Uw app publiceren in de app-galerie van Azure AD

U kunt uw app publiceren in de app-galerie van Azure AD. Wanneer uw app wordt gepubliceerd, wordt deze weer gegeven als een optie voor klanten wanneer ze apps toevoegen aan hun Tenant.

Enkele voor delen van het toevoegen van uw app aan de Azure AD-galerie zijn:

  • Klanten vinden de best mogelijke eenmalige aanmelding voor uw app.
  • De configuratie van de toepassing is eenvoudig en mini maal.
  • Met een snelle zoek opdracht vindt u uw toepassing in de galerie.
  • Gratis, Basic en Premium Azure AD-klanten kunnen deze integratie gebruiken.
  • Wederzijdse klanten krijgen een stapsgewijze zelf studie voor configuratie.

Daarnaast zijn er veel voor delen wanneer uw klanten Azure AD als id-provider voor uw app gebruiken. Dit zijn onder andere:

  • Bieden van eenmalige aanmelding voor uw gebruikers. Met eenmalige aanmelding vermindert u de ondersteunings kosten door het voor uw klanten gemakkelijker te maken om eenmalige aanmelding te bieden. Als eenmalige aanmelding is ingeschakeld, hebben de IT-beheerders van uw klanten geen informatie over het configureren van uw toepassing voor gebruik in hun organisatie. Zie Wat is eenmalige aanmelding? voor meer informatie over eenmalige aanmelding.
  • Uw app kan worden gedetecteerd in de galerie met Microsoft 365 apps, het start programma voor Microsoft 365 apps en in micro soft Search op Office.com.
  • Geïntegreerd app-beheer. Zie Wat is toepassings beheer?voor meer informatie over app-beheer in azure AD.
  • Uw app kan de Graph API gebruiken om toegang te krijgen tot de gegevens die de gebruikers productiviteit in het micro soft-ecosysteem bewaart.
  • Toepassingsspecifieke documentatie die in combi natie met het Azure AD-team is geproduceerd voor onze wederzijdse klanten, vereenvoudigt de acceptatie.
  • U geeft uw klanten de mogelijkheid om de verificatie en autorisatie van hun werk nemers en gast identiteiten volledig te beheren.
  • Het plaatsen van alle account beheer en nalevings verantwoordelijkheid met de klant eigenaar van deze identiteiten.
  • Biedt de mogelijkheid om eenmalige aanmelding in of uit te scha kelen voor specifieke id-providers, groepen of gebruikers om te voldoen aan de behoeften van hun bedrijf.
  • U kunt uw markt en goed keuring verg Roten. Veel grote organisaties vereisen dat (of streven ernaar) hun werk nemers naadloze SSO-ervaringen hebben in alle toepassingen. Het is belang rijk om SSO eenvoudig te maken.
  • U vermindert de wrijving van de eind gebruiker, waardoor het gebruik van de eind gebruiker kan toenemen en uw omzet kan worden verhoogd.
  • Klanten die het systeem voor Cross-Domain Identity Management (scim) gebruiken, kunnen inrichten voor dezelfde app gebruiken.
  • Voeg beveiliging en gebruiks gemak toe wanneer gebruikers zich aanmelden bij toepassingen met behulp van Azure AD SSO en de nood zaak van afzonderlijke referenties verwijderen.

Tip

Wanneer u uw toepassing aanbiedt voor gebruik door andere bedrijven via een aankoop of abonnement, maakt u uw toepassing beschikbaar voor klanten binnen hun eigen Azure-tenants. Dit staat bekend als het maken van een toepassing met meerdere tenants. Zie multi tenant-toepassingen in azure en pacht in azure Active Directoryvoor een overzicht van dit concept.

Belangrijk

Als u uw app in de Azure AD-galerie wilt publiceren, moet u akkoord gaan met specifieke voor waarden. Voordat u begint, moet u ervoor zorgen dat u de voor waardenleest en instemt.

