Ticari markette işlem yapılabilir SaaS teklifinizin giriş sayfasını oluşturma
Bu makale, Microsoft ticari marketinde satılacak işlem yapılabilir bir SaaS uygulaması için giriş sayfası oluşturma işleminde size yol gösterir.
Önemli
Azure Active Directory (Azure AD) Graph, 30 Haziran 2023 itibarıyla kullanım dışı bırakılmıştır. Bundan sonra Azure AD Graph'a başka yatırım yapmayız. Azure AD Graph API'lerinin güvenlikle ilgili düzeltmelerin ötesinde SLA veya bakım taahhüdü yoktur. Yeni özelliklere ve işlevlere yapılan yatırımlar yalnızca Microsoft Graph'ta yapılacaktır.
Uygulamalarınızı Microsoft Graph API'lerine geçirmek için yeterli zamanınız olması için Azure AD Graph'ı artımlı adımlarla kullanımdan alacağız. Duyuracağımız sonraki bir tarihte, Azure AD Graph kullanarak yeni uygulamaların oluşturulmasını engelleyeceğiz.
Daha fazla bilgi edinmek için bkz . Önemli: Azure AD Graph Kullanımdan Kaldırma ve PowerShell Modülü Kullanımdan Kaldırma.
Genel bakış
Giriş sayfasını hizmet olarak yazılım (SaaS) teklifinizin "lobisi" olarak düşünebilirsiniz. Alıcı bir teklife abone olduktan sonra ticari market, saas uygulamanıza aboneliğini etkinleştirmek ve yapılandırmak için onu giriş sayfasına yönlendirir. Bunu, alıcının ne satın aldıklarını görmesine ve hesap ayrıntılarını onaylamasına olanak tanıyan bir sipariş onay adımı olarak düşünün. Microsoft Entra Id ve Microsoft Graph'ı kullanarak alıcı için çoklu oturum açmayı (SSO) etkinleştirecek ve alıcı hakkında adı, e-posta adresi ve kuruluşu dahil olmak üzere aboneliğini onaylamak ve etkinleştirmek için kullanabileceğiniz önemli ayrıntıları alacaksınız.
Aboneliği etkinleştirmek için gereken bilgiler sınırlı olduğundan ve Microsoft Entra Id ve Microsoft Graph tarafından sağlandığından, temel onaydan daha fazlasını gerektiren bilgi istemeye gerek yoktur. Uygulamanız için ek onay gerektiren kullanıcı ayrıntılarına ihtiyacınız varsa, abonelik etkinleştirme tamamlandıktan sonra bu bilgileri istemeniz gerekir. Bu, alıcı için sorunsuz abonelik etkinleştirmesini sağlar ve bırakma riskini azaltır.
Giriş sayfası genellikle aşağıdakileri içerir:
- Satın alınan teklifin ve planın adını ve faturalama koşullarını sunun.
- Alıcının ad ve soyadı, kuruluş ve e-posta da dahil olmak üzere hesap ayrıntılarını sunun.
- Alıcıdan farklı hesap ayrıntılarını onaylamasını veya değiştirmesini iste.
- Etkinleştirmeden sonraki adımlarda alıcıya kılavuzluk edin. Örneğin, bir karşılama e-postası alın, aboneliği yönetin, destek alın veya belgeleri okuyun.
Not
Etkinleştirmeden sonra aboneliğini yönetirken alıcı da giriş sayfasına yönlendirilir. Alıcının aboneliği etkinleştirildikten sonra, kullanıcının oturum açmasını sağlamak için SSO kullanmanız gerekir. Kullanıcıyı bir hesap profiline veya yapılandırma sayfasına yönlendirmek önerilir.
Aşağıdaki bölümler giriş sayfası oluşturma işleminde size yol gösterir:
- Giriş sayfası için bir Microsoft Entra uygulama kaydı oluşturun.
- Uygulamanız için başlangıç noktası olarak bir kod örneği kullanın.
