Een aanvraag indienen om uw toepassing te publiceren in Microsoft Entra toepassingsgalerie

U kunt toepassingen publiceren die u ontwikkelt in de Microsoft Entra toepassingsgalerie. Dit is een catalogus met duizenden apps. Wanneer u uw toepassingen publiceert, worden ze openbaar beschikbaar gesteld zodat gebruikers ze kunnen toevoegen aan hun tenants. Zie Overview van de Microsoft Entra toepassingsgalerie voor meer informatie.

Als u uw toepassing wilt publiceren in de Microsoft Entra toepassingsgalerie, moet u de volgende taken uitvoeren:

• Zorg ervoor dat u de vereisten voltooit.
• Documentatie maken en publiceren.
• Dien uw aanmelding in.
• Neem deel aan het Microsoft partnernetwerk.

Vereisten

Als u uw toepassing in de galerie wilt publiceren, moet u eerst de specifieke algemene voorwaarden lezen en ermee akkoord gaan.

• Implementeer de ondersteuning voor de eenmalige aanmelding (SSO). Raadpleeg Een implementatie van eenmalige aanmelding plannen voor meer informatie over ondersteunde opties.

  • We zullen geen toepassingen meer toelaten voor eenmalige aanmelding via wachtwoord. Uw toepassing moet een van de federatieprotocollen ondersteunen, zoals vermeld in het volgende punt.
  • Voor federatieve toepassingen (SAML/WS-Fed) moet de toepassing bij voorkeur het SaaS-model (software-as-a-service) ondersteunen, maar dit is niet verplicht en kan ook een on-premises toepassing zijn. Bedrijfsgalerietoepassingen moeten ondersteuning bieden voor meerdere gebruikersconfiguraties en niet voor specifieke gebruikers.
  • Voor OpenID Connect werken de meeste toepassingen goed als een multitenant-toepassing die het Microsoft Entra toestemmingsframework implementeert. Raadpleeg deze koppeling om de toepassing te converteren naar multitenant. Als voor uw toepassing extra configuratie per exemplaar is vereist, zoals klanten die hun eigen geheimen en certificaten of exemplaarconfiguratie moeten beheren, kunt u een Open ID Connect-toepassing met één tenant publiceren. Dit type toepassing publiceren wordt nu ook ondersteund in de Microsoft Entra app-galerie. Maar de aanbevolen optie is om een multitenant-toepassing in een echt SaaS-model te hebben.

• Voorziening is optioneel, maar wordt ten zeerste aanbevolen. Zie voor meer informatie over Microsoft Entra SCIM een SCIM-eindpunt maken en gebruikersinrichting configureren met Microsoft Entra ID

• Volg deze zelfstudie om ondersteuning voor SCIM 2.0-inrichting te implementeren: een SCIM-eindpunt bouwen en gebruikersinrichting configureren met Microsoft Entra ID

  • Als u SCIM 2.0 al in uw toepassing ondersteunt, moet u de stroom voor clientreferenties ondersteunen voor verificatie in SCIM. We brengen geen toepassingen in gebruik die basisverificatie gebruiken, bearertokens met een lange levensduur hebben, of codetoekenningen gebruiken voor verificatie. We raden u aan om de Client Credentials-stroom te gebruiken zoals hier wordt beschreven
  • Zorg ervoor dat u de SCIM-implementatie en de authenticatiestroom van client credentials test met behulp van het hulpprogramma SCIM Validator. Meer informatie kunt u vinden via deze link: Gebruik de SCIM-validator tool om uw SCIM-eindpunt te valideren
  • Daarnaast moet u de provisioning-implementatie testen met behulp van een niet-galerijtoepassing in Microsoft Entra ID. U kunt de clientreferenties-stroom ook testen met behulp van een niet-galerie toepassingen-sjabloon. Meer informatie hierover vindt u hier: Test het gebruik van een niet-galerij toepassing voor gebruikersinrichting

U kunt zich registreren voor een gratis testontwikkelingsaccount. Het is 90 dagen gratis en u krijgt alle premium-Microsoft Entra functies ermee. U kunt het account ook uitbreiden als u dit gebruikt voor ontwikkelingswerkzaamheden: Join het Microsoft 365 Developer Program.

