Publicación de la aplicación en la galería de aplicaciones de Azure ADPublish your app to the Azure AD app gallery

Puede publicar la aplicación en la galería de aplicaciones de Azure AD.You can publish your app in the Azure AD app gallery. Una vez publicada la aplicación, se mostrará como una opción para los clientes cuando agreguen aplicaciones a su inquilino.When your app is published, it will show up as an option for customers when they are adding apps to their tenant.

Algunas de las ventajas de agregar la aplicación a la galería de Azure AD incluyen:Some of the benefits of adding your app to the Azure AD gallery include:

  • Los clientes pueden disfrutar de la mejor experiencia posible de inicio de sesión único en la aplicación.Customers find the best possible single sign-on experience for your app.
  • La configuración de la aplicación resulta sencilla y apenas requiere esfuerzo.Configuration of the application is simple and minimal.
  • Basta realizar una búsqueda rápida para encontrar la aplicación en la galería.A quick search finds your application in the gallery.
  • Todos los clientes de Azure AD de los niveles Gratis, Básico y Premium pueden disfrutar de esta integración.Free, Basic, and Premium Azure AD customers can all use this integration.
  • Los clientes mutuos pueden utilizar un tutorial de configuración paso a paso.Mutual customers get a step-by-step configuration tutorial.

Además, hay muchas ventajas cuando los clientes usan Azure AD como proveedor de identidades para la aplicación.In addition, there are many benefits when your customers use Azure AD as an identity provider for your app. Algunas son:Some of these include:

  • Proporcionar inicio de sesión único para los usuarios.Provide single sign-on for your users. Con el inicio de sesión único, puede reducir los costos de soporte técnico poniéndoselo más fácil a los clientes.With SSO you reduce support costs by making it easier for your customers with single sign-on. Si está habilitado el inicio de sesión único con un solo clic, los administradores de TI de los clientes no tendrán que aprender a configurar la aplicación para su uso en su organización.If one-click SSO is enabled, your customers’ IT Administrators don't have to learn how to configure your application for use in their organization. Para más información sobre el inicio de sesión único, vea ¿Qué es el inicio de sesión único?To learn more about single sign-on, see What is single sign-on?.
  • Se puede detectar la aplicación en la galería de aplicaciones de Microsoft 365, el iniciador de aplicaciones de Microsoft 365 y en Microsoft Search en Office.com.Your app can be discoverable in the Microsoft 365 App Gallery, the Microsoft 365 App Launcher, and within Microsoft Search on Office.com.
  • Administración integrada de aplicaciones.Integrated app management. Para más información sobre la administración de aplicaciones en Azure AD, vea ¿Qué es la administración de aplicaciones?To learn more about app management in Azure AD, see What is application management?.
  • La aplicación puede usar Graph API para acceder a los datos que impulsan la productividad de los usuarios en el ecosistema de Microsoft.Your app can use the Graph API to access the data that drives user productivity in the Microsoft ecosystem.
  • La documentación específica de la aplicación coproducida con el equipo de Azure AD para los clientes mutuos facilita la adopción.Application-specific documentation co-produced with the Azure AD team for our mutual customers eases adoption.
  • Puede proporcionar a los clientes la posibilidad de administrar por completo la autenticación y autorización de las identidades de sus empleados e invitados.You provide your customers the ability to completely manage their employee and guest identities’ authentication and authorization.
  • Colocando toda la responsabilidad de administración de la cuenta y del cumplimiento normativo en el cliente propietario de esas identidades.Placing all account management and compliance responsibility with the customer owner of those identities.
  • Proporcionando la capacidad de habilitar o deshabilitar el inicio de sesión único para proveedores de identidades específicos, grupos o usuarios satisfagan sus necesidades empresariales.Providing ability to enable or disable SSO for specific identity providers, groups, or users to meet their business needs.
  • Puede aumentar la capacidad de comercialización y adopción.You increase your marketability and adoptability. Muchas organizaciones grandes requieren (o aspiran a ello) que sus empleados tengan experiencias de inicio de sesión único sin problemas en todas las aplicaciones.Many large organizations require that (or aspire to) their employees have seamless SSO experiences across all applications. Facilitar el inicio de sesión único es muy importante.Making SSO easy is important.
  • Puede reducir los problemas del usuario final a la hora de utilizarla, lo cual podría aumentar el uso por parte del usuario final e incrementar los ingresos.You reduce end-user friction, which may increase end-user usage and increase your revenue.
  • Los clientes que usan el sistema para la administración de identidades entre dominios (SCIM) pueden usar el aprovisionamiento para la misma aplicación.Customers who use the System for Cross-domain Identity Management (SCIM) can use provisioning for the same app.
  • Agregue seguridad y comodidad cuando los usuarios inicien sesión en las aplicaciones con el inicio de sesión único de Azure AD sin necesidad de usar credenciales independientes.Add security and convenience when users sign on to applications by using Azure AD SSO and removing the need for separate credentials.

