Publicera din app i Azure AD App-galleriet

Du kan publicera din app i Azure AD App-galleriet. När appen publiceras visas den som ett alternativ för kunder när de lägger till appar till klienten.

Några av fördelarna med att lägga till din app i Azure AD-galleriet är:

  • Kunderna hittar den bästa möjliga inloggnings upplevelsen för din app.
  • Programmets konfiguration är enkel och minimal.
  • En snabb sökning hittar ditt program i galleriet.
  • Kostnads fria, grundläggande och Premium Azure AD-kunder kan använda denna integrering.
  • Ömsesidiga kunder får en steg-för-steg-konfigurations guide.

Dessutom finns det många fördelar när dina kunder använder Azure AD som identitets leverantör för din app. Några av dessa är:

  • Tillhandahålla enkel inloggning för dina användare. Med enkel inloggning minskar du support kostnaderna genom att göra det enklare för dina kunder med enkel inloggning. Om enkel inloggning är aktive rad behöver kundernas IT-administratörer inte lära sig hur man konfigurerar programmet för användning i organisationen. Mer information om enkel inloggning finns i Vad är enkel inloggning?.
  • Din app kan vara synlig i Microsoft 365 App-galleriet, Microsoft 365 App-start och inom Microsoft Search på Office.com.
  • Integrerad hantering av appar. Mer information om hantering av appar i Azure AD finns i Vad är program hantering?.
  • Din app kan använda Graph API för att komma åt data som driver användar produktivitet i Microsofts eko system.
  • Programspecifik dokumentation som skapas tillsammans med Azure AD-teamet för våra ömsesidiga kunder underlättar implementeringen.
  • Du ger kunderna möjlighet att fullständigt hantera sin autentisering och auktorisering av personal identiteter.
  • Placera alla konto hanterings-och efterlevnads ansvar med kundens ägare av dessa identiteter.
  • Tillhandahålla möjlighet att aktivera eller inaktivera SSO för specifika identitets leverantörer, grupper eller användare för att uppfylla företagets behov.
  • Du ökar din marknadsmässighet och dina antagande. Många stora organisationer kräver att (eller strävar efter till) sina anställda har sömlös SSO-upplevelse i alla program. Enkel inloggning är viktigt.
  • Du minskar friktionen för slutanvändare, vilket kan öka slut användar användningen och öka intäkterna.
  • Kunder som använder systemet förscim(Cross-Domain Identity Management) kan använda etablering för samma app.
  • Lägg till säkerhet och bekvämlighet när användare loggar in på program med hjälp av Azure AD SSO och tar bort behovet av separata autentiseringsuppgifter.

Tips

När du erbjuder ditt program för användning av andra företag via ett köp eller en prenumeration gör du ditt program tillgängligt för kunder i sina egna Azure-klienter. Detta kallas att skapa ett program med flera innehavare. En översikt över det här konceptet finns i program med flera klient organisationer i Azure och innehav i Azure Active Directory.

Viktigt

Om du vill publicera din app i Azure AD-galleriet måste du godkänna särskilda villkor. Innan du börjar, se till att läsa och godkänna de allmännavillkoren.

Stegen för att publicera din app i Azure AD App-galleriet är:

  1. Välj den rätta enkla inloggnings standarden för din app.
  2. Implementera enkel inloggning i din app.
  3. Skapa din Azure-klient och testa din app.
  4. Skapa och publicera dokumentation.
  5. Skicka in din app.
  6. Delta i Microsoft Partner Network.
  • Kunderna hittar den bästa möjliga inloggnings upplevelsen.
  • Programmets konfiguration är enkel och minimal.
  • En snabb sökning hittar ditt program i galleriet.
  • Kostnads fria, grundläggande och Premium Azure AD-kunder kan använda denna integrering.
  • Ömsesidiga kunder får en steg-för-steg-konfigurations guide.
  • Kunder som använder systemet förscim(Cross-Domain Identity Management) kan använda etablering för samma app.

Förutsättningar

Du behöver ett permanent konto för testning med minst två användare registrerade.

