Udostępnij za pośrednictwem

Przesyłanie żądania opublikowania aplikacji w galerii aplikacji Microsoft Entra

Aplikacje opracowywane można publikować w galerii aplikacji Microsoft Entra, która jest katalogiem tysięcy aplikacji. Kiedy publikujesz aplikacje, stają się one publicznie dostępne, aby użytkownicy mogli je dodać do swoich dzierżaw. Aby uzyskać więcej informacji, zobacz Przegląd galerii aplikacji Microsoft Entra.

Aby opublikować aplikację w galerii aplikacji Microsoft Entra, należy wykonać następujące zadania:

  • Upewnij się, że spełnisz wymagania wstępne.
  • Tworzenie i publikowanie dokumentacji.
  • Prześlij aplikację.
  • Dołącz do sieci partnera Microsoft.

Uwaga

Obecnie nie akceptujemy nowych żądań logowania jednokrotnego ani aprowizacji, gdy skupiamy się na inicjatywie Secure Future Initiative. Żądania aktualizacji dla Single Sign-On (SSO) są przetwarzane indywidualnie w zależności od przypadku. Na razie nie aktualizujemy żadnych aplikacji do zapewniania użytkowników opartych na SCIM (System for Cross-domain Identity Management). Włączenie aprowizacji użytkowników opartej na protokole SCIM dla istniejącej aplikacji galerii jest również traktowane jako nowe żądanie aplikacji.

Wymagania wstępne

Aby opublikować aplikację w galerii, musisz najpierw przeczytać i zaakceptować określone warunki i postanowienia.

  • Implementowanie obsługi logowania jednokrotnego (SSO). Aby dowiedzieć się więcej na temat obsługiwanych opcji, zobacz Planowanie wdrożenia logowania jednokrotnego.

    • Nie będziemy już wdrażać żadnych aplikacji wykorzystujących jednokrotne logowanie za pomocą hasła. Aplikacja powinna obsługiwać dowolne protokoły federacyjne, jak wspomniano w poniższym punkcie.
    • W przypadku aplikacji federacyjnych (SAML/WS-Fed) aplikacja powinna najlepiej obsługiwać model SaaS (software-as-a-service ), ale nie jest obowiązkowy i może być również aplikacją lokalną. Aplikacje galerii dla przedsiębiorstw muszą obsługiwać wiele konfiguracji użytkownika, a nie żadnego konkretnego użytkownika.
    • W przypadku programu OpenID Connect większość aplikacji działa dobrze jak wielodostępna aplikacja implementjąca Microsoft Entra platformę wyrażania zgody. Skorzystaj z tego linku, aby przekonwertować aplikację na wielokrotnego najemcę. Jeśli aplikacja wymaga dodatkowej konfiguracji dla instancji, takiej jak klienci, którzy muszą kontrolować własne tajemnice i certyfikaty lub konfigurację instancji, możesz opublikować aplikację OpenID Connect jednodzierżawcową. Ten typ publikowania aplikacji jest również obsługiwany w galerii aplikacji Microsoft Entra teraz. Zalecaną opcją jest jednak posiadanie wielodostępnej aplikacji w prawdziwym modelu SaaS.

  • Wdrażanie lub konfigurowanie jest opcjonalne, jednak zdecydowanie zalecane. Aby dowiedzieć się więcej na temat Microsoft Entra SCIM, zobacz jak zbudować punkt końcowy SCIM i skonfigurować aprowizację użytkowników za pomocą Microsoft Entra ID

  • Aby zaimplementować obsługę aprowizacji SCIM 2.0, wykonaj czynności opisane w tym samouczku: utwórz punkt końcowy SCIM i skonfiguruj aprowizację użytkowników za pomocą Microsoft Entra ID

