Compartir a través de

Envío de una solicitud para publicar la aplicación en Microsoft Entra galería de aplicaciones

Puede publicar aplicaciones que desarrolle en la galería de aplicaciones de Microsoft Entra, que es un catálogo de miles de aplicaciones. Al publicar las aplicaciones, están disponibles públicamente para que los usuarios se agreguen a sus inquilinos. Para obtener más información, consulte Información general de la galería de aplicaciones de Microsoft Entra.

Para publicar la aplicación en la galería de aplicaciones de Microsoft Entra, debe completar las siguientes tareas:

  • Asegúrese de completar los requisitos previos.
  • Cree y publique documentación.
  • Envíe la aplicación.
  • Únase a la red de asociados de Microsoft.

Nota:

Actualmente no aceptamos nuevas solicitudes de inicio de sesión único ni de aprovisionamiento mientras nos centramos en la iniciativa Secure Future. Las solicitudes de actualización para SSO se procesan de manera individual. Por ahora no estamos actualizando ninguna aplicación de aprovisionamiento de usuarios basada en System for Cross-domain Identity Management (SCIM). La habilitación del aprovisionamiento de usuarios basado en SCIM para la aplicación de la galería existente también se trata como una nueva solicitud de aplicación.

Prerrequisitos

Para publicar la aplicación en la galería, primero debe leer y aceptar términos y condiciones concretos.

  • Implementación de compatibilidad con el inicio de sesión único (SSO). Para obtener más información sobre las opciones admitidas, consulte Planeación de una implementación de inicio de sesión único.

    • Ya no incorporaremos ninguna aplicación de inicio de sesión único con contraseña. La aplicación debe admitir cualquiera de los protocolos de federación, como se mencionó en el siguiente punto.
    • En el caso de las aplicaciones federadas (SAML/WS-Fed), la aplicación debe admitir preferiblemente el modelo de software como servicio (SaaS), pero no es obligatorio y también puede ser una aplicación local. Las aplicaciones de la galería empresarial tienen que admitir varias configuraciones de usuario y no la de un usuario específico.
    • Para OpenID Connect, la mayoría de las aplicaciones funcionan bien como una aplicación multiinquilino que implementa el marco de consentimiento Microsoft Entra. Consulte este vínculo para convertir la aplicación en multiinquilino. Si la aplicación requiere una configuración adicional por instancia, como los clientes que necesitan controlar sus propios secretos y certificados o configuración de instancia, puede publicar una aplicación Open ID Connect de inquilino único. Este tipo de publicación de aplicaciones también se admite en la galería de aplicaciones de Microsoft Entra ahora. Pero la opción recomendada es tener una aplicación multiinquilino en un modelo SaaS verdadero.

  • El aprovisionamiento es opcional, pero es muy recomendable. Para obtener más información sobre Microsoft Entra SCIM, consulte cómo construir un punto final SCIM y configurar el aprovisionamiento de usuarios con Microsoft Entra ID

  • Para implementar la compatibilidad con el aprovisionamiento de SCIM 2.0, siga este tutorial: crear un punto de conexión SCIM y configurar el aprovisionamiento de usuarios con Microsoft Entra ID

    • Si ya admite SCIM 2.0 en la aplicación, debe admitir el flujo de credenciales de cliente para la autenticación en SCIM. No estamos incorporando aplicaciones que usan la autenticación básica, los tokens de portador de larga duración ni el uso de concesiones de código para la autenticación. Se recomienda usar el flujo de credenciales de cliente como se articula aquí.
    • Asegúrese de que está probando el flujo de autenticación de credenciales de cliente y implementación de SCIM mediante la herramienta de validador de SCIM. Puede obtener más información sobre él aquí: Uso de la herramienta de validador SCIM para validar el punto de conexión de SCIM
    • Además, también debe probar la implementación de aprovisionamiento utilizando una aplicación fuera de la galería en Microsoft Entra ID. También puede probar el flujo de Credenciales de Cliente utilizando una plantilla de aplicación no incluida en la galería. Puede obtener más información aquí: Probar el aprovisionamiento de usuarios con una aplicación que no es de la galería.