- Üretimde güvenliği geliştirmek için iki Microsoft Entra uygulaması kullanın.
- Ticari market tarafından URL'ye eklenen market satın alma tanımlama belirtecini çözün.
- Oturum açma işleminin ardından Microsoft Entra Id'den alınan ve istekle birlikte gönderilen kimlik belirtecinde kodlanmış taleplerden gelen bilgileri okuyun.
- Gerektiğinde ek bilgi toplamak için Microsoft Graph API'sini kullanın.
Microsoft Entra uygulama kaydı oluşturma
Ticari market, Microsoft Entra Id ile tamamen tümleşiktir. Alıcılar markete bir Microsoft Entra hesabı veya Microsoft hesabı (MSA) ile kimliği doğrulanmış olarak ulaşır. Satın aldıktan sonra, alıcı SaaS uygulamanızın aboneliğini etkinleştirmek ve yönetmek için ticari marketten giriş sayfası URL'nize gider. Alıcının Microsoft Entra SSO ile uygulamanızda oturum açmasına izin vermelisiniz. (Giriş sayfası URL'si teklifin Teknik yapılandırma sayfası.)
İpucu
Giriş sayfası URL'sine pound işareti karakterini (#) eklemeyin. Aksi takdirde müşteriler giriş sayfanıza erişemez.
Kimliği kullanmanın ilk adımı, giriş sayfanızın bir Microsoft Entra uygulaması olarak kayıtlı olduğundan emin olmaktır. Uygulamayı kaydetmek, kullanıcıların kimliğini doğrulamak ve kullanıcı kaynaklarına erişim istemek için Microsoft Entra Id kullanmanıza olanak tanır. Uygulamanın tanımı olarak kabul edilebilir. Bu tanım, hizmetin uygulamanın ayarlarına göre uygulamaya belirteçlerin nasıl verildiğini bilmesini sağlar.
Yeni bir uygulamayı Azure portalını kullanarak kaydetme
Başlamak için yeni bir uygulama kaydetme yönergelerini izleyin. Diğer şirketlerden kullanıcıların uygulamayı ziyaret etmesine izin vermek için, uygulamayı kimin kullanabileceği sorulduğunda çok kiracılı seçeneklerden birini seçmeniz gerekir.
Microsoft Graph API'sini sorgulamak istiyorsanız yeni uygulamanızı web API'lerine erişecek şekilde yapılandırın. Bu uygulama için API izinlerini seçtiğinizde varsayılan User.Read değeri, ekleme işlemini sorunsuz ve otomatik hale getirmek için alıcı hakkında temel bilgileri toplamak için yeterlidir. Yönetici onayı gerekiyor etiketli API izinleri istemeyin, bu durum yönetici olmayan tüm kullanıcıların giriş sayfanızı ziyaret etmelerini engeller.
Ekleme veya sağlama sürecinizin bir parçası olarak yükseltilmiş izinlere ihtiyacınız varsa, marketten gönderilen tüm alıcıların başlangıçta giriş sayfasıyla etkileşim kurabilmesi için Microsoft Entra ID'nin artımlı onay işlevini kullanmayı göz önünde bulundurun.
Başlangıç noktası olarak kod örneği kullanma
Microsoft Entra oturum açma özelliğinin etkinleştirildiği basit bir web sitesi uygulayan birkaç örnek uygulama sağladık. Uygulamanız Microsoft Entra Id'ye kaydedildikten sonra Hızlı Başlangıç dikey penceresi, Şekil 1'de görüldüğü gibi yaygın uygulama türlerinin ve geliştirme yığınlarının listesini sunar. Ortamınızla eşleşen bir ortam seçin ve indirme ve kurulum yönergelerini izleyin.
