Отправка запроса на публикацию приложения в коллекции приложений Microsoft Entra

Вы можете публиковать приложения, разрабатываемые в коллекции приложений Microsoft Entra, которая является каталогом тысяч приложений. Когда вы опубликуете свои приложения, они станут общедоступными, и пользователи смогут добавлять их в свои арендаторы. Дополнительные сведения см. в разделе Overview коллекции приложений Microsoft Entra.

Чтобы опубликовать приложение в коллекции приложений Microsoft Entra, необходимо выполнить следующие задачи:

• Обязательно выполните предварительные требования.
• Разработайте и опубликуйте документацию.
• Отправьте приложение.
• Присоединитесь к Майкрософт партнерской сети.

Предварительные условия

Чтобы опубликовать приложение в коллекции, необходимо сначала изучить и принять определенные условия.

• Реализуйте поддержку единого входа. Дополнительные сведения о поддерживаемых вариантах см. в статье Планирование развертывания единого входа.

  • Мы отказались от поддержки приложений единого входа с использованием пароля. Ваше приложение должно поддерживать любой из протоколов федерации, как упоминалось в следующем разделе.
  • Для федеративных приложений (SAML/WS-Fed) приложение должно поддерживать модель программного обеспечения как услуга (SaaS), но она не является обязательной и может быть локальным приложением. Приложения из корпоративной коллекции должны поддерживать множество конфигураций пользователей, а не какого-то конкретного пользователя.
  • Для OpenID Connect большинство приложений хорошо работают как мультитенантное приложение, реализующее фреймворк согласия Microsoft Entra. См. эту ссылку, чтобы преобразовать приложение в мультитенантный. Если вашему приложению требуется дополнительная конфигурация для каждого экземпляра, например, если клиентам необходимо управлять собственными секретами, сертификатами или конфигурацией экземпляров, то в таком случае вы можете опубликовать однотенантное приложение Open ID Connect. Этот тип публикации приложений также поддерживается в коллекции приложений Microsoft Entra сейчас. Но рекомендуется использовать мультитенантное приложение в истинной модели SaaS.

• Подготовка необязательна, но настоятельно рекомендуется. Чтобы узнать больше о Microsoft Entra SCIM, см. статью создание конечной точки SCIM и настройка предоставления пользователей с помощью Microsoft Entra ID

• Чтобы реализовать поддержку Provisioning SCIM 2.0, следуйте этому руководству: создайте конечную точку SCIM и настройте обеспечение пользователей с помощью Microsoft Entra ID

  • Если вы уже поддерживаете SCIM 2.0 в приложении, необходимо поддерживать поток учетных данных клиента для проверки подлинности в SCIM. Мы не внедряем приложения, использующие базовую аутентификацию, долгоживущие маркеры доступа или кодовые гранты для аутентификации. Мы рекомендуем использовать поток учетных данных клиента как сформулированный здесь
  • Убедитесь, что вы тестируете реализацию SCIM и поток проверки подлинности клиента с помощью средства проверки SCIM. Дополнительные сведения см. здесь: используйте средство проверки SCIM для проверки конечной точки SCIM.
  • Кроме того, необходимо протестировать реализацию настройки с помощью негалерейного приложения в Microsoft Entra ID. Вы также можете протестировать поток Client Credentials с помощью шаблона приложения, не входящего в галерею. Дополнительные сведения см. здесь: тестирование подготовки пользователей с помощью приложения, отличного от коллекции

Вы можете зарегистрироваться для получения бесплатной тестовой учетной записи для разработчиков. Это бесплатно в течение 90 дней, и вы получаете все функции премиум-версии Microsoft Entra. Вы также можете расширить учетную запись, если ее использовать для разработки: Join the Microsoft 365 Developer Program.

Контрольный список для приложений, поддерживающих SSO (единую систему входа)

Ниже приведен краткий контрольный список перед отправкой запроса на добавление вашего приложения в галерею приложений Microsoft Entra.

Требования к приложению единого входа SAML

Следующие требования применяются к SAML-основанным приложениям SSO.