Puede registrarse para una cuenta gratuita de prueba de desarrollo. Es gratis durante 90 días y obtiene todas las características de Microsoft Entra premium con ella. También puede ampliar la cuenta si la usa para el trabajo de desarrollo: Join el programa para desarrolladores de Microsoft 365.

Lista de comprobación para aplicaciones que admiten SSO

Esta es la lista de comprobación rápida antes de enviar la solicitud para incluir la aplicación en la Galería de aplicaciones de Microsoft Entra.

Requisitos de la aplicación de inicio de sesión único de SAML

Los siguientes requisitos se aplican a las aplicaciones de SSO basadas en SAML.

Requisitos de autenticación

  • La aplicación debe admitir el protocolo SAML 2.0 en modo iniciado por el proveedor de servicios o en modo iniciado por el proveedor de identidades (IDP) o ambos (obligatorios)
  • La aplicación debe validar el token SAML para la clave de certificado, la validez del certificado, el emisor, la audiencia y otras notificaciones de usuario según sea necesario. (Requerido)
  • Pruebe la integración de SAML con Microsoft Entra ID mediante una aplicación no incluida en la galería. (Obligatorio).
  • Las aplicaciones deben admitir la funcionalidad de cierre de sesión único de SAML . (Recomendado)
  • La aplicación debe obtener los metadatos de federación SAML de IDP desde Microsoft Entra ID mediante el vínculo que Microsoft proporciona. Esto ayuda a reducir la sobrecarga de configuración para los clientes y la rotación de certificados. Consulte las instrucciones aquí. (Recomendado).
  • La aplicación debe proporcionar la interfaz de usuario y las API para que los clientes configuren el inicio de sesión único para su instancia de la aplicación. (Recomendado)
  • La aplicación debe proporcionar una capacidad para aplicar la funcionalidad de SSO a todo el inquilino para que todos los usuarios deberán usar el inicio de sesión único. Para los administradores y para admitir escenarios de emergencia, se pueden habilitar otras opciones de autenticación o mecanismos de omisión según sea necesario. (Recomendado).

Requisitos específicos de ISV:

  • La aplicación debe publicarse en el modelo de aplicación SaaS en la nube o distribuirse a los clientes para su instalación (IaaS) para que la aplicación pueda ser propiedad y configurada por los clientes según sea necesario. (Requerido)
  • Establecer un punto de contacto de ingeniería y soporte técnico para dar soporte a los clientes durante la incorporación de la Galería de aplicaciones y publicar la incorporación (obligatorio)
  • Documentar la configuración del inicio de sesión único de SAML públicamente (obligatorio)
  • Cumpla los distintos requisitos de cumplimiento para enumerar la aplicación en esas nubes, como Public, USGov, China, Alemania, Francia, Singapur, etc. Esto solo es necesario si planea publicar la aplicación en esas nubes. (Requerido)

Requisitos de la aplicación OIDC multiinquilino:

Requisitos de autenticación:

  • La aplicación debe admitir el protocolo OpenID Connect para la autenticación según las instrucciones que se proporcionan aquí Microsoft. Se recomienda usar el flujo de concesión de código de autenticación de OAuth 2.0. Microsoft recomienda no usar el flujo de credenciales de contraseña de propietario del recurso de OAuth 2.0. Del mismo modo, no se debe usar el flujo de concesión de autorización de dispositivos de OAuth 2.0 a menos que sea necesario explícitamente. (Requerido)
  • Si va a desarrollar una aplicación en la nube, Microsoft recomienda establecer la aplicación como una aplicación multiinquilino. Consulte las instrucciones aquí. (se requiere un solo inquilino o un modelo multiinquilino)
  • Si la aplicación en la nube está configurada para cada cliente que usa la arquitectura IaaS o PaaS, el modelo de aplicación de inquilino único es aceptable.
  • Utilice el punto de conexión V2 de Microsoft Entra ID para la autenticación (obligatorio)
  • La aplicación debe usar permisos con privilegios mínimos para sus escenarios. Consulte nuestra documentación de MS Graph API para encontrar el permiso con privilegios mínimos para las API. (Requerido)
  • La aplicación debe usar permisos delegados para que la pantalla de consentimiento pueda aparecer y permitir que el usuario o el administrador le proporcionen el consentimiento según sea necesario. Los permisos de aplicación deben evitarse a menos que sea absolutamente necesario. (Obligatorio si se usan las API de MS Graph)
  • La aplicación no debe usar secretos si la aplicación quiere usar el flujo de credenciales de cliente, el certificado debe usarse en lugar de secretos para recuperar el token de acceso. (Requerido)
  • Las aplicaciones SPA no deben usar el flujo de concesión implícita de OAuth 2.0 por motivos de seguridad y deben usar el flujo de código de autorización en su lugar. (Recomendado).

Requisitos específicos de ISV

  • La aplicación debe publicarse en el modelo de aplicación SaaS, ya sea en la nube o distribuida a los clientes para su instalación, de modo que la aplicación pueda ser propiedad y configurada por los clientes según sea necesario. (Requerido)
  • La página de inicio de sesión debe tener un botón Sign in con Microsoft y seguir las directrices de branding aquí. (Recomendado).
  • La aplicación debe ser verificada por el publicador utilizando su identificador de MPN. Siga las instrucciones publicadas aquí. (Requerido)
  • Establecimiento de un punto de contacto de ingeniería y soporte técnico para respaldar la incorporación de clientes a la galería (obligatorio)
  • Documentar la configuración de SSO de OIDC OAuth públicamente (obligatorio)
  • Cumpla los distintos requisitos de cumplimiento para enumerar la aplicación en distintas nubes, como Public, USGov, China, Alemania, Francia, Singapur, etc. Esto solo es necesario si planea publicar la aplicación en esas nubes. (Requerido)
  • Microsoft Entra App Gallery no incorpora aplicaciones cliente públicas.

Lista de comprobación de las aplicaciones de aprovisionamiento de SCIM

A continuación le presentamos una lista de comprobación rápida para usted antes de enviar la solicitud de listado de la aplicación en la Galería de Aplicaciones de Microsoft Entra.

Requisitos de la API de SCIM:

  • Soporta un punto de conexión de usuario y grupo de SCIM 2.0 (solo se requiere provisionamiento de usuarios, pero se recomienda el provisionamiento de usuarios y grupos).
  • Admita al menos 25 solicitudes por segundo por inquilino para asegurarse de que los usuarios y grupos se aprovisionan y desaprovisionan sin demora (obligatorio).
  • (Obligatorio) Valide y pruebe su integración de aprovisionamiento de usuarios y/o grupos SCIM con la plantilla de aplicación SCIM Validator y aplicación no de la galería.
  • Valide la autenticación de credenciales de cliente o cualquier otra autenticación admitida mediante una aplicación que no sea de la galería o mediante el validador SCIM (obligatorio).
  • Admite la eliminación temporal o la eliminación permanente de usuarios. Se necesita uno de los dos, pero también se admiten ambos (obligatorio).
  • Al consultar un usuario inexistente, el servidor SCIM no debe devolver un error de solicitud, sino que debe devolver con éxito 0 resultados (requerido).
  • Compatibilidad de la característica de detección de esquemas en el punto de conexión SCIM (obligatorio).
  • Compatibilidad con la actualización de múltiples pertenencias a grupos con un solo PATCH (recomendado).
  • Compatibilidad con las API de procesamiento por lotes de SCIM, que pueden mejorar el rendimiento (recomendado) del conector.