Şekil 1: Azure portalında Hızlı Başlangıç dikey penceresi
Kodu indirip geliştirme ortamınızı ayarladıktan sonra, uygulamadaki yapılandırma ayarlarını önceki yordamda kaydettiğiniz Uygulama Kimliği, kiracı kimliği ve istemci gizli dizisini yansıtacak şekilde değiştirin. Tam adımların, kullandığınız örneğe bağlı olarak farklılık göstereceğini unutmayın.
Üretimde güvenliği geliştirmek için iki Microsoft Entra uygulaması kullanma
Bu makalede, ticari market SaaS teklifiniz için giriş sayfası uygulamaya yönelik mimarinin basitleştirilmiş bir sürümü sunulmaktadır. Sayfayı üretim ortamında çalıştırırken, SaaS yerine getirme API'lerine yalnızca farklı, güvenli bir uygulama üzerinden iletişim kurarak güvenliği geliştirmenizi öneririz. Bunun için iki yeni uygulama oluşturulması gerekir:
- İlk olarak, SaaS yerine getirme API'leriyle iletişim kurma işlevselliği olmadan çok kiracılı giriş sayfası uygulaması bu noktaya kadar açıklanmıştır. Bu işlev, aşağıda açıklandığı gibi başka bir uygulamaya yüklenir.
- İkinci olarak, SaaS yerine getirme API'leri ile iletişimlere sahip olan bir uygulama. Bu uygulama tek bir kiracı olmalıdır, yalnızca kuruluşunuz tarafından kullanılmalıdır ve yalnızca bu uygulamadan API'lere erişimi sınırlandırmak için bir erişim denetimi listesi oluşturulabilir.
Bu, çözümün endişelerin ayrılması ilkesini gözlemleyen senaryolarda çalışmasını sağlar. Örneğin, giriş sayfası kullanıcıda oturum açmak için ilk kayıtlı Microsoft Entra uygulamasını kullanır. Kullanıcı oturum açtıktan sonra, giriş sayfası SaaS karşılama API'lerini çağırmak ve çözümleme işlemini çağırmak üzere bir erişim belirteci istemek için ikinci Microsoft Entra Kimliğini kullanır.
Market satın alma tanımlama belirtecini çözme
Alıcı giriş sayfanıza gönderildiğinde, URL parametresine bir belirteç eklenir. Bu belirteç hem Microsoft Entra Id ile verilen belirteçten hem de hizmetten hizmete kimlik doğrulaması için kullanılan erişim belirtecinden farklıdır ve aboneliğin ayrıntılarını almak için SaaS gerçekleştirme API'leri çözüm çağrısı için giriş olarak kullanılır. SaaS yerine getirme API'lerine yapılan tüm çağrılarda olduğu gibi, hizmet-hizmet kimlik doğrulaması için uygulamanın Microsoft Entra Uygulama Kimliği kullanıcısını temel alan bir erişim belirteci ile hizmet-hizmet isteğinizin kimliği doğrulanır.
Not
Çoğu durumda, bu çağrının ikinci, tek kiracılı bir uygulamadan yapılması tercih edilir. Bu makalenin önceki bölümlerinde üretimde güvenliği artırmak için iki Microsoft Entra uygulaması kullanma konusuna bakın.
Erişim belirteci isteme
SaaS gerçekleştirme API'leriyle uygulamanızın kimliğini doğrulamak için, Microsoft Entra ID OAuth uç noktası çağrılarak oluşturulabilen bir erişim belirteci gerekir. Bkz . Yayımcının yetkilendirme belirtecini alma.
Çözüm uç noktasını çağırma
SaaS gerçekleştirme API'leri, market belirtecinin geçerliliğini onaylamak ve abonelikle ilgili bilgileri döndürmek için çağrılabilen çözüm uç noktasını uygular.