Controlelijst voor toepassingen die Single Sign-On ondersteunen

Hier volgt de snelle controlelijst voordat u de aanvraag indient om uw toepassing weer te geven in Microsoft Entra App Gallery.

Toepassingsvereisten voor eenmalige aanmelding met SAML

De volgende vereisten zijn van toepassing op op SAML gebaseerde SSO-toepassingen.

Authenticatievereisten

• De toepassing moet ondersteuning bieden voor HET SAML 2.0-protocol in de door de serviceprovider geïnitieerde modus of in de IDP-modus (id-provider geïnitieerde modus) of beide (vereist)
• De toepassing moet het SAML-token valideren voor certificaatsleutel, certificaatvaliditeit, Verlener, Doelgroep en andere gebruikersclaims, indien nodig. (Vereist)
• Test uw SAML-integratie met Microsoft Entra ID met behulp van een toepassing die niet in de galerie wordt gebruikt. (Vereist).
• Toepassingen moeten ondersteuning bieden voor SAML Single Logout-functionaliteit . (aanbevolen)
• De toepassing moet de IDP SAML-federatiemetagegevens ophalen uit Microsoft Entra ID met behulp van de koppeling die Microsoft biedt. Dit helpt de configuratieoverbelasting voor klanten en certificaatrotatie te verminderen. Bekijk de richtlijnen hier. (Aanbevolen).
• De toepassing moet de gebruikersinterface en API's bieden voor klanten om eenmalige aanmelding te configureren voor hun exemplaar van de toepassing. (aanbevolen)
• De toepassing moet de mogelijkheid bieden om de functionaliteit voor eenmalige aanmelding af te dwingen voor de hele tenant, zodat alle gebruikers eenmalige aanmelding moeten gebruiken. Voor beheerders en ter ondersteuning van break glass-scenario's kunt u indien nodig andere verificatieopties ondersteunen of mechanismen overslaan. (Aanbevolen).

Specifieke ISV-vereisten:

• De toepassing moet worden gepubliceerd in het SaaS-toepassingsmodel in de cloud of gedistribueerd naar klanten voor hun installatie (IaaS), zodat de toepassing waar nodig eigendom kan zijn van en geconfigureerd kan worden door klanten. (Vereist)
• Een technisch en ondersteuningscontactpunt instellen ter ondersteuning van klanten tijdens App Gallery-onboarding en na onboarding (vereist)
• Uw SAML SSO-configuratie openbaar documenteren (vereist)
• Voldoen aan de verschillende nalevingsvereisten voor het weergeven van uw toepassing in deze clouds, zoals Public, USGov, China, Duitsland, Frankrijk, Singapore, enzovoort. Dit is alleen vereist als u van plan bent om uw toepassing in die clouds te publiceren. (Vereist)

Vereisten voor OIDC-toepassingen voor meerdere tenants:

Authenticatievereisten:

• De toepassing moet het OpenID Connect-protocol ondersteunen voor verificatie volgens de richtlijnen die hier worden gegeven door Microsoft. Wij raden aan de OAuth 2.0 autorisatiecode-toekenning stroom te gebruiken. Microsoft raadt u aan OAuth 2.0 Resource owner Password Credentials flow niet te gebruiken. Op dezelfde manier mag de autorisatiestroom voor OAuth 2.0-apparaten niet worden gebruikt, tenzij dit expliciet nodig is. (Vereist)
• Als u een cloudtoepassing ontwikkelt, wordt Microsoft aangeraden de toepassing in te stellen als een toepassing met meerdere tenants. Raadpleeg de richtlijnen hier. (Er is één tenant- of multitenantmodel vereist)
• Als de cloudtoepassing is ingesteld voor elke klant die iaaS- of PaaS-architectuur gebruikt, is het toepassingsmodel met één tenant acceptabel.
• Microsoft Entra ID V2-eindpunt gebruiken voor verificatie (vereist)
• De toepassing moet minimaal bevoegde machtigingen gebruiken voor hun scenario's. Raadpleeg onze MS Graph API-documentatie om de minst bevoegde machtiging voor de API's te vinden. (Vereist)
• De toepassing moet gedelegeerde machtigingen gebruiken, zodat het toestemmingsscherm kan worden weergegeven en de gebruiker of beheerder indien nodig toestemming kan geven. Toepassingsmachtigingen moeten worden vermeden, tenzij dit absoluut nodig is. (Vereist als u MS Graph API's gebruikt)
• De toepassing mag geen geheimen gebruiken als de toepassing clientreferentiestroom wil gebruiken, dan moet het certificaat worden gebruikt in plaats van geheimen voor het ophalen van het toegangstoken. (Vereist)
• Single Page Applications (SPA) mogen de OAuth 2.0 Implicit Grant Flow niet gebruiken om veiligheidsredenen en zouden in plaats daarvan de authorization code flow moeten gebruiken. (Aanbevolen).

Specifieke ISV-vereisten

• De toepassing moet worden gepubliceerd in het SaaS-toepassingsmodel, ongeacht of deze zich in de cloud bevindt of gedistribueerd naar klanten voor hun installatie, zodat de toepassing naar behoefte eigendom kan zijn van en geconfigureerd kan worden door klanten. (Vereist)
• De aanmeldingspagina moet een Aanmelden met de knop Microsoft hebben en de brandingrichtlijnen hier volgen. (Aanbevolen).
• De toepassing moet door de uitgever worden geverifieerd met behulp van uw MPN ID. Volg de richtlijnen die hier worden gepubliceerd. (Vereist)
• Stel een contactpunt voor engineering en ondersteuning in om klanten te ondersteunen na de onboarding van de galerie (vereist)
• Documenteer uw OIDC OAuth SSO-configuratie openbaar (vereist)
• Voldoen aan de verschillende nalevingsvereisten voor het weergeven van uw toepassing in verschillende clouds, zoals Public, USGov, China, Duitsland, Frankrijk, Singapore, enzovoort. Dit is alleen vereist als u van plan bent om uw toepassing in die clouds te publiceren. (Vereist)
• Microsoft Entra App Gallery onboardt geen openbare clienttoepassingen.

Controlelijst voor SCIM-inrichtingsapps

Hier volgt de snelle controlelijst voordat u de aanvraag indient om uw toepassing weer te geven in Microsoft Entra App Gallery.

SCIM API-vereisten:

• Ondersteuning voor een SCIM 2.0-gebruikers- en groepseindpunt (alleen gebruikersinrichting is vereist, maar gebruikers- en groepsinrichting wordt aanbevolen).
• Ondersteunen van ten minste 25 aanvragen per seconde per tenant zodat gebruikers en groepen zonder vertraging geprovisioneerd en gedeprovisioneerd worden (vereist).
• Valideer en test je SCIM-gebruikers- en/of groepsprovisioningintegratie met SCIM Validator en niet-galerijtoepassingssjabloon (vereist).
• Valideer uw Client Credentials-verificatie of een andere ondersteunde verificatie met behulp van een niet-galerietoepassing of SCIM Validator (vereist).
• Ondersteuning voor tijdelijk verwijderen of hard verwijderen van gebruikers. Beide zijn nodig, beide worden ook ondersteund (vereist).
• Bij het uitvoeren van query’s op een niet-bestaande gebruiker moet uw SCIM-server geen foutmelding retourneren, maar een succesvolle respons met 0 resultaten geven, zoals vereist.
• Ondersteuning voor schemadetectiefunctie op uw SCIM-eindpunt (vereist).
• Ondersteuning voor het bijwerken van meerdere groepslidmaatschappen met één PATCH (aanbevolen).
• Ondersteuning voor SCIM-bulk-API's, waarmee de prestaties van de connector kunnen worden verbeterd (aanbevolen).

SCIM-verificatievereisten:

Ondersteuning voor OAuth 2.0 Client-Credentials-stroom in SCIM-provisioning-authenticatie (vereist). We nemen geen SCIM-inrichtingsapplicatie op met lange termijn-bearer-tokens, basisverificatie of een codebevoegdheidsstroom.

