Übermitteln einer Anforderung zum Veröffentlichen Ihrer Anwendung im Microsoft Entra Anwendungskatalog

Sie können Anwendungen veröffentlichen, die Sie im Microsoft Entra Anwendungskatalog entwickeln, bei dem es sich um einen Katalog von Tausenden von Apps handelt. Wenn Sie Ihre Anwendungen veröffentlichen, werden sie öffentlich für Benutzer zur Verfügung gestellt, damit Benutzer sie zu ihren Mandanten hinzufügen können. Weitere Informationen finden Sie unter Overview des Microsoft Entra Anwendungskatalogs.

Um Ihre Anwendung im Microsoft Entra Anwendungskatalog zu veröffentlichen, müssen Sie die folgenden Aufgaben ausführen:

• Stellen Sie sicher, dass Sie die Voraussetzungen erfüllen.
• Erstellen und veröffentlichen Sie die Dokumentation.
• Reichen Sie Ihre Bewerbung ein.
• Treten Sie dem Microsoft Partnernetzwerk bei.

Voraussetzungen

Um Ihre Anwendung im Katalog zu veröffentlichen, müssen Sie zunächst die speziellen Geschäftsbedingungen lesen und diese akzeptieren.

• Implementieren Sie Unterstützung für einmaliges Anmelden (Single Sign-On, SSO). Weitere Informationen zu den unterstützten Optionen finden Sie unter Planen einer Bereitstellung mit einmaligem Anmelden.

  • Wir werden keine Kennwort-Single Sign-On-Anwendungen mehr integrieren. Ihre Anwendung sollte jedes der Verbundprotokolle unterstützen, wie im folgenden Punkt erwähnt.
  • Bei Verbundanwendungen (SAML/WS-Fed) sollte die Anwendung vorzugsweise software-as-a-Service (SaaS)-Modell unterstützen, ist aber nicht obligatorisch und kann auch eine lokale Anwendung sein. Anwendungen der Unternehmensgalerie müssen Konfigurationen für mehrere Benutzer unterstützen und dürfen nicht nur auf einen bestimmten Benutzer ausgerichtet sein.
  • Bei OpenID Connect funktionieren die meisten Anwendungen gut als mehrinstanzenfähige Anwendungen, die das Microsoft Entra Consent Framework implementieren. Lesen Sie diesen Link, um die Anwendung in eine mandantenfähige Anwendung zu konvertieren. Wenn Ihre Anwendung zusätzliche Konfigurationen pro Instanz erfordert, wie etwa Kunden, die ihre eigenen Geheimnisse und Zertifikate verwalten müssen, können Sie eine Open ID Connect-Anwendung für einen einzelnen Mandanten veröffentlichen. Diese Art der Anwendungsveröffentlichung wird jetzt auch im Microsoft Entra App-Katalog unterstützt. Die empfohlene Option besteht jedoch darin, eine mehrinstanzenfähige Anwendung in einem echten SaaS-Modell zu verwenden.

• Die Bereitstellung ist optional, wird aber nachdrücklich empfohlen. Weitere Informationen zu Microsoft Entra SCIM finden Sie unter Build eines SCIM-Endpunkts und Konfigurieren der Benutzerbereitstellung mit Microsoft Entra ID

• Um die Unterstützung der SCIM 2.0-Bereitstellung zu implementieren, folgen Sie diesem Lernprogramm: Erstellen eines SCIM-Endpunkts und Konfigurieren der Benutzerbereitstellung mit Microsoft Entra ID

  • Wenn Sie SCIM 2.0 bereits in Ihrer Anwendung unterstützen, müssen Sie den Clientanmeldeinformationsfluss für die Authentifizierung in SCIM unterstützen. Wir integrieren keine Anwendungen, die einfache Authentifizierung, langlebige Bearer-Tokens oder die Nutzung von Code-Grants zur Authentifizierung verwenden. Es wird empfohlen, den Client-Credentials-Flow zu verwenden, wie hier beschrieben.
  • Stellen Sie sicher, dass Sie den SCIM-Implementierungs- und Clientanmeldeinformationsauthentifizierungsfluss mithilfe des SCIM Validator-Tools testen. Weitere Informationen hierzu finden Sie hier: Verwenden Sie das SCIM-Validator-Tool, um Ihren SCIM-Endpunkt zu überprüfen.
  • Darüber hinaus müssen Sie die Bereitstellungsimplementierung mit der Nicht-Galerie-Anwendung in Microsoft Entra ID testen. Sie können den Client-Anmeldeinformationsfluss auch mithilfe der Vorlage für Nicht-Galerie-Anwendungen testen. Weitere Informationen finden Sie hierzu: Benutzerbereitstellung mit einer Nicht-Katalog-Anwendung testen

Sie können sich für ein kostenloses Developer-Testkonto registrieren. Es ist kostenlos für 90 Tage und Sie erhalten alle Premium-Microsoft Entra Features damit. Sie können das Konto auch erweitern, wenn Sie es für Entwicklungsarbeiten verwenden: Join the Microsoft 365 Developer Program.

Prüfliste für Anwendungen, die SSO unterstützen

Hier ist die schnelle Checkliste für Sie, bevor Sie die Anwendungsanforderung übermitteln, um Ihre Anwendung in Microsoft Entra App-Katalog auflisten zu können.

SAML-Anwendungsanforderungen für einmaliges Anmelden

Die folgenden Anforderungen gelten für SAML-basierte SSO-Anwendungen.

Authentifizierungsanforderungen

• Die Anwendung sollte das SAML 2.0-Protokoll entweder im vom Dienstanbieter initiierten Modus oder im Identitätsanbieter initiierten Modus (IDP) oder in beiden Modi (erforderlich) unterstützen.
• Die Anwendung sollte das SAML-Token für Zertifikatschlüssel, Zertifikatgültigkeit, Aussteller, Zielgruppe und andere Benutzeransprüche bei Bedarf überprüfen. (Erforderlich)
• Testen Sie Ihre SAML-Integration mit Microsoft Entra ID mithilfe einer Nicht-Kataloganwendung. (Erforderlich).
• Anwendungen sollten SAML Single Logout-Funktionalität unterstützen. (Empfohlen)
• Die Anwendung sollte die IDP-SAML-Verbundmetadaten aus Microsoft Entra ID mithilfe des Links abrufen, den Microsoft bereitstellt. Dadurch wird der Konfigurationsaufwand für Kunden und der Zertifikatswechsel reduziert. Weitere Informationen finden Sie hier. (Empfohlen).
• Die Anwendung sollte die Benutzeroberfläche und APIs für Kunden bereitstellen, um das einmalige Anmelden für ihre Instanz der Anwendung zu konfigurieren. (Empfohlen)
• Die Anwendung sollte die Möglichkeit bieten, die SSO-Funktionalität für den gesamten Mandanten zu erzwingen, damit alle Benutzer einmaliges Anmelden verwenden müssen. Für Administratoren und zur Unterstützung von Unterbrechungsglasszenarien können Sie bei Bedarf andere Authentifizierungsoptionen oder Umgehungsmechanismen unterstützen. (Empfohlen).

ISV-spezifische Anforderungen:

• Die Anwendung sollte im SaaS-Anwendungsmodell in der Cloud veröffentlicht oder an Kunden für ihre Installation (IaaS) verteilt werden, damit die Anwendung im Besitz und bei Bedarf von Kunden konfiguriert werden kann. (Erforderlich)
• Einrichten eines Ansprechpartner für Engineering und Support zur Unterstützung von Kunden während des Onboardings und nach dem Onboarding im App Gallery (erforderlich)
• Dokumentieren Sie Ihre SAML-SSO-Konfiguration öffentlich (erforderlich)
• Erfüllen Sie die verschiedenen Complianceanforderungen für die Auflistung Ihrer Anwendung in diesen Clouds wie Public, USGov, China, Deutschland, Frankreich, Singapur usw. Dies ist nur erforderlich, wenn Sie ihre Anwendung in diesen Clouds veröffentlichen möchten. (Erforderlich)