De stappen voor het publiceren van uw app in de app-galerie van Azure AD zijn:

  1. Kies de juiste eenmalige aanmelding voor uw app.
  2. Implementeer eenmalige aanmelding in uw app.
  3. Maak uw Azure-Tenant en test uw app.
  4. Documentatie maken en publiceren.
  5. Verzend uw app.
  6. Word lid van het micro soft Partner Network.
  • Klanten vinden de best mogelijke eenmalige aanmelding.
  • De configuratie van de toepassing is eenvoudig en mini maal.
  • Met een snelle zoek opdracht vindt u uw toepassing in de galerie.
  • Gratis, Basic en Premium Azure AD-klanten kunnen deze integratie gebruiken.
  • Wederzijdse klanten krijgen een stapsgewijze zelf studie voor configuratie.
  • Klanten die het systeem voor Cross-Domain Identity Management (scim) gebruiken, kunnen inrichten voor dezelfde app gebruiken.

Vereisten

U hebt een permanent account nodig om te testen met ten minste twee gebruikers die zijn geregistreerd.

  • Voor federatieve toepassingen (Open-ID en SAML/WS-voeder) moet de toepassing het SaaS-model (Software-as-a-Service) ondersteunen om te worden weer gegeven in de Azure AD-App-galerie. De Enter prise Gallery-toepassingen moeten ondersteuning bieden voor meerdere klant configuraties en niet voor een specifieke klant.
  • Voor Open ID Connect moet de toepassing meerdere tenants zijn en moet het Azure AD toestemmings raamwerk goed worden geïmplementeerd voor de toepassing. De gebruiker kan de aanmeldings aanvraag naar een gemeen schappelijk eind punt verzenden, zodat elke klant toestemming kan geven voor de toepassing. U kunt de gebruikers toegang beheren op basis van de Tenant-ID en de UPN van de gebruiker die in het token is ontvangen.
  • Voor SAML 2.0/WS-voeder moet uw toepassing de mogelijkheid hebben om de integratie van SAML/WS-invoerende SSO in de SP-of IDP-modus te kunnen uitvoeren. Zorg ervoor dat deze functie correct werkt voordat u de aanvraag indient.
  • Zorg ervoor dat uw toepassing ondersteuning biedt voor formulier verificatie, zodat wachtwoord kluizen kan worden uitgevoerd om eenmalige aanmelding te kunnen werken.
  • U hebt een permanent account nodig om te testen met ten minste twee gebruikers die zijn geregistreerd.

Hoe kan ik Azure AD voor ontwikkel aars ophalen?

U kunt een gratis test account krijgen met alle Premium Azure AD-functies-90 dagen gratis en kunnen worden uitgebreid zolang u de ontwikkel aars ermee kunt werken: https://docs.microsoft.com/office/developer-program/office-365-developer-program

Stap 1: Kies de juiste eenmalige aanmelding voor uw app

Als u een toepassing in de Azure AD-App-galerie wilt weer geven, implementeert u ten minste één van de ondersteunde opties voor eenmalige aanmelding. Zie SSO-optiesvoor meer informatie over de opties voor eenmalige aanmelding en hoe klanten deze configureren in azure AD.

De volgende tabel vergelijkt de belangrijkste standaarden: open verificatie 2,0 (OAuth 2,0) met OpenID Connect Connect (OIDC), Security Assertion Markup Language (SAML) en Webservices-federatie (WS-started).

Mogelijkheid OAuth-OIDC SAML/WS-Fed
Op het web gebaseerde eenmalige aanmelding
Op het web gebaseerde eenmalige afmelding
Eenmalige aanmelding op basis van mobiel √*
Op mobiele apparaten gebaseerde eenmalige afmelding √*
Beleid voor voorwaardelijke toegang voor mobiele toepassingen √*
Naadloze MFA-ervaring voor mobiele toepassingen √*
SCIM-inrichting
Toegang tot Microsoft Graph krijgen X
  • Mogelijk, maar micro soft biedt geen voor beelden of richt lijnen.

OAuth 2.0- en OpenID Connect

OAuth 2,0 is een protocol voor de industrie standaard voor autorisatie. OpenID Connect Connect (OIDC) is een industrie standaard -identiteits verificatie laag die boven op het OAuth 2,0-protocol is gebouwd.

Redenen voor het kiezen van OAuth/OIDC

  • Met de autorisatie inherent aan deze protocollen kan uw toepassing toegang krijgen tot en worden geïntegreerd met uitgebreide gebruikers-en organisatie gegevens via de Microsoft Graph-API.
  • Vereenvoudigt de gebruikers ervaring van uw klanten bij het aannemen van SSO voor uw toepassing. U kunt eenvoudig de benodigde machtigingen sets definiëren, die vervolgens automatisch worden weer gegeven aan de beheerder of de eind gebruiker.
  • Met deze protocollen kunnen uw klanten beleid voor voorwaardelijke toegang en Multi-Factor Authentication (MFA) gebruiken om de toegang tot de toepassingen te beheren.
  • Micro soft biedt bibliotheken en code voorbeelden op meerdere platformen om u te helpen bij het ontwikkelen.

Enkele dingen die u moet overwegen

  • Als u op SAML gebaseerde eenmalige aanmelding voor uw toepassing al hebt geïmplementeerd, wilt u mogelijk geen nieuwe standaard implementeren om uw app in de galerie op te halen.

SAML 2,0 of WS-Fed

SAML is een volwassene en uitgebreide, eenmalige aanmelding voor webtoepassingen. Zie hoe Azure het SAML-protocol gebruiktvoor meer informatie over hoe Azure SAML gebruikt.

Webservices-federatie (WS-voeder) is een industrie standaard die algemeen wordt gebruikt voor webtoepassingen die zijn ontwikkeld met behulp van het .NET-platform.

Redenen voor het kiezen van SAML

  • SAML 2,0 is een volwassene standaard en de meeste technologie platforms ondersteunen open-source bibliotheken voor SAML 2,0.
  • U kunt uw klanten een beheer interface bieden voor het configureren van SAML SSO. Ze kunnen SAML SSO configureren voor Microsoft Azure AD en elke andere ID-provider die SAML ondersteunt.

Enkele dingen die u moet overwegen

  • Wanneer u SAML 2,0-of WSFed-protocollen gebruikt voor mobiele toepassingen, heeft bepaalde beleids regels voor voorwaardelijke toegang, waaronder multi-factor Authentication (MFA), een gedegradeerde ervaring.
  • Als u toegang wilt tot de Microsoft Graph, moet u autorisatie implementeren via OAuth 2,0 om de benodigde tokens te genereren.

Op basis van een wachtwoord

Met SSO op basis van wacht woorden, ook wel wachtwoord kluizen genoemd, kunt u gebruikers toegang en-wacht woorden beheren voor webtoepassingen die geen identiteits Federatie ondersteunen. Het is ook handig voor scenario's waarin meerdere gebruikers één account moeten delen, zoals de accounts voor de sociale media-app van uw organisatie.

Stap 2: eenmalige aanmelding in uw app implementeren

Elke app in de galerie moet een van de ondersteunde opties voor eenmalige aanmelding implementeren. Zie SSO-optiesvoor meer informatie over de ondersteunde opties.

Zie voor OAuth en OIDC richt lijnen voor verificatie patronen en Azure Active Directory-code voorbeelden.

Voor SAML en WS-voeding moet uw toepassing de mogelijkheid hebben om de SSO-integratie in de SP-of IDP-modus te kunnen uitvoeren. Zorg ervoor dat deze functie correct werkt voordat u de aanvraag indient.

Zie Wat is verificatie?voor meer informatie over verificatie.

Belangrijk

Voor federatieve toepassingen (OpenID Connect en SAML/WS-voeder) moet de app het SaaS-model (Software as a Service) ondersteunen. Azure AD Gallery-toepassingen moeten ondersteuning bieden voor meerdere klant configuraties en mogen niet specifiek zijn voor één klant.

OAuth 2,0 en OpenID Connect Connect implementeren

Voor OpenID Connect Connect moet de toepassing meerdere tenants zijn en moet het Azure AD toestemmings raamwerk goed worden geïmplementeerd voor de toepassing. De gebruiker kan de aanmeldings aanvraag naar een gemeen schappelijk eind punt verzenden, zodat elke klant toestemming kan geven voor de toepassing. U kunt de gebruikers toegang beheren op basis van de Tenant-ID en de UPN van de gebruiker die in het token is ontvangen.

Zie de micro soft Identity platform-voor beelden voor meer informatie over het bekijken van specifieke voor beelden.

Zie voor specifieke voor beelden voor mobiele apparaten:

SAML 2,0 implementeren

Als uw app SAML 2,0 ondersteunt, kunt u deze rechtstreeks integreren met een Azure AD-Tenant. Zie op SAML gebaseerde eenmalige aanmelding configurerenvoor meer informatie over de SAML-configuratie met Azure AD.

Micro soft biedt geen-of aanbevolen bibliotheken voor SAML-implementaties. Er zijn veel open-source bibliotheken beschikbaar.

WS-Fed implementeren

Zie gebruikers verifiëren met WS-Federation in ASP.net corevoor meer informatie over WS-Fed in ASP.net core.

Wachtwoord kluizen implementeren

Maak een webtoepassing met een HTML-aanmeldings pagina. Zorg ervoor dat uw toepassing formulier verificatie ondersteunt, zodat wachtwoord kluizen kan worden uitgevoerd om eenmalige aanmelding te kunnen werken zoals verwacht.

Stap 3: SCIM-gebruikers inrichting implementeren in uw app

Ondersteuning van scim -inrichting is een optioneel, maar niet aanbevolen stap voor het bouwen van uw toepassing. Het ondersteunen van de SCIM-standaard is eenvoudig te doen en stelt klanten in staat om automatisch gebruikers accounts in uw app te maken en bij te werken, zonder dat ze hoeven te vertrouwen op hand matige processen, zoals het uploaden van CSV-bestanden. Daarnaast kunnen klanten het verwijderen van gebruikers automatiseren en groepslid maatschappen synchroon houden. Dit kan niet worden gerealiseerd met een oplossing zoals SAML JIT.

Meer informatie over SCIM

Zie voor meer informatie over de SCIM-standaarden en-voor delen voor uw klanten inrichten met scim-aan de slag.

Meer informatie over de Azure AD SCIM-implementatie

Zie een scim-eind punt bouwen en gebruikers inrichten met Azure AD configurerenvoor meer informatie over de implementatie van Azure AD scim.

SCIM implementeren

Azure AD bevat referentie code om u te helpen bij het bouwen van een scim-eind punt. Er zijn ook bibliotheken van derden/verwijzingen die u kunt vinden op GitHub.

Stap 4: uw Azure-Tenant maken en uw app testen

U hebt een Azure AD-Tenant nodig om uw app te kunnen testen. Zie Quick Start: een Tenant instellenom uw ontwikkel omgeving in te stellen.

Een Azure AD-Tenant wordt ook geleverd met elk Microsoft 365-abonnement. Als u een gratis Microsoft 365 ontwikkel omgeving wilt instellen, raadpleegt u lid worden van het Microsoft 365 ontwikkelaars programma.

Wanneer u een Tenant hebt, test u eenmalige aanmelding en inrichting.

Voor OIDC-of Oath-toepassingen registreert u uw toepassing als multi tenant-toepassing. Selecteer de optie accounts in een organisatorische map en persoonlijke micro soft-accounts in ondersteunde account typen.

Voor SAML-en WS-based-toepassingen kunt u eenmalige aanmelding op basis van SAML configureren met behulp van een algemene SAML-sjabloon in azure AD.

U kunt indien nodig ook een toepassing met één Tenant converteren naar meerdere tenants .

Stap 5: Documentatie maken en publiceren

Documentatie op uw site

Gebruiks gemak is een belang rijke factor in beslissingen met betrekking tot bedrijfs software. Duidelijke, gemakkelijk te volgen documentatie ondersteunt uw klanten in hun reis traject en vermindert de ondersteunings kosten. Micro soft heeft gewerkt met duizenden software leveranciers.

Het is raadzaam dat uw documentatie op uw site mini maal de volgende items bevat.

  • Inleiding tot uw SSO-functionaliteit
    • Ondersteunde protocollen
    • Versie en SKU
    • Lijst met ondersteunde id-providers met documentatie koppelingen
  • Licentie gegevens voor uw toepassing
  • Op rollen gebaseerd toegangs beheer voor het configureren van SSO
  • Configuratie stappen voor eenmalige aanmelding
    • Configuratie-elementen van de gebruikers interface voor SAML met de verwachte waarden van de provider
    • Informatie over service providers die moeten worden door gegeven aan id-providers
  • Indien OIDC/OAuth
    • Lijst met machtigingen die zijn vereist voor de toestemming met zakelijke redenen
  • Stappen voor test gebruikers testen
  • Probleemoplossings informatie, met inbegrip van fout codes en-berichten
  • Ondersteunings mechanismen voor klanten
  • Details over uw SCIM-eind punt, met inbegrip van de bronnen en kenmerken die worden ondersteund

Documentatie op de micro soft-site

Wanneer u uw toepassing opneemt met de Azure Active Directory toepassings galerie, waarmee uw toepassing ook wordt gepubliceerd in de Azure Marketplace, wordt door micro soft documentatie gegenereerd voor de wederzijdse klanten die het stapsgewijze proces bespreken. Hierkunt u een voor beeld bekijken. Deze documentatie wordt gemaakt op basis van uw inzending naar de galerie, en u kunt deze eenvoudig bijwerken als u wijzigingen aanbrengt in uw toepassing met behulp van uw GitHub-account.

Stap 6: uw app verzenden

Nadat u hebt gecontroleerd of uw toepassings integratie werkt met Azure AD, moet u de aanvraag voor de toepassing indienen in de portal van het micro soft-toepassings netwerk.

De eerste keer dat u zich probeert aan te melden bij de portal, wordt een van de volgende twee schermen weer gegeven.

Als het bericht ' dat is niet werkt ' wordt weer gegeven, moet u contact opnemen met het Azure AD SSO-integratie team. Geef het e-mail account op dat u wilt gebruiken voor het verzenden van de aanvraag. Een zakelijk e-mail adres, bijvoorbeeld de name@yourbusiness.com voor keur. Het team van Azure AD voegt het account toe aan de portal van het micro soft-toepassings netwerk.

Als u de pagina ' toegang aanvragen ' ziet, vult u de zakelijke reden in en selecteert u toegang aanvragen.

Nadat het account is toegevoegd, kunt u zich aanmelden bij de portal van het micro soft-toepassings netwerk en de aanvraag indienen door de tegel aanvraag indienen (ISV) op de start pagina te selecteren.

Tegel Request (ISV) verzenden op Start pagina

Problemen bij het aanmelden bij de portal

Als deze fout optreedt tijdens het aanmelden, ziet u hier de details over het probleem en hoe u het kunt oplossen.

  • Als uw aanmelding is geblokkeerd, zoals hieronder wordt weer gegeven:

    problemen met het omzetten van toepassingen in de galerie

Wat gebeurt er:

De gast gebruiker is federatief voor een thuis Tenant die ook een Azure AD is. De gast gebruiker heeft een hoog risico. Micro soft staat gebruikers met een hoog risico niet toe om toegang te krijgen tot de resources. Alle gebruikers met een hoog risico (werk nemers of gasten/leveranciers) moeten hun risico voor toegang tot micro soft-resources herstellen/sluiten. Voor gast gebruikers is dit risico van de gebruiker afkomstig van de thuis Tenant en is het beleid afkomstig van de resource Tenant (micro soft in dit geval).

Veilige oplossingen:

  • Door MFA geregistreerde gast gebruikers herstellen hun eigen gebruikers risico. Dit kan door de gast gebruiker worden uitgevoerd om een beveiligd wacht woord te wijzigen of opnieuw in te stellen ( https://aka.ms/sspr) deze vereist MFA en SSPR bij de thuis Tenant). Het beveiligde wacht woord wijzigen of opnieuw instellen moet worden gestart op Azure AD en niet on-premises.

