Uw app publiceren naar de Azure AD-app-galerie

U kunt uw app publiceren in de Azure Active Directory (Azure AD)-app-galerie. Wanneer uw app wordt gepubliceerd, wordt deze als optie voor klanten weer te geven wanneer ze apps toevoegen aan hun tenant.

De stappen voor het publiceren van uw app in de Azure AD-app-galerie zijn:

  1. Vereisten
  2. Kies de juiste standaard voor een aanmelding voor uw app.
  3. Een aanmelding implementeren in uw app.
  4. SCIM-gebruikers inrichten implementeren in uw app (optioneel)
  5. Maak uw Azure-tenant en test uw app.
  6. Documentatie maken en publiceren.
  7. Verzend uw app.
  8. Word lid van het Microsoft-partnernetwerk.

De Azure AD-app-galerie is een catalogus met duizenden apps waarmee u eenvoudig eenmalige aanmelding (SSO) en geautomatiseerde inrichting van gebruikers kunt implementeren en configureren.

Enkele voordelen van het toevoegen van uw app aan de Azure AD-galerie zijn:

  • Klanten vinden de best mogelijke een aanmeldingservaring voor uw app.
  • De configuratie van de toepassing is eenvoudig en minimaal.
  • Met een snelle zoekopdracht vindt u uw toepassing in de galerie.
  • Gratis, Basic en Premium Azure AD-klanten kunnen deze integratie allemaal gebruiken.
  • Wederzijdse klanten krijgen een stapsgewijs configuratiezelfstudie.
  • Klanten die de System for Cross-domain Identity Management(SCIM)gebruiken, kunnen gebruikmaken van inrichting voor dezelfde app.

Bovendien zijn er veel voordelen wanneer uw klanten Azure AD gebruiken als id-provider voor uw app. Enkele hiervan zijn:

  • Een aanmelding bieden voor uw gebruikers. Met eenmalige aanmelding verlaagt u de ondersteuningskosten door het eenvoudiger te maken voor uw klanten met eenmalige aanmelding. Als eenmalige aanmelding met één klik is ingeschakeld, hoeven de IT-beheerders van uw klanten niet te leren hoe u uw toepassing configureert voor gebruik in hun organisatie. Zie Wat is eenmalige aanmelding? voor meer informatie over eenmalige aanmelding.
  • Uw app kan worden detecteerbaar in de Microsoft 365 App Gallery, Microsoft 365 App Launcher en in Microsoft Search op Office.com.
  • Geïntegreerd app-beheer. Zie Wat is toepassingsbeheer? voor meer informatie over app-beheerin Azure AD.
  • Uw app kan de api Graph gebruiken voor toegang tot de gegevens die de productiviteit van gebruikers in het Microsoft-ecosysteem stimuleren.
  • Toepassingsspecifieke documentatie die samen met het Azure AD-team is geproduceerd voor onze wederzijdse klanten, vereent de acceptatie.
  • U biedt uw klanten de mogelijkheid om de verificatie en autorisatie van hun werknemers en gastidentiteiten volledig te beheren.
  • Plaats alle verantwoordelijkheid voor accountbeheer en naleving bij de klanteigenaar van deze identiteiten.
  • De mogelijkheid bieden om eenmalige aanmelding in of uit te schakelen voor specifieke id-providers, groepen of gebruikers om te voldoen aan hun bedrijfsbehoeften.
  • U vergroot de bruikbaarheid en de bruikbaarheid van uw bedrijf. Veel grote organisaties vereisen dat (of streven naar) hun werknemers naadloze SSO-ervaringen hebben voor alle toepassingen. Het is belangrijk om eenmalige aanmelding eenvoudig te maken.
  • U vermindert de frictie van eindgebruikers, waardoor het gebruik van eindgebruikers kan toenemen en uw omzet kan toenemen.
  • Klanten die de System for Cross-domain Identity Management(SCIM)gebruiken, kunnen gebruikmaken van inrichting voor dezelfde app.
  • Voeg beveiliging en gemak toe wanneer gebruikers zich aanmelden bij toepassingen met behulp van eenmalige aanmelding van Azure AD en u geen afzonderlijke referenties meer nodig hebt.