  • För federerade program (öppna ID och SAML/WS-utfodras) måste programmet ha stöd för SaaS-modellen (Software-as-a-Service) för att få listas i Azure AD App-galleriet. Enterprise Gallery-programmen måste ha stöd för flera kundkonfigurationer och inte någon specifik kund.
  • För Open-ID Connect måste programmet vara Multiklient och Azure AD medgivande Framework måste implementeras korrekt för programmet. Användaren kan skicka inloggnings förfrågan till en gemensam slut punkt så att alla kunder kan ge sitt medgivande till programmet. Du kan styra användar åtkomst baserat på klient-ID: t och användarens UPN som togs emot i token.
  • För SAML 2.0/WS-utfodras måste ditt program ha möjlighet att göra SAML/WS-utfodras SSO-integrering i SP-eller IDP-läge. Kontrol lera att den här funktionen fungerar korrekt innan du skickar in begäran.
  • För inloggning med lösen ord kontrollerar du att ditt program stöder formulärautentisering så att lösen ords valvet kan göras för att få enkel inloggning att fungera som förväntat.
  • Du behöver ett permanent konto för testning med minst två användare registrerade.

Hur skaffar jag Azure AD för utvecklare?

Du kan få ett kostnads fritt test konto med alla Premium Azure AD-funktioner – 90 dagar kostnads fritt och kan bli utökad så länge du arbetar med utveckling: https://docs.microsoft.com/office/developer-program/office-365-developer-program

Steg 1 – Välj rätt enkel inloggnings standard för appen

Om du vill visa ett program i Azure AD App-galleriet implementerar du minst ett av de alternativ för enkel inloggning som stöds. Om du vill förstå alternativen för enkel inloggning och hur kunderna ska konfigurera dem i Azure AD, se SSO-alternativ.

I följande tabell jämförs huvud standarder: Open Authentication 2,0 (OAuth 2,0) med OpenID Connect (OIDC), Security Assertion Markup Language (SAML) och Web Services Federation (WS-utfodras).

Funktion OAuth/OIDC SAML/WS-Fed
Webbaserad enkel inloggning
Webbaserad enkel utloggning
Mobil-baserad enkel inloggning √*
Mobil-baserad enkel utloggning √*
Principer för villkorlig åtkomst för mobila program √*
Sömlös MFA-upplevelse för mobila program √*
SCIM-etablering
Åtkomst Microsoft Graph X
  • Möjligt, men Microsoft tillhandahåller inte exempel eller rikt linjer.

OAuth 2.0 och OpenID Connect

OAuth 2,0 är ett bransch standard protokoll för auktorisering. OpenID Connect (OIDC) är ett huvud för identitets lager för bransch standard som byggts ovanpå OAuth 2,0-protokollet.

Orsaker till att välja OAuth/OIDC

  • Auktoriseringen i dessa protokoll gör att ditt program kan komma åt och integrera med omfattande användar-och organisations data via Microsoft Graph API.
  • Fören klar användarnas upplevelse när de använder SSO för ditt program. Du kan enkelt definiera de behörighets uppsättningar som krävs, som sedan visas automatiskt för administratören eller slutanvändaren som godkänner.
  • Genom att använda dessa protokoll kan dina kunder använda principer för villkorlig åtkomst och Multi-Factor Authentication (MFA) för att kontrol lera åtkomsten till programmen.
  • Microsoft tillhandahåller bibliotek och kod exempel över flera teknik plattformar för att hjälpa dig att utveckla.

Några saker att tänka på

  • Om du redan har implementerat SAML-baserad enkel inloggning för ditt program kanske du inte vill implementera en ny standard för att hämta din app i galleriet.

SAML 2,0 eller WS-Fed

SAML är en vuxen, och ofta förekommande, enkel inloggnings standard för webb program. Mer information om hur Azure använder SAML finns i hur Azure använder SAML-protokollet.

Web Services Federation (WS-utfodras) är en bransch standard som används vanligt vis för webb program som utvecklas med hjälp av .NET-plattformen.