Requisitos de autenticación de SCIM:

Soporte para el flujo de credenciales de cliente de OAuth 2.0 en la autenticación de aprovisionamiento de SCIM (Obligatorio). No estamos incorporando ninguna aplicación de aprovisionamiento SCIM con tokens de portador de larga duración, autenticación básica o flujo de concesión de autorización por código.

  • Flujo de credenciales de cliente de OAuth 2.0 (obligatorio)

    • Proporcione a los clientes un client_id, client_secret, un punto de conexión de token de autenticación y un punto de conexión SCIM para que los clientes puedan configurar esta información en Microsoft Entra ID App.
    • El secreto de cliente debe expirar entre un año y tres años y, a continuación, el token de acceso no se puede recuperar con credenciales expiradas (obligatorio).
    • Proporcione la capacidad de rotar los secretos de cliente con regularidad. Los ISV deben habilitar la rotación sin problemas al permitir varios secretos activos y admitir la eliminación de secretos antiguos. Como alternativa, los clientes pueden crear nuevos client_id y client_secret.
    • El token de acceso solo debe ser válido durante 60 minutos (1 hora) a 6 horas, pero no menos de 60 minutos (obligatorio)

Requisitos específicos de ISV

  • Establecer un punto de contacto de ingeniería y soporte técnico para asistir a los clientes después de la incorporación a Microsoft Entra App Gallery y para que Microsoft pueda ponerse en contacto en el futuro (obligatorio)
  • Documente su punto de conexión SCIM públicamente y comparta el enlace obligatorio.
  • Implemente el aprovisionamiento de SCIM en al menos 100 clientes comunes mediante el enfoque independiente de la galería de Microsoft Entra para calificar para la inclusión en la galería de aplicaciones de Microsoft Entra.
  • Comparta al menos cinco ID de inquilino de cliente de Microsoft Entra para que puedan participar en un programa de versión preliminar privada una vez que el conector esté listo para pruebas.
  • Si procede, cumpla los distintos requisitos de cumplimiento para enumerar la aplicación en nubes diferentes, como USGov, China, Alemania, Francia, Singapur, etc. (obligatorio)

Limitación conocida del aprovisionamiento de usuarios basado en SCIM

Consulte este article para obtener una lista completa de las limitaciones conocidas en el aprovisionamiento saliente de SCIM de Microsoft Entra.

Creación y publicación de documentación

Proporcione documentación de la app para tu sitio

La facilidad de adopción es un factor importante para aquellas personas que toman decisiones sobre el software empresarial. La documentación clara y fácil de seguir ayuda a los usuarios a adoptar la tecnología y reduce los costos de soporte técnico. La facilidad de adopción es un factor importante para aquellas personas que toman decisiones sobre el software empresarial. La documentación clara y fácil de seguir ayuda a los usuarios a adoptar la tecnología y reduce los costos de soporte técnico.

Cree documentación que incluya la siguiente información como mínimo:

  • Una introducción a la funcionalidad de inicio de sesión único (SSO)
    • Protocolos
    • Versión y SKU
    • Lista de proveedores de identidades admitidos con vínculos de documentación
  • Información de licencia de la aplicación
  • Control de acceso basado en roles para configurar SSO
  • Pasos de configuración de SSO
    • Elementos de configuración de la interfaz de usuario para SAML (lenguaje de marcado de aserción simple) con valores esperados del proveedor
    • Información del proveedor de servicio que se va a pasar a los proveedores de identidades
  • Si usa OIDC/OAuth, una lista de permisos necesarios para el consentimiento, con justificaciones empresariales. Utilice los permisos de menor privilegio para su escenario.
  • Pasos de prueba para usuarios piloto
  • Información de solución de problemas, incluidos mensajes y códigos de error
  • Mecanismos de soporte técnico para usuarios
  • Detalles sobre el punto de conexión de SCIM, incluidos los recursos y atributos admitidos

Documentación de la aplicación en el sitio de Microsoft

Cuando la aplicación de SAML se agrega a la galería, se crea documentación que explica el proceso paso a paso. Para obtener un ejemplo, consulte Tutorials para integrar aplicaciones SaaS con Microsoft Entra ID. Esta documentación se crea basada en su envío a la galería. Puede actualizar fácilmente la documentación si realiza cambios en la aplicación mediante la cuenta de GitHub.