    • Jeśli aplikacja obsługuje już protokół SCIM 2.0, musisz obsługiwać przepływ poświadczeń klienta na potrzeby uwierzytelniania w programie SCIM. Nie dołączamy aplikacji korzystających z uwierzytelniania podstawowego, długotrwałych tokenów dostępu ani autoryzacji z użyciem kodu. Zalecamy użycie przepływu poświadczeń klienta zgodnie z opisem w tym miejscu
    • Upewnij się, że testujesz implementację SCIM i przepływ uwierzytelniania poświadczeń klienta przy użyciu narzędzia SCIM Validator. Więcej informacji na ten temat można znaleźć tutaj: Użyj narzędzia sprawdzania poprawności SCIM, aby zweryfikować punkt końcowy SCIM
    • Ponadto należy również przetestować implementację aprowizacji przy użyciu aplikacji spoza galerii w Microsoft Entra ID. Przepływ poświadczeń klienta można również przetestować, korzystając z niegaleryjnego szablonu aplikacji. Więcej informacji na ten temat można znaleźć tutaj: Testowanie aprowizacji użytkowników za pomocą aplikacji spoza galerii

Możesz utworzyć bezpłatne, testowe konto programistyczne. Jest bezpłatny przez 90 dni i otrzymujesz wszystkie funkcje premium Microsoft Entra z nim. Możesz również rozszerzyć konto, jeśli używasz go do pracy programistycznej: Join the Microsoft 365 Developer Program.

Lista kontrolna aplikacji obsługujących logowanie jednokrotne

Poniżej przedstawiono szybką listę kontrolną przed przesłaniem wniosku o umieszczenie aplikacji w Galerii aplikacji Microsoft Entra.

Wymagania aplikacji logowania jednokrotnego SAML

Poniższe wymagania dotyczą aplikacji logowania jednokrotnego opartego na protokole SAML.

Wymagania dotyczące uwierzytelniania

  • Aplikacja powinna obsługiwać protokół SAML 2.0 w trybie zainicjowanym przez dostawcę usług lub trybie inicjowany przez dostawcę tożsamości (IDP) lub w obu (wymagane)
  • Aplikacja powinna zweryfikować token SAML dla klucza certyfikatu, ważności certyfikatu, wystawcy, odbiorców i innych oświadczeń użytkownika zgodnie z potrzebami. (Wymagane)
  • Przetestuj integrację protokołu SAML z Microsoft Entra ID przy użyciu aplikacji spoza galerii. (Wymagane).
  • Aplikacje powinny obsługiwać funkcje logowania jednokrotnego SAML . (Zalecane)
  • Aplikacja powinna pobrać metadane federacji SAML od IDP (dostawca tożsamości) z Microsoft Entra ID, korzystając z łącza dostarczonego przez Microsoft. Pomaga to zmniejszyć przeciążenie konfiguracji dla klientów i rotacji certyfikatów. Zapoznaj się ze wskazówkami tutaj. (Zalecane).
  • Aplikacja powinna udostępnić interfejs użytkownika i interfejsy API dla użytkowników w celu skonfigurowania logowania jednokrotnego (SSO) w ich instancji aplikacji. (Zalecane)
  • Aplikacja powinna zapewnić możliwość wymuszania funkcjonalności SSO na poziomie całego najemcy, tak aby wszyscy użytkownicy musieli korzystać z logowania jednokrotnego. W przypadku administratorów oraz obsługi scenariuszy typu "break glass", w razie potrzeby można udostępniać inne opcje uwierzytelniania lub mechanizmy obejścia. (Zalecane).