Orsaker till att välja SAML

  • SAML 2,0 är en vuxen standard och de flesta teknik plattformarna stöder bibliotek med öppen källkod för SAML 2,0.
  • Du kan ge dina kunder ett administrations gränssnitt för att konfigurera SAML SSO. De kan konfigurera SAML SSO för Microsoft Azure AD och andra identitets leverantörer som stöder SAML.

Några saker att tänka på

  • När du använder SAML 2,0-eller WSFed-protokoll för mobila program, kommer vissa principer för villkorlig åtkomst inklusive Multi-Factor Authentication (MFA) att ha en försämrad upplevelse.
  • Om du vill ha åtkomst till Microsoft Graph måste du implementera auktorisering via OAuth 2,0 för att generera nödvändiga tokens.

Lösenordsbaserade

Lösenordsbaserad SSO, som även kallas lösen ords valv, gör att du kan hantera användar åtkomst och lösen ord för webb program som inte stöder identitets Federation. Det är också användbart för scenarier där flera användare behöver dela ett enda konto, t. ex. till din organisations appar för sociala media.

Steg 2 – implementera enkel inloggning i din app

Varje app i galleriet måste implementera ett av de alternativ för enkel inloggning som stöds. Mer information om vilka alternativ som stöds finns i SSO-alternativ.

För OAuth och OIDC, se rikt linjer för autentiserings mönster och kod exempel för Azure Active Directory.

För SAML och WS-utfodras måste ditt program ha möjlighet att integrera SSO-integration i SP-eller IDP-läge. Kontrol lera att den här funktionen fungerar korrekt innan du skickar in begäran.

Mer information om autentisering finns i Vad är autentisering?.

Viktigt

För federerade program (OpenID och SAML/WS-utfodras) måste appen ha stöd för SaaS-modellen (Software as a Service). Azure AD Gallery-program måste ha stöd för flera kundkonfigurationer och bör inte vara specifika för någon enskild kund.

Implementera OAuth 2,0 och OpenID Connect

För att OpenID ska kunna ansluta måste programmet ha flera innehavare och Azure AD medgivande Framework måste implementeras korrekt för programmet. Användaren kan skicka inloggnings förfrågan till en gemensam slut punkt så att alla kunder kan ge sitt medgivande till programmet. Du kan styra användar åtkomst baserat på klient-ID: t och användarens UPN som togs emot i token.

Information om hur du granskar vissa exempel finns i kod exempel för Microsoft Identity Platform.

Information om hur du granskar Mobile Specific-exempel finns i:

Implementera SAML 2,0

Om din app stöder SAML 2,0 kan du integrera den direkt med en Azure AD-klient. Mer information om SAML-konfiguration med Azure AD finns i Konfigurera SAML-baserad enkel inloggning.

Microsoft tillhandahåller inte eller rekommenderar bibliotek för SAML-implementeringar. Det finns många tillgängliga bibliotek med öppen källkod.

Implementera WS-Fed

Mer information om WS-Fed i ASP.NET Core finns i autentisera användare med WS-Federation i ASP.net Core.

Implementera lösen ords valv

Skapa ett webb program som har en HTML-inloggnings sida. Kontrol lera att ditt program stöder formulärautentisering så att lösen ords valvet kan göras för att få enkel inloggning att fungera som förväntat.

Steg 3 – implementera SCIM användar etablering i din app

Stöd för scim -etablering är ett valfritt, men ett starkt rekommenderat steg i att skapa ditt program. Att stödja SCIM-standarden är enkelt att göra och gör det möjligt för kunder att automatiskt skapa och uppdatera användar konton i din app, utan att behöva använda manuella processer som att ladda upp CSV-filer. Dessutom kan kunderna automatisera borttagningen av användare och hålla grupp medlemskap synkroniserade, som inte kan utföras med en lösning som SAML JIT.

Lär dig mer om SCIM

Mer information om SCIM-standarder och-förmåner för dina kunder finns i etableringen with scim-kom igång.

Förstå Azure AD SCIM-implementeringen

Mer information om Azure AD SCIM-implementeringen finns i bygga en scim-slutpunkt och konfigurera användar etablering med Azure AD.