Sugerencia

Cuando ofrece la aplicación para que la utilicen otras empresas mediante su compra o suscripción, hace que la aplicación esté disponible para los clientes dentro de sus propios inquilinos de Azure.When you offer your application for use by other companies through a purchase or subscription, you make your application available to customers within their own Azure tenants. Esto se conoce como creación de una aplicación multiinquilino.This is known as creating a multi-tenant application. Para obtener información general sobre este concepto, vea Aplicaciones multiinquilino en Azure e Inquilinos en Azure Active Directory.For an overview of this concept, see Multitenant Applications in Azure and Tenancy in Azure Active Directory.

Importante

Para publicar la aplicación en la galería de Azure AD, debe aceptar términos y condiciones concretos.To publish your app in the Azure AD gallery you must agree to specific terms and conditions. Antes de empezar, asegúrese de leer y aceptar los términos y condiciones.Before you begin, make sure to read and agree to the terms and conditions.

Los pasos para publicar la aplicación en la galería de aplicaciones de Azure AD son:The steps to publishing your app in the Azure AD app gallery are:

  1. Elija el estándar de inicio de sesión único adecuado para su aplicación.Choose the right single sign-on standard for your app.
  2. Implemente el inicio de sesión único en la aplicación.Implement single sign-on in your app.
  3. Cree el inquilino de Azure y pruebe la aplicación.Create your Azure tenant and test your app.
  4. Cree y publique documentación.Create and publish documentation.
  5. Envíe la aplicación.Submit your app.
  6. Únase a Microsoft Partner Network.Join the Microsoft partner network.
  • Los clientes pueden disfrutar de la mejor experiencia posible de inicio de sesión único.Customers find the best possible single sign-on experience.
  • La configuración de la aplicación resulta sencilla y apenas requiere esfuerzo.Configuration of the application is simple and minimal.
  • Basta realizar una búsqueda rápida para encontrar la aplicación en la galería.A quick search finds your application in the gallery.
  • Todos los clientes de Azure AD de los niveles Gratis, Básico y Premium pueden disfrutar de esta integración.Free, Basic, and Premium Azure AD customers can all use this integration.
  • Los clientes mutuos pueden utilizar un tutorial de configuración paso a paso.Mutual customers get a step-by-step configuration tutorial.
  • Los clientes que usan el sistema para la administración de identidades entre dominios (SCIM) pueden usar el aprovisionamiento para la misma aplicación.Customers who use the System for Cross-domain Identity Management (SCIM) can use provisioning for the same app.

PrerrequisitosPrerequisites

Necesita una cuenta permanente para las pruebas con al menos dos usuarios registrados.You need a permanent account for testing with at least two users registered.

  • Para las aplicaciones federadas (Open ID y SAML/WS-Fed), la aplicación debe admitir el modelo de software como servicio (SaaS) para que se incluya en la galería de Azure AD.For federated applications (Open ID and SAML/WS-Fed), the application must support the software-as-a-service (SaaS) model for getting listed in the Azure AD app gallery. Las aplicaciones de la galería empresarial tienen que admitir varias configuraciones de cliente y no la de un cliente específico.The enterprise gallery applications must support multiple customer configurations and not any specific customer.
  • Para OpenID Connect, la aplicación debe ser de varios inquilinos y para ella se debe implementar correctamente el marco de consentimiento de Azure AD.For Open ID Connect, the application must be multitenanted and the Azure AD consent framework must be properly implemented for the application. El usuario puede enviar la solicitud de inicio de sesión a un punto de conexión común para que los clientes puedas proporcionar su consentimiento a la aplicación.The user can send the sign-in request to a common endpoint so that any customer can provide consent to the application. Puede controlar el acceso de usuario en función del identificador del inquilino y el UPN del usuario que se recibieron en el token.You can control user access based on the tenant ID and the user's UPN received in the token.
  • Para SAML 2.0 o WS-Fed, la aplicación debe ser capaz de realizar la integración de SSO de SAML o WS-Fed en modo SP o IDP.For SAML 2.0/WS-Fed, your application must have the capability to do the SAML/WS-Fed SSO integration in SP or IDP mode. Asegúrese de que esta funcionalidad funciona correctamente antes de enviar la solicitud.Make sure this capability is working correctly before you submit the request.
  • Para el SSO con contraseña, asegúrese de que la aplicación admita la autenticación por formulario para que se pueda realizar el almacenamiento de contraseña y hacer que el inicio de sesión único funcione del modo previsto.For password SSO, make sure that your application supports form authentication so that password vaulting can be done to get single sign-on to work as expected.
  • Necesita una cuenta permanente para las pruebas con al menos dos usuarios registrados.You need a permanent account for testing with at least two users registered.

