Microsoft Graph uygulaması kaydetme
Microsoft Graph , Azure AD B2C kiracınızdaki müşteri kullanıcı hesapları ve özel ilkeler dahil olmak üzere birçok kaynağı yönetmenize olanak tanır. Microsoft Graph API'sini çağıran betikler veya uygulamalar yazarak aşağıdakiler gibi kiracı yönetim görevlerini otomatikleştirebilirsiniz:
- Mevcut kullanıcı depolarını Azure AD B2C kiracısına geçirme
- Azure DevOps'ta Azure Pipeline ile özel ilkeler dağıtma ve özel ilke anahtarlarını yönetme
- Kullanıcı kaydını kendi sayfanızda barındırın ve arka planda Azure AD B2C dizininizde kullanıcı hesapları oluşturun
- Uygulama kaydını otomatikleştirme
- Denetim günlüklerini alma
Aşağıdaki bölümler, Azure AD B2C dizininizdeki kaynakların yönetimini otomatikleştirmek için Microsoft Graph API'sini kullanmaya hazırlanmanıza yardımcı olur.
Microsoft Graph API etkileşim modları
Azure AD B2C kiracınızdaki kaynakları yönetmek için Microsoft Graph API'siyle çalışırken kullanabileceğiniz iki iletişim modu vardır:
Etkileşimli - Bir kez çalıştır görevleri için uygun olan yönetim görevlerini gerçekleştirmek için B2C kiracısında bir yönetici hesabı kullanırsınız. Bu mod, bir yöneticinin Microsoft Graph API'sini çağırmadan önce kimlik bilgilerini kullanarak oturum açmasını gerektirir.
Otomatik - Zamanlanmış veya sürekli çalıştırılan görevler için bu yöntem, yönetim görevlerini gerçekleştirmek için gereken izinlerle yapılandırdığınız bir hizmet hesabı kullanır. Uygulama (İstemci) Kimliğini ve OAuth 2.0 istemci kimlik bilgilerini kullanarak uygulamalarınızın ve betiklerinizin kimlik doğrulaması için kullandığı bir uygulamayı kaydederek Azure AD B2C'de "hizmet hesabını" oluşturursunuz. Bu durumda uygulama, daha önce açıklanan etkileşimli yöntemde olduğu gibi yönetici kullanıcıyı değil Microsoft Graph API'sini çağırmak için kendisi gibi davranır.
Aşağıdaki bölümlerde gösterilen bir uygulama kaydı oluşturarak Otomatik etkileşim senaryosunu etkinleştirebilirsiniz.
Azure AD B2C kimlik doğrulama hizmeti, OAuth 2.0 istemci kimlik bilgileri verme akışını (şu anda genel önizleme aşamasındadır) doğrudan destekler, ancak Azure AD B2C kaynaklarınızı Microsoft Graph API aracılığıyla yönetmek için kullanamazsınız. Ancak, Azure AD B2C kiracınızdaki bir uygulama için Microsoft Entra Id ve Microsoft kimlik platformu /token
uç noktasını kullanarak istemci kimlik bilgisi akışını ayarlayabilirsiniz.
Yönetim uygulamasını kaydetme
Betikleriniz ve uygulamalarınız Azure AD B2C kaynaklarını yönetmek için Microsoft Graph API'siyle etkileşime geçmeden önce, Azure AD B2C kiracınızda gerekli API izinlerini veren bir uygulama kaydı oluşturmanız gerekir.
- Azure Portal oturum açın.
- Birden çok kiracıya erişiminiz varsa, Dizinler + abonelikler menüsünden Azure AD B2C kiracınıza geçmek için üstteki menüden Ayarlar simgesini seçin.
- Azure portalında Azure AD B2C'yi arayın ve seçin.
- Uygulama kayıtları'ı ve ardından Yeni kayıt'ı seçin.
- Uygulama için bir Ad girin. Örneğin, managementapp1.
- Yalnızca bu kuruluş dizinindeki Hesaplar'ı seçin.
- İzinler'in altında Openid ve offline_access izinlerine yönetici onayı ver onay kutusunu temizleyin.
- Kayıt'ı seç.
- Uygulamaya genel bakış sayfasında görüntülenen Uygulama (istemci) kimliğini kaydedin. Bu değeri sonraki bir adımda kullanacaksınız.
API erişimi verme
Uygulamanızın Microsoft Graph'teki verilere erişmesi için kayıtlı uygulamaya ilgili uygulama izinlerini verin. Uygulamanızın etkili izinleri, izin tarafından ima edilen tüm ayrıcalık düzeyidir. Örneğin, Azure AD B2C kiracınızdaki her kullanıcıyı oluşturmak, okumak, güncelleştirmek ve silmek için User.ReadWrite.All iznini ekleyin.
Dekont
User.ReadWrite.All izni, kullanıcı hesabı parolalarını güncelleştirme özelliğini içermez. Uygulamanızın kullanıcı hesabı parolalarını güncelleştirmesi gerekiyorsa, kullanıcı yöneticisi rolü verin. Kullanıcı yöneticisi rolü verildiğinde User.ReadWrite.All gerekli değildir. Kullanıcı yöneticisi rolü, kullanıcıları yönetmek için gereken her şeyi içerir.
Uygulamanıza birden çok uygulama izni verilmektedir. Örneğin, uygulamanızın Azure AD B2C kiracınızdaki grupları da yönetmesi gerekiyorsa Group.ReadWrite.All iznini de ekleyin.
Uygulama kayıtları
- Yönet'in altında API izinleri'ne tıklayın.
- Yapılandırılan izinler'in altında İzin ekle'yi seçin.
- Microsoft API'leri sekmesini ve ardından Microsoft Graph'ı seçin.
- Uygulama izinleri'ni seçin.
- Uygun izin grubunu genişletin ve yönetim uygulamanıza vermek istediğiniz iznin onay kutusunu seçin. Örneğin:
- User>User.ReadWrite.All: Kullanıcı geçişi veya kullanıcı yönetimi senaryoları için.
- Group>Group.ReadWrite.All: Grup oluşturmak için grup üyeliklerini okuyun ve güncelleştirin ve grupları silin.
- AuditLog>AuditLog.Read.All: Dizinin denetim günlüklerini okumak için.
- Policy>Policy.ReadWrite.TrustFramework: Sürekli tümleştirme/sürekli teslim (CI/CD) senaryoları için. Örneğin, Azure Pipelines ile özel ilke dağıtımı.
- İzinler ekle'yi seçin. Belirtildiği gibi, sonraki adıma geçmeden önce birkaç dakika bekleyin.
- (Kiracı adınız) için Yönetici onayı ver'i seçin.
- Azure AD B2C kiracınızda Bulut Uygulaması Yönetici istrator rolü atanmış bir hesapla oturum açın ve ardından Yönetici onayı ver 'i (kiracı adınız) seçin.
- Yenile'yi seçin ve ardından "...için verildi" ifadesini doğrulayın Durum'un altında görünür. İzinlerin yayılması birkaç dakika sürebilir.
[İsteğe bağlı] Kullanıcı yöneticisi rolü verme
Uygulamanızın veya betiğinizin kullanıcıların parolalarını güncelleştirmesi gerekiyorsa, uygulamanıza Kullanıcı yöneticisi rolünü atamanız gerekir. Kullanıcı yöneticisi rolü, uygulamanıza belirlediğiniz sabit bir izin kümesine sahiptir.
Kullanıcı yöneticisi rolünü eklemek için şu adımları izleyin:
- Azure Portal oturum açın.
- Birden çok kiracıya erişiminiz varsa, Dizinler + abonelikler menüsünden Azure AD B2C kiracınıza geçmek için üstteki menüden Ayarlar simgesini seçin.
- Azure AD B2C'yi arayıp seçin.
- Yönet'in altında Roller ve yöneticiler'i seçin.
- Kullanıcı yöneticisi rolünü seçin.
- Atama ekle’yi seçin.
- Seç metin kutusuna, daha önce kaydettiğiniz uygulamanın adını veya kimliğini (örneğin, managementapp1) girin. Arama sonuçlarında göründüğünde uygulamanızı seçin.
- Ekle'yi seçin. İzinlerin tamamen yayılması birkaç dakika sürebilir.
İstemci gizli dizisi oluşturma
Uygulamanızın belirteç isteğinde bulunurken kimliğini kanıtlamak için bir istemci gizli dizisine ihtiyacı var. İstemci gizli dizisini eklemek için şu adımları izleyin:
- Yönet'in altında Sertifika gizli dizileri'ni &seçin.
- Yeni gizli anahtar'ı seçin.
- Açıklama kutusuna istemci gizli dizisi için bir açıklama girin. Örneğin, clientsecret1.
- Süre Sonu'nun altında gizli dizinin geçerli olduğu süreyi seçin ve ardından Ekle'yi seçin.
- Gizli dizinin Değerini kaydedin. Bu değeri sonraki bir adımda yapılandırma için kullanacaksınız.
Sonraki adımlar
Artık yönetim uygulamanızı kaydettiniz ve gerekli izinleri verdiyseniz, uygulamalarınız ve hizmetleriniz (örneğin, Azure Pipelines) Microsoft Graph API'siyle etkileşime geçmek için kimlik bilgilerini ve izinlerini kullanabilir.