Implementera SCIM

Azure AD innehåller en referens kod som hjälper dig att bygga en scim-slutpunkt. Det finns också många bibliotek/referenser från tredje part som du hittar på GitHub.

Steg 4 – Skapa din Azure-klient och testa din app

Du behöver en Azure AD-klient för att testa appen. Information om hur du konfigurerar din utvecklings miljö finns i snabb start: Konfigurera en klient.

En Azure AD-klient levereras med varje Microsoft 365 prenumeration. Information om hur du konfigurerar en kostnads fri Microsoft 365 utvecklings miljö finns i delta i Microsoft 365 Developer-programmet.

När du har en klient kan du testa enkel inloggning och etablering.

Registrera ditt program som ett program med flera innehavare för OIDC-eller Oath-program. Välj kontona i valfri organisations katalog och alternativet personliga Microsoft-konton i de konto typer som stöds.

För SAML-och WS-utfodras-baserade program konfigurerar du SAML-baserade enkla inloggnings program med hjälp av en allmän SAML-mall i Azure AD.

Du kan också konvertera ett program med en enda klient till flera klienter om det behövs.

Steg 5 – skapa och publicera dokumentation

Dokumentation på din webbplats

Ett enkelt sätt att införa är en betydande faktor i företags program varu beslut. Rensa användarvänlig dokumentation som stöder dina kunder vid deras införande av transporter och minskar support kostnaderna. Genom att arbeta med tusentals program varu leverantörer har Microsoft sett vad som fungerar.

Vi rekommenderar att dokumentationen på din webbplats minst omfattar följande objekt.

  • Introduktion till dina SSO-funktioner
    • Protokoll som stöds
    • Version och SKU
    • Lista med identitets leverantörer som stöds med dokumentations länkar
  • Licens information för ditt program
  • Rollbaserad åtkomst kontroll för att konfigurera SSO
  • Konfigurations steg för SSO
    • GRÄNSSNITTs konfigurations element för SAML med förväntade värden från providern
    • Information om service providern som ska skickas till identitets leverantörer
  • Om OIDC/OAuth
    • Lista över behörigheter som krävs för godkännande med affärs skäl
  • Test steg för pilot användare
  • Fel söknings information, inklusive felkoder och meddelanden
  • Support metoder för kunder
  • Information om din SCIM-slutpunkt, inklusive de resurser och attribut som stöds

Dokumentation på Microsofts webbplats

När du visar ditt program med Azure Active Directory program galleriet, som även publicerar ditt program på Azure Marketplace, kommer Microsoft att generera dokumentation för våra ömsesidiga kunder som förklarar steg för steg-processen. Du kan se ett exempel här. Den här dokumentationen skapas baserat på ditt bidrag till galleriet och du kan enkelt uppdatera det om du gör ändringar i programmet med ditt GitHub-konto.

Steg 6 – skicka in din app

När du har testat att program integrationen fungerar med Azure AD skickar du din programbegäran i Microsoft-programmets nätverks Portal.

Första gången du försöker logga in på portalen visas en av två skärmar.

Om du får meddelandet "som inte fungerade" måste du kontakta Azure AD SSO integration-teamet. Ange det e-postkonto som du vill använda för att skicka begäran. En e-postadress till företaget, till exempel name@yourbusiness.com föredra. Azure AD-teamet kommer att lägga till kontot i Microsoft-programmets nätverks Portal.

Om du ser sidan "åtkomstbegäran" fyller du i affärs justeringen och väljer begär åtkomst.

När kontot har lagts till kan du logga in på Microsoft-programmets nätverks Portal och skicka begäran genom att välja panelen för att skicka förfrågningar (ISV) på Start sidan.

Sändnings panelen för begäran (ISV) på Start Sidan

Problem med att logga in på portalen

Om du ser det här felet när du loggar in, är det Detaljer om problemet och hur du kan åtgärda det.