¿Cómo obtener Azure AD para desarrolladores?How to get Azure AD for developers?

Puede obtener una cuenta de prueba gratuita con todas las características de Azure AD premium gratis durante 90 días. Este período puede ampliarse siempre que realice labores de desarrollo con dicha cuenta: https://docs.microsoft.com/office/developer-program/office-365-developer-programYou can get a free test account with all the premium Azure AD features - 90 days free and can get extended as long as you do dev work with it: https://docs.microsoft.com/office/developer-program/office-365-developer-program

Paso 1: Elija el estándar de inicio de sesión único adecuado para su aplicaciónStep 1 - Choose the right single sign-on standard for your app

Para mostrar una aplicación en la galería de aplicaciones de Azure AD, implemente al menos una de las opciones admitidas de inicio de sesión único.To list an application in the Azure AD app gallery, implement at least one of the supported single sign-on options. Para comprender las opciones de inicio de sesión único y cómo las configurarán los clientes en Azure AD, vea Opciones de inicio de sesión único.To understand the single sign-on options, and how customers will configure them in Azure AD, see SSO options.

En la tabla siguiente se comparan los estándares principales: Open Authentication 2.0 (OAuth 2.0) con OpenID Connect (OIDC), Lenguaje de marcado de aserción de seguridad (SAML) y Web Services Federation (WS-Fed).The following table compares the main standards: Open Authentication 2.0 (OAuth 2.0) with OpenID Connect (OIDC), Security Assertion Markup Language (SAML), and Web Services Federation (WS-Fed).

CapacidadCapability OAuth/OIDCOAuth / OIDC SAML/WS-FedSAML / WS-Fed
Inicio de sesión único basado en WebWeb-based single sign-on
Cierre de sesión único basado en WebWeb-based single sign-out
Inicio de sesión único basado en dispositivos móvilesMobile-based single sign-on √*√*
Cierre de sesión único basado en dispositivos móvilesMobile-based single sign-out √*√*
Directivas de acceso condicional para aplicaciones para dispositivos móvilesConditional Access policies for mobile applications √*√*
Experiencia MFA completa para aplicaciones para dispositivos móvilesSeamless MFA experience for mobile applications √*√*
Aprovisionamiento de SCIMSCIM Provisioning
Acceso a Microsoft GraphAccess Microsoft Graph XX

*Es posible, pero Microsoft no proporciona ejemplos ni guía.*Possible, but Microsoft doesn't provide samples or guidance.

OAuth 2.0 y OpenID ConnectOAuth 2.0 and OpenID Connect

OAuth 2.0 es un protocolo estándar de la industria para la autorización.OAuth 2.0 is an industry-standard protocol for authorization. OpenID Connect (OIDC) es un nivel de autenticación de identidad estándar del sector creado a partir del protocolo OAuth 2.0.OpenID Connect (OIDC) is an industry standard identity authentication layer built on top of the OAuth 2.0 protocol.

Motivos para elegir OAuth/OIDCReasons to choose OAuth/OIDC

  • La autorización inherente a estos protocolos permite a cualquier aplicación no solo acceder a un gran número de datos de los usuarios y de la organización sino también integrarse en ellos mediante Microsoft Graph API.The authorization inherent in these protocols enables your application to access and integrate with rich user and organizational data through the Microsoft Graph API.
  • Simplifica la experiencia de usuario final de sus clientes al adoptar el inicio de sesión único para su aplicación.Simplifies your customers’ end-user experience when adopting SSO for your application. Puede definir fácilmente los conjuntos de permisos necesarios, que luego se representan automáticamente para que el administrador o el usuario final den su consentimiento.You can easily define the permission sets necessary, which are then automatically represented to the administrator or end user consenting.
  • El uso de estos protocolos permite a los clientes usar directivas de Multi-Factor Authentication (MFA) y de acceso condicional para controlar el acceso a las aplicaciones.Using these protocols enables your customers to use Conditional Access and Multi-Factor Authentication (MFA) policies to control access to the applications.
  • Microsoft proporciona bibliotecas y ejemplos de código en varias plataformas tecnológicas para facilitar el desarrollo.Microsoft provides libraries and code samples across multiple technology platforms to aid your development.

