Crie a página de destino para sua oferta de SaaS transacionável no mercado comercial
Este artigo orienta você pelo processo de criação de uma página de destino para um aplicativo SaaS transacionável que será vendido no mercado comercial da Microsoft.
Importante
O Azure Ative Directory (Azure AD) Graph foi preterido a partir de 30 de junho de 2023. No futuro, não faremos mais investimentos no Azure AD Graph. As APIs do Azure AD Graph não têm SLA ou compromisso de manutenção além das correções relacionadas à segurança. Os investimentos em novos recursos e funcionalidades só serão feitos no Microsoft Graph.
Desativaremos o Azure AD Graph em etapas incrementais para que você tenha tempo suficiente para migrar seus aplicativos para APIs do Microsoft Graph. Em uma data posterior que anunciaremos, bloquearemos a criação de novos aplicativos usando o Azure AD Graph.
Para saber mais, consulte Importante: Aposentadoria do Azure AD Graph e Descontinuação do módulo Powershell.
Descrição geral
Você pode pensar na página de destino como o "lobby" para sua oferta de software como serviço (SaaS). Depois que o comprador se inscreve em uma oferta, o mercado comercial o direciona para a página de destino para ativar e configurar sua assinatura do seu aplicativo SaaS. Pense nisso como uma etapa de confirmação do pedido que permite que o comprador veja o que comprou e confirme os detalhes da conta. Usando o Microsoft Entra ID e o Microsoft Graph, você habilitará o logon único (SSO) para o comprador e obterá detalhes importantes sobre o comprador que você pode usar para confirmar e ativar sua assinatura, incluindo seu nome, endereço de email e organização.
Como as informações necessárias para ativar a assinatura são limitadas e fornecidas pelo Microsoft Entra ID e pelo Microsoft Graph, não deve haver necessidade de solicitar informações que exijam mais do que o consentimento básico. Se precisar de detalhes de utilizador que exijam consentimento adicional para a sua candidatura, deverá solicitar estas informações após a conclusão da ativação da subscrição. Isso permite a ativação da assinatura sem atrito para o comprador e diminui o risco de abandono.
A página de destino normalmente inclui o seguinte:
- Apresente o nome da oferta e do plano adquirido, bem como as condições de faturação.
- Apresente os detalhes da conta do comprador, incluindo nome e sobrenome, organização e e-mail.
- Solicite ao comprador que confirme ou substitua diferentes detalhes da conta.
- Oriente o comprador sobre os próximos passos após a ativação. Por exemplo, receba um e-mail de boas-vindas, gerencie a assinatura, obtenha suporte ou leia a documentação.
Nota
O comprador também será direcionado para a página de destino ao gerenciar sua assinatura após a ativação. Depois que a assinatura do comprador for ativada, você deverá usar o SSO para permitir que o usuário faça login. Recomenda-se direcionar o usuário para um perfil de conta ou página de configuração.
As seções a seguir irão guiá-lo através do processo de criação de uma página de destino:
- Crie um registro de aplicativo Microsoft Entra para a página de destino.
- Use um exemplo de código como ponto de partida para seu aplicativo.
- Use dois aplicativos Microsoft Entra para melhorar a segurança na produção.
- Resolva o token de identificação de compra do marketplace adicionado ao URL pelo marketplace comercial.
- Leia informações de declarações codificadas no token de ID, que foi recebido do Microsoft Entra ID após entrar, que foi enviado com a solicitação.
- Use a API do Microsoft Graph para coletar informações adicionais, conforme necessário.
Criar um registo da aplicação Microsoft Entra
O mercado comercial está totalmente integrado com o Microsoft Entra ID. Os compradores chegam ao mercado autenticados com uma conta Microsoft Entra ou conta Microsoft (MSA). Após a compra, o comprador vai do mercado comercial para o URL da sua página de destino para ativar e gerenciar sua assinatura do seu aplicativo SaaS. Você deve permitir que o comprador entre em seu aplicativo com o Microsoft Entra SSO. (O URL da página de destino está especificado noPágina de configuração técnica.)
Gorjeta
Não inclua o caractere de sinal de libra (#) no URL da página de destino. Caso contrário, os clientes não poderão acessar sua página de destino.
