Uygulama modeli

Uygulamalar, kullanıcıların kendileri oturum açabilir veya bir kimlik sağlayıcısında oturum açma temsilcisi seçebilir. Bu makalede, bir uygulamayı Microsoft kimlik platformu kaydetmek için gereken adımlar açıklanır.

Bir uygulamayı kaydetme

Bir kimlik sağlayıcısının kullanıcının belirli bir uygulamaya erişimi olduğunu bilmesi için hem kullanıcının hem de uygulamanın kimlik sağlayıcısına kayıtlı olması gerekir. Uygulamanızı Microsoft Entra Id ile kaydettiğinizde, uygulamanız için Microsoft kimlik platformu tümleştirmesine olanak tanıyan bir kimlik yapılandırması sağlarsınız. Uygulamayı kaydetmek şunları da yapmanızı sağlar:

  • Oturum açma iletişim kutusunda uygulamanızın markasını özelleştirin. Bu markalama önemlidir çünkü oturum açmak bir kullanıcının uygulamanızla yapacağı ilk deneyimdir.
  • Kullanıcıların yalnızca kuruluşunuza aitse oturum açmasına izin vermek isteyip istemediğinize karar verin. Bu mimari tek kiracılı uygulama olarak bilinir. İsterseniz, kullanıcıların çok kiracılı bir uygulama olarak bilinen herhangi bir iş veya okul hesabını kullanarak oturum açmasına izin vekleyebilirsiniz. LinkedIn, Google vb. kişisel Microsoft hesaplarına veya bir sosyal hesaba da izin vekleyebilirsiniz.
  • Kapsam izinleri isteyin. Örneğin, oturum açmış kullanıcının profilini okuma izni veren "user.read" kapsamını isteyebilirsiniz.
  • Web API'nize erişimi tanımlayan kapsamları tanımlayın. Genellikle, bir uygulama API'nize erişmek istediğinde, tanımladığınız kapsamlar için izin istemesi gerekir.
  • Uygulamanın kimliğini kanıtlayan Microsoft kimlik platformu ile gizli dizi paylaşın. Gizli dizi kullanmak, uygulamanın gizli bir istemci uygulaması olması durumunda geçerlidir. Gizli istemci uygulaması, web istemcisi gibi kimlik bilgilerini güvenli bir şekilde tutabilen bir uygulamadır. Kimlik bilgilerini depolamak için güvenilir bir arka uç sunucusu gereklidir.

Uygulama kaydedildikten sonra, belirteç istediğinde Microsoft kimlik platformu ile paylaştığı benzersiz bir tanımlayıcı verilir. Uygulama gizli bir istemci uygulamasıysa, sertifikaların veya gizli dizilerin kullanılıp kullanılmadığına bağlı olarak gizli diziyi veya ortak anahtarı da paylaşır.

Microsoft kimlik platformu, iki ana işlevi yerine getiren bir model kullanarak uygulamaları temsil eder:

  • Uygulamayı desteklediği kimlik doğrulama protokolleriyle tanımlayın.
  • Kimlik doğrulaması için gereken tüm tanımlayıcıları, URL'leri, gizli dizileri ve ilgili bilgileri sağlayın.

Microsoft kimlik platformu:

  • Çalışma zamanında kimlik doğrulamasını desteklemek için gereken tüm verileri tutar.
  • Bir uygulamanın hangi kaynaklara erişmesi gerekebileceğine ve belirli bir isteğin hangi koşullarda karşılanması gerektiğine karar vermek için tüm verileri tutar.
  • Uygulama geliştiricisinin kiracısı içinde ve başka bir Microsoft Entra kiracısına uygulama sağlamayı uygulamak için altyapı sağlar.
  • Belirteç isteği süresi boyunca kullanıcı onayını işler ve kiracılar arasında uygulamaların dinamik olarak sağlanmasını kolaylaştırır.