Varios aspectos que se deben tener en cuentaSome things to consider

  • Si ya ha implementado el inicio de sesión único basado en SAML para la aplicación, es posible que no desee implementar un nuevo estándar para obtener la aplicación en la galería.If you have already implemented SAML based single sign-on for your application then you might not want to implement a new standard to get your app in the gallery.

SAML 2.0 o WS-FedSAML 2.0 or WS-Fed

SAML es un estándar de inicio de sesión único, consolidado y ampliamente adoptado para aplicaciones web.SAML is a mature, and widely adopted, single sign-on standard for web applications. Para más información sobre cómo Azure usa SAML, vea Uso del protocolo SAML por parte de Azure.To learn more about how Azure uses SAML, see How Azure uses the SAML protocol.

Web Services Federation (WS-Fed) es un estándar del sector que normalmente se usa para las aplicaciones web que se desarrollan mediante la plataforma .NET.Web Services Federation (WS-Fed) is an industry standard generally used for web applications that are developed using the .NET platform.

Motivos para elegir SAMLReasons to choose SAML

  • SAML 2.0 es un estándar maduro y la mayoría de las plataformas tecnológicas admiten las bibliotecas de código abierto para SAML 2.0.SAML 2.0 is a mature standard and most technology platforms support open-source libraries for SAML 2.0.
  • Puede proporcionar a los clientes una interfaz de administración para configurar el inicio de sesión único de SAML.You can provide your customers an administration interface to configure SAML SSO. Puede configurar el inicio de sesión único de SAML para Microsoft Azure AD y cualquier otro proveedor de identidades que sea compatible con SAML.They can configure SAML SSO for Microsoft Azure AD, and any other identity provider that supports SAML.

Varios aspectos que se deben tener en cuentaSome things to consider

  • Al usar los protocolos SAML 2.0 o WSFed para aplicaciones para dispositivos móviles, determinadas directivas de acceso condicional, incluida la autenticación multifactor (MFA), tendrán una experiencia que se verá limitada.When using SAML 2.0 or WSFed protocols for mobile applications, certain Conditional Access policies including Multi-factor Authentication (MFA) will have a degraded experience.
  • Si desea acceder a Microsoft Graph, será preciso que implemente la autorización mediante OAuth 2.0 para generar los tokens necesarios.If you want to access the Microsoft Graph, you will need to implement authorization through OAuth 2.0 to generate necessary tokens.

Basado en contraseñasPassword-based

El SSO basado en contraseña, también conocido como almacenamiento de contraseñas, permite administrar el acceso y las contraseñas de los usuarios en aplicaciones web que no admiten la federación de identidades.Password-based SSO, also referred to as password vaulting, enables you to manage user access and passwords to web applications that don't support identity federation. También es útil para escenarios en los que varios usuarios deben compartir la misma cuenta, como las cuentas de las aplicaciones de redes sociales de la organización.It's also useful for scenarios in which several users need to share a single account, such as to your organization's social media app accounts.

Paso 2: Implemente el inicio de sesión único en la aplicaciónStep 2 - Implement single sign-on in your app

Cada aplicación de la galería debe implementar una de las opciones de inicio de sesión único compatibles.Every app in the gallery must implement one of the supported single sign-on options. Para más información sobre las opciones compatibles, vea Opciones de inicio de sesión único.To learn more about the supported options, see SSO options.

Para OAuth y OIDC, vea Guía sobre los patrones de autenticación y Ejemplos de código de Azure Active Directory.For OAuth and OIDC, see guidance on authentication patterns and Azure active Directory code samples.

Para SAML y WS-Fed, la aplicación debe ser capaz de realizar la integración de SSO en modo SP o IDP.For SAML and WS-Fed, your application must have the capability to do SSO integration in SP or IDP mode. Asegúrese de que esta funcionalidad funciona correctamente antes de enviar la solicitud.Make sure this capability is working correctly before you submit the request.

Para más información sobre la autenticación, vea ¿Qué es la autenticación?To learn more about authentication, see What is authentication?.

Importante

En el caso de las aplicaciones federadas (OpenID y SAML/WS-Fed), la aplicación debe admitir el modelo de software como servicio (SaaS).For federated applications (OpenID and SAML/WS-Fed), the app must support the Software as a Service (SaaS) model. Las aplicaciones de la galería de Azure AD tienen que admitir varias configuraciones de cliente y no deben especificarse para un único cliente.Azure AD gallery applications must support multiple customer configurations and should not be specific to any single customer.

