商业市场中的 Microsoft Entra ID 和可交易的 SaaS 产品/服务
Microsoft基于云的标识和访问管理服务,Microsoft Entra ID(Microsoft Entra ID)可帮助用户登录和访问内部和外部资源。 在Microsoft商业市场中,Microsoft Entra ID 使所有人(包括发布者、买家和用户)的可交易 SaaS 产品/服务更加轻松且更安全。 借助Microsoft Entra ID,发布者可以自动将用户预配到其软件即服务(SaaS)应用,买家自己可以管理这些预配的用户。
此外,Microsoft Entra 单一登录(SSO)在用户登录到 Microsoft Entra ID 中的应用时提供安全性和便利。 更快的参与度和优化的体验在与发布商的SaaS应用程序的首次交互中,也能激发买家和用户的信心。 这给人的正面印象是,可提高可见性并鼓励重复业务。
按照本文中的指南操作,你将协助在商业市场中对 SaaS 产品进行认证。 有关认证的详细信息,请参阅详细的商业市场认证策略,其中包含特定于 SaaS 的那些策略。
重要
截至 2023 年 6 月 30 日,已弃用 Azure Active Directory (Azure AD) Graph。 今后,我们在 Azure AD Graph 中没有进一步的投资。 除了与安全相关的修补程序之外,Azure AD Graph API 没有 SLA 或维护承诺。 对新特性和功能的投资只能在 Microsoft Graph 中进行。
我们将以增量步骤停用 Azure AD Graph,以便有足够的时间将应用程序迁移到 Microsoft Graph API。 稍后我们将宣布,我们将阻止使用 Azure AD Graph 创建任何新应用程序。
若要了解详细信息,请参阅 重要说明:Azure AD Graph 停用和 Powershell 模块弃用。
开始之前
在合作伙伴中心创建 SaaS 产品/服务 时,可以从一组将在产品/服务列表中显示的特定列表选项中进行选择。 你的选择决定了你的产品或服务在商业市场中如何进行交易。 通过Microsoft销售的产品/服务称为可交易产品/服务。 我们代表您向客户开具所有可交易产品/服务的账单。 如果选择通过微软进行销售,并由我们代表你托管交易(“是”选项),则需要创建可交易的产品/服务,且本文适合你。 我们建议你完全阅读它。
如果选择仅通过商业市场列出产品/服务并独立处理交易(无 选项),则可以选择三个选项来了解潜在客户将如何访问你的产品/服务:立即获取(免费)、免费试用和联系我。 如果选择 “立即获取”(免费) 或 免费试用版,本文并不适合你。 相反,请参阅在商业市场中为免费或试用版 SaaS 产品/服务构建登陆页面了解详细信息。 如果选择“联系我”,则没有直接的发布者责任。 继续在合作伙伴中心创建产品/服务。
Microsoft Entra ID 如何与 SaaS 服务的商业市场平台协作
Microsoft Entra ID 可实现商业市场解决方案的无缝购买、履行和管理。 图 1 显示了发布者、买家和用户如何交互以购买和激活订阅。 它还演示了客户如何使用和管理他们从商业市场获取的 SaaS 应用程序。 出于此图的目的,买家是从商业市场发起购买的 SaaS 应用程序用户。
如图 1 所示,当买家选择产品/服务时,他们将启动一系列工作流,其中包括购买、订阅和用户管理。 您作为发布者在这条链中负责某些要求,而 Microsoft 在关键点提供支持。
图 1:在商业市场中使用 Microsoft Entra ID 提供 SaaS 解决方案
以下部分提供有关每个流程步骤要求的详细信息。
购买管理的过程步骤
下图显示了购买管理的四个过程步骤。
下表提供了购买管理过程步骤的详细信息。
| 流程步骤 | 发布者操作 | 发布者推荐或必需 |
|---|---|---|
| 1.买家使用其 Azure ID 标识登录到商业市场,并选择 SaaS 产品/服务。 | 不需要发布者操作。 | 不適用 |
| 2. 购买后,买家在 Azure Marketplace 中选择 配置帐户,或者在 AppSource 中选择 立即配置,将引导买家进入该优惠的发布者登陆页面。 买家必须能够使用 Microsoft Entra SSO 登录到发布者的 SaaS 应用程序,并且必须只要求获得不需要Microsoft Entra 管理员批准的最低同意。 | 为产品/服务设计登陆页面,以便它接收具有其 Microsoft Entra ID 或 Microsoft 帐户 (MSA) 标识的用户,并有助于进行所需的任何其他预配或设置。 | 必填 |
| 3. 发布者通过 SaaS 履行 API 请求购买详情。 | 使用从登陆页的应用程序 ID 生成的 访问令牌,调用解析终结点 以检索有关购买的详细信息。 | 必填 |
| 4.通过Microsoft Entra ID 和 Microsoft Graph API,发布者收集在发布者的 SaaS 应用程序中预配买家所需的公司和用户详细信息。 | 分解 Microsoft Entra 用户令牌以查找名称和电子邮件,或 调用 Microsoft Graph API 并使用委派权限 检索有关登录用户的信息。 | 必填 |
订阅管理的过程步骤
下图显示了订阅管理的两个过程步骤。
下表介绍了有关订阅管理过程步骤的详细信息。
| 流程步骤 | 发布者操作 | 发布者推荐或必需 |
|---|---|---|
| 5.发布者通过 SaaS 履行 API 管理 SaaS 应用程序的订阅。 | 通过使用 SaaS 交付 API来管理订阅更改和其他管理任务。 此步骤需要一个访问令牌,如过程步骤 3 中所述。 |
必填 |
| 6. 使用按流量计费的定价时,发布者会向计量服务 API 发出使用情况事件。 | 如果 SaaS 应用具有基于使用情况的计费,请通过 市场计量服务 API发出使用情况通知。 此步骤需要访问令牌,如步骤 3 中所述。 |
计量必需 |
用户管理的过程步骤
下图显示了用户管理的三个过程步骤。
流程步骤 7 到 9 是可选的用户管理过程步骤。 它们为支持 Microsoft Entra 单一登录(SSO)的发布者提供更多权益。 下表描述了有关用户管理过程步骤的详细信息。
| 流程步骤 | 发布者操作 | 发布者推荐或必需 |
|---|---|---|
| 7. Microsoft购买者公司的 Entra 管理员可以选择通过 Microsoft Entra ID 管理用户和组的访问权限。 | 如果为用户设置了 Microsoft Entra SSO(步骤 9),则无需执行发布者操作即可启用此功能。 | 不適用 |
| 8. Microsoft Entra 预配服务负责在 Microsoft Entra ID 与发布者的 SaaS 应用程序之间传递更改信息。 | 实现 SCIM 终结点,以在添加和删除用户时接收来自 Microsoft Entra ID 的更新。 | 推荐 |
| 9. 在应用获得权限和预配后,来自买家公司的用户可以使用 Microsoft Entra SSO 登录到发布者的 SaaS 应用程序。 | 使用 Microsoft Entra SSO 让用户使用一个帐户登录到发布者的 SaaS 应用程序一次。 | 推荐 |