Wymagania specyficzne dla niezależnego dostawcy oprogramowania:

  • Aplikacja powinna zostać opublikowana w modelu aplikacji SaaS w chmurze lub dystrybuowana do klientów na potrzeby instalacji (IaaS), aby aplikacja mogła być własnością i skonfigurowana przez klientów zgodnie z potrzebami. (Wymagane)
  • Ustanów punkt kontaktowy ds. inżynierii i wsparcia, aby wspierać klientów podczas wprowadzania do App Gallery i po nim (wymagane)
  • Dokumentowanie konfiguracji logowania jednokrotnego SAML publicznie (wymagane)
  • Spełnij różne wymagania dotyczące zgodności dotyczące wyświetlania listy aplikacji w tych chmurach, takich jak Public, USGov, Chiny, Niemcy, Francja, Singapur itp. Jest to wymagane tylko wtedy, gdy planujesz opublikować aplikację w tych chmurach. (Wymagane)

Wymagania dla aplikacji OIDC typu multi-tenant:

Wymagania dotyczące uwierzytelniania:

  • Aplikacja powinna obsługiwać protokół OpenID Connect na potrzeby uwierzytelniania zgodnie ze wskazówkami podanymi tutaj przez Microsoft. Zalecamy użycie przepływu udzielania kodu uwierzytelniania OAuth 2.0. Microsoft zaleca, aby nie używać OAuth 2.0 przepływu poświadczeń hasła właściciela zasobu. Podobnie przepływ udzielania autoryzacji urządzenia OAuth 2.0 nie powinien być używany, chyba że jest to wymagane jawnie. (Wymagane)
  • Jeśli tworzysz aplikację w chmurze, Microsoft zaleca ustawienie aplikacji jako aplikacji wielodostępnej. Zapoznaj się ze wskazówkami tutaj. (wymagany jest model jednego najemcy lub model wielonajemcy)
  • Jeśli aplikacja w chmurze jest skonfigurowana dla każdego klienta z użyciem architektury IaaS lub PaaS, model aplikacji pojedynczej dzierżawy jest akceptowalny.
  • Użyj punktu końcowego Microsoft Entra ID w wersji 2 do uwierzytelniania (wymagane)
  • Aplikacja powinna używać najniższych uprawnień uprzywilejowanych w swoich scenariuszach. Zapoznaj się z naszą dokumentacją MS interfejs Graph API, aby znaleźć najbardziej podstawowe uprawnienia dla API. (Wymagane)
  • Aplikacja powinna używać uprawnień delegowanych , aby ekran zgody mógł zostać wyświetlony i zezwolić użytkownikowi lub administratorowi na wyrażenie zgody zgodnie z potrzebami. Należy unikać uprawnień aplikacji, chyba że jest to absolutnie potrzebne. (Wymagane w przypadku korzystania z interfejsów API programu MS Graph)
  • Aplikacja nie powinna używać wpisów tajnych, jeśli aplikacja chce używać przepływu poświadczeń klienta, certyfikat powinien być używany zamiast wpisów tajnych do pobierania tokenu dostępu. (Wymagane)
  • Aplikacje SPA nie powinny używać protokołu OAuth 2.0 Implicit Grant Flow ze względów bezpieczeństwa i zamiast tego powinny używać przepływu kodu autoryzacji. (Zalecane).

Wymagania specyficzne dla niezależnego dostawcy oprogramowania

  • Aplikacja powinna zostać opublikowana w modelu aplikacji SaaS niezależnie od tego, czy w chmurze, czy dystrybuowana do klientów na potrzeby instalacji, aby aplikacja mogła być własnością i skonfigurowana przez klientów zgodnie z potrzebami. (Wymagane)
  • Na stronie logowania powinien znajdować się przycisk Zaloguj się przez Microsoft i zastosować się do wytycznych dotyczących marki tutaj. (Zalecane).
  • Aplikacja powinna zostać zweryfikowana przez wydawcę przy użyciu identyfikatora MPN. Postępuj zgodnie ze wskazówkami opublikowanymi tutaj. (Wymagane)
  • Ustanów punkt kontaktowy wsparcia technicznego i inżynieryjnego w celu wsparcia klientów po dołączeniu do galerii (wymagane)
  • Udokumentuj swoją konfigurację protokołu OIDC OAuth dla logowania jednokrotnego publicznie (wymagane)
  • Spełnij różne wymagania dotyczące zgodności dotyczące wyświetlania aplikacji w różnych chmurach, takich jak Public, USGov, Chiny, Niemcy, Francja, Singapur itp. Jest to wymagane tylko wtedy, gdy planujesz opublikować aplikację w tych chmurach. (Wymagane)
  • Microsoft Entra App Gallery nie włącza publicznych aplikacji klienckich.