Tip

Wanneer u uw toepassing aanbiedt voor gebruik door andere bedrijven via een aankoop of abonnement, maakt u uw toepassing beschikbaar voor klanten binnen hun eigen Azure-tenants. Dit staat bekend als het maken van een toepassing met meerdere tenants. Zie Tenancy inAzure Active Directory voor een Azure Active Directory.

Vereisten

Als u uw app wilt publiceren in de Azure AD-galerie, moet u eerst specifieke voorwaarden lezen en hiermee akkoord gaan.

U hebt een permanent account nodig om tests uit te voeren met ten minste twee geregistreerde gebruikers.

  • Voor federatief toepassingen (Open ID en SAML/WS-Fed) moet de toepassing ondersteuning bieden voor het SaaS-model (Software-as-a-Service) om in de Azure AD-appgalerie te worden vermeld. De bedrijfsgalerietoepassingen moeten ondersteuning bieden voor meerdere klantconfiguraties en niet voor een specifieke klant.
  • Voor Open ID Verbinding maken moet de toepassing multitenanted zijn en moet het Azure AD-toestemmingsraamwerk correct worden geïmplementeerd voor de toepassing. De gebruiker kan de aanmeldingsaanvraag verzenden naar een gemeenschappelijk eindpunt, zodat elke klant toestemming kan geven voor de toepassing. U kunt de gebruikerstoegang bepalen op basis van de tenant-id en de UPN van de gebruiker die in het token is ontvangen.
  • Voor SAML 2.0/WS-Fed moet uw toepassing de mogelijkheid hebben om de integratie van SAML/WS-Fed SSO in de SP- of IDP-modus uit te kunnen schakelen. Zorg ervoor dat deze mogelijkheid correct werkt voordat u de aanvraag indient.
  • Voor eenmalige aanmelding met een wachtwoord zorgt u ervoor dat uw toepassing formulierverificatie ondersteunt, zodat wachtwoordkluising kan worden uitgevoerd om eenmalige aanmelding naar verwachting te laten werken.
  • U hebt een permanent account nodig om tests uit te voeren met ten minste twee geregistreerde gebruikers.

U kunt een gratis testaccount krijgen met alle Premium Azure AD-functies - 90 dagen gratis en kan worden verlengd zolang u er ontwikkelaars mee werkt: Deelnemen aan het Microsoft 365 Developer Program.

Stap 1: kies de juiste standaard voor een aanmelding voor uw app

Als u een toepassing in de Azure AD-app-galerie wilt bekijken, implementeert u ten minste één van de ondersteunde opties voor een enkele aanmelding. Zie Opties voor eenmalige aanmelding voor meer inzicht in de opties voor eenmalige aanmeldingen hoe klanten deze configureren in Azure AD.

In de volgende tabel worden de belangrijkste standaarden vergeleken: Open Authentication 2.0 (OAuth 2.0) met OpenID Verbinding maken (OIDC), Security Assertion Markup Language (SAML) en Webservices-federatie (WS-Fed).

Mogelijkheid OAuth /OIDC SAML/WS-Fed
Een webgebaseerde een-op-een-aanmelding
Een webgebaseerde een een-op-een-uitloggen
Een mobiele een-op-een-aanmelding √*
Een mobiele een-op-een-uitloggen √*
Beleid voor voorwaardelijke toegang voor mobiele toepassingen √*
Naadloze MFA-ervaring voor mobiele toepassingen √*
SCIM-inrichting
Toegang tot Microsoft Graph krijgen X

*Mogelijk, maar Microsoft biedt geen voorbeelden of richtlijnen.

OAuth 2.0- en OpenID Connect

OAuth 2.0 is een standaardprotocol voor autorisatie. OpenID Verbinding maken (OIDC) is een industriestandaard identiteitsverificatielaag die is gebouwd op het OAuth 2.0-protocol.