Требования к проверке подлинности

• Приложение должно поддерживать протокол SAML 2.0 либо в режиме, инициированном поставщиком услуг, либо в режиме, инициируемом поставщиком удостоверений, или в обоих режимах (обязательно).
• Приложение должно проверить токен SAML для ключа сертификата, срока действия сертификата, издателя, аудитории и других утверждений пользователей по мере необходимости. (Обязательно)
• Проверьте интеграцию SAML с Microsoft Entra ID, используя приложение, не входящее в галерею. (Обязательно).
• Приложения должны поддерживать функциональность единого выхода SAML. (Рекомендовано)
• Приложение должно получить метаданные федерации IDP SAML из Microsoft Entra ID с помощью ссылки, которую Майкрософт предоставляет. Это помогает уменьшить перегрузку конфигурации для клиентов и смены сертификатов. Ознакомьтесь с инструкциями здесь. (Рекомендуется).
• Приложение должно предоставить пользовательский интерфейс и API для клиентов, чтобы настроить единый вход для своего экземпляра приложения. (Рекомендовано)
• Приложение должно обеспечить возможность принудительного применения функционала единого входа для всего арендатора, чтобы все пользователи использовали единый вход. Для администраторов и для поддержки аварийных сценариев можно поддерживать другие варианты проверки подлинности или использовать обходные механизмы по мере необходимости. (Рекомендуется).

Требования к независимым поставщикам программного обеспечения (ISV):

• Приложение должно быть опубликовано в модели приложений SaaS в облаке или распределено клиентами для их установки (IaaS), чтобы приложение можно было принадлежать и настраивать клиентами по мере необходимости. (Обязательно)
• Создайте контактную точку для инженерной поддержки и службы поддержки, чтобы помогать клиентам во время подключения к Галерее приложений и после подключения (требуется)
• Задокументируйте общедоступную конфигурацию единого входа SAML (обязательно)
• Соблюдайте различные требования соответствия для перечисления приложения в таких облаках, как Public, USGov, Китай, Германия, Франция, Сингапур и т. д. Это необходимо только в том случае, если вы планируете опубликовать приложение в этих облаках. (Обязательно)

Требования к приложению OIDC с несколькими клиентами:

Требования к проверке подлинности:

• Приложение должно поддерживать протокол OpenID Connect для проверки подлинности в соответствии с руководством, предоставленным Майкрософт здесь. Рекомендуется использовать поток предоставления кода проверки подлинности OAuth 2.0. Майкрософт рекомендует не использовать поток учетных данных пароля владельца ресурса OAuth 2.0. Аналогичным образом, поток предоставления авторизации устройства OAuth 2.0 не следует использовать, если это явно не требуется. (Обязательно)
• Если вы разрабатываете облачное приложение, Майкрософт рекомендует задать приложение в качестве мультитенантного приложения. Ознакомьтесь с инструкциями здесь. (требуется одиночная клиентская или мультитенантная модель)
• Если облачное приложение настроено для каждого клиента с помощью архитектуры IaaS или PaaS, то модель приложения одного клиента является приемлемой.
• Использование конечной точки Microsoft Entra ID версии 2 для проверки подлинности (обязательно)
• Приложение должно использовать для своих сценариев наименее привилегированные разрешения . Ознакомьтесь с нашей документацией по MS API Graph, чтобы найти наименее привилегированное разрешение для API. (Обязательно)
• Приложение должно использовать делегированные разрешения , чтобы экран согласия отображался и разрешать пользователю или администратору предоставлять ему согласие по мере необходимости. Разрешений приложений следует избегать, если они не абсолютно необходимы. (Требуется, если используется API MS Graph)
• Приложение не должно использовать секреты. Если необходимо использовать поток учетных данных клиента, следует использовать сертификат вместо секретов для получения токена доступа. (Обязательно)
• Приложения SPA не должны использовать неявный поток предоставления разрешений OAuth 2.0 по соображениям безопасности , и вместо этого они должны использовать поток кода авторизации. (Рекомендуется).

Требования к поставщикам программного обеспечения

• Приложение должно быть выпущено в модели приложений SaaS, будь то в облаке или распространенное для клиентов для их установки, чтобы приложение находилось во владении и могло настраиваться клиентами по мере необходимости. (Обязательно)
• Страница входа должна иметь Sign in with Майкрософт и следовать инструкциям по брендингу, здесь указанным. (Рекомендуется).
• Приложение должно быть проверено с помощью вашего идентификатора MPN. Следуйте инструкциям, опубликованным здесь. (Обязательно)
• Для поддержки клиентов после внедрения галереи необходимо установить контактное лицо по вопросам инженерной поддержки (обязательно)
• Документируйте общедоступную конфигурацию единого входа OIDC OAuth (обязательно)
• Соблюдайте различные требования соответствия для перечисления приложения в различных облаках, таких как Public, USGov, Китай, Германия, Франция, Сингапур и т. д. Это необходимо только в том случае, если вы планируете опубликовать приложение в этих облаках. (Обязательно)
• Microsoft Entra App Gallery не поддерживает интеграцию общедоступных клиентских приложений.