En el caso de las aplicaciones open ID Connect, no hay documentación específica de la aplicación. Solo tenemos el tutorial genérico para todas las aplicaciones de OpenID Connect.

Envío de la aplicación

Después de probar que la aplicación funciona con Microsoft Entra ID, envíe la solicitud de aplicación en el portal de red de aplicaciones de Microsoft.

Si aparece una página "Solicitar acceso", rellene la justificación comercial y seleccione Solicitar acceso.

Una vez agregada la cuenta, puede iniciar sesión en el portal de red de aplicaciones de Microsoft y enviar la solicitud seleccionando el icono Submit Request (ISV) en la página principal. Si ve el error "Se bloqueó el inicio de sesión" al iniciar sesión, consulte Solucionar problemas de inicio de sesión en el portal de la Red de Aplicaciones de Microsoft.

Opciones específicas de la implementación

En el formulario de registro de aplicaciones, seleccione la característica que desea habilitar. Seleccione OpenID Connect & OAuth 2.0 o SAML 2.0/WS-Fed en función de la característica que admita la aplicación.

Si va a implementar un punto de conexión de SCIM 2.0 para el aprovisionamiento de usuarios, seleccione Aprovisionamiento de usuarios (SCIM 2.0). Descargue el esquema que se proporcionará en la solicitud de incorporación. Para obtener más información, consulte Exportación de la configuración de aprovisionamiento y reversión a un estado correcto conocido. El esquema que configuró se usa al probar la aplicación no galería para construir la aplicación de galería.

Si quieres registrar una aplicación de Microsoft Administración de dispositivos (MDM) en la galería de aplicaciones de Microsoft Entra, selecciona Register de una aplicación MDM.

Puede realizar un seguimiento de las solicitudes de aplicación por nombre de cliente en el portal de red de aplicaciones de Microsoft. Para obtener más información, consulte el artículo relativo a las solicitudes de aplicaciones por parte de clientes.

Puede enviar la solicitud de actualización de la aplicación en el portal Microsoft Application Network.

Si aparece una página "Solicitar acceso", rellene la justificación comercial y seleccione Solicitar acceso.

Una vez agregada la cuenta, puede iniciar sesión en el portal de red de aplicaciones de Microsoft y enviar la solicitud seleccionando la Submit Request (ISV) icono en la página principal y seleccione Actualizar la descripción de mi aplicación en la galería y seleccione una de las siguientes opciones según su elección:

  • Si quiere actualizar la característica de inicio de sesión único de una aplicación, seleccione Actualizar la característica de inicio de sesión único federado de mi aplicación.

  • Si quiere actualizar la característica de inicio de sesión único de contraseñas, seleccione Actualizar la característica de inicio de sesión único con contraseña en mi aplicación.

  • Si quiere actualizar su lista de SSO con contraseña a SSO federado, seleccione Actualizar mi aplicación de SSO con contraseña a SSO federado.

  • Si quiere actualizar una lista de MDM, seleccione Actualizar mi aplicación MDM.

  • Si desea actualizar una integración de aprovisionamiento de usuarios existente, seleccione Mejorar la característica de aprovisionamiento de usuarios de mi aplicación.

  • Si desea quitar la aplicación de Microsoft Entra galería de aplicaciones, seleccione Remove mi lista de aplicaciones de la galería.

Si ve el error Su inicio de sesión se ha bloqueado al iniciar sesión, consulte Troubleshoot sign-in to the Microsoft Application Network portal.

Unirse a la red de asociados de Microsoft

La red de Microsoft Partner proporciona acceso instantáneo a programas, herramientas, conexiones y recursos exclusivos. Para unirse a la red y crear el plan de comercialización, vea Llegue a los clientes comerciales.

Pasos siguientes

  • Last updated on