Anforderungen für mandantenübergreifende OIDC-Anwendungen:

Authentifizierungsanforderungen:

• Die Anwendung sollte das OpenID Connect-Protokoll für die Authentifizierung gemäß den hier von Microsoft bereitgestellten Anleitungen unterstützen. Es wird empfohlen, den OAuth 2.0 Auth Code Grant-Fluss zu verwenden. Microsoft empfiehlt, OAuth 2.0 Resource owner Password Credentials flow nicht zu verwenden. Ebenso sollte der OAuth 2.0 Geräteautorisierungsablauf nur verwendet werden, wenn dies explizit erforderlich ist. (Erforderlich)
• Wenn Sie eine Cloudanwendung entwickeln, empfiehlt Microsoft, die Anwendung als mehrinstanzenfähige Anwendung festzulegen. Bitte lesen Sie hier die Anleitungen. (Es ist entweder ein Einzelmandantenmodell oder ein Mehrmandantenmodell erforderlich)
• Wenn die Cloudanwendung für jeden Kunden eingerichtet ist, der IaaS- oder PaaS-Architektur verwendet, ist das Einzelmandantenanwendungsmodell akzeptabel.
• Verwenden Sie den Microsoft Entra ID V2-Endpunkt zur Authentifizierung (erforderlich)
• Die Anwendung sollte für ihre Szenarien die geringsten Berechtigungen verwenden. Weitere Informationen finden Sie in unserer MS-Graph-API-Dokumentation, um die am wenigsten privilegierte Berechtigung für die APIs zu finden. (Erforderlich)
• Die Anwendung sollte delegierte Berechtigungen verwenden, damit der Zustimmungsbildschirm angezeigt werden kann und dem Benutzer oder Administrator die Zustimmung bei Bedarf zur Verfügung stellt. Anwendungsberechtigungen sollten vermieden werden, es sei denn, es ist unbedingt erforderlich. (Erforderlich bei Verwendung von MS Graph-APIs)
• Die Anwendung sollte keine geheimen Schlüssel verwenden, wenn die Anwendung den Clientanmeldeinformationsfluss verwenden möchte, dann sollte das Zertifikat anstelle von geheimen Schlüsseln zum Abrufen des Zugriffstokens verwendet werden. (Erforderlich)
• SPA-Anwendungen sollten den OAuth 2.0 Implicit Grant Flow aus Sicherheitsgründen nicht verwenden und sollten stattdessen autorisierungscodefluss verwenden. (Empfohlen).

ISV-spezifische Anforderungen

• Die Anwendung sollte im SaaS-Anwendungsmodell veröffentlicht werden, unabhängig davon, ob sie in der Cloud oder für ihre Installation an Kunden verteilt werden, damit die Anwendung bei Bedarf von Kunden verwaltet und konfiguriert werden kann. (Erforderlich)
• Die Anmeldeseite sollte über eine schaltfläche Sign in mit Microsoft verfügen und die richtlinien für branding hier befolgen. (Empfohlen).
• Die Anwendung sollte durch den Herausgeber mithilfe Ihrer MPN-ID verifiziert werden. Bitte folgen Sie den hier veröffentlichten Anleitungen. (Erforderlich)
• Einrichtung einer Anlaufstelle für technische und supportbezogene Fragen, um Kunden nach dem Katalogonboarding zu unterstützen (erforderlich)
• Dokumentieren Sie Ihre OIDC OAuth-SSO-Konfiguration öffentlich (erforderlich)
• Erfüllen Sie die verschiedenen Complianceanforderungen für die Auflistung Ihrer Anwendung in verschiedenen Clouds wie Public, USGov, China, Deutschland, Frankreich, Singapur usw. Dies ist nur erforderlich, wenn Sie ihre Anwendung in diesen Clouds veröffentlichen möchten. (Erforderlich)
• Microsoft Entra App-Katalog integriert keine öffentlichen Clientanwendungen.

Prüfliste für SCIM-Bereitstellungs-Apps

Hier ist die schnelle Checkliste für Sie, bevor Sie die Anwendungsanforderung übermitteln, um Ihre Anwendung in Microsoft Entra App-Katalog auflisten zu können.

