Publikování aplikace v galerii aplikací Azure AD

svou aplikaci můžete publikovat v galerii aplikací Azure Active Directory (Azure AD). Po publikování vaší aplikace se zobrazí jako možnost pro zákazníky, když přidávají aplikace do svého tenanta.

Postup publikování aplikace v galerii aplikací Azure AD:

  1. Požadavky
  2. Vyberte pro vaši aplikaci správný Standard jednotného přihlašování.
  3. Implementujte v aplikaci jednotné přihlašování.
  4. Implementace zřizování uživatelů SCIM ve vaší aplikaci (volitelné)
  5. Vytvořte svého tenanta Azure a otestujte svoji aplikaci.
  6. Vytvořte a publikujte dokumentaci.
  7. Odešlete svoji aplikaci.
  8. Připojte se k programu Microsoft Partner Network.

Galerie aplikací Azure AD je katalog tisíc aplikací, které usnadňují nasazování a konfiguraci jednotného přihlašování (SSO) a automatizovaného zřizování uživatelů.

Mezi výhody přidání vaší aplikace do galerie Azure AD patří:

  • Zákazníci hledají pro vaši aplikaci nejlepší možnosti jednotného přihlašování.
  • Konfigurace aplikace je jednoduchá a minimální.
  • Rychlé hledání najde vaši aplikaci v galerii.
  • zákazníci Azure AD s bezplatným, základním a Premium můžou tuto integraci využívat.
  • Mezi vzájemné zákazníky získáte Podrobný kurz konfigurace.
  • Zákazníci, kteří používají systém pro správu identit mezi doménami (SCIM), můžou použít zřizování pro stejnou aplikaci.

V případě, že vaši zákazníci používají jako poskytovatele identity vaší aplikace službu Azure AD, má navíc spoustu výhod. Zde jsou některá z vylepšení:

  • Poskytněte pro uživatele jednotné přihlašování. Pomocí jednotného přihlašování (SSO) snížíte náklady na podporu tím, že zákazníkům usnadníte jednotné přihlašování. Pokud je jednotné přihlašování jedním kliknutím povolené, správci IT nemusí vědět, jak konfigurovat aplikaci pro použití ve své organizaci. Další informace o jednotném přihlašování najdete v tématu co je jednotné přihlašování?.
  • vaše aplikace může být zjistitelná v Microsoft 365 galerie aplikací, spouštěč aplikací Microsoft 365 a v rámci Microsoft Search na Office. com.
  • Integrovaná správa aplikací. Další informace o správě aplikací ve službě Azure AD najdete v tématu co je Správa aplikací?.
  • vaše aplikace může používat Graph API pro přístup k datům, která řídí produktivitu uživatelů v ekosystému microsoftu.
  • Dokumentace ke konkrétní aplikaci společně s týmem Azure AD pro naše vzájemné zákazníky usnadňuje přijímání.
  • Zákazníkům poskytnete možnost plně spravovat ověřování a autorizaci identity svých zaměstnanců a hostů.
  • Zadáváme zodpovědnost za správu účtů a dodržování předpisů s vlastníkem zákazníka těchto identit.
  • Poskytování možnosti povolit nebo zakázat jednotné přihlašování pro konkrétní poskytovatele identity, skupiny nebo uživatele, aby splnili své obchodní potřeby.
  • Zvýšíte svou obchodovatelnost a účinnost. Mnoho velkých organizací vyžaduje, aby jejich zaměstnanci (nebo snažíme) měli bezproblémové prostředí jednotného přihlašování napříč všemi aplikacemi. Zjednodušení jednotného přihlašování je důležité.
  • Omezíte tření koncového uživatele, což může zvýšit využití koncovými uživateli a zvýšit vaši tržby.
  • Zákazníci, kteří používají systém pro správu identit mezi doménami (SCIM), můžou použít zřizování pro stejnou aplikaci.
  • Přidejte zabezpečení a pohodlí, když se uživatelé přihlásí k aplikacím pomocí jednotného přihlašování Azure AD a odstraňují nutnost samostatných přihlašovacích údajů.

