在商业市场中Microsoft Entra ID 和可交易 SaaS 产品/服务
Microsoft基于云的标识和访问管理服务, Microsoft Entra ID (Microsoft Entra ID)可帮助用户登录和访问内部和外部资源。 在Microsoft商业市场中,Microsoft Entra ID 使所有人(包括发布者、买家和用户)的可交易 SaaS 产品/服务更加轻松且更安全。 借助Microsoft Entra ID,发布者可以自动将用户预配到其软件即服务(SaaS)应用,买家自己可以管理这些预配的用户。
此外,当用户登录到Microsoft Entra ID 中的应用时, Microsoft Entra 单一登录 (SSO)可提供安全性和便利。 更快的参与度和优化体验也激发了买家和用户的信心,从与发布者的 SaaS 应用首次交互。 这会留下正面的印象,从而吸引公众注意,促进再次购买。
按照本文中的指南操作,你将帮助在商业市场中认证 SaaS 产品/服务。 有关认证的详细信息,请阅读详细的商业市场认证策略,包括特定于 SaaS 的策略。
重要
截至 2023 年 6 月 30 日,已弃用 Azure Active Directory (Azure AD) Graph。 今后,我们在 Azure AD Graph 中没有进一步的投资。 除了与安全相关的修补程序之外,Azure AD Graph API 没有 SLA 或维护承诺。 对新特性和功能的投资将仅在 Microsoft Graph 中进行。
我们将以增量步骤停用 Azure AD Graph,以便有足够的时间将应用程序迁移到 Microsoft Graph API。 稍后我们将宣布,我们将阻止使用 Azure AD Graph 创建任何新应用程序。
若要了解详细信息,请参阅 重要说明:Azure AD Graph 停用和 Powershell 模块弃用。
开始之前
在合作伙伴中心创建 SaaS 产品/服务时,可以从将显示在产品/服务列表中的一组特定列表选项中进行选择。 此选择将决定产品/服务在商业市场中的交易方式。 通过 Microsoft 销售的产品/服务称为可交易产品/服务。 我们会代表你就所有可交易产品/服务向客户收费。 如果选择通过Microsoft销售,并代表你托管交易( “是 ”选项),则你已选择创建可交易的产品/服务,本文适合你。 建议你通读本文。
如果你选择只是通过商业市场上架你的产品/服务,但独立处理交易(“否”选项),那么我们提供三个选项指明潜在客户访问产品/服务的方式:“立即获取(免费)”、“免费试用”,以及“与我联系”。 如果选择“ 立即获取”(免费) 或 免费试用版,本文并不适合你。 但是,可参阅针对商业市场中的免费或试用版 SaaS 产品/服务构建登陆页,以了解详细信息。 如果选择“与我联系”,则发布者没有直接责任。 继续在合作伙伴中心创建产品/服务。
Microsoft Entra ID 如何适用于 SaaS 产品/服务的商业市场
Microsoft Entra ID 可实现商业市场解决方案的无缝购买、履行和管理。 图 1 显示了发布者、买家和用户如何交互以购买和激活订阅。 它还显示了客户如何使用和管理其从商业市场获取的 SaaS 应用程序。 在此图中,买家是从商业市场发起购买的 SaaS 应用程序用户。
如图 1 所示,当买家选择产品/服务时,他们启动了一条工作流链,其中包括购买、订阅和用户管理。 在此链中,你作为发布者负责满足某些要求,而 Microsoft 在关键点提供支持。
图 1:在商业市场中为 SaaS 产品/服务使用 Microsoft Entra ID
以下各部分详细介绍了每个过程步骤的要求。
购买管理过程步骤
此图显示了购买管理的四个过程步骤。
下表详细介绍了购买管理过程步骤。
过程步骤 | 发布者操作 | 建议或要求(针对发布者) |
---|---|---|
1. 买家使用 Azure ID 标识登录到商业市场,并选择一个 SaaS 产品/服务。 | 发布者无需进行操作。 | 不适用 |
2. 购买后,买家选择“在 Azure 市场 中配置帐户”或“立即在 AppSource 中配置”,该帐户将购买者定向到发布者的登陆页面以获取此产品/服务。 买家必须能够使用 Microsoft Entra SSO 登录到发布者的 SaaS 应用程序,并且必须只要求获得不需要Microsoft Entra 管理员批准的最低同意。 | 为产品/服务设计登陆页面,以便它接收具有其Microsoft Entra ID 或 Microsoft 帐户(MSA)标识的用户,并有助于提供所需的任何其他预配或设置。 | 必须 |
3. 发布者从 SaaS 履行 API 请求购买的详细信息。 | 使用从登陆页的应用程序 ID 生成的访问令牌,调用解析终结点以检索有关购买的具体信息。 | 必须 |
4.通过Microsoft Entra ID 和 Microsoft Graph API,发布者收集在发布者的 SaaS 应用程序中预配买家所需的公司和用户详细信息。 | 分解 Microsoft Entra 用户令牌以查找名称和电子邮件,或 调用Microsoft图形 API ,并使用委派权限 检索有关登录用户的信息 。 | 必须 |
订阅管理过程步骤
下图显示了订阅管理的两个过程步骤。
下表详细介绍了订阅管理过程步骤。
过程步骤 | 发布者操作 | 建议或要求(针对发布者) |
---|---|---|
5. 发布者通过 SaaS 履行 API 管理 SaaS 应用程序的订阅。 | 通过 SaaS 履行 API 处理订阅更改和其他管理任务。 此步骤需要过程步骤 3 中所述的访问令牌。 |
必须 |
6. 使用计量定价时,发布者将使用情况事件发送到计量服务 API。 | 如果 SaaS 应用使用基于使用情况的计费方式,请通过市场计量服务 API 发出使用情况通知。 此步骤需要步骤 3 中所述的访问令牌。 |
针对计量必需 |
用户管理过程步骤
下图显示了用户管理的三个过程步骤。
过程步骤 7 到 9 是可选的用户管理过程步骤。 它们为支持 Microsoft Entra 单一登录(SSO)的发布者提供更多权益。 下表详细介绍了用户管理过程步骤。
过程步骤 | 发布者操作 | 建议或要求(针对发布者) |
---|---|---|
7. Microsoft购买者公司的 Entra 管理员可以选择通过 Microsoft Entra ID 管理用户和组的访问权限。 | 如果为用户设置了 Microsoft Entra SSO(步骤 9),则无需执行发布者操作即可启用此功能。 | 不适用 |
8. Microsoft Entra 预配服务在 Microsoft Entra ID 与发布者的 SaaS 应用程序之间进行通信更改。 | 实现 SCIM 终结点 ,以在添加和删除用户时接收来自 Microsoft Entra ID 的更新。 | 建议 |
9. 在应用获得权限和预配后,来自买家公司的用户可以使用 Microsoft Entra SSO 登录到发布者的 SaaS 应用程序。 | 使用 Microsoft Entra SSO 让用户使用一个帐户登录到发布者的 SaaS 应用程序一次。 | 建议 |