• OAuth 2.0 Client Credentials Flow (vereist)

  • Klanten een client_id, client_secret, verificatietokeneindpunt en SCIM-eindpunt bieden, zodat klanten deze informatie kunnen configureren in Microsoft Entra ID App.
  • Clientgeheim moet tussen één jaar en drie jaar verlopen en vervolgens kan het toegangstoken niet worden opgehaald met verlopen referenties (vereist).
  • Bied de mogelijkheid om clientgeheimen regelmatig te roteren. ISV's moeten vloeiende rotatie mogelijk maken door meerdere actieve geheimen toe te staan en het verwijderen van oude geheimen te ondersteunen. Klanten kunnen ook nieuwe client_id en client_secret maken.
  • Toegangstoken mag slechts 60 minuten (1 uur) tot 6 uur geldig zijn, maar niet minder dan 60 minuten (vereist)

SPECIFIEKE ISV-vereisten

• Stel een engineering en ondersteuningscontactpunt in om klanten te ondersteunen bij de onboarding van Microsoft Entra App Gallery en zodat Microsoft in de toekomst contact kan opnemen (vereist)
• Documenteer uw SCIM-eindpunt openbaar en deel de koppeling (vereist)
• Implementeer uw SCIM-inrichting voor ten minste 100 wederzijdse klanten met behulp van de Microsoft Entra niet-galeriebenadering om in aanmerking te komen voor de vermelding in de Microsoft Entra App-galerie.
• Deel ten minste vijf klanten Microsoft Entra tenant-id's, zodat ze kunnen deelnemen aan een privé-preview-programma zodra de connector klaar is voor testen.
• Indien van toepassing, voldoet u aan de verschillende nalevingsvereisten voor het weergeven van uw toepassing in verschillende clouds, zoals USGov, China, Duitsland, Frankrijk, Singapore, enzovoort (vereist)

Bekende beperking voor het inrichten van gebruikers op basis van SCIM

Zie dit artikel voor een volledige lijst van bekende beperkingen in de Microsoft Entra SCIM-uitgaande voorzieningen.

Documentatie maken en publiceren

App-documentatie opgeven voor uw site

Gemak van acceptatie is een belangrijke factor voor degenen die beslissingen nemen over bedrijfssoftware. Documentatie die duidelijk en eenvoudig te volgen is, helpt uw gebruikers technologie te gebruiken en vermindert de ondersteuningskosten. Gemak van acceptatie is een belangrijke factor voor degenen die beslissingen nemen over bedrijfssoftware. Documentatie die duidelijk en eenvoudig te volgen is, helpt uw gebruikers technologie te gebruiken en vermindert de ondersteuningskosten.

Maak documentatie die minimaal de volgende informatie bevat:

• Een inleiding tot uw SSO-functionaliteit
  • Protocollen
  • Versie en SKU
  • Lijst met ondersteunde id-providers met documentatiekoppelingen
• Licentiegegevens voor uw toepassing
• Rollen-gebaseerd toegangsbeheer voor het configureren van single sign-on
• Configuratiestappen voor eenmalige aanmelding
  • UI-configuratie-elementen voor SAML (Simple Assertion Markup Language) met verwachte waarden van de provider
  • Informatie van serviceproviders die moeten worden doorgegeven aan id-providers
• Als u OIDC/OAuth gebruikt, een lijst met machtigingen die vereist zijn voor toestemming, met zakelijke redenen. Gebruik de minst bevoegde machtigingen voor uw scenario.
• Teststappen voor testgebruikers
• Informatie over de probleemoplossing, inclusief foutcodes en berichten
• Ondersteuningsmechanismen voor gebruikers
• Details over uw SCIM-eindpunt, inclusief ondersteunde resources en kenmerken

App-documentatie op de Microsoft-site

Wanneer uw SAML-toepassing wordt toegevoegd aan de galerie, wordt er documentatie gemaakt waarin het stapsgewijze proces wordt uitgelegd. Zie Tutorials voor het integreren van SaaS-toepassingen met Microsoft Entra ID voor een voorbeeld. Deze documentatie wordt samengesteld op basis van uw inzending in de galerie. U kunt de documentatie eenvoudig bijwerken als u wijzigingen aanbrengt in uw toepassing met behulp van uw GitHub-account.