Tip

Když nabídnete aplikaci pro použití jinými společnostmi prostřednictvím nákupu nebo předplatného, zpřístupníte ji zákazníkům v jejich vlastních klientech Azure. To se označuje jako vytvoření víceklientské aplikace. Přehled tohoto konceptu najdete v tématu věnovaném architektuře v Azure Active Directory.

Požadavky

Pokud chcete publikovat aplikaci v galerii Azure AD, musíte nejdřív přečíst a přijmout konkrétní podmínky a ujednání.

Budete potřebovat trvalý účet pro testování s alespoň dvěma registrovanými uživateli.

  • Pro federované aplikace (otevřené ID a SAML/WS) musí aplikace podporovat model software jako služba (SaaS), aby mohl být uvedený v galerii aplikací Azure AD. Aplikace podnikové Galerie musí podporovat více zákaznických konfigurací a ne žádného konkrétního zákazníka.
  • pro Open ID Připojení musí být aplikace víceklientské a rozhraní pro vyjádření souhlasu Azure AD musí být pro aplikaci správně implementované. Uživatel může odeslat žádost o přihlášení ke společnému koncovému bodu, aby každý zákazník mohl poskytnout souhlas k aplikaci. Můžete řídit přístup uživatelů na základě ID tenanta a hlavního názvu uživatele (UPN) přijatého v tokenu.
  • V případě SAML 2.0/WS je nutné, aby vaše aplikace měla schopnost provádět integraci jednotného přihlašování SAML/WS v režimu SP nebo IDP. Před odesláním žádosti zajistěte, aby tato funkce fungovala správně.
  • V případě jednotného přihlašování k heslu se ujistěte, že vaše aplikace podporuje ověřování prostřednictvím formuláře, aby bylo možné provést jednotné přihlašování, aby bylo možné pracovat s jednotným přihlašováním podle očekávání.
  • Budete potřebovat trvalý účet pro testování s alespoň dvěma registrovanými uživateli.

můžete získat bezplatný zkušební účet se všemi funkcemi premium Azure AD – 90 dní zdarma a můžete ho prodloužit, pokud s ním budete pracovat: připojte se k programu Microsoft 365 Developer.

Krok 1 – výběr pravého jednotného přihlašování pro aplikaci

Pokud chcete zobrazit seznam aplikací v galerii aplikací Azure AD, implementujte aspoň jednu z podporovaných možností jednotného přihlašování. Pro pochopení možností jednotného přihlašování a způsobu jejich konfigurace ve službě Azure AD se podívejte na téma Možnosti jednotného přihlašování.

v následující tabulce jsou porovnávány hlavní standardy: otevřete ověřování 2,0 (OAuth 2,0) pomocí OpenID Připojení (OIDC), Security Assertion Markup Language (SAML) a specifikace Web Services Federation (WS-dodávání).

Schopnost OAuth/OIDC SAML/WS-Fed
Webové jednotné přihlašování
Jednotné odhlašování na základě webu
Jednotné přihlašování prostřednictvím mobilního telefonu √*
Jednotné odhlašování pomocí mobilních zařízení √*
Zásady podmíněného přístupu pro mobilní aplikace √*
Bezproblémové možnosti vícefaktorového ověřování pro mobilní aplikace √*
Zřizování SCIM
Přístup Microsoft Graph ×

*, Ale Microsoft neposkytuje ukázky ani doprovodné materiály.

OAuth 2.0 a OpenID Connect

OAuth 2,0 je standardní protokol pro autorizaci. OpenID Připojení (OIDC) je standardní vrstva ověřování identity postavená na protokolu OAuth 2,0.

