Microsoft Entra tümleştirmesi ile hibrit erişimin güvenliğini sağlama

Microsoft Entra ID, uygulamaların güvenliğini sağlamaya yardımcı olan modern kimlik doğrulama protokollerini destekler. Ancak, birçok iş uygulaması korumalı bir şirket ağında çalışır ve bazıları eski kimlik doğrulama yöntemlerini kullanır. Şirketler Sıfır Güven stratejileri oluşturup hibrit ve bulut ortamlarını desteklerken, uygulamaları Microsoft Entra Id'ye bağlayan ve eski uygulamalar için kimlik doğrulaması sağlayan çözümler vardır.

Daha fazla bilgi edinin: güvenlik Sıfır Güven

Microsoft Entra ID, modern protokolleri yerel olarak destekler:

  • Güvenlik Onaylama İşaretleme Dili (SAML)
  • Web Hizmeti Federasyonu (WS-Fed)
  • OpenID Bağlan (OIDC)

Microsoft Entra uygulama ara sunucusu veya Microsoft Entra uygulama ara sunucusu Kerberos ve üst bilgi tabanlı kimlik doğrulamasını destekler. Secure Shell (SSH), (Microsoft Windows NT LAN Manager) NTLM, Basit Dizin Erişim Protokolü (LDAP) ve tanımlama bilgileri gibi diğer protokoller desteklenmez. Ancak bağımsız yazılım satıcıları (ISV) bu uygulamaları Microsoft Entra ID'ye bağlamak için çözümler oluşturabilir.

ISV'ler müşterilerin hizmet olarak yazılım (SaaS) uygulamalarını bulmasına ve Microsoft Entra Id'ye geçirmesine yardımcı olabilir. Microsoft Entra Id ile eski kimlik doğrulama yöntemlerini kullanan uygulamaları bağlayabilirler. Müşteriler, uygulama yönetimini basitleştirmek ve Sıfır Güven ilkeleri uygulamak için Microsoft Entra ID'de birleştirebilir.

Çözüme genel bakış

Oluşturduğunuz çözüm aşağıdaki bölümleri içerebilir:

  • Uygulama bulma - Müşteriler genellikle kullanımdaki her uygulamanın farkında değildir
    • Uygulama bulma uygulamaları bulur ve uygulamayı Microsoft Entra ID ile tümleştirmeyi kolaylaştırır
  • Uygulama geçişi - Microsoft Entra yönetim merkezini kullanmadan uygulamaları Microsoft Entra ID ile tümleştirmek için bir iş akışı oluşturma
    • Müşterilerin bugün kullandığı uygulamaları tümleştirme
  • Eski kimlik doğrulama desteği - Eski kimlik doğrulama yöntemleri ve çoklu oturum açma (SSO) ile uygulamaları Bağlan
  • Koşullu Erişim - Müşterilerin Microsoft Entra yönetim merkezini kullanmadan çözümünüzdeki uygulamalara Microsoft Entra ilkeleri uygulamasını sağlama

Daha fazla bilgi edinin: Koşullu Erişim nedir?

Teknik konular ve öneriler için aşağıdaki bölümlere bakın.

uygulamaları Azure Market yayımlama

Azure Market, BT yöneticileri için güvenilir bir uygulama kaynağıdır. Uygulamalar Microsoft Entra Id ile uyumludur ve SSO desteği sunar, kullanıcı sağlamayı otomatikleştirir ve otomatik uygulama kaydıyla dış kiracılarla tümleştirilir.

SSO ve otomatik sağlamayı desteklemek için uygulamanızı Microsoft Entra ID ile önceden tümleştirebilirsiniz. Bkz. Uygulamanızı Microsoft Entra uygulama galerisinde yayımlama isteği gönderme.

Müşterilerin güvenilir yayımcı olduğunuzu bilmesi için doğrulanmış bir yayımcı olmanız önerilir. Bkz. Yayımcı doğrulaması.

BT yöneticileri için çoklu oturum açmayı etkinleştirme

BT yöneticileri için SSO'nun çözümünüzde etkinleştirilmesi için çeşitli yollar vardır. Bkz. Çoklu oturum açma dağıtımı planlama, SSO seçenekleri.

Microsoft Graph OIDC/OAuth kullanır. Müşteriler çözümünüzde oturum açmak için OIDC kullanır. Microsoft Graph ile etkileşime geçmek için JSON Web Belirteci (JWT) Microsoft Entra ID sorunlarını kullanın. Bkz. Microsoft kimlik platformu OpenID Bağlan.