Контрольный список для приложений подготовки SCIM

Вот краткий чеклист, который поможет вам перед отправкой запроса на включение вашего приложения в галерею приложений Microsoft Entra.

Требования к API SCIM:

• Поддержка конечной точки SCIM 2.0 для пользователей и групп (требуется только предоставление пользователей, но рекомендуется предоставление как пользователей, так и групп).
• Поддержка не менее 25 запросов в секунду для каждого клиента, чтобы обеспечить своевременное предоставление и удаление пользователей и групп (обязательное).
• Проверьте интеграцию подготовки пользователей и/или групп SCIM с помощью SCIM Validator и шаблона для приложений вне галереи (обязательно).
• Проверьте аутентификацию клиентских учетных данных или любую другую поддерживаемую аутентификацию с помощью нестандартного приложения или средства проверки SCIM (обязательно).
• Поддержка обратимого удаления или жесткого удаления пользователей. Нужен либо один из них, либо оба также поддерживаются (обязательно).
• При запросе несуществующего пользователя сервер SCIM не должен возвращать неправильный запрос, а скорее успешно с 0 результатами (обязательно).
• Поддержка функции обнаружения схем в конечной точке SCIM (обязательно).
• Поддержка обновления нескольких членств в группах с одним PATCH (рекомендуется).
• Поддержка массовых API SCIM, которые могут повысить производительность соединителя (рекомендуется).

Требования к проверке подлинности SCIM:

Поддержка OAuth 2.0 потока учетных данных клиента в аутентификации управления SCIM (требуется). Мы не используем ни одно приложение провижинга SCIM с долго живущими токенами-носителями, базовой аутентификацией или потоком авторизации по коду.

• Поток учетных данных клиента OAuth 2.0 (обязательный)

  • Предоставьте клиентам client_id, client_secret, конечную точку маркера проверки подлинности и конечную точку SCIM, чтобы клиенты могли настроить эти сведения в приложении Microsoft Entra ID.
  • Срок действия секрета клиента должен истекать от одного года до трех лет, а затем маркер доступа не может быть получен с учетными данными с истекшим сроком действия (обязательно).
  • Предоставьте возможность регулярно менять секреты клиента. Поставщики программного обеспечения должны обеспечивать плавный переход, позволяя наличию нескольких активных секретов и поддерживая удаление старых секретов. Кроме того, клиенты могут создавать новые client_id и client_secret.
  • Токен доступа должен быть действителен только на срок от 60 минут (1 час) до 6 часов, но не менее 60 минут (обязательно)

Требования к независимым поставщикам программного обеспечения (ISV)

• Создайте точку взаимодействия инженерной и службы поддержки для помощи клиентам после добавления в Microsoft Entra App Gallery и чтобы Майкрософт могла связываться в будущем (обязательно)
• Задокументируйте конечную точку SCIM публично и поделитесь ссылкой (обязательно)
• Разверните обеспечение SCIM для как минимум 100 общих клиентов, используя подход Microsoft Entra вне галереи, чтобы претендовать на включение в галерею приложений Microsoft Entra.
• Поделитесь по крайней мере пятью идентификаторами клиентов Microsoft Entra, чтобы они могли участвовать в программе частного предварительного просмотра, когда соединитель будет готов для тестирования.
• Если применимо, выполните различные требования к соответствию требованиям для перечисления приложения в различных облаках, таких как USGov, Китай, Германия, Франция, Сингапур и т. д. (Обязательно)

Известное ограничение на подготовку пользователей на основе SCIM

См. эту статью для полного списка известных ограничений в Microsoft Entra для передачи данных SCIM.

Разработка и публикация документации

Предоставьте документацию приложения для вашего сайта

Простота внедрения является важным фактором для тех, кто принимает решения о корпоративном программном обеспечении. Документация, которая ясно и легко следовать, помогает пользователям внедрять технологии и снижает затраты на поддержку. Простота внедрения является важным фактором для тех, кто принимает решения о корпоративном программном обеспечении. Документация, которая ясно и легко следовать, помогает пользователям внедрять технологии и снижает затраты на поддержку.