Důvody pro výběr OAuth/OIDC

  • Autorizace, která je na základě těchto protokolů, umožňuje vaší aplikaci přístup k datům uživatelů a organizací s bohatou a integrovanou datovou sadou prostřednictvím rozhraní Microsoft Graph API.
  • Zjednodušuje uživatelské prostředí vašich zákazníků při přijímání jednotného přihlašování pro vaši aplikaci. Je možné snadno definovat potřebné sady oprávnění, které se pak automaticky reprezentují pro správce nebo koncového uživatele, který souhlasí.
  • Díky těmto protokolům můžou vaši zákazníci používat zásady podmíněného přístupu a Multi-Factor Authentication (MFA) k řízení přístupu k aplikacím.
  • Společnost Microsoft poskytuje knihovny a ukázky kódu napříč různými technologickými platformami , které pomáhají při vývoji.

Některé věci, které je potřeba zvážit

  • Pokud jste už u své aplikace implementovali jednotné přihlašování založené na SAML, možná nebudete chtít implementovat nový standard, abyste mohli aplikaci v galerii získat.

SAML 2,0 nebo WS-Fed

SAML je vyspělý a široce přijatý Standard jednotného přihlašování pro webové aplikace. Další informace o tom, jak Azure používá SAML, najdete v tématu jak Azure používá protokol SAML.

Specifikace Web Services Federation (WS-dodávání) je Standardní obor obecně používaný pro webové aplikace vyvinuté pomocí platformy .NET.

Důvody pro výběr SAML

  • SAML 2,0 je vyspělá Standard a většina technologických platforem podporuje open source knihovny pro SAML 2,0.
  • Zákazníkům můžete poskytnout rozhraní pro správu pro konfiguraci jednotného přihlašování SAML. můžou nakonfigurovat jednotné přihlašování saml pro Microsoft Azure AD a libovolného jiného poskytovatele identity, který podporuje SAML.

Některé věci, které je potřeba zvážit

  • Při použití protokolů SAML 2,0 nebo WSFed pro mobilní aplikace budou mít určité zásady podmíněného přístupu, včetně služby Multi-Factor Authentication (MFA), omezené prostředí.
  • pokud chcete získat přístup k Microsoft Graph, bude nutné implementovat autorizaci prostřednictvím OAuth 2,0 a vygenerovat potřebné tokeny.

Založené na heslech

Jednotné přihlašování založené na heslech, označované taky jako trezor hesel, umožňuje spravovat přístup uživatelů a hesla k webovým aplikacím, které nepodporují federaci identit. Je to také užitečné ve scénářích, ve kterých několik uživatelů potřebuje sdílet jeden účet, jako jsou například účty aplikací sociálních médií vaší organizace.

Krok 2 – implementace jednotného přihlašování v aplikaci

Každá aplikace v galerii musí implementovat jednu z podporovaných možností jednotného přihlašování. Další informace o podporovaných možnostech najdete v tématu Možnosti jednotného přihlašování.

Informace o OAuth a OIDC najdete v tématu pokyny k vzorům ověřování a ukázkám kódu Azure Active Directory.

V případě SAML a WS-krmen musí vaše aplikace mít možnost provádět integraci jednotného přihlašování v režimu SP nebo IDP. Před odesláním žádosti zajistěte, aby tato funkce fungovala správně.

Další informace o ověřování najdete v tématu co je ověřování?.

Důležité

Pro federované aplikace (OpenID a SAML/WS) musí aplikace podporovat model softwaru jako služby (SaaS). Aplikace Galerie Azure AD musí podporovat více zákaznických konfigurací a neměly by být specifické pro žádného jednoho zákazníka.

implementace OAuth 2,0 a OpenID Připojení

pro OpenID Připojení musí být aplikace víceklientské a rozhraní pro vyjádření souhlasu Azure AD musí být pro aplikaci správně implementované. Uživatel může odeslat žádost o přihlášení ke společnému koncovému bodu, aby každý zákazník mohl poskytnout souhlas k aplikaci. Můžete řídit přístup uživatelů na základě ID tenanta a hlavního názvu uživatele (UPN) přijatého v tokenu.

pokud si chcete projít konkrétní příklady, přečtěte si ukázky kódu Microsoft identity platform.

