コマーシャル マーケットプレースでの Microsoft Entra ID と取引可能な SaaS オファー
Microsoft クラウドベースの ID およびアクセス管理サービスである Microsoft Entra ID (Microsoft Entra ID) は、ユーザーがサインインして内部リソースと外部リソースにアクセスするのに役立ちます。 Microsoft コマーシャル マーケットプレースでは、Microsoft Entra ID を使用すると、発行元、購入者、ユーザーなど、すべてのユーザーが取引可能な SaaS オファーをより簡単かつ安全に提供できます。 Microsoft Entra ID を使用すると、発行元はサービスとしてのソフトウェア (SaaS) アプリへのユーザーのプロビジョニングを自動化でき、購入者自身がプロビジョニングされたユーザーを管理できます。
さらに、Microsoft Entra シングル サインオン (SSO) は、ユーザーが Microsoft Entra ID でアプリにサインインするときのセキュリティと利便性を提供します。 より迅速なエンゲージメントと最適化されたエクスペリエンスは、パブリッシャーの SaaS アプリとの最初の対話から購入者とユーザーの信頼を刺激します。 これにより、可視性を築き、取引のリピートを促すポジティブな印象を与えます。
この記事のガイダンスに従うことで、コマーシャル マーケットプレースで SaaS オファーを認定するのに役立ちます。 認定資格の詳細については、コマーシャル マーケットプレースの認定資格ポリシーに関する記事で、これらの SaaS に固有の記述を含む詳しい説明を確認してください。
重要
Azure Active Directory (Azure AD) Graph は、2023 年 6 月 30 日の時点で非推奨となっています。 今後、Azure AD Graph への投資は行いません。 Azure AD Graph API には、セキュリティ関連の修正プログラムを超える SLA またはメインテナント コミットメントはありません。 新機能への投資は Microsoft Graph に対してのみ行われます。
アプリケーションを Microsoft Graph API に移行するのに十分な時間を確保できるように、段階的な手順で Azure AD Graph を廃止します。 後日お知らせしますが、Azure AD Graph を使用して新しいアプリケーションの作成をブロックします。
詳細については、「重要: Azure AD Graph の廃止と PowerShell モジュールの廃止」を参照してください。
開始する前に
パートナー センターで SaaS オファーを作成する場合、オファーのリスト登録に表示される特定のリスト オプションのセットから選択します。 選択することで、コマーシャル マーケットプレースでオファーがどのように処理されるかが決まります。 Microsoft を通じて販売されたオファーは、"取引可能" オファーと呼ばれます。 すべての取引可能なオファーに対して、Microsoft が顧客に代わって請求を行います。 Microsoft を通じて販売することを選択し、お客様に代わってトランザクションをホストする ( [はい ] オプション) 場合は、取引可能なオファーを作成することを選択しました。この記事はお客様に適しています。 全体を読むことをお勧めします。
コマーシャル マーケットプレースを通じてオファーのみを一覧表示し、トランザクションを個別に処理する ( [いいえ ] オプション) 場合、潜在的な顧客がオファーにアクセスする方法に関する 3 つのオプションがあります。今すぐ入手する (無料)、無料試用版、お問い合わせください。 [今すぐ入手する (無料)] または [無料試用版] を選択した場合、この記事はユーザー向けではありません。 代わりに、「コマーシャル マーケットプレースで無料または試用版 SaaS オファーのランディング ページを構築する」を参照してください。 [連絡してください] を選んだ場合は、発行元に直接の責任はありません。 パートナー センターでのオファーの作成を継続してください。
Microsoft Entra ID が SaaS オファーのコマーシャル マーケットプレースと連携する方法
Microsoft Entra ID を使用すると、コマーシャル マーケットプレース ソリューションのシームレスな購入、フルフィルメント、管理が可能になります。 図 1 は、サブスクリプションを購入してアクティブ化する際の、発行元、購入者、およびユーザーによる操作方法を示しています。 また、顧客がコマーシャル マーケットプレースから入手した SaaS アプリケーションを使用して管理する方法も示しています。 この図では、購入者とはコマーシャル マーケットプレースから購入を開始した SaaS アプリケーション ユーザーです。
図1 に示すように、購入者がオファーを選択すると、購入、サブスクリプション、およびユーザー管理を含むワークフローのチェーンが開始されます。 このチェーン内では、Microsoft が重要なポイントでサポートを提供したうえで、発行元が特定の要件に対して責任を担います。
図 1: コマーシャル マーケットプレースでの SaaS オファーに Microsoft Entra ID を使用する
以降のセクションでは、各プロセスの手順の要件について詳しく説明します。
購入管理のプロセスの手順
この図は、購入管理の 4 つのプロセスの手順を示しています。
この表は、購入管理プロセスの手順の詳細を示しています。
| プロセスの手順 | 発行元のアクション | 発行元での推奨または必須 |
|---|---|---|
| 1. 購入者は、Azure ID ID を使用してコマーシャル マーケットプレースにサインインし、SaaS オファーを選択します。 | 発行元には、必要な操作はありません。 | 適用なし |
| 2. 購入後、購入者は [Azure Marketplace でアカウントを構成する] または AppSource で [今すぐ構成] を選択し、このオファーの発行元のランディング ページに購入者を誘導します。 購入者は、Microsoft Entra SSO を使用して発行元の SaaS アプリケーションにサインインできる必要があり、Microsoft Entra 管理者の承認を必要としない最小限の同意のみを求める必要があります。 | Microsoft Entra ID または Microsoft アカウント (MSA) ID を持つユーザーを受け取り、必要な追加のプロビジョニングまたはセットアップを容易にするように、オファーのランディング ページを設計します。 | 必須 |
| 3. 発行元は、SaaS フルフィルメント API に購入の詳細を要求します。 | ランディング ページの アプリケーション ID から生成されたアクセス トークン を使用して、 解決エンドポイント を呼び出して購入に関する詳細を取得します。 | 必須 |
| 4. 発行元は、Microsoft Entra ID と Microsoft Graph API を使用して、パブリッシャーの SaaS アプリケーションで購入者をプロビジョニングするために必要な会社とユーザーの詳細を収集します。 | Microsoft Entra ユーザー トークンを分解して名前と電子メールを検索するか 、Microsoft Graph API を 呼び出し、委任されたアクセス許可を使用して ログインしているユーザーに関する情報 を取得します。 | 必須 |
サブスクリプション管理のプロセスの手順
この図は、サブスクリプション管理の 2 つのプロセスの手順を示しています。
この表は、サブスクリプション管理プロセスの手順の詳細を示しています。
| プロセスの手順 | 発行元のアクション | 発行元での推奨または必須 |
|---|---|---|
| 5. 発行元は、SaaS フルフィルメント API を使用して SaaS アプリケーションへのサブスクリプションを管理します。 | SaaS フルフィルメント API を通じて、サブスクリプションの変更やその他の管理タスクを処理します。 プロセスの手順 3 に説明されているように、この手順ではアクセス トークンが必要になります。 |
必須 |
| 6. 従量制課金を使用する場合、発行元は使用状況イベントを測定サービス API に出力します。 | SaaS アプリによって使用状況に基づく課金が行われる場合は、Marketplace の測定サービス API を通じて使用状況の通知を行います。 手順 3 に説明されているように、この手順ではアクセス トークンが必要になります。 |
測定では必須 |
ユーザー管理のプロセスの手順
この図は、ユーザー管理の 3 つのプロセスの手順を示しています。
プロセスの手順 7 から 9 は、省略可能なユーザー管理プロセスの手順です。 Microsoft Entra シングル サインオン (SSO) をサポートするパブリッシャーには、追加の利点があります。 この表は、ユーザー管理プロセスの手順の詳細を示しています。
| プロセスの手順 | 発行元のアクション | 発行元での推奨または必須 |
|---|---|---|
| 7. 購入者の会社の Microsoft Entra 管理者は、必要に応じて、Microsoft Entra ID を使用してユーザーとグループのアクセスを管理できます。 | Microsoft Entra SSO がユーザーに対して設定されている場合、これを有効にするために発行元の操作は必要ありません (手順 9)。 | 適用なし |
| 8. Microsoft Entra プロビジョニング サービスは、Microsoft Entra ID と発行元の SaaS アプリケーション間の変更を伝達します。 | ユーザーが追加および削除されると、SCIM エンドポイント を実装して Microsoft Entra ID から更新プログラムを受信します。 | 推奨 |
| 9. アプリのアクセス許可とプロビジョニングが完了すると、購入者の会社のユーザーは Microsoft Entra SSO を使用して発行元の SaaS アプリケーションにログインできます。 | Microsoft Entra SSO を使用して、ユーザーがパブリッシャーの SaaS アプリケーションに 1 つのアカウントで 1 回サインインできるようにします。 | 推奨 |
次のステップ
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示