Lista kontrolna aplikacji provisioningu SCIM

Poniżej znajduje się szybka lista kontrolna przed przesłaniem wniosku o umieszczenie swojej aplikacji w galerii aplikacji Microsoft Entra.

Wymagania dotyczące interfejsu API SCIM:

  • Obsługa punktu końcowego użytkownika i grupy SCIM 2.0 (wymagana jest tylko aprowizacja użytkowników, ale zalecane jest aprowizowanie użytkowników i grup).
  • Obsługuj co najmniej 25 żądań na sekundę na każdy tenant, aby zapewnić, że użytkownicy i grupy są szybko aprowizowani i deaprowizowani (wymagane).
  • Zweryfikuj i przetestuj integrację aplikacji SCIM User and/or Group Provisioning z modułem sprawdzania poprawności SCIM i szablonem aplikacji spoza galerii (wymagane).
  • Zweryfikuj uwierzytelnianie poświadczeń klienta lub inne obsługiwane uwierzytelnianie przy użyciu aplikacji spoza galerii lub za pomocą modułu sprawdzania poprawności SCIM (wymagane).
  • Wspierać miękkie usuwanie lub trwałe usuwanie użytkowników. Jeden z nich jest wymagany, oba są również obsługiwane (Wymagane).
  • W przypadku wysyłania zapytania do nieistniejącego użytkownika serwer SCIM nie powinien zwracać nieprawidłowego żądania, a raczej powodzenia z 0 wynikami (wymagane).
  • Obsługa funkcji odnajdywania schematu w punkcie końcowym SCIM (wymagane).
  • Aktualizowanie wielu członkostw w grupach za pomocą pojedynczego PATCH (zalecane).
  • Obsługa interfejsów API zbiorczych SCIM, co może zwiększyć wydajność łącznika (zalecane).

Wymagania dotyczące uwierzytelniania SCIM:

Obsługa przepływu poświadczeń klienta protokołu OAuth 2.0 w uwierzytelnianiu aprowizacji SCIM (wymagane). Nie dołączamy żadnej aplikacji do dostarczania SCIM z długotrwałymi tokenami dostępu, uwierzytelnianiem podstawowym ani przepływem autoryzacyjnym z użyciem kodu.

  • Przepływ poświadczeń klienta protokołu OAuth 2.0 (wymagany)

    • Zapewnij klientom client_id, client_secret, punkt końcowy tokenu uwierzytelniania i punkt końcowy SCIM, aby klienci mogli skonfigurować te informacje w aplikacji Microsoft Entra ID.
    • Klucz tajny klienta powinien wygasać w przedziale od jednego do trzech lat, a następnie nie można pobrać tokenu dostępu z wygasłymi poświadczeniami (wymagane).
    • Możliwość regularnego zmieniania sekrety klienta. Niezależni dostawcy oprogramowania powinni umożliwiać płynną rotację, zezwalając na wiele aktywnych tajemnic i obsługując usuwanie starych tajemnic. Alternatywnie klienci mogą tworzyć nowe client_id i client_secret.
    • Token dostępu powinien być ważny tylko przez 60 minut (1 godzinę) do 6 godzin, ale nie mniej niż 60 minut (wymagane)