  • Gast gebruikers hebben hun beheerders hun risico hersteld. In dit geval voert de beheerder een wachtwoord herstel uit (tijdelijke wacht woorden genereren). Dit vereist geen identiteits beveiliging. De beheerder van de gast gebruiker kan naar gaan https://aka.ms/RiskyUsers en op wacht woord opnieuw instellen klikken.

  • Gast gebruikers hebben hun beheerders hun Risico's sluiten/verwijderen. Opnieuw, hiervoor is geen identiteits beveiliging vereist. De beheerder kan naar gaan https://aka.ms/RiskyUsers en klikken op risico van gebruikers negeren. De beheerder moet er echter rekening mee houden dat dit een onjuiste positieve risico analyse was voordat het gebruikers risico wordt gesloten. Anders zetten ze hun en micro soft-bronnen risico door een risico analyse zonder onderzoek te onderdrukken.

Notitie

Als u problemen hebt met Access, neemt u contact op met het Azure AD SSO-integratie team.

Implementatie-specifieke opties

Als u uw toepassing wilt toevoegen aan de lijst in de galerie met behulp van OpenID Connect Connect, selecteert u OpenID Connect connect & OAuth 2,0 , zoals wordt weer gegeven.

Een OpenID Connect Connect-toepassing in de galerie weer geven

Als u uw toepassing wilt toevoegen aan de lijst in de galerie met behulp van saml 2,0 of WS-voeder, selecteert u SAML 2.0/WS-wordt gevoederd zoals weer gegeven.

Een SAML 2,0-of WS-Fed-toepassing in de galerie weer geven

Als u uw toepassing wilt toevoegen aan de lijst in de galerie met behulp van wacht woord-SSO, selecteert u wacht woord-SSO (gebruikers naam & wacht woord) , zoals wordt weer gegeven.

Een SSO-toepassing voor wacht woorden in de galerie weer geven

Als u een SCIM 2,0-eind punt voor het inrichten van gebruikers implementeert, selecteert u de optie zoals weer gegeven. Wanneer u het schema in de voorbereidings aanvraag levert, volgt u de instructies hier om uw schema te downloaden. We gebruiken het schema dat u hebt geconfigureerd bij het testen van de toepassing voor niet-galerijen om de galerie toepassing te bouwen.

Aanvraag voor gebruikers inrichting

Een bestaande vermelding bijwerken of verwijderen

U kunt een bestaande galerie-app bijwerken of verwijderen in de portal van het micro soft-toepassings netwerk.

Een SAML-toepassing in de galerie weer geven

Notitie

Als u problemen hebt met Access, raadpleegt u de vorige sectie over het maken van uw account. Als dat niet werkt, neemt u contact op met het Azure AD SSO-integratie team.

Aanvragen van klanten weer geven

Klanten kunnen een aanvraag indienen om een toepassing weer te geven door app-aanvragen te selecteren door klanten > nieuwe aanvraag in te dienen.

Toont de tegel door de klant aangevraagde apps

Hier volgt de stroom van door de klant aangevraagde toepassingen.

Toont de stroom van de door de klant aangevraagde apps

Tijdlijnen

De tijd lijn voor het proces van het weer geven van een SAML 2,0-of WS-Fed-toepassing in de galerie is 7 tot 10 werk dagen.

Tijd lijn voor het weer geven van een SAML-toepassing in de galerie

De tijd lijn voor het proces van het weer geven van een OpenID Connect Connect-toepassing in de galerie is 2 tot 5 werk dagen.

Tijd lijn voor het weer geven van een OpenID Connect Connect-toepassing in de galerie

Escalaties

Voor eventuele escalaties verzendt u een e-mail naar het Azure AD SSO-integratie teamen wij zullen zo snel mogelijk reageren.

Stap 7: deel nemen aan het micro soft Partner Network

De Microsoft Partner Network biedt directe toegang tot exclusieve resources, Program ma's, hulpprogram ma's en verbindingen. Zie commerciële klanten bereikenom lid te worden van het netwerk en uw Go to Market-abonnement te maken.

Volgende stappen