Implementación de OAuth 2.0 y OpenID ConnectImplement OAuth 2.0 and OpenID Connect

Para OpenID Connect, la aplicación debe ser multiinquilino y para ella se debe implementar correctamente el marco de consentimiento de Azure AD.For OpenID Connect, the application must be multi-tenanted and the Azure AD consent framework must be properly implemented for the application. El usuario puede enviar la solicitud de inicio de sesión a un punto de conexión común para que los clientes puedas proporcionar su consentimiento a la aplicación.The user can send the sign-in request to a common endpoint so that any customer can provide consent to the application. Puede controlar el acceso de usuario en función del identificador del inquilino y el UPN del usuario que se recibieron en el token.You can control user access based on the tenant ID and the user's UPN received in the token.

Para revisar ejemplos específicos, vea Ejemplos de código de la Plataforma de identidad de Microsoft.To review specific examples, see the Microsoft identity platform code samples.

Para consultar ejemplos específicos de dispositivos móviles, vea:To review mobile specific examples, see:

Implementación de SAML 2.0Implement SAML 2.0

Si la aplicación es compatible con SAML 2.0, puede integrarlo directamente con un inquilino de Azure AD.If your app supports SAML 2.0, you can integrate it directly with an Azure AD tenant. Para más información sobre la configuración de SAML con Azure AD, vea Configuración del inicio de sesión único basado en SAML.To learn more about SAML configuration with Azure AD, see Configure SAML-based single sign-on.

Microsoft no proporciona ni recomienda bibliotecas para las implementaciones de SAML.Microsoft does not provide, or recommend, libraries for SAML implementations. Hay muchas bibliotecas de código abierto disponibles.There are many open-source libraries available.

Implementación de WS-FedImplement WS-Fed

Para más información sobre WS-Fed en ASP.NET Core, vea Autenticación de usuarios con WS-Federation en ASP.NET Core.To learn more about WS-Fed in ASP.NET Core, see Authenticate users with WS-Federation in ASP.NET Core.

Implementación del almacenamiento de contraseñasImplement password vaulting

Cree una aplicación web que tenga una página de inicio de sesión HTML.Create a web application that has an HTML sign-in page. Asegúrese de que la aplicación admita la autenticación por formulario para que se pueda realizar el almacenamiento de contraseñas y hacer que el inicio de sesión único funcione según lo previsto.Make sure that your application supports form authentication so that password vaulting can be done to get single sign-on to work as expected.

Paso 3: Implemente el aprovisionamiento de usuarios de SCIM en la aplicaciónStep 3 - Implement SCIM user provisioning in your app

La compatibilidad con el aprovisionamiento usuarios de SCIM es un paso opcional, pero muy recomendable, para crear la aplicación.Supporting SCIM provisioning is an optional, but highly recommended, step in building your application. Proporcionar compatibilidad con el estándar SCIM es sencillo y permite a los clientes crear y actualizar automáticamente las cuentas de usuario en la aplicación, sin necesidad de procesos manuales como cargar archivos CSV.Supporting the SCIM standard is easy to do and allows customers to automatically create and update user accounts in your app, without relying on manual processes such as uploading CSV files. Además, los clientes pueden automatizar la eliminación de usuarios y mantener sincronizada la pertenencia a grupos, algo que no es posible con una solución como SAML JIT.In addition, customers can automate removing users and keeping group memberships in sync, which can't be accomplished with a solution such as SAML JIT.

Más información sobre SCIMLearn about SCIM

Para obtener más información sobre los estándares y las ventajas de SCIM para los clientes, consulte una introducción al aprovisionamiento con SCIM.To learn more about the SCIM standards and benefits for your customers, see provisioning with SCIM - getting started.

Información sobre la implementación de SCIM de Azure ADUnderstand the Azure AD SCIM implementation

Para obtener más información acerca de la implementación de SCIM de Azure AD, consulte cómo crear un punto de conexión de SCIM y configurar el aprovisionamiento de usuarios con Azure AD.To learn more about the Azure AD SCIM implementation, see build a SCIM endpoint and configure user provisioning with Azure AD.

Implementación de SCIMImplement SCIM

Azure AD proporciona un código de referencia para ayudarle a crear un punto de conexión de SCIM.Azure AD provides reference code to help you build a SCIM endpoint. También hay muchas bibliotecas o referencias de terceros disponibles en GitHub.There are also many third party libraries / references that you can find on GitHub.

Paso 4: Cree el inquilino de Azure y pruebe la aplicaciónStep 4 - Create your Azure tenant and test your app

Necesitará un inquilino de Azure AD para probar la aplicación.You will need an Azure AD tenant in order to test your app. Para configurar el entorno de desarrollo, vea Inicio rápido: Configuración de un inquilino.To set up your development environment, see Quickstart: Set up a tenant.