Kimlik belirtecinde kodlanmış taleplerden bilgi okuma
OpenID Bağlan akışının bir parçası olarak, aldığınız kiracı kimliği değerini içine https://login.microsoftonline.com/{tenant}/v2.0yerleştirin. Microsoft Entra Id, alıcı giriş sayfasına gönderildiğinde isteğe bir kimlik belirteci ekler. Bu belirteç, bu tabloda görülen bilgiler de dahil olmak üzere etkinleştirme işleminde yararlı olabilecek birden çok temel bilgi içerir.
| Value | Açıklama |
|---|---|
| Aud | Bu belirteç için hedeflenen hedef kitle. Bu durumda uygulama kimliğiniz ile eşleşmeli ve doğrulanmalıdır. |
| preferred_username | Ziyaret eden kullanıcının birincil kullanıcı adı. Bu bir e-posta adresi, telefon numarası veya başka bir tanımlayıcı olabilir. |
| e-posta | Kullanıcının e-posta adresi. Bu alanın boş olabileceğini unutmayın. |
| Adı | Belirtecin konusunu tanımlayan insan tarafından okunabilir değer. Bu durumda, alıcının adı olacaktır. |
| Oıd | Microsoft kimlik sisteminde kullanıcıyı uygulamalar arasında benzersiz olarak tanımlayan tanımlayıcı. Microsoft Graph bu değeri belirli bir kullanıcı hesabının ID özelliği olarak döndürür. |
| Tid | Alıcının Microsoft Entra kiracısını temsil eden tanımlayıcı. MSA kimliği söz konusu olduğunda, bu her zaman olacaktır 9188040d-6c67-4c5b-b112-36a304b66dad. Daha fazla bilgi için sonraki bölümdeki nota bakın: Microsoft Graph API'sini kullanma. |
| alt | Bu uygulamadaki kullanıcıyı benzersiz olarak tanımlayan tanımlayıcı. |
Microsoft Graph API’sini kullanma
Kimlik belirteci, alıcıyı tanımlamak için temel bilgiler içerir, ancak etkinleştirme işleminiz, ekleme işlemini tamamlamak için alıcının şirketi gibi ek ayrıntılar gerektirebilir. Kullanıcıyı bu ayrıntıları yeniden giriş yapmaya zorlamamak için Microsoft Graph API'sini kullanarak bu bilgileri isteyin. Standart User.Read izinleri varsayılan olarak aşağıdaki bilgileri içerir.
| Value | Açıklama |
|---|---|
| displayName | Kullanıcının adres defterinde görüntülenen ad. |
| givenName | Kullanıcının adı. |
| jobTitle | Kullanıcının iş unvanı. |
| posta | Kullanıcının SMTP adresi. |
| mobilePhone | Kullanıcının birincil cep telefonu numarası. |
| preferredLanguage | Kullanıcının tercih ettiği dil için ISO 639-1 kodu. |
| surname | Kullanıcının soyadı. |
İsteğin eklenmesi için kullanıcının şirketinin adı veya kullanıcının konumu (ülke/bölge) gibi ek özellikler seçilebilir. Daha fazla ayrıntı için bkz . kullanıcı kaynak türünün özellikleri.
Microsoft Entra Id ile kaydedilen uygulamaların çoğu, şirketin Microsoft Entra kiracısından kullanıcının bilgilerini okumak için temsilci izinleri verir. Bu bilgiler için Microsoft Graph'a yapılan tüm isteklere kimlik doğrulaması için bir erişim belirteci eşlik etmelidir. Erişim belirtecini oluşturmak için belirli adımlar kullandığınız teknoloji yığınına bağlıdır, ancak örnek kod bir örnek içerir. Daha fazla bilgi için, bkz. Kullanıcı adına erişim sağlama.
Not
MSA kiracısından (kiracı kimliğine 9188040d-6c67-4c5b-b112-36a304b66dadsahip) hesaplar, kimlik belirteciyle daha önce toplanmış olandan daha fazla bilgi döndürmez. Bu nedenle, bu hesaplar için Graph API'sine yapılan bu çağrıyı atlayabilirsiniz.
Sonraki adımlar
Video eğiticileri
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin