Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
可以在 Microsoft Entra 应用程序库中发布开发的应用程序,该库是数千个应用的目录。 发布应用程序时,这些应用程序可供用户公开使用,以便将其添加到其租户。 有关详细信息,请参阅 Microsoft Entra 应用程序库概述。
若要在 Microsoft Entra 应用程序库中发布应用程序,需要完成以下任务:
- 确保完成先决条件。
- 创建并发布文档。
- 提交你的应用程序。
- 加入 Microsoft 合作伙伴网络。
注释
我们目前不接受新的 SSO 或预配请求,而我们专注于 安全的未来计划。 按案例处理 SSO 的更新请求。 目前,我们不会更新任何基于跨域标识管理(SCIM)的用户预配应用程序系统。 为现有画廊应用程序启用基于 SCIM 的用户预配也被视为新的应用程序请求。
先决条件
若要在应用程序展示库中发布您的应用程序,必须先阅读并同意特定的 条款和条件。
实现对 单一登录(SSO)的支持。 若要了解有关支持的选项的详细信息,请参阅 规划单一登录部署。
- 我们不会再加入任何密码单一登录应用程序。 应用程序应支持以下点中所述的任何联合协议。
- 对于联合应用程序(SAML/WS-Fed),应用程序应最好支持 软件即服务(SaaS)模型 ,但这不是强制性的,也可以是本地应用程序。 企业画廊应用程序必须支持多个用户配置,而不面向任何特定用户。
- 对于 OpenID Connect,大多数应用程序作为实现 Microsoft Entra 许可框架 的多租户应用程序运行良好。 请参阅 此 链接,将应用程序转换为多租户。 如果您的应用程序需要额外的实例配置,例如需要客户控制自己的机密和证书,或进行实例配置,则可以发布单租户 OpenID Connect 应用程序。 Microsoft Entra 应用库现在也支持这种类型的应用程序发布。 但建议的选项是在真正的 SaaS 模型中具有多租户应用程序。
配置是可选的,但强烈建议。 若要了解有关 Microsoft Entra SCIM 的详细信息,请参阅 生成 SCIM 终结点,并使用 Microsoft Entra ID 配置用户预配
若要实现对 SCIM 2.0 预配的支持,请遵循本教程: 生成 SCIM 终结点并使用 Microsoft Entra ID 配置用户预配
- 如果已在应用程序中支持 SCIM 2.0,则必须支持客户端凭据流才能在 SCIM 中进行身份验证。 我们不会载入使用基本身份验证、长期持有者令牌或使用代码授予进行身份验证的应用程序。 建议按此处所述使用客户端凭据流
- 请确保使用 SCIM 验证程序工具测试 SCIM 实现和客户端凭据身份验证流。 可以从此处了解有关它的详细信息: 使用 SCIM 验证程序工具验证 SCIM 终结点
- 此外,还需要在 Microsoft Entra ID 中测试非图库应用程序的预配实现。 还可以使用非库应用程序模板测试客户端凭据流。 可以从此处了解有关它的详细信息: 使用非库应用程序测试用户预配
可以注册免费测试开发帐户。 提供 90 天的免费试用,并且您可以享受所有高级 Microsoft Entra 功能。 如果将其用于开发工作,还可以扩展帐户: 加入 Microsoft 365 开发人员计划。
SCIM 预配应用的清单
在提交应用请求以将您的应用列入 Microsoft Entra 应用库之前,请查看以下快速清单。
SCIM API 要求:
- 支持 SCIM 2.0 用户和组终结点(仅需要用户预配,但建议使用用户和组预配)。
- 支持每个租户每秒至少处理 25 个请求,以确保用户和组能够及时进行预配和取消预配(必需)。
- 验证和测试您的 SCIM 用户和/或组预配集成,使用 SCIM 验证器 和 非库应用程序模板(必需)。
- 使用 非库应用程序 或使用 SCIM 验证程序 (必需)验证客户端凭据授予或任何其他受支持的身份验证。
- 支持软删除或硬删除用户。 任一必需,且两者均受支持(必需)。
- 在查询不存在的用户时,SCIM 服务器不应返回错误请求,而是成功并返回 0 个结果(必需)。
- 支持 SCIM 终结点上的架构发现功能(必需)。
- 支持使用单个 PATCH 更新多个组成员身份(建议)。
- 支持 SCIM 批量 API,这可以提高连接器性能(建议)。
SCIM 身份验证要求:
支持 SCIM 预配身份验证中的 OAuth 2.0 客户端凭据流(必需)。 我们不会接入任何使用长期有效的持有者令牌、基本身份验证或授权码授予流程的 SCIM 预配应用程序。
OAuth 2.0 客户端凭据流(必需)
- 为客户提供 client_id、client_secret、身份验证令牌端点和 SCIM 端点,以便客户可以在 Microsoft Entra ID 应用程序中配置这些信息。
- 客户端密码应在一到三年内过期,过期的凭据将不能用于检索访问令牌(这是必需的)。
- 提供定期轮换客户端机密的功能。 ISV 应通过允许多个活动机密并支持删除旧机密,从而实现顺畅的轮换。 或者,客户可以创建新的client_id和client_secret。
- 访问令牌应仅有效 60 分钟(1 小时)到 6 小时,但不超过 60 分钟(必需)
ISV 特定要求
- 建立一个工程和支持联系人,以支持客户在 Microsoft Entra 应用库入驻后,以及便于 Microsoft 在将来联系(必填)
- 公开记录 SCIM 终结点并共享链接(必需)
- 使用 Microsoft Entra 非库方法将 SCIM 预配部署到至少 100 个相互客户,以符合 Microsoft Entra 应用库列表的条件。
- 在连接器准备好进行测试后,至少共享五个客户Microsoft Entra 租户 ID,以便他们可以参与专用预览计划。
- 如果适用,请满足在 USGov、中国、德国、法国、新加坡等不同云中列出应用程序的各种符合性要求(必需)
基于 SCIM 的用户预配的已知限制
有关 Microsoft Entra SCIM 出站预配中已知限制的完整列表,请参阅 本文 。
创建和发布文档
为网站提供应用文档
易于采用是那些做出企业软件决策的人员的重要因素。 清晰易懂的文档可帮助用户采用技术并降低支持成本。 易于采用是那些做出企业软件决策的人员的重要因素。 清晰易懂的文档可帮助用户采用技术并降低支持成本。
创建至少包含以下信息的文档:
- SSO 功能的简介
- 协议
- 版本和库存单位 (SKU)
- 包含文档链接的受支持标识提供者列表
- 应用程序的许可信息
- 用于配置 SSO 的基于角色的访问控制
- SSO 配置步骤
- SAML(简单断言标记语言)的 UI 配置元素,以及其提供者预计的值
- 需要传递给身份提供者的服务提供商信息
- 如果使用 OIDC/OAuth,请提供一份需要同意的权限列表,并附上业务理由。 在您的场景中使用最低权限原则。
- 试点用户的测试步骤
- 故障排除信息,包括错误代码和消息
- 用户支持机制
- 有关 SCIM 端点的详细信息,包括所支持的资源和属性
Microsoft 网站上的应用文档
将 SAML 应用程序添加到库后,将创建说明分步过程的文档。 根据您提交到画廊的内容创建了本文档。 如果使用 GitHub 帐户更改应用程序,可以轻松更新文档。
对于 OpenID Connect 应用程序,没有专门的应用程序文档。 我们只有所有 OpenID Connect 应用程序的通用 教程 。
提交申请
测试应用程序是否适用于 Microsoft Entra ID 后,请在 Microsoft 应用程序网络门户中提交应用程序请求。
如果看到“请求访问”页,请填写业务理由并选择“ 请求访问”。
添加帐户后,可以在主页上选择“ 提交请求”(ISV) 磁贴,登录到Microsoft应用程序网络门户并提交请求。 如果在登录时看到“登录被阻止”错误,请参阅“ 排查登录Microsoft应用程序网络门户的问题。
特定于实现的选项
在应用程序 注册 窗体上,选择要启用的功能。 根据应用程序支持的功能,选择 OpenID Connect 和 OAuth 2.0 或 SAML 2.0/WS-Fed 。
如果你要为用户预配实现 SCIM 2.0 终结点,请选择“用户预配 (SCIM 2.0)”。 下载要在入门请求中提供的架构。 有关详细信息,请参阅导出预配配置并回退到已知良好状态。 在测试非图库应用程序以构建图库应用程序时,将使用你配置的架构。
如果要在 Microsoft Entra 应用程序库中注册Microsoft设备管理(MDM)应用程序,请选择 “注册 MDM 应用”。
可以在Microsoft应用程序网络门户中按客户名称跟踪应用程序请求。 有关详细信息,请参阅 客户的应用程序请求。
从应用图库更新或删除应用程序
可以在 Microsoft应用程序网络门户中提交应用程序更新请求。
如果看到“请求访问”页,请填写业务理由并选择“ 请求访问”。
添加帐户后,可以登录到 Microsoft 应用程序网络门户并提交请求,方法是在主页上选择 “提交请求”(ISV) 磁贴,然后选择“ 更新我的应用程序列表”, 并根据需要选择以下选项之一 -
如果要更新应用程序的 SSO 功能,请选择“ 更新应用程序的联合 SSO 功能”。
如果要更新密码 SSO 功能,请选择“ 更新应用程序的密码 SSO”功能。
如果要将列表从密码 SSO 升级到 Federated SSO,请选择“ 将应用程序从密码 SSO 升级到 Federated SSO”。
如果要更新 MDM 列表,请选择“ 更新我的 MDM 应用”。
如果要更新现有的用户预配集成,请选择“ 改进应用程序的用户预配”功能。
如果要从 Microsoft Entra 应用程序库中删除应用程序,请选择 “从库中删除我的应用程序列表”。
如果在登录时看到 “登录被阻止 ”错误,请参阅 “排查登录Microsoft应用程序网络门户的问题。
加入Microsoft合作伙伴网络
Microsoft合作伙伴网络提供对独占程序、工具、连接和资源的即时访问。 若要加入网络并创建上市计划,请参阅拓展商业客户。
后续步骤
- 详细了解如何使用 Microsoft Entra ID 中的应用程序管理来管理企业应用程序?