Onay , bir kaynak sahibinin, bir istemci uygulamasına, belirli izinler altında, kaynak sahibi adına korumalı kaynaklara erişmesi için yetkilendirme verme işlemidir. Microsoft kimlik platformu şunları etkinleştirir:

  • Kullanıcılar ve yöneticiler, uygulamanın kaynaklara kendi adlarına erişmesi için dinamik olarak onay verir veya reddeder.
  • Yönetici istrator'lar, hangi uygulamaların yapılmasına izin verilip hangi kullanıcıların belirli uygulamaları kullanabileceğine ve dizin kaynaklarına nasıl erişildiğine nihai olarak karar verir.

Çok kiracılı uygulamalar

Microsoft kimlik platformu bir uygulama nesnesi bir uygulamayı açıklar. Dağıtım zamanında, Microsoft kimlik platformu uygulama nesnesini şema olarak kullanarak bir dizin veya kiracı içindeki uygulamanın somut bir örneğini temsil eden bir hizmet sorumlusu oluşturur. Hizmet sorumlusu, uygulamanın belirli bir hedef dizinde gerçekte neler yapabileceğini, bunu kimlerin kullanabileceğini, hangi kaynaklara erişimi olduğunu vb. tanımlar. Microsoft kimlik platformu, onay aracılığıyla bir uygulama nesnesinden hizmet sorumlusu oluşturur.

Aşağıdaki diyagramda, onay tarafından yönlendirilen basitleştirilmiş Microsoft kimlik platformu sağlama akışı gösterilmektedir. İki kiracı gösterir: A ve B.

  • Uygulamanın sahibi Kiracı A'dır .
  • B kiracısı bir hizmet sorumlusu aracılığıyla uygulamanın örneğini oluşturur.

Onay tarafından yönlendirilen basitleştirilmiş sağlama akışını gösteren diyagram.

Bu sağlama akışında:

  1. B kiracısından bir kullanıcı uygulamayla oturum açmayı dener. Yetkilendirme uç noktası uygulama için bir belirteç istemektedir.
  2. Kullanıcı kimlik bilgileri kimlik doğrulaması için alınır ve doğrulanır.
  3. Kullanıcıdan uygulamanın B kiracısına erişim sağlaması için onay vermesi istenir.
  4. Microsoft kimlik platformu, B kiracısında hizmet sorumlusu oluşturmak için şema olarak A kiracısında uygulama nesnesini kullanır.
  5. Kullanıcı istenen belirteci alır.

Bu işlemi daha fazla kiracı için yineleyebilirsiniz. A Kiracısı, uygulamanın şemasını (uygulama nesnesi) korur. Uygulamaya izin verilen diğer tüm kiracıların kullanıcıları ve yöneticileri, her kiracıdaki ilgili hizmet sorumlusu nesnesi aracılığıyla uygulamanın ne yapma iznine sahip olduğu üzerinde denetim sahibi olur. Daha fazla bilgi için bkz. Microsoft kimlik platformu uygulama ve hizmet sorumlusu nesneleri.

Sonraki adımlar

Microsoft kimlik platformu kimlik doğrulaması ve yetkilendirme hakkında daha fazla bilgi için aşağıdaki makalelere bakın:

Uygulama modeli hakkında daha fazla bilgi için aşağıdaki makalelere bakın:

  • Microsoft kimlik platformu uygulama nesneleri ve hizmet sorumluları hakkında daha fazla bilgi için bkz. Uygulamaların Microsoft Entra Id'ye nasıl ve neden eklendiği.
  • Tek kiracılı uygulamalar ve çok kiracılı uygulamalar hakkında daha fazla bilgi için bkz . Microsoft Entra Id'de Kiracı.
  • Microsoft Entra ID'nin, kuruluşların Google hesabı gibi sosyal kimlikleri kullanarak kullanıcılarla, genellikle müşterilerle oturum açabilmesi için Azure Active Directory B2C'yi nasıl sağladığı hakkında daha fazla bilgi için Bkz . Azure Active Directory B2C belgeleri.