Wymagania specyficzne dla niezależnego dostawcy oprogramowania

  • Ustanów punkt kontaktowy inżynieryjny i wsparcia, aby wspierać klientów po włączeniu ich do Microsoft Entra Galerii aplikacji oraz umożliwić przyszły kontakt Microsoft z klientami (wymagane)
  • Dokumentowanie punktu końcowego SCIM publicznie i udostępnianie linku (wymagane)
  • Wdróż aprowizację SCIM dla co najmniej 100 wspólnych klientów, korzystając z podejścia Microsoft Entra spoza galerii aplikacji, aby zakwalifikować się do oferty w galerii aplikacji Microsoft Entra.
  • Udostępnij co najmniej pięć identyfikatorów dzierżawy Microsoft Entra klientów, aby mogli uczestniczyć w prywatnym programie testowym w wersji zapoznawczej, gdy łącznik będzie gotów do testowania.
  • Jeśli ma to zastosowanie, spełnij różne wymagania zgodności dotyczące umieszczania aplikacji w różnych środowiskach chmurowych, takich jak te USGov, Chiny, Niemcy, Francja, Singapur itp. (wymagane)

Znane ograniczenie dotyczące aprowizacji użytkowników opartej na protokole SCIM

Zobacz tę article aby uzyskać pełną listę znanych ograniczeń w aprowizacji ruchu wychodzącego Microsoft Entra SCIM.

Tworzenie i publikowanie dokumentacji

Podaj dokumentację aplikacji dla witryny

Łatwość wdrażania jest ważnym czynnikiem dla tych osób, które podejmują decyzje dotyczące oprogramowania dla przedsiębiorstw. Dokumentacja, która jest jasna i łatwa do naśladowania, ułatwia użytkownikom wdrażanie technologii i zmniejsza koszty pomocy technicznej. Łatwość wdrażania jest ważnym czynnikiem dla tych osób, które podejmują decyzje dotyczące oprogramowania dla przedsiębiorstw. Dokumentacja, która jest jasna i łatwa do naśladowania, ułatwia użytkownikom wdrażanie technologii i zmniejsza koszty pomocy technicznej.

Utwórz dokumentację zawierającą co najmniej następujące informacje:

  • Wprowadzenie do funkcji logowania jednokrotnego
    • Protokoły
    • Wersja i jednostka SKU
    • Lista obsługiwanych dostawców tożsamości z linkami do dokumentacji
  • Informacje o licencjonowaniu aplikacji
  • Kontrola dostępu oparta na rolach do konfigurowania SSO
  • Kroki konfiguracji logowania jednokrotnego
    • Elementy konfiguracji interfejsu użytkownika dla języka SAML (Simple Assertion Markup Language) z oczekiwanymi wartościami od dostawcy
    • Informacje o dostawcy usług, które mają być przekazywane do dostawców tożsamości
  • Jeśli używasz protokołu OIDC/OAuth, lista uprawnień wymaganych do uzyskania zgody z uzasadnieniami biznesowymi. W twoim scenariuszu użyj najniższych uprawnień uprzywilejowanych.
  • Kroki testowania dla użytkowników pilotażowych
  • Informacje dotyczące rozwiązywania problemów, w tym kody błędów i komunikaty
  • Mechanizmy obsługi dla użytkowników
  • Szczegółowe informacje o punkcie końcowym SCIM, w tym o obsługiwanych zasobach i atrybutach

Dokumentacja aplikacji w witrynie Microsoft

Po dodaniu aplikacji SAML do galerii zostanie utworzona dokumentacja objaśniająca proces krok po kroku. Aby zapoznać się z przykładem, zobacz Tutorials na potrzeby integrowania aplikacji SaaS z Microsoft Entra ID. Dokumentacja ta jest tworzona na podstawie Twojego przesłania do galerii. Możesz łatwo zaktualizować dokumentację, jeśli wprowadzisz zmiany w aplikacji przy użyciu konta GitHub.

W przypadku aplikacji Open ID Connect nie ma konkretnej dokumentacji aplikacji. Mamy tylko ogólny samouczek dla wszystkich aplikacji OpenID Connect.

Przesyłanie aplikacji

Po przetestowaniu, czy aplikacja współpracuje z Microsoft Entra ID, prześlij żądanie aplikacji w portalu Microsoft Application Network.