  • Om inloggningen blockerades enligt nedan:

    problem med att lösa program i galleriet

Vad händer:

Gäst användaren är federerad till en hem klient, som också är en Azure AD. Gäst användaren har hög risk. Microsoft tillåter inte att användare med hög risk får åtkomst till sina resurser. Alla användare med hög risk (anställda eller gäster/leverantörer) måste åtgärda/stänga sin risk för att få åtkomst till Microsoft-resurser. För gäst användare kommer den här användar risken från hem klienten och principen kommer från resurs klienten (Microsoft i detta fall).

Säkra lösningar:

  • MFA-registrerade gäst användare reparerar sina egna användar risker. Detta kan göras av gäst användaren som utför en säker ändring eller återställning av lösen ord ( https://aka.ms/sspr) på hem klient organisationen (Detta kräver MFA och SSPR på hem klienten). Den skyddade lösen ords ändringen eller återställningen måste initieras på Azure AD och inte på lokal.

  • Gäst användare får sina administratörer att reparera sina risker. I det här fallet utför administratören en lösen ords återställning (tillfälliga lösen ords generering). Detta kräver inte identitets skydd. Gäst användarens administratör kan gå till https://aka.ms/RiskyUsers och klicka på Återställ lösen ord.

  • Gäst användare får sina administratörer att stänga/stänga av sin risk. Detta kräver inte identitets skydd. Administratören kan gå till https://aka.ms/RiskyUsers och klicka på "ignorera användar risk". Administratören måste dock göra en noggrannhet för att säkerställa att detta var en falsk positiv riskbedömning innan användar risken stängs. Annars sätter de ut sina och Microsofts resurser i fara genom att undertrycka en riskbedömning utan undersökning.

Anteckning

Om du har problem med åtkomst kan du kontakta Azure AD SSO integration-teamet.

Implementering av vissa alternativ

Om du vill lägga till programmet i listan i galleriet med hjälp av OpenID Connect väljer du OpenID connect & OAuth 2,0 som det visas.

Visa ett OpenID Connect-program i galleriet

Om du vill lägga till ditt program i listan i galleriet med saml 2,0 eller WS-utfodras väljer du SAML 2.0/WS-utfodras som visas.

Lista ett SAML 2,0-eller WS-Fed-program i galleriet

Om du vill lägga till ditt program i listan i galleriet med hjälp av lösen ord för enkel inloggning väljer du lösen ord SSO (användar namn & lösen ord) som det visas.

Visar en lista med ett SSO-program i galleriet

Om du implementerar en SCIM 2,0-slutpunkt för användar etablering väljer du alternativet som visas. När du tillhandahåller schemat i onboarding-begäran kan du följa anvisningarna här för att ladda ned ditt schema. Vi kommer att använda det schema som du konfigurerade när du testar program som inte är Galleri för att bygga Galleri programmet.

Begäran om användar etablering

Uppdatera eller ta bort en befintlig lista

Du kan uppdatera eller ta bort en befintlig Galleri app i Microsoft-programmets nätverks Portal.

Lista ett SAML-program i galleriet

Anteckning

Om du har problem med åtkomsten läser du det föregående avsnittet om hur du skapar ditt konto. Kontakta Azure AD SSO integration-teametom det inte fungerar.

Lista begär Anden från kunder

Kunder kan skicka en begäran om att lista ett program genom att välja app-begäranden av kunder som > skickar en ny begäran.

Visar panelen kund begärda appar

Här är ett flöde av kund begärda program.

Visar flödet kundens begärda appar

Tidslinjer

Tids linjen för processen med att lista ett SAML 2,0-eller WS-Fed-program i galleriet är 7 till 10 arbets dagar.

Tids linje för att visa ett SAML-program i galleriet

Tids linjen för processen med att ange ett OpenID Connect-program i galleriet är 2 till 5 arbets dagar.

Tids linje för att visa ett OpenID Connect-program i galleriet

Förfrågningar

För alla eskaleringar skickar du e-post till Azure AD SSO integration-teametoch vi svarar så snart som möjligt.

Steg 7 – gå med i Microsoft Partner Network

Microsoft Partner Network ger direkt åtkomst till exklusiva resurser, program, verktyg och anslutningar. Information om hur du ansluter till nätverket och skapar din marknads plan finns i Kontakta kommersiella kunder.

Nästa steg