Como alternativa, cada suscripción a Microsoft 365 incluye un inquilino de Azure AD.Alternatively, an Azure AD tenant comes with every Microsoft 365 subscription. Para configurar un entorno de desarrollo de Microsoft 365 gratuito, vea Unirse al programa de desarrolladores de Microsoft 365.To set up a free Microsoft 365 development environment, see Join the Microsoft 365 Developer Program.

Una vez que tenga un inquilino, pruebe el inicio de sesión único y el aprovisionamiento.Once you have a tenant, test single-sign on and provisioning.

En aplicaciones de OIDC u Oath, registre la aplicación como una aplicación multiinquilino.For OIDC or Oath applications, Register your application as a multi-tenant application. ‎Seleccione la opción Cuentas en cualquier directorio organizativo y cuentas Microsoft personales en Tipos de cuenta admitidos.‎Select the Accounts in any organizational directory and personal Microsoft accounts option in Supported Account types.

En aplicaciones basadas en SAML y WS-Fed, configure el inicio de sesión único basado en SAML mediante una plantilla genérica de SAML en Azure AD.For SAML- and WS-Fed-based applications, you Configure SAML-based Single sign-on applications using a generic SAML template in Azure AD.

También puede convertir una aplicación de un solo inquilino en multiinquilino si fuera necesario.You can also convert a single-tenant application to multi-tenant if necessary.

Paso 5: Cree y publique la documentaciónStep 5 - Create and publish documentation

Documentación sobre el sitioDocumentation on your site

La facilidad de adopción es un factor importante para las decisiones relacionadas con el software empresarial.Ease of adoption is a significant factor in enterprise software decisions. Una documentación clara y fácil de seguir ayuda a los clientes en su proceso de adopción y reduce los costos de soporte técnico.Clear easy-to-follow documentation supports your customers in their adoption journey and reduces support costs. El trabajo con miles de proveedores de software ha permitido a Microsoft observar lo que funciona.Working with thousands of software vendors, Microsoft has seen what works.

Se recomienda que la documentación sobre el sitio como mínimo incluya los siguientes elementos.We recommend that your documentation on your site at a minimum include the following items.

  • Introducción a la funcionalidad de inicio de sesión únicoIntroduction to your SSO functionality
    • Protocolos admitidosProtocols supported
    • SKU y versiónVersion and SKU
    • Lista de proveedores de identidades admitidos con vínculos de documentaciónSupported Identity Providers list with documentation links
  • Información de licencia de la aplicaciónLicensing information for your application
  • Control de acceso basado en rol para configurar el inicio de sesión únicoRole-based access control for configuring SSO
  • Pasos de configuración de inicio de sesión únicoSSO Configuration Steps
    • Elementos de configuración de la interfaz de usuario para SAML con los valores esperados del proveedorUI configuration elements for SAML with expected values from the provider
    • Información del proveedor de servicio que se va a pasar a los proveedores de identidadesService provider information to be passed to identity providers
  • Si OIDC/OAuthIf OIDC/OAuth
    • Lista de permisos necesarios para el consentimiento con justificaciones comercialesList of permissions required for consent with business justifications
  • Pasos de prueba para usuarios pilotoTesting steps for pilot users
  • Información de solución de problemas, incluidos mensajes y códigos de errorTroubleshooting information, including error codes and messages
  • Mecanismos de soporte técnico para clientesSupport mechanisms for customers
  • Detalles sobre el punto de conexión de SCIM, incluidos los recursos y atributos admitidosDetails about your SCIM endpoint, including the resources and attributes supported

Documentación sobre el sitio de MicrosoftDocumentation on the Microsoft Site

Al publicar la aplicación con la galería de aplicaciones de Azure Active Directory, que también publica la aplicación en Azure Marketplace, Microsoft genera documentación que explica el proceso paso a paso para los clientes mutuos.When you list your application with the Azure Active Directory Application Gallery, which also publishes your application in the Azure Marketplace, Microsoft will generate documentation for our mutual customers explaining the step-by-step process. Puede ver un ejemplo aquí.You can see an example here. Esta documentación se crea en función del envío a la galería y se puede actualizar fácilmente si se realizan cambios en la aplicación con la cuenta de GitHub.This documentation is created based on your submission to the gallery, and you can easily update it if you make changes to your application using your GitHub account.

Paso 6: Envíe la aplicaciónStep 6 - Submit your app

Cuando haya comprobado que la integración de aplicaciones funciona con Azure AD, envíe la solicitud de aplicación en el portal de redes de aplicaciones de Microsoft.After you've tested that your application integration works with Azure AD, submit your application request in the Microsoft Application Network portal.

La primera vez que intente iniciar sesión en el portal, se mostrará una de las dos pantallas.The first time you try to sign into the portal you will be presented with one of two screens.

Si recibe el mensaje "Eso no funcionó", deberá ponerse en contacto con el equipo de integración del SSO de Azure AD.If you receive the message "That didn't work" then you will need to contact the Azure AD SSO Integration Team. Proporcione la cuenta de correo electrónico que desea usar para enviar la solicitud.Provide the email account that you want to use for submitting the request. Se prefiere una dirección de correo electrónico empresarial, como name@yourbusiness.com.A business email address such as name@yourbusiness.com is preferred. A continuación, el equipo de Azure AD agregará la cuenta en el portal de redes de aplicaciones de Microsoft.The Azure AD team will add the account in the Microsoft Application Network portal.

Si aparece una página "Solicitar acceso", rellene la justificación comercial y seleccione Solicitar acceso.If you see a "Request Access" page then fill in the business justification and select Request Access.

Una vez agregada la cuenta, puede iniciar sesión en el portal de redes de aplicaciones de Microsoft y enviar la solicitud; para ello, seleccione el icono Enviar solicitud (ISV) en la página principal.After the account is added, you can sign in to the Microsoft Application Network portal and submit the request by selecting the Submit Request (ISV) tile on the home page.

Icono Enviar solicitud (ISV) en la página principal

Problemas al iniciar sesión en el portalIssues on logging into portal

Si ve este error al iniciar sesión, estos son los detalles sobre el problema y así es como puede corregirlo.If you are seeing this error while logging in then here are the detail on the issue and this is how you can fix it.

  • Si el inicio de sesión se ha bloqueado como se muestra a continuación:If your sign-in was blocked as shown below:

    aplicación de resolución de problemas de la galería

Qué ocurre:What's happening:

El usuario invitado está federado en un inquilino inicial que también es de Azure AD.The guest user is federated to a home tenant which is also an Azure AD. El riesgo que afronta el usuario invitado es alto.The guest user is at High risk. Microsoft no permite que los usuarios de alto riesgo tengan acceso a sus recursos.Microsoft doesn't allow High risk users to access its resources. Todos los usuarios de alto riesgo (empleados o invitados/proveedores) deben poner solución a su riesgo o acabar con este para tener acceso a los recursos de Microsoft.All High risk users (employees or guests / vendors) must remediate / close their risk to access Microsoft resources. Para los usuarios invitados, este riesgo de usuario procede del inquilino inicial y la directiva procede del inquilino de los recursos (Microsoft en este caso).For guest users, this user risk comes from the home tenant and the policy comes from the resource tenant (Microsoft in this case).

Soluciones seguras:Secure solutions:

  • Los usuarios invitados registrados para MFA ponen solución a su propio riesgo de usuario.MFA registered guest users remediate their own user risk. Esto lo puede hacer el usuario invitado cambiando o restableciendo la contraseña segura (https://aka.ms/sspr) en su inquilino inicial (esto requiere MFA y SSPR en el inquilino inicial).This can be done by the guest user performing a secured password change or reset (https://aka.ms/sspr) at their home tenant (this needs MFA and SSPR at the home tenant). El cambio o restablecimiento de la contraseña segura debe iniciarse en Azure AD y no en el entorno local.The secured password change or reset must be initiated on Azure AD and not on-prem.

  • Los usuarios invitados hacen que sus administradores pongan solución a su riesgo.Guest users have their admins remediate their risk. En este caso, el administrador restablecerá la contraseña (generación de contraseñas temporal).In this case, the admin will perform a password reset (temporary password generation). Esto no requiere Identity Protection.This does not need Identity Protection. El administrador del usuario invitado puede ir a https://aka.ms/RiskyUsers y hacer clic en "Restablecer contraseña".The guest user's admin can go to https://aka.ms/RiskyUsers and click on 'Reset password'.

  • Los usuarios invitados hacen que sus administradores acaben con su riesgo o lo descarten.Guest users have their admins close / dismiss their risk. Una vez más, esto no requiere Identity Protection.Again, this does not need Identity Protection. El administrador puede ir a https://aka.ms/RiskyUsers y hacer clic en "Descartar el riesgo del usuario".The admin can go to https://aka.ms/RiskyUsers and click on 'Dismiss user risk'. Sin embargo, el administrador debe llevar a cabo la debida diligencia para asegurarse de que se trataba de una evaluación de riesgos de falsos positivos antes de acabar con el riesgo de usuario.However, the admin must do the due diligence to ensure this was a false positive risk assessment before closing the user risk. De lo contrario, estarán poniendo en riesgo sus recursos y los de Microsoft mediante la supresión de una evaluación de riesgos sin investigación.Otherwise, they are putting their and Microsoft's resources at risk by suppressing a risk assessment without investigation.