Příklady specifických pro mobilní zařízení najdete v těchto tématech:

Implementace SAML 2,0

Pokud vaše aplikace podporuje SAML 2,0, můžete ji integrovat přímo s klientem služby Azure AD. Další informace o konfiguraci SAML ve službě Azure AD najdete v tématu Konfigurace jednotného přihlašování založeného na SAML.

Microsoft neposkytuje ani nedoporučuje knihovny pro implementace SAML. K dispozici je celá řada Open Source knihoven.

Implementovat WS-Fed

další informace o WS-Fed v ASP.NET Core najdete v tématu ověřování uživatelů pomocí WS-Federation v ASP.NET Core.

Implementace trezoru hesel

Vytvořte webovou aplikaci, která má přihlašovací stránku HTML. Zajistěte, aby vaše aplikace podporovala ověřování formuláře, aby bylo možné provést jednotné přihlašování, aby bylo zajištěno fungování jednotného přihlašování podle očekávání.

Krok 3 – implementace SCIMho zřizování uživatelů v aplikaci

Podpora zřizování SCIM je nepovinná, ale důrazně se doporučuje, abyste mohli aplikaci sestavovat. Podpora standardu SCIM je snadná a umožňuje zákazníkům automaticky vytvářet a aktualizovat uživatelské účty v aplikaci, aniž by se museli spoléhat na ruční procesy, jako je například nahrávání souborů CSV. Kromě toho můžou zákazníci automatizovat odebrání uživatelů a zachování členství ve skupinách, což se nedá udělat pomocí řešení, jako je SAML JIT.

Další informace o SCIM

Další informace o standardech SCIM a výhodách pro vaše zákazníky najdete v tématu zřizování pomocí SCIM – Začínáme.

Porozumění implementaci Azure AD SCIM

Další informace o implementaci Azure AD SCIM najdete v tématu Vytvoření koncového bodu SCIM a konfigurace zřizování uživatelů pomocí Azure AD.

Implementovat SCIM

Azure AD poskytuje referenční kód , který vám pomůže vytvořit SCIM koncový bod. K dispozici je také mnoho knihoven a odkazů třetích stran, které můžete najít na GitHub.

Krok 4 – Vytvoření tenanta Azure a testování vaší aplikace

K otestování vaší aplikace budete potřebovat tenanta Azure AD. Informace o nastavení vývojového prostředí najdete v tématu rychlý Start: nastavení tenanta.

další možností je, že tenant služby Azure AD přináší každé předplatné Microsoft 365. pokud chcete nastavit bezplatné Microsoft 365 vývojové prostředí, přečtěte si téma zapojení do programu Microsoft 365 Developer.

Jakmile budete mít tenanta, otestujte jednotné přihlašování a zřizování.

V případě aplikací OIDC nebo Oath Zaregistrujte svoji aplikaci jako víceklientské aplikace. V části Podporované typy účtů vyberte účty v možnosti organizační adresář a osobní účet Microsoft.

Pro aplikace založené na SAML a WS-based můžete nakonfigurovat jednotné přihlašování založené na SAML pomocí obecné šablony SAML v Azure AD.

V případě potřeby můžete také převést aplikaci s jedním klientem na více tenantů .

Krok 5 – Vytvoření a publikování dokumentace

Dokumentace na vašem webu

Snadné přijetí je významným faktorem při rozhodování podnikového softwaru. Jasná dokumentace, která se dá snadno sledovat, podporuje vaše zákazníky v cestě k přijetí a snižuje náklady na podporu. Při práci s tisíci výrobců softwaru si Microsoft viděli, co funguje.

Doporučujeme, aby vaše dokumentace na webu obsahovala minimálně následující položky.