SCIM-API-Anforderungen:

• Unterstützung eines SCIM 2.0-Benutzer- und Gruppenendpunkts (nur Benutzerbereitstellung ist erforderlich, die Benutzer- und Gruppenbereitstellung wird jedoch empfohlen).
• Es werden mindestens 25 Anfragen pro Sekunde pro Mandant unterstützt, um sicherzustellen, dass Benutzer und Gruppen ohne Verzögerung bereitgestellt und deprovisioniert werden (Erforderlich).
• Überprüfen und testen Sie Ihre SCIM-Benutzer- und/oder Gruppenbereitstellungsintegration mit SCIM Validator und der Vorlage für eine nicht katalogisierte Anwendung (erforderlich).
• Überprüfen Sie die Authentifizierung Ihrer Client-Anmeldeinformationen oder eine andere unterstützte Authentifizierung mithilfe einer nicht Galerie-Anwendung oder mithilfe eines SCIM Validators. Dies ist erforderlich.
• Unterstützt entweder weiches Löschen oder endgültiges Löschen von Benutzern. Entweder eine wird benötigt, beide werden ebenfalls unterstützt (erforderlich).
• Beim Abfragen eines nicht vorhandenen Benutzers sollte Ihr SCIM-Server nicht mit einer fehlerhaften Anforderung antworten, sondern mit Erfolg und 0 Ergebnissen zurückgeben (Erforderlich).
• Unterstützung der Schemaermittlungsfunktion auf Ihrem SCIM-Endpunkt (erforderlich).
• Unterstützen Sie das Aktualisieren mehrerer Gruppenmitgliedschaften mit einem einzigen PATCH (empfohlen).
• Unterstützung für SCIM-Massen-APIs, die die Connectorleistung verbessern können (empfohlen).

SCIM-Authentifizierungsanforderungen:

Unterstützen des OAuth 2.0-Clientanmeldeinformationsflusses in der SCIM-Bereitstellungsauthentifizierung (erforderlich). Wir integrieren keine SCIM-Bereitstellungsanwendung mit langlebigen Bearertoken, standardauthentifizierung oder Code Auth Grant-Fluss.

• OAuth 2.0-Clientanmeldeinformationsfluss (erforderlich)

  • Stellen Sie Kunden eine client_id, client_secret, einen Authentifizierungstokenendpunkt und einen SCIM-Endpunkt bereit, damit Kunden diese Informationen in Microsoft Entra ID App konfigurieren können.
  • Der Client-Secret sollte innerhalb von einem bis drei Jahren ablaufen, und das Zugriffstoken kann nicht abgerufen werden, wenn die Anmeldeinformationen abgelaufen sind (erforderlich).
  • Bieten Sie die Möglichkeit, geheime Clientschlüssel regelmäßig zu drehen. ISVs sollten eine reibungslose Rotation ermöglichen, indem mehrere aktive geheime Schlüssel zugelassen und das Löschen alter geheimer Schlüssel unterstützt wird. Alternativ können Kunden neue client_id und client_secret erstellen.
  • Zugriffstoken sollte nur für 60 Minuten (1 Stunde) bis 6 Stunden gültig sein, aber nicht weniger als 60 Minuten (erforderlich)

ISV-spezifische Anforderungen

• Richten Sie einen Engineering- und Supportansprechpartner ein, um Kunden nach dem Onboarding der Microsoft Entra App Gallery zu unterstützen und Microsoft zukünftig zu erreichen (erforderlich).
• Dokumentieren Sie Ihren SCIM-Endpunkt öffentlich, und geben Sie den Link frei (erforderlich)
• Stellen Sie Ihre SCIM-Bereitstellung für mindestens 100 gemeinsame Kunden bereit, die den Microsoft Entra Ansatz außerhalb des Katalogs verwenden, um sich für die Auflistung im Microsoft Entra App-Katalog zu qualifizieren.
• Teilen Sie mindestens fünf Kunden-Microsoft Entra Mandanten-IDs, damit sie an einem privaten Vorschauprogramm teilnehmen können, sobald der Connector zum Testen bereit ist.
• Erfüllen Sie ggf. die verschiedenen Complianceanforderungen für die Auflistung Ihrer Anwendung in verschiedenen Clouds wie USGov, China, Deutschland, Frankreich, Singapur usw. (Erforderlich)

Bekannte Einschränkung der SCIM-basierten Benutzerbereitstellung

In diesem Article finden Sie eine vollständige Liste der bekannten Einschränkungen in der Microsoft Entra SCIM-ausgehenden Bereitstellung.