Nota

Si tiene algún problema con el acceso, póngase en contacto con el equipo de integración del SSO de Azure AD.If you have any issues with access, contact the Azure AD SSO Integration Team.

Opciones específicas de la implementaciónImplementation specific options

Si desea agregar la aplicación a la lista en la galería con OpenID Connect, seleccione OpenID Connect & OAuth 2.0 (OAuth 2.0 y OpenID Connect) como se muestra.If you want to add your application to list in the gallery by using OpenID Connect, select OpenID Connect & OAuth 2.0 as shown.

Adición de una aplicación de OpenID Connect a la lista de la galería

Si desea agregar la aplicación a la lista en la galería mediante SAML 2.0 o WS-Fed, seleccione SAML 2.0/WS-Fed como se muestra.If you want to add your application to list in the gallery by using SAML 2.0 or WS-Fed, select SAML 2.0/WS-Fed as shown.

Adición de una aplicación de SAML 2.0 o WS-Fed a la lista de la galería

Si quiere agregar la aplicación a la lista de la galería mediante SSO con contraseña, seleccione Password SSO (SSO con contraseña) (nombre de usuario y contraseña) como se muestra.If you want to add your application to list in the gallery by using password SSO, select Password SSO(UserName & Password) as shown.

Escala de tiempo para agregar la aplicación de SSO con contraseña a la lista de galería

Si va a implementar un punto de conexión de SCIM 2.0 para el aprovisionamiento de usuarios, seleccione la opción como se muestra.If you are implementing a SCIM 2.0 endpoint for user provisioning, select the option as shown. Al proporcionar el esquema en la solicitud de incorporación, siga las instrucciones facilitadas en esta página para descargar el esquema.When providing the schema in the onboarding request, please follow the directions here to download your schema. Usaremos el esquema que configuró al probar la aplicación que no pertenece a la galería para crear la aplicación de galería.We will use the schema you configured when testing the non-gallery application to build the gallery application.

Solicitud de aprovisionamiento de usuarios

Actualización o eliminación de un listado existenteUpdate or remove an existing listing

Puede actualizar o quitar una aplicación existente en la galería en el portal de redes de aplicaciones de Microsoft.You can update or remove an existing gallery app in the Microsoft Application Network portal.

Listado de una aplicación SAML en la galería

Nota

Si tiene algún problema con el acceso, revise la sección anterior sobre cómo crear una cuenta.If you have any issues with access, review the previous section on creating your account. Si esto no funciona, póngase en contacto con el equipo de integración del SSO de Azure AD.If that doesn't work, contact the Azure AD SSO Integration Team.

Listado de solicitudes de los clientesList requests by customers

Los clientes pueden enviar una solicitud para mostrar una aplicación mediante la selección de App requests by Customers > Submit new request (Solicitudes de aplicaciones de los clientes -> Enviar solicitud nueva).Customers can submit a request to list an application by selecting App requests by Customers > Submit new request.

Muestra el icono de aplicaciones solicitadas por los clientes.

Este es el flujo de las aplicaciones solicitadas por el cliente.Here's the flow of customer-requested applications.

Muestra el flujo de aplicaciones solicitadas por los clientes.

Escalas de tiempoTimelines

La escala de tiempo para el proceso del listado de una aplicación de SAML 2.0 o WS-Fed en la galería es de entre 7 y 10 días laborables.The timeline for the process of listing a SAML 2.0 or WS-Fed application in the gallery is 7 to 10 business days.

Escala de tiempo para agregar una aplicación SAML a la lista de la galería

La escala de tiempo que dura el proceso para mostrar una aplicación de OpenID Connect en la lista de la galería es de entre 2 y 5 días laborables.The timeline for the process of listing an OpenID Connect application in the gallery is 2 to 5 business days.

Escala de tiempo para agregar la aplicación de OpenID Connect a la lista de la galería

ExtensionesEscalations

Si necesita ponerse en contacto con una instancia superior, envíe un correo electrónico al equipo de integración del SSO de Azure AD y le responderemos lo antes posible.For any escalations, send email to the Azure AD SSO Integration Team, and we'll respond as soon as possible.

Paso 7: Únase a Microsoft Partner NetworkStep 7 - Join the Microsoft partner network

Microsoft Partner Network proporciona acceso instantáneo a recursos, programas, herramientas y conexiones exclusivos.The Microsoft Partner Network provides instant access to exclusive resources, programs, tools, and connections. Para unirse a la red y crear el plan de comercialización, vea Llegue a los clientes comerciales.To join the network and create your go to market plan, see Reach commercial customers.

Pasos siguientesNext steps