  • Seznámení s funkcemi jednotného přihlašování
    • Podporované protokoly
    • Verze a SKU
    • Seznam podporovaných zprostředkovatelů identity s odkazy na dokumentaci
  • Licenční informace pro vaši aplikaci
  • Řízení přístupu na základě role pro konfiguraci jednotného přihlašování
  • Kroky konfigurace jednotného přihlašování
    • Prvky konfigurace uživatelského rozhraní pro SAML s očekávanými hodnotami od poskytovatele
    • Informace o poskytovateli služeb, které se mají předat zprostředkovatelům identity
  • Pokud OIDC/OAuth
    • Seznam oprávnění vyžadovaných pro vyjádření souhlasu s obchodními odůvodněními
  • Postup testování pro uživatele pilotního nasazení
  • Informace o řešení potíží, včetně chybových kódů a zpráv
  • Mechanismy podpory pro zákazníky
  • Podrobnosti o koncovém bodu SCIM, včetně podporovaných prostředků a atributů

Dokumentace na webu společnosti Microsoft

při vytváření seznamu aplikací pomocí Azure Active Directory galerie aplikací, která také publikuje vaši aplikaci v Azure Marketplace, společnost Microsoft vygeneruje dokumentaci pro naše vzájemné zákazníky, kteří vysvětlují podrobný proces. Tadyvidíte příklad. tato dokumentace je vytvořena na základě odeslání do galerie a můžete ji snadno aktualizovat, pokud provedete změny aplikace pomocí účtu GitHub.

Krok 6 – odeslání aplikace

Po otestování, že integrace aplikace funguje se službou Azure AD, odešlete žádost o aplikaci na portál Microsoft Application Network.

Při prvním pokusu o přihlášení k portálu se zobrazí jedna ze dvou obrazovek.

Pokud se zobrazí zpráva "že nefungovala", budete muset kontaktovat integrační tým jednotného přihlašování služby Azure AD. Zadejte e-mailový účet, který chcete použít k odeslání žádosti. Je upřednostňována obchodní e-mailová adresa name@yourbusiness.com . Tým Azure AD přidá účet na portál Microsoft Application Network.

Pokud se zobrazí stránka "žádost o přístup", zadejte obchodní odůvodnění a vyberte požádat o přístup.

Po přidání účtu se můžete přihlásit k portálu Microsoft Application Network a odeslat žádost tak, že na domovské stránce vyberete dlaždici Odeslat žádost (ISV) .

Dlaždice Odeslat žádost (ISV) na domovské stránce

Problémy s přihlášením k portálu

Pokud se vám při přihlašování zobrazí tato chyba, tady jsou podrobnosti o problému a tady je postup, jak ji vyřešit.

  • Pokud se vaše přihlášení zablokuje, jak je znázorněno níže:

    problémy s řešením aplikace v galerii

Co se děje:

Uživatel hosta je federovaný do domovského tenanta, což je také Azure AD. Uživatel hosta je vysoce rizikový. Microsoft neumožňuje vysoce rizikovým uživatelům přístup ke svým prostředkům. Všichni uživatelé s vysokým rizikem (zaměstnanci, hosté nebo dodavatelé) musí napravovat nebo uzavřít svá rizika pro přístup k prostředkům Microsoftu. Pro uživatele typu host toto riziko uživatele pochází z domovského tenanta a zásady pochází z tenanta prostředků (v tomto případě Microsoft).

Zabezpečená řešení:

  • Zaregistrovaní uživatelé s více ověřováním napravují svá vlastní rizika uživatelů. To může udělat uživatel hosta, který provádí zabezpečenou změnu nebo resetování hesla ( ve svém domovském tenantovi (to vyžaduje MFA a https://aka.ms/sspr) SSPR v domovském tenantovi). Zabezpečenou změnu nebo resetování hesla je nutné zahájit v Azure AD, a ne v místě.