O primeiro passo para usar a identidade é certificar-se de que sua página de destino esteja registrada como um aplicativo Microsoft Entra. O registro do aplicativo permite que você use o Microsoft Entra ID para autenticar usuários e solicitar acesso aos recursos do usuário. Pode ser considerada a definição do aplicativo, que permite que o serviço saiba como emitir tokens para o aplicativo com base nas configurações do aplicativo.
Registar uma nova aplicação através do portal do Azure
Para começar, siga as instruções para registrar um novo aplicativo. Para permitir que usuários de outras empresas visitem o aplicativo, você deve escolher uma das opções multilocatário quando perguntado quem pode usar o aplicativo.
Se você pretende consultar a API do Microsoft Graph, configure seu novo aplicativo para acessar APIs da Web. Quando você seleciona as permissões de API para este aplicativo, o padrão de User.Read é suficiente para reunir informações básicas sobre o comprador para tornar o processo de integração suave e automático. Não solicite nenhuma permissão de API rotulada como necessária ao consentimento do administrador, pois isso impedirá que todos os usuários não administradores visitem sua página de destino.
Se você precisar de permissões elevadas como parte de seu processo de integração ou provisionamento, considere usar a funcionalidade de consentimento incremental do Microsoft Entra ID para que todos os compradores enviados do marketplace possam interagir inicialmente com a página de destino.
Usar um exemplo de código como ponto de partida
Fornecemos vários aplicativos de exemplo que implementam um site simples com o login do Microsoft Entra habilitado. Depois que seu aplicativo é registrado no Microsoft Entra ID, a folha Guia de início rápido oferece uma lista de tipos de aplicativos comuns e pilhas de desenvolvimento, como visto na Figura 1. Escolha o que corresponde ao seu ambiente e siga as instruções para download e configuração.
Figura 1: Folha de início rápido no portal do Azure
Depois de baixar o código e configurar seu ambiente de desenvolvimento, altere as definições de configuração no aplicativo para refletir a ID do aplicativo, a ID do locatário e o segredo do cliente que você registrou no procedimento anterior. Observe que as etapas exatas serão diferentes dependendo da amostra que você está usando.
Use dois aplicativos Microsoft Entra para melhorar a segurança na produção
Este artigo apresenta uma versão simplificada da arquitetura para implementar uma página de destino para sua oferta de SaaS do mercado comercial. Ao executar a página em produção, recomendamos que você melhore a segurança comunicando-se com as APIs de atendimento SaaS somente por meio de um aplicativo diferente e seguro. Isto requer a criação de duas novas aplicações:
- Primeiro, o aplicativo de página de destino multilocatário descrito até este ponto, exceto sem a funcionalidade de entrar em contato com as APIs de atendimento SaaS. Essa funcionalidade será descarregada para outro aplicativo, conforme descrito abaixo.
- Em segundo lugar, um aplicativo para possuir as comunicações com as APIs de atendimento SaaS. Este aplicativo deve ser de locatário único, apenas para ser usado por sua organização, e uma lista de controle de acesso pode ser estabelecida para limitar o acesso às APIs somente deste aplicativo.
Isso permite que a solução funcione em cenários que observam o princípio da separação de preocupações . Por exemplo, a página de destino usa o primeiro aplicativo Microsoft Entra registrado para entrar no usuário. Depois que o usuário está conectado, a página de destino usa a segunda ID do Microsoft Entra para solicitar um token de acesso para chamar as APIs de atendimento SaaS e chamar a operação de resolução.
Resolver o token de identificação de compra do marketplace
Quando o comprador é enviado para sua página de destino, um token é adicionado ao parâmetro URL. Esse token é diferente do token emitido pela ID do Microsoft Entra e do token de acesso usado para autenticação de serviço a serviço e é usado como uma entrada para a chamada de resolução de APIs de atendimento SaaS para obter os detalhes da assinatura. Como acontece com todas as chamadas para as APIs de atendimento SaaS, sua solicitação de serviço a serviço será autenticada com um token de acesso baseado no usuário de ID do Aplicativo Microsoft Entra do aplicativo para autenticação de serviço a serviço.