Jeśli zostanie wyświetlona strona "Żądanie dostępu", wypełnij uzasadnienie biznesowe i wybierz pozycję Zażądaj dostępu.

Po dodaniu konta możesz zalogować się do portalu Microsoft Application Network i przesłać żądanie, wybierając kafelek Submit Request (ISV) na stronie głównej. Jeśli podczas logowania zostanie wyświetlony błąd "Logowanie zostało zablokowane", zobacz Rozwiązywanie problemów z logowaniem do portalu usługi Microsoft Application Network.

Opcje specyficzne dla implementacji

W formularzu Rejestracja aplikacji wybierz funkcję, którą chcesz włączyć. Wybierz pozycję OpenID Connect & OAuth 2.0 lub SAML 2.0/WS-Fed w zależności od funkcji obsługiwanej przez aplikację.

Jeśli wdrażasz punkt końcowy SCIM 2.0 na potrzeby aprowizacji użytkowników, wybierz pozycję Aprowizacja użytkowników (SCIM 2.0). Pobierz schemat, aby podać go w żądaniu wprowadzenia. Aby uzyskać więcej informacji, zobacz Eksportowanie konfiguracji aprowizacji i przywracanie znanego dobrego stanu. Skonfigurowany schemat jest używany podczas testowania aplikacji spoza galerii w celu skompilowania aplikacji galerii.

Jeśli chcesz zarejestrować aplikację Microsoft Zarządzanie urządzeniami (MDM) w galerii aplikacji Microsoft Entra, wybierz pozycję Registeruj aplikację MDM.

Żądania aplikacji można śledzić według nazwy klienta w portalu Microsoft Application Network. Aby uzyskać więcej informacji, zobacz Application requests by Customers (Żądania aplikacji według klientów).

Żądanie aktualizacji aplikacji można przesłać w portalu Microsoft Application Network.

Jeśli zostanie wyświetlona strona "Żądanie dostępu", wypełnij uzasadnienie biznesowe i wybierz pozycję Zażądaj dostępu.

Po dodaniu konta możesz zalogować się do portalu sieci aplikacji Microsoft i przesłać żądanie, wybierając kafelek Złóż Zlecenie (ISV) na stronie głównej, następnie wybierz pozycję Aktualizuj listę mojej aplikacji w galerii i wybierz jedną z poniższych opcji według uznania —

  • Jeśli chcesz zaktualizować funkcję logowania jednokrotnego aplikacji, wybierz pozycję Zaktualizuj funkcję federacyjnego logowania jednokrotnego aplikacji.

  • Jeśli chcesz zaktualizować funkcję Password SSO, wybierz pozycję Aktualizuj funkcję Password SSO mojej aplikacji.

  • Jeśli chcesz uaktualnić swoją aplikację z logowania jednokrotnego za pomocą hasła do federacyjnego logowania jednokrotnego, wybierz pozycję Uaktualnij moją aplikację z logowania jednokrotnego za pomocą hasła do federacyjnego logowania jednokrotnego.

  • Jeśli chcesz zaktualizować listę MDM, wybierz pozycję Aktualizuj moją aplikację MDM.

  • Jeśli chcesz zaktualizować istniejącą integrację aprowizacji użytkowników, wybierz pozycję Popraw funkcję aprowizacji użytkowników aplikacji.

  • Jeśli chcesz usunąć aplikację z galerii aplikacji Microsoft Entra, wybierz pozycję Usuń listę mojej aplikacji z galerii.

Jeśli podczas logowania zostanie wyświetlony błąd Your sign-in was blocked, zobacz Rozwiązywanie problemów z logowaniem do portalu sieci aplikacji Microsoft.

Dołączanie do sieci partnera Microsoft

Sieć Microsoft Partner zapewnia natychmiastowy dostęp do ekskluzywnych programów, narzędzi, połączeń i zasobów. Aby dołączyć do sieci i utworzyć plan wejścia na rynek, zobacz Dotrzyj do klientów komercyjnych.

Następne kroki

  • Last updated on