Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se explica cómo registrar una aplicación SaaS mediante microsoft Azure Portal y cómo obtener el token de acceso del publicador (token de acceso de Microsoft Entra). El publicador usará este token para autenticar la aplicación SaaS mediante una llamada a las API de suministro de SaaS. Las API de suministro de SaaS utilizan las credenciales de cliente de OAuth 2.0 para otorgar el flujo de permisos en los puntos de conexión de Microsoft Entra ID (v2.0) y realizar una solicitud de token de acceso entre servicios.
Microsoft Marketplace no impone restricciones en el método de autenticación que el servicio SaaS usa para los usuarios finales. El flujo siguiente solo es necesario para autenticar el servicio SaaS en Microsoft Marketplace.
Para obtener más información sobre microsoft Entra ID (Active Directory), consulte ¿Qué es la autenticación?
Registrar una aplicación protegida con Microsoft Entra ID
Cualquier aplicación que quiera usar las funcionalidades de Microsoft Entra ID debe registrarse primero en un inquilino de Microsoft Entra. Este proceso de registro implica proporcionar a Microsoft Entra algunos detalles sobre la aplicación. Para registrar una nueva aplicación mediante Azure Portal, realice los pasos siguientes:
Inicie sesión en Azure Portal.
Si su cuenta le proporciona acceso a más de una, seleccione su cuenta en la esquina superior derecha. A continuación, establezca la sesión del portal en la entidad de Microsoft Entra deseada.
En el panel de navegación izquierdo, seleccione el servicio de identificación de Microsoft Entra, seleccione Registros de aplicacionesy, a continuación, seleccione Nuevo registro de aplicaciones.
En la página Crear, escriba la información de registro de la aplicación:
Nombre: escriba un nombre de aplicación significativo.
tipos de cuenta admitidos:
Seleccione la opción adecuada para la oferta.
Cuando termine, seleccione Registrar.
Para crear un secreto de cliente, vaya a la página Certificados y secretos, y seleccione +Nuevo secreto de cliente. Asegúrese de copiar el valor del secreto para usarlo en el código.
Registre la entidad de servicio del recurso de la API de SaaS 20e940b3-4c77-4b0b-9a53-9e16a1b010a7 en el mismo tenant en el que crea la aplicación SaaS. Puede usar el siguiente script o método de la CLI de Azure que prefiera para hacerlo.
az login --tenant <TENANT_ID_GOES_HERE>
az ad sp create --id 20e940b3-4c77-4b0b-9a53-9e16a1b010a7
Nota
Debe generar tokens con el mismo identificador de inquilino de Entra y el mismo identificador de aplicación de Entra que especificó en la página Configuración técnica del Centro de partners de la oferta.
Microsoft recomienda establecer la aplicación como acceso de inquilino único . Si debe seleccionar la opción de acceso multiinquilino para la aplicación, Microsoft recomienda encarecidamente configurar un bloqueo de instancia de aplicación.
No debe habilitar la configuración Permitir flujos de cliente públicos en el registro de aplicaciones de Azure AD, Más información.
Obtención del token de autorización del publicador
Después de registrar la aplicación, puede solicitar mediante programación el token de autorización del publicador (token de acceso de Microsoft Entra, mediante el punto de conexión de Azure AD v2). El publicador debe usar este token al llamar a las distintas API de suministro de SaaS. Este token solo es válido durante una hora.
Para más información sobre estos tokens, vea Tokens de acceso de Microsoft Entra. En el flujo siguiente se utiliza el token del punto de conexión V2.
Obtención del token con HTTP POST
Método HTTP
Publicar
URL de solicitud
https://login.microsoftonline.com/*{tenantId}*/oauth2/v2.0/token
Parámetro de URI
| Nombre del parámetro | Obligatorio | Descripción |
|---|---|---|
tenantId |
Verdadero | Id. de inquilino de la aplicación de Microsoft Entra registrada. |
Encabezado de solicitud
| Nombre del encabezado | Obligatorio | Descripción |
|---|---|---|
content-type |
Verdadero | Tipo de contenido asociado a la solicitud. El valor predeterminado es application/x-www-form-urlencoded. |
Cuerpo de la solicitud
| Nombre de propiedad | Obligatorio | Descripción |
|---|---|---|
grant_type |
Verdadero | Tipo de concesión. Utilice "client_credentials". |
client_id |
Verdadero | Identificador de cliente o aplicación asociado a la aplicación Microsoft Entra. |
client_secret |
Verdadero | Secreto asociado a la aplicación Microsoft Entra. |
scope |
Verdadero | Recurso de destino para el que se solicita el token con un ámbito predeterminado. Use 20e940b3-4c77-4b0b-9a53-9e16a1b010a7/.default porque la API de SaaS de Marketplace siempre es el recurso de destino en este caso. |
Respuesta
| Nombre | Tipo | Descripción |
|---|---|---|
| 200 Ok | TokenResponse | La solicitud se ha realizado con éxito. |
TokenResponse
Respuesta de ejemplo:
{
"token_type": "Bearer",
"expires_in": "3600",
"ext_expires_in": "0",
"access_token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6ImlCakwxUmNxemhpeTRmcHhJeGRacW9oTTJZayIsImtpZCI6ImlCakwxUmNxemhpeTRmcHhJeGRacW9oTTJZayJ9…"
}
| Elemento | Descripción |
|---|---|
access_token |
Este elemento es el <access_token> que pasará como parámetro de autorización al llamar a todas las API de cumplimiento de SaaS y de medición de Marketplace. Al llamar a una API REST protegida, el token se inserta en el campo de encabezado de solicitud Authorization como token de "portador", lo que permite que la API autentique al autor de la llamada. |
expires_in |
Número de segundos que el token de acceso sigue siendo válido, antes de que expire, desde el momento de la emisión. La hora de emisión se puede encontrar en la notificación iat del token. |
expires_on |
Intervalo de tiempo cuando expira el token de acceso. La fecha se representa como la cantidad de segundos desde "1970-01-01T0:0:0Z UTC" (corresponde a la declaración exp del token). |
token_type |
Tipo de token, que es token de acceso de "portador", lo que significa que el recurso puede conceder acceso a quien lo posea. |
Contenido relacionado
La aplicación protegida con ID de Microsoft Entra ahora puede usar las API de suscripción de suministro de SaaS versión 2 y las API de operaciones de suministro de SaaS versión 2.
Tutoriales de vídeo