Registrieren einer SaaS-Anwendung
In diesem Artikel wird erläutert, wie Sie eine SaaS-Anwendung mithilfe des Microsoft Azure-Portal registrieren und wie Sie das Zugriffstoken des Herausgebers (Microsoft Entra-Zugriffstoken) abrufen. Dieses Token wird vom Herausgeber verwendet, um die SaaS-Anwendung durch Aufrufen der SaaS-Fulfillment-APIs zu authentifizieren. Die Erfüllungs-APIs verwenden die OAuth 2.0-Clientanmeldeinformationen, um Ablauf auf Microsoft Entra ID (v1.0)-Endpunkten zu gewähren, um eine Service-to-Service-Zugriffstokenanforderung zu erstellen.
Von Azure Marketplace werden keinerlei Vorgaben hinsichtlich der Authentifizierungsmethode gemacht, die von Ihrem SaaS-Dienst für Endbenutzer verwendet wird. Der folgende Ablauf ist nur für die Authentifizierung des SaaS-Diensts in Azure Marketplace erforderlich.
Weitere Informationen zu Microsoft Entra ID (Active Directory) finden Sie unter "Was ist die Authentifizierung".
Registrieren einer durch Microsoft Entra-ID gesicherten App
Jede Anwendung, die die Funktionen von Microsoft Entra ID verwenden möchte, muss zuerst in einem Microsoft Entra-Mandanten registriert werden. Bei diesem Registrierungsprozess werden Microsoft Entra einige Details zu Ihrer Anwendung gegeben. Führen Sie die folgenden Schritte aus, um mit dem Azure-Portal eine neue Anwendung zu registrieren:
Melden Sie sich beim Azure-Portal an.
Wenn Sie mit Ihrem Konto Zugriff auf mehrere Mandanten haben, wählen Sie Ihr Konto rechts oben aus. Legen Sie dann Ihre Portalsitzung auf den gewünschten Microsoft Entra-Mandanten fest.
Wählen Sie im linken Navigationsbereich den Microsoft Entra ID-Dienst aus, wählen Sie App-Registrierungen und dann "Neue Anwendungsregistrierung" aus.
Geben Sie auf der Seite „Erstellen“ die Registrierungsinformationen für Ihre Anwendung ein:
Name: Geben Sie einen aussagekräftigen Anwendungsnamen ein.
Unterstützte Kontotypen:
Wählen Sie "Konten" in diesem Organisationsverzeichnis (nur einzelner Mandant) aus.
Wenn Sie so weit sind, klicken Sie auf Registrieren. Die Microsoft Entra-ID weist Ihrer neuen Anwendung eine eindeutige Anwendungs-ID zu. Sie müssen eine App registrieren, die nur auf die API und als einzelner Mandant zugreift.
Navigieren Sie zum Erstellen eines geheimen Clientschlüssels zur Seite Zertifikate und Geheimnisse, und wählen Sie +Neuer geheimer Clientschlüssel aus. Kopieren Sie den Geheimniswert für die Verwendung in Ihrem Code.
Die Microsoft Entra-App-ID ist Ihrer Herausgeber-ID zugeordnet. Stellen Sie daher sicher, dass die gleiche App-ID in allen Ihren Angeboten verwendet wird.
Hinweis
Wenn der Herausgeber über zwei oder mehr unterschiedliche Konten im Partner Center verfügt, können die Microsoft Entra-App-Registrierungsdetails nur in einem Konto verwendet werden. Bei Verwendung derselben Mandanten-ID wird das App-ID-Paar für ein Angebot unter einem anderen Herausgeberkonto nicht unterstützt.
Hinweis
Sie müssen den Dienstprinzipal der registrierten App im Mandanten erstellen, für den Sie Token erstellen. In dieser Dokumentation wird beschrieben, wie Service Principal für eine App-Registrierung erstellt wird.
Abrufen des Autorisierungstokens des Herausgebers
Nachdem Sie Ihre Anwendung registriert haben, können Sie programmgesteuert das Autorisierungstoken des Herausgebers anfordern (Microsoft Entra-Zugriffstoken mit Azure AD v1-Endpunkt). Der Herausgeber muss dieses Token beim Aufrufen der verschiedenen SaaS-Fulfillment-APIs verwenden. Dieses Token ist nur eine Stunde lang gültig.
