Поделиться через

Отправка запроса на публикацию приложения в коллекции приложений Microsoft Entra

Вы можете публиковать приложения, разрабатываемые в коллекции приложений Microsoft Entra, которая является каталогом тысяч приложений. Когда вы опубликуете свои приложения, они станут общедоступными, и пользователи смогут добавлять их в свои арендаторы. Дополнительные сведения см. в статье "Обзор коллекции приложений Microsoft Entra".

Чтобы опубликовать приложение в коллекции приложений Microsoft Entra, необходимо выполнить следующие задачи:

  • Обязательно выполните предварительные требования.
  • Разработайте и опубликуйте документацию.
  • Отправьте приложение.
  • Присоединитесь к программе Microsoft Partner Network.

Примечание.

В настоящее время мы не принимаем новые запросы на SSO или предоставления, так как сосредоточены на Secure Future Initiative. Запросы на обновление единого входа обрабатываются в индивидуальном порядке. Сейчас мы не обновляем никаких приложений для подготовки пользователей на основе SCIM (System for Cross-domain Identity Management). Включение подготовки пользователей на основе SCIM для существующего галерейного приложения рассматривается также как новый запрос приложения.

Предварительные условия

Чтобы опубликовать приложение в коллекции, необходимо сначала изучить и принять определенные условия.

  • Реализуйте поддержку единого входа. Дополнительные сведения о поддерживаемых вариантах см. в статье Планирование развертывания единого входа.

    • Мы отказались от поддержки приложений единого входа с использованием пароля. Ваше приложение должно поддерживать любой из протоколов федерации, как упоминалось в следующем разделе.
    • Для федеративных приложений (SAML/WS-Fed) приложение должно поддерживать модель программного обеспечения как услуга (SaaS), но она не является обязательной и может быть локальным приложением. Приложения из корпоративной коллекции должны поддерживать множество конфигураций пользователей, а не какого-то конкретного пользователя.
    • Для OpenID Connect большинство приложений хорошо работают как мультитенантные приложения, реализующие структуру согласия Microsoft Entra. См. эту ссылку, чтобы преобразовать приложение в мультитенантный. Если вашему приложению требуется дополнительная конфигурация для каждого экземпляра, например, если клиентам необходимо управлять собственными секретами, сертификатами или конфигурацией экземпляров, то в таком случае вы можете опубликовать однотенантное приложение Open ID Connect. Этот тип публикации приложений также поддерживается в коллекции приложений Microsoft Entra. Но рекомендуется использовать мультитенантное приложение в истинной модели SaaS.

  • Подготовка необязательна, но настоятельно рекомендуется. Дополнительные сведения о Microsoft Entra SCIM см. в статье о сборке конечной точки SCIM и настройке подготовки пользователей с помощью идентификатора Microsoft Entra

  • Чтобы реализовать поддержку подготовки SCIM 2.0, выполните следующую инструкцию: создайте конечную точку SCIM и настройте подготовку пользователей с помощью идентификатора Microsoft Entra

    • Если вы уже поддерживаете SCIM 2.0 в приложении, необходимо поддерживать поток учетных данных клиента для проверки подлинности в SCIM. Мы не внедряем приложения, использующие базовую аутентификацию, долгоживущие маркеры доступа или кодовые гранты для аутентификации. Мы рекомендуем использовать поток учетных данных клиента как сформулированный здесь
    • Убедитесь, что вы тестируете реализацию SCIM и поток проверки подлинности клиента с помощью средства проверки SCIM. Дополнительные сведения см. здесь: используйте средство проверки SCIM для проверки конечной точки SCIM.
    • Кроме того, необходимо протестировать реализацию управления доступом с помощью приложения, не из галереи, в Microsoft Entra ID. Вы также можете протестировать поток Client Credentials с помощью шаблона приложения, не входящего в галерею. Дополнительные сведения см. здесь: тестирование подготовки пользователей с помощью приложения, отличного от коллекции

Вы можете зарегистрироваться для получения бесплатной тестовой учетной записи для разработчиков. Это бесплатно в течение 90 дней, и вы получаете все функции Microsoft Entra уровня "Премиум" с ним. Вы также можете расширить учетную запись, если вы используете ее для разработки; см. статью Присоединение к программе для разработчиков Microsoft 365.

Контрольный список для приложений подготовки SCIM

Ниже приведен краткий контрольный список перед отправкой запроса на размещение вашего приложения в галерее приложений Microsoft Entra.