  • Uživatelé hosta napravují svá rizika svými správci. V takovém případě správce provede resetování hesla (dočasné generování hesla). To nepotřebuje Identity Protection. Správce uživatele hosta může přejít na a https://aka.ms/RiskyUsers kliknout na Resetovat heslo.

  • Uživatelé hosta mají své správce blízko nebo zamítá svá rizika. Znovu to není potřeba Identity Protection. Správce může přejít na a https://aka.ms/RiskyUsers kliknout na Zavřít riziko uživatele. Správce ale musí před uzavřením rizika uživatele provést pečlivou pečlivost, aby se zajistilo, že se jedná o falešně pozitivní posouzení rizika. Jinak vystavují prostředky a prostředky Microsoftu riziku tím, že potlačí posouzení rizik bez šetření.

Poznámka

Pokud máte s přístupem nějaké problémy, obraťte se na tým integrace jednotného přihlašování k Azure AD.

Možnosti specifické pro implementaci

Pokud chcete aplikaci přidat do seznamu v galerii pomocí OpenID Připojení, vyberte OpenID Připojení & OAuth 2.0, jak je znázorněno níže.

Výpis Připojení OpenID v galerii

Pokud chcete přidat aplikaci do seznamu v galerii pomocí SAML 2.0 nebo WS-Fed, vyberte SAML 2.0/WS-Fed, jak je znázorněno níže.

Výpis aplikace SAML 2.0 nebo WS-Fed v galerii

Pokud chcete přidat aplikaci do seznamu v galerii pomocí jednotného přihlašování pomocí hesla, vyberte jednotné přihlašování pomocí hesla (uživatelské jméno & heslo), jak je znázorněno níže.

Výpis aplikace jednotného přihlašování s heslem v galerii

Pokud pro zřizování uživatelů provádíte implementaci koncového bodu SCIM 2.0, vyberte možnost , jak je znázorněno níže. Při poskytování schématu v žádosti o onboarding si stáhněte schéma podle těchto pokynů. K sestavení aplikace galerie použijeme schéma, které jste nakonfigurovali při testování aplikace mimo galerii.

Žádost o zřizování uživatelů

Aktualizace nebo odebrání existujícího výpisu

Existující aplikaci galerie můžete aktualizovat nebo odebrat na portálu Microsoft Application Network.

Výpis aplikace SAML v galerii

Poznámka

Pokud máte s přístupem nějaké problémy, prohlédněte si předchozí část týkající se vytvoření účtu. Pokud to nefunguje, obraťte se na tým integrace jednotného přihlašování k Azure AD.

Časové osy

Časová osa procesu výpisu aplikace SAML 2.0 nebo WS-Fed v galerii je 7 až 10 pracovních dnů.

Časová osa pro výpis aplikace SAML v galerii

Časová osa procesu výpisu OpenID Připojení v galerii je 2 až 5 pracovních dnů.

Časová osa pro výpis Připojení OpenID v galerii

Časová osa procesu výpisu aplikace zřizování SCIM v galerii je proměnlivá a závisí na mnoha faktorech.

Eskalace

V případě eskalace odešlete e-mail integračnímu týmu jednotného přihlašování k Azure ADa my odpovíme co nejdříve.

Krok 7 – Připojení k partnerské síti Microsoftu

Rozhraní Microsoft Partner Network okamžitý přístup k exkluzivním prostředkům, programům, nástrojům a připojením. Informace o připojení k síti a vytvoření plánu pro vstup na trh najdete v tématu Oslovit komerční zákazníky.

Žádost o aplikace sdílením kontaktu týmu aplikace ISV

Zákazníci mohou požádat o aplikaci sdílením kontaktních údajů aplikace aisv tady.

Zobrazuje dlaždici aplikací požadovaných zákazníkem.

Tady je tok aplikací požadovaných zákazníkem.

Zobrazuje tok aplikací požadovaných zákazníkem.

Poznámka

Pokud máte problémy s přístupem, pošletee-mail týmu Aplikace Azure AD integration team.

Další kroky