Weitere Informationen zu diesen Token finden Sie unter Microsoft Entra-Zugriffstoken. Im folgenden Flow wird das V1-Endpunkttoken verwendet.
Abrufen des Tokens mit „HTTP POST“
HTTP-Methode
Beitragen
Anforderungs-URL
https://login.microsoftonline.com/*{tenantId}*/oauth2/token
URI-Parameter
| Parametername | Erforderlich | BESCHREIBUNG |
|---|---|---|
tenantId |
True | Mandanten-ID der registrierten Microsoft Entra-Anwendung. |
Anforderungsheader
| Headername | Erforderlich | BESCHREIBUNG |
|---|---|---|
content-type |
True | Der Anforderung zugeordneter Inhaltstyp. Der Standardwert ist application/x-www-form-urlencoded. |
Anforderungstext
| Eigenschaftenname | Erforderlich | BESCHREIBUNG |
|---|---|---|
grant_type |
True | Gewährungstyp. Verwenden Sie "client_credentials". |
client_id |
True | Client-/App-ID, die der Microsoft Entra-App zugeordnet ist. |
client_secret |
True | Geheimer Schlüssel, der der Microsoft Entra-App zugeordnet ist. |
resource |
True | Zielressource, für die das Token angefordert wird. Verwenden Sie 20e940b3-4c77-4b0b-9a53-9e16a1b010a7, da die Marketplace-SaaS-API in diesem Fall immer die Zielressource ist. |
Antwort
| Name | Typ | BESCHREIBUNG |
|---|---|---|
| 200 – OK | TokenResponse | Anforderung erfolgreich. |
TokenResponse
Beispiel für eine Antwort:
{
"token_type": "Bearer",
"expires_in": "3600",
"ext_expires_in": "0",
"expires_on": "15251…",
"not_before": "15251…",
"resource": "20e940b3-4c77-4b0b-9a53-9e16a1b010a7",
"access_token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6ImlCakwxUmNxemhpeTRmcHhJeGRacW9oTTJZayIsImtpZCI6ImlCakwxUmNxemhpeTRmcHhJeGRacW9oTTJZayJ9…"
}
| Element | Beschreibung |
|---|---|
access_token |
Dieses Element ist das Zugriffstoken (<access_token>), das Sie beim Aufrufen aller SaaS-Fulfillment- und Marketplace-Messungs-APIs als den Autorisierungsparameter übergeben. Beim Aufrufen einer geschützten REST-API wird das Token als „Bearertoken“ in das Authorization-Anforderungsheader-Feld eingebettet, damit der Aufrufer von der API authentifiziert werden kann. |
expires_in |
Der Zeitraum in Sekunden, wie lange das Zugriffstoken ab dem Zeitpunkt der Ausstellung gültig ist, bevor es abläuft. Der Ausstellungszeitpunkt ist im Anspruch iat des Tokens zu finden. |
expires_on |
Der Zeitpunkt, zu dem das Zugriffstoken abläuft. Das Datum wird als Anzahl von Sekunden ab „1970-01-01T0:0:0Z UTC“ (entspricht dem Anspruch exp des Tokens) dargestellt. |
not_before |
Der Zeitpunkt, ab dem das Zugriffstoken wirksam ist und akzeptiert werden kann. Das Datum wird als Anzahl von Sekunden ab „1970-01-01T0:0:0Z UTC“ (entspricht dem Anspruch nbf des Tokens) dargestellt. |
resource |
Die Ressource, für die das Zugriffstoken angefordert wurde (Übereinstimmung mit dem Abfragezeichenfolgenparameter resource der Anforderung). |
token_type |
Der Typ des Tokens. In diesem Fall ein „Bearerzugriffstoken“, sodass die Ressource Zugriff auf den Bearer dieses Tokens gewähren kann. |
Nächste Schritte
Ihre mit Microsoft Entra ID gesicherte App kann jetzt die SaaS-Erfüllungsabonnement-APIs Version 2 und SaaS Fulfillment Operations APIs Version 2 verwenden.
Videoanleitungen
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für