Требования к API SCIM:

  • Поддержка конечной точки SCIM 2.0 для пользователей и групп (требуется только предоставление пользователей, но рекомендуется предоставление как пользователей, так и групп).
  • Поддержка не менее 25 запросов в секунду для каждого клиента, чтобы обеспечить своевременное предоставление и удаление пользователей и групп (обязательное).
  • Проверьте интеграцию подготовки пользователей и/или групп SCIM с помощью SCIM Validator и шаблона для приложений вне галереи (обязательно).
  • Проверьте предоставление учетных данных клиента или любую другую поддерживаемую аутентификацию с помощью нестандартного приложения или с помощью средства проверки SCIM (обязательно).
  • Поддержка обратимого удаления или жесткого удаления пользователей. Нужен либо один из них, либо оба также поддерживаются (обязательно).
  • При запросе несуществующего пользователя сервер SCIM не должен возвращать неправильный запрос, а скорее успешно с 0 результатами (обязательно).
  • Поддержка функции обнаружения схем в конечной точке SCIM (обязательно).
  • Поддержка обновления нескольких членств в группах с одним PATCH (рекомендуется).
  • Поддержка массовых API SCIM, которые могут повысить производительность соединителя (рекомендуется).

Требования к проверке подлинности SCIM:

Поддержка OAuth 2.0 потока учетных данных клиента в аутентификации управления SCIM (требуется). Мы не используем ни одно приложение провижинга SCIM с долго живущими токенами-носителями, базовой аутентификацией или потоком авторизации по коду.

  • Поток учетных данных клиента OAuth 2.0 (обязательный)

    • Предоставьте клиентам client_id, client_secret, конечную точку токена аутентификации и конечную точку SCIM, чтобы клиенты могли настроить эту информацию в приложении Microsoft Entra ID.
    • Срок действия секрета клиента должен истекать от одного года до трех лет, а затем маркер доступа не может быть получен с учетными данными с истекшим сроком действия (обязательно).
    • Предоставьте возможность регулярно менять секреты клиента. Поставщики программного обеспечения должны обеспечивать плавный переход, позволяя наличию нескольких активных секретов и поддерживая удаление старых секретов. Кроме того, клиенты могут создавать новые client_id и client_secret.
    • Токен доступа должен быть действителен только на срок от 60 минут (1 час) до 6 часов, но не менее 60 минут (обязательно)

Требования к независимым поставщикам программного обеспечения (ISV)

  • Создайте точку инженерно-технической поддержки для поддержки клиентов после включения коллекции приложений Microsoft Entra в каталог и чтобы компания Microsoft могла связаться в будущем (обязательно).
  • Задокументируйте конечную точку SCIM публично и поделитесь ссылкой (обязательно)
  • Разверните SCIM-развертывание для по крайней мере 100 общих клиентов, используя подход, не включающий в каталог, чтобы соответствовать для включения в каталог приложений Microsoft Entra.
  • Предоставьте по крайней мере пять идентификаторов клиента Microsoft Entra, чтобы они могли участвовать в частной предварительной версии программы после того, как соединитель готов к тестированию.
  • Если применимо, выполните различные требования к соответствию требованиям для перечисления приложения в различных облаках, таких как USGov, Китай, Германия, Франция, Сингапур и т. д. (Обязательно)

Известное ограничение на подготовку пользователей на основе SCIM

В этой статье приведен полный список известных ограничений в подготовке исходящего трафика Microsoft Entra SCIM.

Разработка и публикация документации

Предоставьте документацию приложения для вашего сайта

Простота внедрения является важным фактором для тех, кто принимает решения о корпоративном программном обеспечении. Документация, которая ясно и легко следовать, помогает пользователям внедрять технологии и снижает затраты на поддержку. Простота внедрения является важным фактором для тех, кто принимает решения о корпоративном программном обеспечении. Документация, которая ясно и легко следовать, помогает пользователям внедрять технологии и снижает затраты на поддержку.