Voor Open ID Connect-toepassingen is er geen toepassingsspecifieke documentatie. We hebben alleen de algemene zelfstudie voor alle OpenID Connect-toepassingen.

Dien uw aanmelding in

Nadat u hebt getest dat uw toepassing met Microsoft Entra ID werkt, dient u uw aanvraag in in de portal Microsoft Application Network.

Als u de pagina "Toegang aanvragen" ziet, vult u de zakelijke reden in en selecteert u Toegang aanvragen.

Nadat uw account is toegevoegd, kunt u zich aanmelden bij de Microsoft Application Network-portal en de aanvraag indienen door op de startpagina de tegel Submit Request (ISV) te selecteren. Zie Troubleshoot sign-in to the Microsoft Application Network Portal als u de fout 'Uw aanmelding is geblokkeerd' ziet tijdens het aanmelden.

Implementatiespecifieke opties

Selecteer de functie die u wilt inschakelen in het registratieformulier van de toepassing. Selecteer OpenID Connect & OAuth 2.0 of SAML 2.0/WS-Fed , afhankelijk van de functie die uw toepassing ondersteunt.

Als u een SCIM 2.0-eindpunt implementeert voor het inrichten van gebruikers, selecteert u Gebruikers inrichten (SCIM 2.0). Download het schema dat moet worden opgegeven in de onboarding-aanvraag. Raadpleeg Inrichtingsconfiguratie exporteren en terugdraaien naar een bekende goede toestand voor meer informatie. Het schema dat u hebt geconfigureerd, wordt gebruikt bij het testen van de niet-galerietoepassing om de galerietoepassing te bouwen.

Als u een Microsoft Apparaatbeheer (MDM)-toepassing wilt registreren in de Microsoft Entra toepassingsgalerie, selecteert u Register van een MDM-app.

U kunt toepassingsaanvragen bijhouden op naam van de klant in de Microsoft Application Network-portal. Raadpleeg Toepassingsaanvragen van klanten voor meer informatie.

De toepassing bijwerken of verwijderen uit de galerie

U kunt uw aanvraag voor het bijwerken van de toepassing indienen in de portal Microsoft Application Network.

Als u de pagina "Toegang aanvragen" ziet, vult u de zakelijke reden in en selecteert u Toegang aanvragen.

Nadat het account is toegevoegd, kunt u zich aanmelden bij de Microsoft Application Network-portal en de aanvraag indienen door de tegel Submit Request (ISV) op de startpagina te selecteren en Update de vermelding van mijn toepassing in de galerie te selecteren en een van de volgende opties te selecteren op basis van uw keuze-

• Als u de functie voor eenmalige aanmelding van een toepassing wilt bijwerken, selecteert u de functie Federatieve eenmalige aanmelding van mijn toepassing bijwerken.

• Als u de functie Wachtwoord voor eenmalige aanmelding wilt bijwerken, selecteert u de functie Wachtwoord voor de eenmalige aanmelding van mijn toepassing bijwerken.

• Als u uw vermelding wilt upgraden van Password SSO naar Federated SSO, selecteert u Mijn toepassing upgraden van Password SSO naar Federated SSO.

• Als u een MDM-vermelding wilt bijwerken, selecteert u Mijn MDM-app bijwerken.

• Als u een bestaande integratie van gebruikersinrichting wilt bijwerken, selecteert u de functie Gebruikersinrichting van mijn toepassing verbeteren.

• Als u de toepassing uit Microsoft Entra toepassingsgalerie wilt verwijderen, selecteert u Mijn toepassingsvermelding verwijderen uit de galerie.

Als u de foutmelding Uw aanmelding is geblokkeerd ziet tijdens het inloggen, raadpleegt u Problemen met aanmelden bij de Microsoft Application Network-portal oplossen.

Deelnemen aan het Microsoft partnernetwerk

Het Microsoft Partner Network biedt directe toegang tot exclusieve programma's, hulpprogramma's, verbindingen en resources. Als u lid wilt worden van het netwerk en uw go-to-market-plan wilt maken, raadpleegt u Commerciële klanten bereiken.

Volgende stappen

• Meer informatie over het beheren van bedrijfstoepassingen met Wat is toepassingsbeheer in Microsoft Entra ID?