаний пользоваться приложением, необходимо выбрать учетные записи в любом организационном каталоге (любой каталог Microsoft Entra — мультитенантный) и личные учетные записи Microsoft (например, Skype или Xbox), когда вас спросят, кто может использовать приложение.
Если вы планируете запросить API Microsoft Graph, настроить новое приложение для доступа к веб-API. При выборе разрешений API для этого приложения по умолчанию User.Read достаточно, чтобы собрать основные сведения о пользователе, чтобы сделать процесс подключения гладким и автоматическим. Не запрашивайте разрешения API, помеченные как требуется согласие администратора, так как это приведет к блокировке всех пользователей, не являющихся администраторами, от посещения целевой страницы.
Если вам требуются повышенные разрешения в рамках процесса подключения или подготовки, рассмотрите возможность использования добавочного согласия функциональных возможностей идентификатора Microsoft Entra ID, чтобы все пользователи, отправленные из Marketplace, могли взаимодействовать изначально с целевой страницей.
Использование примера кода в качестве отправной точки
Корпорация Майкрософт предоставила несколько примеров приложений, реализующих простой веб-сайт с включенным именем входа Microsoft Entra. После регистрации вашего приложения в Microsoft Entra ID, раздел "Быстрый старт" предлагает список распространённых типов приложений и стеков разработки (рис. 1). Выберите ту, которая соответствует вашей среде, и следуйте инструкциям по загрузке и настройке.
Рисунок 1: Панель быстрого запуска на портале Azure
После скачивания кода и настройки среды разработки измените параметры конфигурации в приложении, чтобы отразить идентификатор приложения, идентификатор клиента и секрет клиента, записанный в предыдущей процедуре. Точные шаги различаются в зависимости от того, какой пример вы используете.
Читать информацию из утверждений, закодированных в ID токене.
В рамках потока OpenID Connect Microsoft Entra ID добавляет ID токен в запрос, когда пользователь отправляется на целевую страницу. Этот маркер содержит несколько основных сведений, которые могут быть полезны в процессе активации, включая сведения, отображаемые в этой таблице.
| Ценность | Описание |
|---|---|
| aud | Предназначенная аудитория для этого токена. В этом случае он должен соответствовать идентификатору приложения и быть проверенным. |
| предпочитаемое_имя_пользователя | Основное имя пользователя, посещающего пользователя. Это может быть адрес электронной почты, номер телефона или другой идентификатор. |
| электронная почта | Адрес электронной почты пользователя. Это поле может быть пустым. |
| имя | Читаемое человеком значение, определяющее субъект токена. В этом случае это имя пользователя. |
| oid | Идентификатор в системе удостоверений Майкрософт, которая однозначно идентифицирует пользователя в приложениях. Microsoft Graph вернет это значение в качестве свойства идентификатора для данной учетной записи пользователя. |
| tid | Идентификатор, представляющий арендатора Microsoft Entra, к которому относится пользователь. В случае идентификатора MSA это всегда будет 9188040d-6c67-4c5b-b112-36a304b66dad. Дополнительные сведения см. в заметке в следующем разделе: использование API Microsoft Graph. |
| суб | Идентификатор, который однозначно идентифицирует пользователя в этом конкретном приложении. |
Использование API Microsoft Graph
Маркер идентификатора содержит основные сведения для идентификации пользователя, но процесс активации может потребовать дополнительных сведений, таких как компания пользователя, для завершения процесса подключения. Используйте API Microsoft Graph, чтобы запросить эти сведения, чтобы избежать повторного ввода этих сведений пользователем. Стандартные разрешения User.Read содержат следующие сведения по умолчанию:
| Ценность | Описание |
|---|---|
| Отображаемое имя | Имя, отображаемое в адресной книге пользователя. |
| givenName | Имя пользователя. |
| Название должности | Название задания пользователя. |
| почта | SMTP-адрес пользователя. |
| мобильный телефон | Основной номер мобильного телефона для пользователя. |
| предпочтительный язык | Код ISO 639-1 для предпочтительного языка пользователя. |
| фамилия | Фамилия пользователя. |
Для включения в запрос можно выбрать дополнительные свойства, такие как имя компании пользователя или расположение пользователя (страна или регион). Дополнительные сведения см. в разделе Свойства для типа ресурса пользователя.
Большинство приложений, зарегистрированных с помощью идентификатора Microsoft Entra, предоставляют делегированные разрешения на чтение сведений пользователя из клиента Microsoft Entra своей компании. Любой запрос к Microsoft Graph для этой информации должен сопровождаться токеном доступа в качестве проверки подлинности. Конкретные шаги по созданию маркера доступа будут зависеть от используемого стека технологий, но пример кода будет включать образец. Дополнительные сведения см. в статье Получение доступа от имени пользователя.
Заметка
Учетные записи из клиента MSA (с идентификатором клиента 9188040d-6c67-4c5b-b112-36a304b66dad) не возвращают больше информации, чем уже собраны с маркером идентификатора. Поэтому этот вызов можно пропустить в API Graph для этих учетных записей.