Nota
Na maioria dos casos, é preferível fazer essa chamada a partir de um segundo aplicativo de locatário único. Consulte Usar dois aplicativos do Microsoft Entra para melhorar a segurança na produção anteriormente neste artigo.
Pedir um token de acesso
Para autenticar seu aplicativo com as APIs de atendimento SaaS, você precisa de um token de acesso, que pode ser gerado chamando o ponto de extremidade OAuth do Microsoft Entra ID. Consulte Como obter o token de autorização do editor.
Chamar o ponto de extremidade de resolução
As APIs de atendimento SaaS implementam o ponto de extremidade de resolução que pode ser chamado para confirmar a validade do token do marketplace e retornar informações sobre a assinatura.
Ler informações de declarações codificadas no token de ID
Como parte do fluxo do OpenID Connect, coloque o valor de id do locatário que você recebe no https://login.microsoftonline.com/{tenant}/v2.0. O Microsoft Entra ID adiciona um token de ID à solicitação quando o comprador é enviado para a página de destino. Este token contém várias informações básicas que podem ser úteis no processo de ativação, incluindo as informações vistas nesta tabela.
| valor | Description |
|---|---|
| aud | Público-alvo para este token. Neste caso, deve corresponder ao seu ID de Candidatura e ser validado. |
| preferred_username | Nome de usuário principal do usuário visitante. Pode ser um endereço de e-mail, número de telefone ou outro identificador. |
| Correio eletrónico | Endereço de e-mail do usuário. Observe que este campo pode estar vazio. |
| nome | Valor legível por humanos que identifica o assunto do token. Neste caso, será o nome do comprador. |
| Oide | Identificador no sistema de identidade da Microsoft que identifica exclusivamente o usuário entre aplicativos. O Microsoft Graph retornará esse valor como a propriedade ID de uma determinada conta de usuário. |
| TID | Identificador que representa o locatário do Microsoft Entra do qual o comprador é originário. No caso de uma identidade MSA, esta será 9188040d-6c67-4c5b-b112-36a304b66dadsempre . Para obter mais informações, consulte a observação na próxima seção: Usar a API do Microsoft Graph. |
| sub | Identificador que identifica exclusivamente o usuário neste aplicativo específico. |
Utilizar a Microsoft Graph API
O token de identificação contém informações básicas para identificar o comprador, mas seu processo de ativação pode exigir detalhes adicionais, como a empresa do comprador, para concluir o processo de integração. Use a API do Microsoft Graph para solicitar essas informações para evitar forçar o usuário a inserir esses detalhes novamente. As permissões padrão User.Read incluem as seguintes informações, por padrão.
| valor | Description |
|---|---|
| displayName | Nome exibido no catálogo de endereços do usuário. |
| givenName | Nome próprio do utilizador. |
| jobTitle | Cargo do utilizador. |
| correio | Endereço SMTP do utilizador. |
| mobilePhone | Número de telefone celular principal para o usuário. |
| preferredLanguage | Código ISO 639-1 para o idioma preferido do utilizador. |
| surname | Apelido do utilizador. |
Propriedades adicionais, como o nome da empresa do usuário ou a localização do usuário (país/região), podem ser selecionadas para inclusão na solicitação. Consulte as propriedades do tipo de recurso do usuário para obter mais detalhes.
A maioria dos aplicativos registrados com o Microsoft Entra ID concede permissões delegadas para ler as informações do usuário do locatário do Microsoft Entra da empresa. Qualquer solicitação ao Microsoft Graph para essas informações deve ser acompanhada por um token de acesso para autenticação. As etapas específicas para gerar o token de acesso dependerão da pilha de tecnologia que você está usando, mas o código de exemplo conterá um exemplo. Para obter mais informações, veja Obter acesso em nome de um utilizador.
Nota
As contas do locatário MSA (com ID 9188040d-6c67-4c5b-b112-36a304b66dadde locatário) não retornarão mais informações do que as já coletadas com o token de ID. Portanto, você pode ignorar esta chamada para a API do Graph para essas contas.
Conteúdos relacionados
Tutoriais de vídeo