Erstellen und Veröffentlichen von Dokumentation

Bereitstellen von App-Dokumentationen für Ihre Website

Die erleichterte Einführung ist ein wichtiger Faktor für personen, die Entscheidungen über Unternehmenssoftware treffen. Die übersichtliche und leicht zu befolgende Dokumentation hilft Ihren Benutzern bei der Einführung von Technologie und reduziert die Supportkosten. Die erleichterte Einführung ist ein wichtiger Faktor für personen, die Entscheidungen über Unternehmenssoftware treffen. Die übersichtliche und leicht zu befolgende Dokumentation hilft Ihren Benutzern bei der Einführung von Technologie und reduziert die Supportkosten.

Erstellen Sie Dokumentation, die mindestens die folgenden Informationen enthält:

• Eine Einführung in Ihre SSO-Funktionalität
  • Protokolle
  • Version und SKU
  • Liste der unterstützten Identitätsanbieter mit Dokumentationslinks
• Lizenzierungsinformationen zu Ihrer Anwendung
• Rollenbasierte Zugriffssteuerung zur Konfiguration von SSO
• Schritte der SSO-Konfiguration
  • UI-Konfigurationselemente für SAML (Simple Assertion Markup Language) mit erwarteten Werten vom Anbieter
  • Informationen des Dienstanbieters, die an Identitätsanbieter weitergegeben werden sollen
• Wenn Sie OIDC/OAuth verwenden, umfasst dies eine Liste der erforderlichen Berechtigungen für die Zustimmung, einschließlich geschäftlicher Begründungen. Verwenden Sie die am wenigsten privilegierten Berechtigungen für Ihr Szenario.
• Testschritte für Pilotbenutzer
• Problembehandlungsinformationen inklusive Fehlercodes und Meldungen
• Supportmechanismen für Benutzer
• Details zu Ihrem SCIM-Endpunkt, einschließlich der unterstützten Ressourcen und Attribute

App-Dokumentation auf der Microsoft-Website

Wenn Ihre SAML-Anwendung dem Katalog hinzugefügt wird, wird eine Dokumentation erstellt, in welcher der schrittweise Prozess erläutert wird. Ein Beispiel finden Sie unter Tutorials zum Integrieren von SaaS-Anwendungen in Microsoft Entra ID. Diese Dokumentation wird auf der Grundlage Ihrer Einreichung zum Katalog erstellt. Sie können die Dokumentation ganz einfach aktualisieren, wenn Sie Änderungen an Ihrer Anwendung vornehmen, indem Sie Ihr GitHub-Konto verwenden.

Für Open ID Connect-Anwendungen gibt es keine anwendungsspezifische Dokumentation. Wir haben nur das allgemeine Lernprogramm für alle OpenID Connect-Anwendungen.

Reichen Sie Ihre Bewerbung ein

Nachdem Sie getestet haben, dass Ihre Anwendung mit Microsoft Entra ID funktioniert, übermitteln Sie Ihre Anwendungsanfrage im Microsoft Application Network-Portal.

Wenn die Seite „Zugriff anfordern“ angezeigt wird, geben Sie die geschäftliche Begründung ein, und wählen Sie Zugriff anfordern aus.

Nachdem Ihr Konto hinzugefügt wurde, können Sie sich beim Microsoft Anwendungsnetzwerkportal anmelden und die Anforderung übermitteln, indem Sie auf der Startseite die Kachel Submit Request (ISV) auswählen. Wenn beim Anmelden der Fehler "Ihre Anmeldung wurde blockiert" angezeigt wird, lesen Sie Fehlerbehebung bei Anmeldeproblemen im Microsoft Anwendungen-Netzwerkportal.

Implementierungsspezifische Optionen

Wählen Sie im Registrierungsformular für Anwendungen das Feature aus, das Sie aktivieren möchten. Wählen Sie OpenID Connect & OAuth 2.0 oder SAML 2.0/WS-Fed abhängig von der von Ihrer Anwendung unterstützten Funktion aus.

Wenn Sie einen SCIM 2.0-Endpunkt für die Benutzerbereitstellung implementieren, wählen Sie Benutzerbereitstellung (SCIM 2.0) aus. Laden Sie das Schema herunter, das in der Onboardinganforderung bereitgestellt werden soll. Weitere Informationen finden Sie unter Exportieren einer Bereitstellungskonfiguration und Ausführen eines Rollbacks zu einem als funktionierend bekannten Zustand. Das Schema, das Sie konfiguriert haben, wird beim Testen der Nicht-Galerie-Anwendung verwendet, um die Galerie-Anwendung zu erstellen.

Wenn Sie eine Microsoft Geräteverwaltung(MDM)-Anwendung im Microsoft Entra Anwendungskatalog registrieren möchten, wählen Sie Registern Sie eine MDM-App aus.

Sie können Anwendungsanforderungen nach Kundennamen im Microsoft Anwendungsnetzwerkportal nachverfolgen. Weitere Informationen finden Sie unter Anwendungsanforderungen nach Kunden.

Aktualisieren oder Entfernen der Anwendung aus der Galerie

Sie können Ihre Anwendungsaktualisierungsanforderung im portal Microsoft Application Network übermitteln.

Wenn die Seite „Zugriff anfordern“ angezeigt wird, geben Sie die geschäftliche Begründung ein, und wählen Sie Zugriff anfordern aus.

Nachdem das Konto hinzugefügt wurde, können Sie sich beim Microsoft Anwendungsnetzwerkportal anmelden und die Anforderung übermitteln, indem Sie die Submit-Anforderung (ISV) Kachel auf der Startseite auswählen und Eintrag meiner Anwendung im Katalog aktualisieren und eine der folgenden Optionen gemäß Ihrer Wahl auswählen :

• Wenn Sie das SSO-Feature einer Anwendung aktualisieren möchten, wählen Sie das Verbund-SSO-Feature meiner Anwendung aktualisieren aus.

• Wenn Sie das Kennwort-SSO-Feature aktualisieren möchten, wählen Sie Kennwort-SSO-Feature meiner Anwendung aktualisieren aus.

• Wenn Sie für Ihr Listing ein Upgrade von Kennwort-SSO auf Verbund-SSO durchführen möchten, wählen Sie Upgrade meiner Anwendung von Kennwort-SSO auf Verbund-SSO durchführen aus.

• Wenn Sie einen MDM-Eintrag aktualisieren möchten, wählen Sie "Meine MDM-App aktualisieren" aus.

• Wenn Sie eine vorhandene Benutzerbereitstellungsintegration aktualisieren möchten, wählen Sie das Feature "Benutzerbereitstellung meiner Anwendung verbessern" aus.

• Wenn Sie die Anwendung aus Microsoft Entra Anwendungskatalog entfernen möchten, wählen Sie Remove my application listing from the gallery aus.

Wenn beim Anmelden der Fehler „Ihr Anmeldeversuch wurde blockiert“ angezeigt wird, finden Sie unter „Problembehandlung bei der Anmeldung zum Microsoft Anwendungsnetzwerk-Portal“ weitere Informationen.

Treten Sie dem Microsoft Partnernetzwerk bei

Das Microsoft Partner Network bietet sofortigen Zugriff auf exklusive Programme, Tools, Verbindungen und Ressourcen. Unter Erreichen Sie Geschäftskunden wird erläutert, wie Sie Mitglied des Netzwerks werden und Ihren Markteinführungsplan erstellen.

Nächste Schritte

• Erfahren Sie mehr über die Verwaltung von Unternehmensanwendungen mit What is application management in Microsoft Entra ID?