Создайте документацию, содержащую как минимум следующие сведения:

• Введение в функциональность SSO
  • Протоколы
  • версия и SKU;
  • список поддерживаемых поставщиков удостоверений с ссылками на документацию.
• Сведения о лицензировании вашего приложения.
• Ролевая система управления доступом для настройки единого входа в систему.
• Этапы настройки SSO (единого входа)
  • Элементы конфигурации пользовательского интерфейса для SAML (простой язык разметки утверждений) с ожидаемыми значениями от поставщика
  • сведения о поставщике услуг, которые будут передаваться поставщикам удостоверений.
• Если вы используете OIDC/OAuth, список разрешений, необходимых для согласия, с бизнес-обоснованием. Используйте наименее привилегированные разрешения для вашего сценария.
• Порядок тестирования для пользователей в пилотном проекте.
• Сведения об устранении неполадок, включая коды ошибок и сообщения.
• Механизмы поддержки для пользователей.
• Сведения о вашей конечной точке SCIM, включая поддерживаемые ресурсы и атрибуты.

Документация по приложению на сайте Майкрософт

При добавлении приложения SAML в коллекцию создается документация, объясняющая пошаговый процесс. Пример см. в разделе Tutorials для интеграции приложений SaaS с Microsoft Entra ID. Эта документация создается на основе вашей отправки в галерею. Вы можете легко обновить документацию, если вы вносите изменения в приложение с помощью учетной записи GitHub.

Для приложений Open ID Connect нет конкретной документации по приложению. У нас есть только универсальный учебник для всех приложений OpenID Connect.

Отправка приложения

После проверки работы приложения с Microsoft Entra ID отправьте запрос приложения на портале сети приложений Майкрософт.

Если отображается страница "Запрос доступа", укажите бизнес-обоснование и выберите Запросить доступ.

После добавления учетной записи вы можете войти на портал Майкрософт Application Network и отправить запрос, выбрав плитку Submit Request (ISV) на домашней странице. Если при входе в систему отображается сообщение об ошибке "Вход заблокирован", см. Устранение неполадок на портале сети приложений Майкрософт.

Варианты, связанные с конкретной реализацией

В форме Регистрация приложения выберите функцию, которую вы хотите включить. Выберите OpenID Connect и OAuth 2.0 или SAML 2.0/WS-Fed в зависимости от функции, которую поддерживает ваше приложение.

Если вы реализуете конечную точку SCIM 2.0 для подготовки пользователей, выберите Подготовка пользователей (SCIM 2.0). Скачайте схему для предоставления в запросе на подключение. Дополнительные сведения см. в разделе Экспорт конфигурации подготовки и возврат к известному рабочему состоянию. Настроенная вами схема используется при тестировании приложения вне галереи для создания приложения для галереи.

Если вы хотите зарегистрировать приложение Майкрософт Управление устройствами (MDM) в коллекции приложений Microsoft Entra, выберите Register приложение MDM.

Вы можете отслеживать запросы приложений по имени клиента на портале Майкрософт Application Network. Дополнительные сведения см. в статье Запросы приложений от клиентов.

Обновление или удаление приложения из коллекции

Запрос на обновление приложения можно отправить на портале Майкрософт Сеть приложений.

Если отображается страница "Запрос доступа", укажите бизнес-обоснование и выберите Запросить доступ.

После добавления учетной записи вы можете войти на портал Майкрософт Application Network и отправить запрос, выбрав плитку Submit Request (ISV) на домашней странице, выбрать Обновить описание моего приложения в галерее и выбрать один из следующих параметров на ваш выбор.

• Если вы хотите обновить функцию SSO приложения, выберите Обновить функцию федеративного единого входа приложения.

• Если требуется обновить функцию единого входа с паролем, выберите Обновить функцию единого входа с паролем для приложения.

• Если вы хотите обновить приложение с Password SSO до Federated SSO, выберите Обновить приложение с Password SSO до Federated SSO.

• Если вы хотите обновить список MDM, выберите "Обновить приложение MDM".

• Если вы хотите обновить существующую интеграцию предоставления пользователей, выберите "Улучшить функцию предоставления пользователей в приложении".

• Если вы хотите удалить приложение из галереи приложений Microsoft Entra, выберите Удалить мое приложение из галереи.

Если при входе в систему вы видите ошибку Ваш вход был заблокирован, см. статью Устранение неполадок входа на портал Майкрософт Application Network.

Присоединение к партнерской сети Майкрософт

Сеть партнер корпорации Майкрософт предоставляет мгновенный доступ к эксклюзивным программам, средствам, подключениям и ресурсам. Чтобы присоединиться к сети и создать план выхода на рынок, см. страницу, посвященную охвату клиентов из коммерческого сектора.

Следующие шаги

• Дополнительные сведения об управлении корпоративными приложениями с помощью Что такое управление приложениями в Microsoft Entra ID?