Publicera din app i Azure AD-appgalleriet

Du kan publicera din app i Azure Active Directory (Azure AD)-appgalleriet. När din app publiceras visas den som ett alternativ för kunder när de lägger till appar i sin klientorganisation.

Stegen för att publicera din app i Azure AD-appgalleriet är:

1. Förutsättningar
2. Välj rätt standard för enkel inloggning för din app.
3. Implementera enkel inloggning i din app.
4. Implementera SCIM-användareablering i din app (valfritt)
5. Skapa din Azure-klientorganisation och testa appen.
6. Skapa och publicera dokumentation.
7. Skicka in din app.
8. Anslut till Microsofts partnernätverk.

Vad är Azure AD-programgalleriet?

Azure AD-appgalleriet är en katalog med tusentals appar som gör det enkelt att distribuera och konfigurera enkel inloggning (SSO) och automatisk användareablering.

Några av fördelarna med att lägga till din app i Azure AD-galleriet är:

• Kunderna får bästa möjliga upplevelse med enkel inloggning för din app.
• Konfigurationen av programmet är enkel och minimal.
• En snabbsökning hittar programmet i galleriet.
• Azure AD-kunder kan använda den här integreringen Premium, Basic och azure ad.
• Ömsesidiga kunder får en stegvis konfigurationskurs.
• Kunder som använder System for Cross-domain Identity Management(SCIM)kan använda etablering för samma app.

Dessutom finns det många fördelar när dina kunder använder Azure AD som identitetsprovider för din app. Några av dessa är:

• Ange enkel inloggning för dina användare. Med enkel inloggning minskar du supportkostnaderna genom att göra det enklare för dina kunder med enkel inloggning. Om enkel inloggning med ett klick är aktiverat behöver inte dina kunders IT-administratörer lära sig hur de konfigurerar ditt program för användning i organisationen. Mer information om enkel inloggning finns i Vad är enkel inloggning?.
• Din app kan upptäckas i Microsoft 365 App Gallery, Microsoft 365 App Launcher och i Microsoft Search på Office.com.
• Integrerad apphantering. Mer information om apphantering i Azure AD finns i Vad är programhantering?.
• Din app kan använda Graph API för att komma åt de data som driver användarproduktiviteten i Microsofts ekosystem.
• Programspecifik dokumentation som samredas med Azure AD-teamet för våra ömsesidiga kunder underlättar implementeringen.
• Du ger dina kunder möjlighet att helt hantera sina anställdas och gästidentiteters autentisering och auktorisering.
• Att placera all kontohantering och efterlevnadsansvar hos kundägaren av dessa identiteter.
• Ge möjlighet att aktivera eller inaktivera enkel inloggning för specifika identitetsproviders, grupper eller användare för att uppfylla deras affärsbehov.
• Du ökar din användbarhet och användbarhet. Många stora organisationer kräver (eller strävar efter) att deras anställda ska ha sömlösA SSO-upplevelser i alla program. Det är viktigt att göra enkel inloggning.
• Du minskar friktionen för slutanvändare, vilket kan öka slutanvändaranvändningen och öka intäkterna.
• Kunder som använder System for Cross-domain Identity Management(SCIM)kan använda etablering för samma app.
• Lägg till säkerhet och bekvämlighet när användare loggar in på program med hjälp av enkel inloggning med Azure AD och ta bort behovet av separata autentiseringsuppgifter.

Förutsättningar

Om du vill publicera din app i Azure AD-galleriet måste du först läsa och godkänna specifika villkor.

Du behöver ett permanent konto för testning med minst två registrerade användare.

• För federerade program (Open ID och SAML/WS-Fed) måste programmet ha stöd för SaaS-modellen (programvara som en tjänst) för att visas i Azure AD-appgalleriet. Företagsgalleriprogrammen måste ha stöd för flera kundkonfigurationer och inte någon specifik kund.
• För Open ID Anslut måste programmet vara multitenanted och Azure AD-ramverket för medgivande måste implementeras korrekt för programmet. Användaren kan skicka inloggningsbegäran till en gemensam slutpunkt så att alla kunder kan ge sitt medgivande till programmet. Du kan styra användaråtkomsten baserat på klientorganisations-ID och användarens UPN som tas emot i token.
• För SAML 2.0/WS-Fed måste ditt program ha möjlighet att göra SAML/WS-Fed SSO-integrering i SP- eller IDP-läge. Kontrollera att den här funktionen fungerar korrekt innan du skickar begäran.
• För enkel inloggning med lösenord kontrollerar du att ditt program stöder formulärautentisering så att lösenordsvalv kan utföras för att få enkel inloggning att fungera som förväntat.
• Du behöver ett permanent konto för testning med minst två registrerade användare.

Du kan skaffa ett kostnadsfritt testkonto med alla Premium Azure AD-funktioner – 90 dagar kostnadsfritt och kan utökas så länge du utvecklar arbete med det: Gå med i Microsoft 365 Developer Program.

Steg 1 – Välj rätt standard för enkel inloggning för din app

Om du vill visa en lista över ett program i Azure AD-appgalleriet implementerar du minst ett av de alternativ för enkel inloggning som stöds. Information om alternativen för enkel inloggning och hur kunder konfigurerar dem i Azure AD finns i Alternativ för enkel inloggning.

I följande tabell jämförs de viktigaste standarderna: Open Authentication 2.0 (OAuth 2.0) med OpenID Anslut (OIDC), Security Assertion Markup Language (SAML) och Web Services Federation (WS-Fed).

*Möjligt, men Microsoft tillhandahåller inte exempel eller vägledning.

OAuth 2.0 och OpenID Connect

OAuth 2.0 är ett branschstandardprotokoll för auktorisering. OpenID Anslut (OIDC) är ett branschstandardskikt för identitetsautentisering som bygger på OAuth 2.0-protokollet.

Skäl att välja OAuth/OIDC

• Auktoriseringen i dessa protokoll gör att ditt program kan komma åt och integrera med omfattande användar- och organisationsdata via Microsoft Graph API.
• Förenklar kundernas upplevelse av enkel inloggning för ditt program. Du kan enkelt definiera de behörighetsuppsättningar som behövs, som sedan automatiskt representeras av administratören eller slutanvändaren.
• Med dessa protokoll kan dina kunder använda principer för villkorsstyrd åtkomst och multifaktorautentisering (MFA) för att styra åtkomsten till programmen.
• Microsoft tillhandahåller bibliotek och kodexempel på flera teknikplattformar som hjälper dig att utveckla.

Några saker att tänka på

• Om du redan har implementerat SAML-baserad enkel inloggning för ditt program kanske du inte vill implementera en ny standard för att hämta din app i galleriet.

SAML 2.0 eller WS-Fed

SAML är en mogen och brett antagen standard för enkel inloggning för webbprogram. Mer information om hur Azure använder SAML finns i Hur Azure använder SAML-protokollet.

Web Services Federation (WS-Fed) är en branschstandard som vanligtvis används för webbprogram som utvecklas med hjälp av .NET-plattformen.

Skäl att välja SAML

• SAML 2.0 är en mogen standard och de flesta teknikplattformar stöder bibliotek med öppen källkod för SAML 2.0.
• Du kan ge dina kunder ett administrationsgränssnitt för att konfigurera enkel inloggning med SAML. De kan konfigurera SAML SSO för Microsoft Azure AD och alla andra identitetsproviders som stöder SAML.

Några saker att tänka på

• När du använder SAML 2.0- eller WSFed-protokoll för mobila program, har vissa principer för villkorlig åtkomst inklusive Multi-Factor Authentication (MFA) en försämrad upplevelse.
• Om du vill komma åt Microsoft Graph måste du implementera auktorisering via OAuth 2.0 för att generera nödvändiga token.

Lösenordsbaserad

Med lösenordsbaserad enkel inloggning, som även kallas lösenordsvalv, kan du hantera användaråtkomst och lösenord till webbprogram som inte stöder identitetsfederation. Det är också användbart för scenarier där flera användare behöver dela ett enda konto, till exempel till organisationens konton för appar för sociala medier.

Steg 2 – Implementera enkel inloggning i din app

Varje app i galleriet måste implementera ett av de alternativ för enkel inloggning som stöds. Mer information om vilka alternativ som stöds finns i Alternativ för enkel inloggning.

För OAuth och OIDC, se vägledning om autentiseringsmönster och Azure Active Directory-kodexempel.

För SAML och WS-Fed måste ditt program ha möjlighet att göra SSO-integrering i SP- eller IDP-läge. Kontrollera att den här funktionen fungerar korrekt innan du skickar begäran.

Mer information om autentisering finns i Vad är autentisering?.

Implementera OAuth 2.0- och OpenID-Anslut

För OpenID Anslut måste programmet ha flera klienter och Azure AD-ramverket för medgivande måste implementeras korrekt för programmet. Användaren kan skicka inloggningsbegäran till en gemensam slutpunkt så att alla kunder kan ge sitt medgivande till programmet. Du kan styra användaråtkomsten baserat på klientorganisations-ID och användarens UPN som tas emot i token.

Specifika exempel finns i Microsofts identitetsplattform kodexempel.

Information om hur du granskar mobilspecifika exempel finns i:

• Android
• iOS
• Universell Windows-plattform

Implementera SAML 2.0

Om din app stöder SAML 2.0 kan du integrera den direkt med en Azure AD-klientorganisation. Mer information om SAML-konfiguration med Azure AD finns i Konfigurera SAML-baserad enkel inloggning.

Microsoft tillhandahåller eller rekommenderar inte bibliotek för SAML-implementeringar. Det finns många bibliotek med öppen källkod.

Implementera WS-Fed

Mer information om WS-Fed i ASP.NET Core finns i Autentisera användare med WS-Federation i ASP.NET Core.

Implementera lösenordsvalv

Skapa en webbapp som har en HTML-inloggningssida. Kontrollera att programmet stöder formulärautentisering så att lösenordsvalv kan utföras för att få enkel inloggning att fungera som förväntat.

Steg 3 – Implementera SCIM-användareablering i din app

Stöd för SCIM-etablering är ett valfritt, men starkt rekommenderat, steg för att skapa ditt program. Det är enkelt att stödja SCIM-standarden och gör att kunder automatiskt kan skapa och uppdatera användarkonton i din app, utan att förlita sig på manuella processer som att ladda upp CSV-filer. Dessutom kan kunder automatisera borttagning av användare och synkronisera gruppmedlemskap, vilket inte kan utföras med en lösning som SAML JIT.

Läs mer om SCIM

Mer information om SCIM-standarder och fördelar för dina kunder finns i Etablering med SCIM – komma igång.

Förstå Azure AD SCIM-implementeringen

Mer information om Azure AD SCIM-implementeringen finns i Skapa en SCIM-slutpunkt och konfigurera användareablering med Azure AD.

Implementera SCIM

Azure AD tillhandahåller referenskod som hjälper dig att skapa en SCIM-slutpunkt. Det finns även många bibliotek/referenser från tredje part som du hittar på GitHub.

Steg 4 – Skapa din Azure-klientorganisation och testa din app

Du behöver en Azure AD-klient för att kunna testa din app. Om du vill konfigurera utvecklingsmiljön kan du gå till Snabbstart: Konfigurera en klientorganisation.

En Azure AD-klientorganisation kan också levereras med varje Microsoft 365 prenumeration. Om du vill konfigurera en Microsoft 365 en kostnadsfri utvecklingsmiljö kan du gå med Microsoft 365 Developer Program.

När du har en klient kan du testa enkel inloggning och etablera.

Registrera ditt program som ett program för flera innehavare för OIDC- eller Oath-program. Välj alternativet Konton i valfri organisationskatalog och personliga Microsoft-konton i Kontotyper som stöds.

För SAML- och WS Fed-baserade program konfigurerar du SAML-baserade program för enkel inloggning med hjälp av en allmän SAML-mall i Azure AD.

Du kan också konvertera ett program för en enskild klientorganisation till flera innehavare om det behövs.

Steg 5 – Skapa och publicera dokumentation

Dokumentation på din webbplats

Enkel implementering är en viktig faktor i företagets programvarubeslut. Tydlig lättuppföljande dokumentation hjälper dina kunder med implementeringen och minskar supportkostnaderna. Microsoft arbetar med tusentals programvaruleverantörer och har sett vad som fungerar.

Vi rekommenderar att din dokumentation på webbplatsen minst innehåller följande objekt.

• Introduktion till dina SSO-funktioner
  • Protokoll som stöds
  • Version och SKU
  • Lista över identitetsproviders som stöds med dokumentationslänkar
• Licensieringsinformation för ditt program
• Rollbaserad åtkomstkontroll för att konfigurera enkel inloggning
• Konfigurationssteg för enkel inloggning
  • Gränssnittskonfigurationselement för SAML med förväntade värden från providern
  • Tjänstleverantörsinformation som ska skickas till identitetsproviders
• Om OIDC/OAuth
  • Lista över behörigheter som krävs för medgivande med affärsberättiganden
• Teststeg för pilotanvändare
• Felsökningsinformation, inklusive felkoder och meddelanden
• Supportmekanismer för kunder
• Information om scim-slutpunkten, inklusive de resurser och attribut som stöds

Dokumentation på Microsoft-webbplatsen

När du listar ditt program med Azure Active Directory-programgalleriet, som även publicerar ditt program i Azure Marketplace, genererar Microsoft dokumentation för våra ömsesidiga kunder som förklarar den stegvisa processen. Du kan se ett exempel här. Den här dokumentationen skapas baserat på din överföring till galleriet och du kan enkelt uppdatera den om du gör ändringar i ditt program med ditt GitHub konto.

Steg 6 – Skicka in din app

När du har testat att programintegreringen fungerar med Azure AD skickar du din programbegäran i Microsoft Application Network-portalen.

Första gången du försöker logga in på portalen visas en av två skärmar.

Om du får meddelandet "Det fungerade inte" måste du kontakta Azure AD SSO Integration Team. Ange det e-postkonto som du vill använda för att skicka begäran. En företags-e-postadress som name@yourbusiness.com är att föredra. Azure AD-teamet lägger till kontot i Microsoft Application Network-portalen.

Om du ser sidan Begär åtkomst fyller du i affärsberättigandet och väljer Begär åtkomst.

När kontot har lagts till kan du logga in på Microsoft Application Network-portalen och skicka begäran genom att välja panelen Skicka begäran (ISV) på startsidan.

Problem med att logga in på portalen

Om du ser det här felet när du loggar in finns här information om problemet och det är så du kan åtgärda det.

• Om inloggningen har blockerats enligt nedan:

  

Vad händer:

Gästanvändaren är federerad till en hemklientorganisation som också är en Azure AD. Gästanvändaren är i hög risk. Microsoft tillåter inte användare med hög risk att komma åt sina resurser. Alla högriskanvändare (anställda eller gäster/leverantörer) måste åtgärda/stänga sin risk för att få åtkomst till Microsoft-resurser. För gästanvändare kommer den här användarrisken från hemklientorganisationen och principen kommer från resursklientorganisationen (i det här fallet Microsoft).

Säkra lösningar:

• MFA-registrerade gästanvändare åtgärdar sina egna användarrisker. Detta kan göras av gästanvändaren som utför en säker lösenordsändring eller återställning ( i deras hemklientorganisation (detta kräver MFA och https://aka.ms/sspr) SSPR i hemklienten). Den skyddade lösenordsändringen eller återställningen måste initieras i Azure AD och inte på plats.

• Gästanvändare har sina administratörer som åtgärdar sina risker. I det här fallet utför administratören en lösenordsåterställning (tillfällig lösenordsgenerering). Detta behöver inte Identity Protection. Gästanvändarens administratör kan gå till https://aka.ms/RiskyUsers och klicka på Återställ lösenord.

• Gästanvändare får sina administratörer att stänga/avvisa sina risker. Detta behöver inte Identity Protection. Administratören kan gå till och https://aka.ms/RiskyUsers klicka på "Stäng användarrisk". Administratören måste dock göra noggrannheten för att säkerställa att det här var en falsk positiv riskbedömning innan användarens risk minskar. Annars utsätter de sina och Microsofts resurser för risk genom att utelämna en riskbedömning utan undersökning.

Implementeringsspecifika alternativ

Om du vill lägga till ditt program i listan i galleriet med hjälp av OpenID Anslut väljer du OpenID Anslut & OAuth 2.0 enligt bilden.

Om du vill lägga till programmet i listan i galleriet med hjälp av SAML 2.0 eller WS-Fed väljer du SAML 2.0/WS-Fed enligt bilden.

Om du vill lägga till ditt program i listan i galleriet med hjälp av enkel inloggning med lösenord väljer du Lösenord SSO(UserName & Password) enligt bilden.

Om du implementerar en SCIM 2.0-slutpunkt för användareablering väljer du alternativet som visas. När du tillhandahåller schemat i onboarding-begäran följer du anvisningarna här för att ladda ned ditt schema. Vi använder det schema som du konfigurerade när du testar icke-galleriprogrammet för att skapa galleriprogrammet.

Uppdatera eller ta bort en befintlig lista

Du kan uppdatera eller ta bort en befintlig galleriapp i Microsoft Application Network-portalen.

Tidslinjer

Tidslinjen för att visa en SAML 2.0- eller WS-Fed i galleriet är 7 till 10 arbetsdagar.

Tidslinjen för processen med att visa ett OpenID Anslut program i galleriet är 2 till 5 arbetsdagar.

Tidslinjen för processen med att lista ett SCIM-etableringsprogram i galleriet är variabel och beror på flera faktorer.

Upptrappning

Om du behöver eskaleringar skickar du ett e-postmeddelande till Azure AD SSO Integration Teamså svarar vi så snart som möjligt.

Steg 7 – Anslut till Microsofts partnernätverk

Den Microsoft Partner Network ger omedelbar åtkomst till exklusiva resurser, program, verktyg och anslutningar. Om du vill ansluta till nätverket och skapa en marknadsplan kan du gå till Reach commercial customers (Nå kommersiella kunder).

Begär appar genom att dela ISV-appteamets kontakt

Kunder kan begära programmet genom att dela program- och ISV-kontaktinformationen här.

Här är flödet av kund begärda program.

Nästa steg

• Skapa en SCIM-slutpunkt och konfigurera användareablering
• Autentiseringsscenarier för Azure AD