Создайте документацию, содержащую как минимум следующие сведения:

  • Введение в функциональность SSO
    • Протоколы
    • версия и SKU;
    • список поддерживаемых поставщиков удостоверений с ссылками на документацию.
  • Сведения о лицензировании вашего приложения.
  • Ролевая система управления доступом для настройки единого входа в систему.
  • Этапы настройки SSO (единого входа)
    • Элементы конфигурации пользовательского интерфейса для SAML (простой язык разметки утверждений) с ожидаемыми значениями от поставщика
    • сведения о поставщике услуг, которые будут передаваться поставщикам удостоверений.
  • Если вы используете OIDC/OAuth, список разрешений, необходимых для согласия, с бизнес-обоснованием. Используйте наименее привилегированные разрешения для вашего сценария.
  • Порядок тестирования для пользователей в пилотном проекте.
  • Сведения об устранении неполадок, включая коды ошибок и сообщения.
  • Механизмы поддержки для пользователей.
  • Сведения о вашей конечной точке SCIM, включая поддерживаемые ресурсы и атрибуты.

Документация по приложению на сайте Майкрософт

При добавлении приложения SAML в коллекцию создается документация, объясняющая пошаговый процесс. Пример см. в руководствах по интеграции приложений SaaS с идентификатором Microsoft Entra. Эта документация создается на основе вашей отправки в галерею. Вы можете легко обновить документацию, если внесете изменения в свое приложение, используя свою учетную запись GitHub.

Для приложений Open ID Connect нет конкретной документации по приложению. У нас есть только универсальный учебник для всех приложений OpenID Connect.

Отправка приложения

После проверки, что приложение работает с идентификатором Microsoft Entra, отправьте запрос приложения на портале Microsoft Application Network.

Если отображается страница "Запрос доступа", укажите бизнес-обоснование и выберите Запросить доступ.

После добавления учетной записи можно войти на портал Microsoft Application Network и отправить запрос, щелкнув плитку Отправить запрос (ISV) на домашней странице. Если при входе вы видите ошибку "Вход был заблокирован", см. статью Устранение проблем со входом на портал Microsoft Application Network.

Варианты, связанные с конкретной реализацией

В форме Регистрация приложения выберите функцию, которую вы хотите включить. Выберите OpenID Connect и OAuth 2.0 или SAML 2.0/WS-Fed в зависимости от функции, которую поддерживает ваше приложение.

Если вы реализуете конечную точку SCIM 2.0 для подготовки пользователей, выберите Подготовка пользователей (SCIM 2.0). Скачайте схему для предоставления в запросе на подключение. Дополнительные сведения см. в разделе Экспорт конфигурации подготовки и возврат к известному рабочему состоянию. Настроенная вами схема используется при тестировании приложения вне галереи для создания приложения для галереи.

Если вы хотите зарегистрировать приложение Microsoft Device Management (MDM) в коллекции приложений Microsoft Entra, выберите "Зарегистрировать приложение MDM".

Вы можете отслеживать запросы на приложения по имени клиента на портале Microsoft Application Network. Дополнительные сведения см. в статье Запросы приложений от клиентов.

Отправить запрос на обновление приложения можно на портале Microsoft Application Network.

Если отображается страница "Запрос доступа", укажите бизнес-обоснование и выберите Запросить доступ.

После добавления учетной записи можно выполнить вход на портале Microsoft Application Network, отправить запрос, щелкнув плитку Отправить запрос (ISV) на домашней странице, нажать Обновить публикацию приложения в коллекции и выбрать один из следующих вариантов.

  • Если вы хотите обновить функцию SSO приложения, выберите Обновить функцию федеративного единого входа приложения.

  • Если требуется обновить функцию единого входа с паролем, выберите Обновить функцию единого входа с паролем для приложения.

  • Если вы хотите обновить приложение с Password SSO до Federated SSO, выберите Обновить приложение с Password SSO до Federated SSO.

  • Если вы хотите обновить список MDM, выберите "Обновить приложение MDM".

  • Если вы хотите обновить существующую интеграцию предоставления пользователей, выберите "Улучшить функцию предоставления пользователей в приложении".

  • Если вы хотите удалить приложение из коллекции приложений Microsoft Entra, выберите "Удалить список приложений" из коллекции.

Если при входе вы видите ошибку Вход был заблокирован, см. статью Устранение проблем со входом на портал Microsoft Application Network.

Присоединение к программе Microsoft Partner Network

Программа Microsoft Partner Network обеспечивает мгновенный доступ к эксклюзивным программам, средствам и подключениям и ресурсам. Чтобы присоединиться к сети и создать план выхода на рынок, см. страницу, посвященную охвату клиентов из коммерческого сектора.

Следующие шаги

  • Дополнительные сведения о том, что такое управление корпоративными приложениями в Microsoft Entra ID.
  • Last updated on