Redenen om OAuth/OIDC te kiezen

  • De autorisatie die inherent is aan deze protocollen stelt uw toepassing in staat om via de Microsoft Graph-API toegang te krijgen tot en te integreren met uitgebreide gebruikers- en organisatiegegevens.
  • Vereenvoudigt de eindgebruikerservaring van uw klanten bij het kiezen van eenmalige aanmelding voor uw toepassing. U kunt eenvoudig de benodigde machtigingensets definiëren, die vervolgens automatisch worden weergegeven aan de beheerder of eindgebruiker die toestemming geeft.
  • Met behulp van deze protocollen kunnen uw klanten voorwaardelijke toegang en MFA-beleid (Multi-Factor Authentication) gebruiken om de toegang tot de toepassingen te controleren.
  • Microsoft biedt bibliotheken en codevoorbeelden op meerdere technologieplatforms om uw ontwikkeling te ondersteunen.

Enkele zaken om rekening mee te houden

  • Als u een aanmelding op basis van SAML al hebt geïmplementeerd voor uw toepassing, wilt u mogelijk geen nieuwe standaard implementeren om uw app in de galerie te krijgen.

SAML 2.0 of WS-Fed

SAML is een volwassen en algemeen gebruikte standaard voor een een aanmelding voor webtoepassingen. Zie Hoe Azure het SAML-protocolgebruikt voor meer informatie over hoe Azure SAML gebruikt.

Webservices-federatie (WS-Fed) is een industriestandaard die algemeen wordt gebruikt voor webtoepassingen die zijn ontwikkeld met behulp van het .NET-platform.

Redenen om SAML te kiezen

  • SAML 2.0 is een volwassen standaard en de meeste technologieplatforms ondersteunen opensource-bibliotheken voor SAML 2.0.
  • U kunt uw klanten een beheerinterface bieden om eenmalige aanmelding met SAML te configureren. Ze kunnen eenmalige aanmelding van SAML configureren Microsoft Azure AD en elke andere id-provider die SAML ondersteunt.

Enkele zaken om rekening mee te houden

  • Wanneer u SAML 2.0- of WSFed-protocollen gebruikt voor mobiele toepassingen, zal bepaalde beleidsregels voor voorwaardelijke toegang, waaronder Multi-Factor Authentication (MFA), een gedegradeerde ervaring hebben.
  • Als u toegang wilt tot de Microsoft Graph, moet u autorisatie implementeren via OAuth 2.0 om de benodigde tokens te genereren.

Op basis van een wachtwoord

Met eenmalige aanmelding op basis van wachtwoorden, ook wel wachtwoordkluis genoemd, kunt u gebruikerstoegang en wachtwoorden beheren voor webtoepassingen die geen ondersteuning bieden voor identiteitsfederatie. Het is ook handig voor scenario's waarin meerdere gebruikers één account moeten delen, zoals de accounts voor sociale media-apps van uw organisatie.

Stap 2: een aanmelding implementeren in uw app

Elke app in de galerie moet een van de ondersteunde opties voor een enkele aanmelding implementeren. Zie SSO-opties voor meer informatie over de ondersteunde opties.

Zie richtlijnen voor verificatiepatronen en Azure Active Directory-codevoorbeeldenvoor OAuth en OIDC.

Voor SAML en WS-Fed moet uw toepassing de mogelijkheid hebben om eenmalige aanmelding te integreren in de SP- of IDP-modus. Zorg ervoor dat deze mogelijkheid correct werkt voordat u de aanvraag indient.

Zie Wat is verificatie? voor meer informatie over verificatie.

Belangrijk

Voor federatieve toepassingen (OpenID en SAML/WS-Fed) moet de app ondersteuning bieden voor het SaaS-model (Software as a Service). Toepassingen in de Azure AD-galerie moeten meerdere klantconfiguraties ondersteunen en mogen niet specifiek zijn voor één klant.

OAuth 2.0 en OpenID-Verbinding maken

Voor OpenID Verbinding maken moet de toepassing meerdere tenants hebben en moet het Azure AD-toestemmingsraamwerk correct worden geïmplementeerd voor de toepassing. De gebruiker kan de aanmeldingsaanvraag verzenden naar een gemeenschappelijk eindpunt, zodat elke klant toestemming kan geven voor de toepassing. U kunt de gebruikerstoegang bepalen op basis van de tenant-id en de UPN van de gebruiker die in het token is ontvangen.

Als u specifieke voorbeelden wilt bekijken, bekijkt Microsoft identity platform codevoorbeelden.

Als u specifieke voorbeelden voor mobiele apparaten wilt bekijken, gaat u naar:

SAML 2.0 implementeren

Als uw app SAML 2.0 ondersteunt, kunt u deze rechtstreeks integreren met een Azure AD-tenant. Zie Configure SAML-based single sign-on(Een aanmelding op basis van SAML configureren) voor meer informatie over SAML-configuratie met Azure AD.

Microsoft biedt of adviseert geen bibliotheken voor SAML-implementaties. Er zijn veel opensource-bibliotheken beschikbaar.

Een WS-Fed

Zie Gebruikers verifiëren met WS-Fed in ASP.NET Core voor meer informatie over WS-Federation in ASP.NET Core.

Wachtwoordkluis implementeren

Maak een webtoepassing met een HTML-aanmeldingspagina. Zorg ervoor dat uw toepassing formulierverificatie ondersteunt, zodat wachtwoordkluising kan worden uitgevoerd om een aanmelding naar verwachting te laten werken.

Stap 3: SCIM-gebruikers inrichten implementeren in uw app

Het ondersteunen van SCIM-inrichting is een optionele, maar zeer aanbevolen stap bij het bouwen van uw toepassing. Het ondersteunen van de SCIM-standaard is eenvoudig te doen en stelt klanten in staat om automatisch gebruikersaccounts in uw app te maken en bij te werken, zonder dat ze afhankelijk zijn van handmatige processen zoals het uploaden van CSV-bestanden. Daarnaast kunnen klanten het verwijderen van gebruikers automatiseren en groepslidmaatschap gesynchroniseerd houden, wat niet kan worden bereikt met een oplossing zoals SAML JIT.

Meer informatie over SCIM

Zie Inrichten met SCIM - aan de slag voor meer informatie over de SCIM-standaarden en -voordelen voor uw klanten.

Inzicht in de Implementatie van Azure AD SCIM

Zie Een SCIM-eindpunt bouwen en gebruikers inrichten configureren met Azure AD voor meer informatie over de Implementatie van Azure AD SCIM.

SCIM implementeren

Azure AD biedt referentiecode om u te helpen bij het bouwen van een SCIM-eindpunt. Er zijn ook veel bibliotheken/verwijzingen van derden die u kunt vinden op GitHub.

Stap 4: uw Azure-tenant maken en uw app testen

U hebt een Azure AD-tenant nodig om uw app te testen. Zie Snelstart:Een tenant instellen om uw ontwikkelomgeving in te stellen.

Een Azure AD-tenant wordt ook geleverd met elk Microsoft 365 abonnement. Zie Deelnemen aan Microsoft 365 Developer Program voor het instellen van een gratis Microsoft 365-ontwikkelomgeving.

Zodra u een tenant hebt, test u een aanmelding en het inrichten.

Registreer uw toepassing als een toepassing met meerdere tenants voor OIDC- of Oath-toepassingen. Selecteer de optie Accounts in een organisatiemap en persoonlijke Microsoft-accounts in Ondersteunde accounttypen.

Voor op SAML- en WS Fed gebaseerde toepassingen configureert u op SAML gebaseerde toepassingen voor een aanmelding met behulp van een algemene SAML-sjabloon in Azure AD.

U kunt indien nodig ook een toepassing met één tenant converteren naar meerdere tenants.

Stap 5: documentatie maken en publiceren

Documentatie op uw site

Acceptatiegemak is een belangrijke factor bij het nemen van beslissingen over bedrijfssoftware. Duidelijke, eenvoudig te volgen documentatie ondersteunt uw klanten bij hun acceptatietraject en vermindert de ondersteuningskosten. In samenwerking met duizenden softwareleveranciers heeft Microsoft gezien wat werkt.

Het is raadzaam dat uw documentatie op uw site minimaal de volgende items bevat.

  • Inleiding tot uw SSO-functionaliteit
    • Ondersteunde protocollen
    • Versie en SKU
    • Lijst met ondersteunde id-providers met documentatiekoppelingen
  • Licentiegegevens voor uw toepassing
  • Op rollen gebaseerd toegangsbeheer voor het configureren van eenmalige aanmelding
  • Configuratiestappen voor eenmalige aanmelding
    • Ui-configuratie-elementen voor SAML met verwachte waarden van de provider
    • Gegevens van de serviceprovider die moeten worden doorgegeven aan id-providers
  • If OIDC/OAuth
    • Lijst met machtigingen die vereist zijn voor toestemming met zakelijke redenen
  • Teststappen voor testgebruikers
  • Informatie over probleemoplossing, waaronder foutcodes en berichten
  • Ondersteuningsmechanismen voor klanten
  • Details over uw SCIM-eindpunt, inclusief de ondersteunde resources en kenmerken

Documentatie op de Microsoft-site

Wanneer u uw toepassing vermeldt in de Azure Active Directory Application Gallery, die uw toepassing ook publiceert in de Azure Marketplace, genereert Microsoft documentatie voor onze wederzijdse klanten waarin het stapsgewijs proces wordt uitgelegd. Hier ziet u een voorbeeld. Deze documentatie wordt gemaakt op basis van uw inzending naar de galerie en u kunt deze eenvoudig bijwerken als u uw toepassing wijzigt met uw GitHub account.

Stap 6: uw app verzenden

Nadat u hebt getest of uw toepassingsintegratie werkt met Azure AD, dient u uw toepassingsaanvraag in de Microsoft Application Network-portal in.

De eerste keer dat u zich probeert aan te melden bij de portal, wordt een van de twee schermen weergegeven.

Als u het bericht 'Dat werkte niet' ontvangt, moet u contact opnemen met het Azure AD SSO Integration Team. Geef het e-mailaccount op dat u wilt gebruiken voor het indienen van de aanvraag. Een zakelijk e-mailadres zoals name@yourbusiness.com heeft de voorkeur. Het Azure AD-team voegt het account toe in de Microsoft Application Network-portal.

Als u de pagina Toegang aanvragen ziet, vult u de zakelijke reden in en selecteert u Toegang aanvragen.

Nadat het account is toegevoegd, kunt u zich aanmelden bij de Microsoft Application Network-portal en de aanvraag indienen door op de startpagina de tegel Aanvraag indienen (ISV) te selecteren.

Tegel Aanvraag indienen (ISV) op de startpagina

Problemen met aanmelden bij de portal

Als u deze fout ziet tijdens het aanmelden, vindt u hier de details van het probleem en kunt u dit op deze manier oplossen.

  • Als uw aanmelding is geblokkeerd, zoals hieronder wordt weergegeven:

    problemen met het oplossen van toepassing in de galerie

Wat gebeurt er:

De gastgebruiker is ge federeerd voor een thuisten tenant die ook een Azure AD is. De gastgebruiker loopt een hoog risico. Microsoft staat gebruikers met een hoog risico niet toe om toegang te krijgen tot de resources. Alle gebruikers met een hoog risico (werknemers of gasten/leveranciers) moeten hun risico voor toegang tot Microsoft-resources herstellen/sluiten. Voor gastgebruikers is dit gebruikersrisico afkomstig van de thuis-tenant en het beleid is afkomstig van de resource-tenant (Microsoft in dit geval).

Beveiligde oplossingen:

  • Bij MFA geregistreerde gastgebruikers herstellen hun eigen gebruikersrisico. Dit kan worden gedaan door de gastgebruiker een beveiligde wachtwoordwijziging uit te voeren of opnieuw in te stellen ( in de eigen tenant (hiervoor is MFA en SSPR vereist in de https://aka.ms/sspr) thuisten tenant). Het wijzigen of opnieuw instellen van het beveiligde wachtwoord moet worden gestart in Azure AD en niet on-prem.

  • Gastgebruikers hebben hun beheerders om hun risico's te herstellen. In dit geval voert de beheerder een wachtwoord opnieuw in (tijdelijke wachtwoordgeneratie). Identiteitsbeveiliging is hiervoor niet nodig. De beheerder van de gastgebruiker kan naar gaan https://aka.ms/RiskyUsers en klikken op Wachtwoord opnieuw instellen.

  • Gastgebruikers hebben hun beheerders hun risico laten sluiten/sluiten. Ook hier is Identity Protection niet nodig. De beheerder kan naar gaan https://aka.ms/RiskyUsers en op Gebruikersrisico's afwijzen klikken. De beheerder moet echter zorgvuldig te werk gaan om ervoor te zorgen dat dit een fout-positieve risicoanalyse is voordat het gebruikersrisico wordt gesloten. Anders brengen ze de resources van hun en Microsoft in gevaar door een risicoanalyse te onderdrukken zonder onderzoek.

Notitie

Als u problemen hebt met toegang, neem dan contact op met het Azure AD SSO Integration Team.

Implementatiespecifieke opties

Als u uw toepassing wilt toevoegen aan de lijst in de galerie met behulp van OpenID Verbinding maken, selecteert u OpenID Verbinding maken & OAuth 2.0 zoals weergegeven.

Een OpenID-toepassing Verbinding maken in de galerie

Als u uw toepassing wilt toevoegen aan de lijst in de galerie met behulp van SAML 2.0 of WS-Fed, selecteert u SAML 2.0/WS-Fed zoals weergegeven.

Een SAML 2.0- of WS-Fed toepassing in de galerie

Als u uw toepassing wilt toevoegen aan de lijst in de galerie met behulp van wachtwoord-SSO, selecteert u Password SSO(UserName & Password) zoals wordt weergegeven.

Een toepassing voor eenmalige aanmelding met een wachtwoord in de galerie in een lijst invoeren

Als u een SCIM 2.0-eindpunt implementeert voor het inrichten van gebruikers, selecteert u de optie zoals wordt weergegeven. Volg bij het verstrekken van het schema in de onboardingaanvraag de instructies hier om uw schema te downloaden. We gebruiken het schema dat u hebt geconfigureerd bij het testen van de toepassing buiten de galerie om de galerietoepassing te bouwen.

Aanvraag voor het inrichten van gebruikers

Een bestaande vermelding bijwerken of verwijderen

U kunt een bestaande galerie-app bijwerken of verwijderen in de Microsoft Application Network-portal.

Een SAML-toepassing in de galerie in een lijst op te nemen

Notitie

Als u problemen hebt met toegang, bekijkt u de vorige sectie over het maken van uw account. Als dat niet werkt, neemt u contact op met het Integratieteam van Azure AD SSO.

Tijdlijnen

De tijdlijn voor het proces waarbij een SAML 2.0- of WS-Fed-toepassing in de galerie wordt weergegeven, is 7 tot 10 werkdagen.

Tijdlijn voor het aanbieden van een SAML-toepassing in de galerie

De tijdlijn voor het proces waarbij een OpenID-toepassing Verbinding maken in de galerie wordt weergegeven, is 2 tot 5 werkdagen.

Tijdlijn voor het in de galerie Verbinding maken OpenID-toepassing

De tijdlijn voor het proces van het inrichten van een SCIM-toepassing in de galerie is variabel en is afhankelijk van een groot aantal factoren.

Escalaties

Voor eventuele escalaties stuurt u een e-mail naar het Azure AD SSO-integratieteamen wordt zo snel mogelijk gereageerd.

Stap 7: word lid van het Microsoft-partnernetwerk

De Microsoft Partner Network biedt directe toegang tot exclusieve resources, programma's, hulpprogramma's en verbindingen. Zie Commerciële klanten bereiken als u lid wilt worden van het netwerk en uw go-to-market-abonnement wilt maken.

Apps aanvragen door de contactpersoon van het ISV-app-team te delen

Klanten kunnen een toepassing aanvragen door de contactgegevens van de toepassing en ISV hier te delen.

Toont de tegel door de klant aangevraagde apps

Dit is de stroom van door de klant aangevraagde toepassingen.

Toont de door de klant aangevraagde app-stroom

Notitie

Als u problemen hebt met toegang, stuurtu een e-mail naar Azure AD-app Integration Team.

Volgende stappen