Çözümünüz BT yöneticisi SSO için SAML kullanıyorsa, SAML belirteci çözümünüzün Microsoft Graph ile etkileşim kurmasını sağlamaz. BT yöneticisi SSO için SAML kullanabilirsiniz, ancak çözümünüz Microsoft Entra ID ile OIDC tümleştirmesini desteklemeli, böylece Microsoft Graph ile etkileşime geçmek için Microsoft Entra ID'den JWT alabilir. Bkz. Microsoft kimlik platformu SAML protokollerini nasıl kullanır?

Aşağıdaki SAML yaklaşımlarından birini kullanabilirsiniz:

Müşterilerin bir istemci kimliği ve gizli dizi girmesine izin vermek için çözümü gerektiren istemci kimlik bilgileri verme türünü kullanın. Çözüm, bu bilgileri depolamanızı da gerektirir. Microsoft Entra ID'den bir JWT alın ve microsoft graph ile etkileşimde bulunurken kullanın. Bkz. Belirteç alma. Müşteri belgelerini Microsoft Entra kiracısında uygulama kaydı oluşturma hakkında yeniden ayrıştırmanızı öneririz. Uç noktaları, URI'leri ve izinleri ekleyin.

Not

Uygulamalar BT yöneticisi veya kullanıcı SSO'sunda kullanılmadan önce, müşteri BT yöneticisinin kiracısında uygulamaya onay vermesi gerekir. Bkz. Uygulamaya kiracı genelinde yönetici onayı verme.

Kimlik doğrulama akışları

Çözüm kimlik doğrulama akışları aşağıdaki senaryoları destekler:

  • Müşteri BT yöneticisi çözümünüzü yönetmek için SSO ile oturum açar
  • Müşteri BT yöneticisi, uygulamaları Microsoft Graph ile Microsoft Entra ID ile tümleştirmek için çözümünüzü kullanır
  • Kullanıcılar çözümünüz ve Microsoft Entra Id ile güvenliği sağlanan eski uygulamalarda oturum açar

Müşteri BT yöneticiniz çözümünüzde çoklu oturum açma işlemi yapar

Çözümünüz, müşteri BT yöneticisi oturum açtığında SSO için SAML veya OIDC kullanabilir. BT yöneticisinin, geçerli güvenlik denetimlerinin kullanılmasını sağlayan Microsoft Entra kimlik bilgileriyle çözümünüzde oturum açmasını öneririz. SAML veya OIDC aracılığıyla SSO için Microsoft Entra ID ile tümleştirin.

Aşağıdaki diyagramda kullanıcı kimlik doğrulaması akışı gösterilmektedir:

Oturum açmak için Microsoft Entra Id'ye yeniden yönlendirilen ve ardından çözüme yönlendirilen bir yöneticinin diyagramı.

  1. BT yöneticisi, Microsoft Entra kimlik bilgileriyle çözümünüzde oturum açar
  2. Çözüm, BT yöneticisini SAML veya OIDC oturum açma isteğiyle Microsoft Entra ID'ye yönlendirir
  3. Microsoft Entra, BT yöneticisinin kimliğini doğrular ve bunları çözümünüzde yetkilendirilecek bir SAML belirteci veya JWT ile çözümünüze yönlendirir

BT yöneticileri uygulamaları Microsoft Entra ID ile tümleştirir

BT yöneticileri, uygulama kayıtları ve Microsoft Entra Koşullu Erişim ilkeleri oluşturmak için Microsoft Graph kullanan çözümünüzü kullanarak uygulamaları Microsoft Entra ID ile tümleştirir.

Aşağıdaki diyagramda kullanıcı kimlik doğrulaması akışı gösterilmektedir:

BT yöneticisi, Microsoft Entra Id, çözümünüz ve Microsoft Graph arasındaki etkileşimlerin diyagramı.

  1. BT yöneticisi, Microsoft Entra kimlik bilgileriyle çözümünüzde oturum açar
  2. Çözüm, BT yöneticisini SAML veya OIDC oturum açma isteğiyle Microsoft Entra ID'ye yönlendirir
  3. Microsoft Entra, BT yöneticisinin kimliğini doğrular ve bunları bir SAML belirteci veya yetkilendirme için JWT ile çözümünüze yönlendirir
  4. BT yöneticisi bir uygulamayı Microsoft Entra ID ile tümleştirdiğinde, çözüm uygulamaları kaydetmek veya Microsoft Entra Koşullu Erişim ilkelerini uygulamak için Microsoft Graph'ı JWT ile çağırır

Kullanıcılar uygulamalarda oturum açar

Kullanıcılar uygulamalarda oturum açtıklarında OIDC veya SAML kullanır. Uygulamaların Microsoft Graph veya Microsoft Entra korumalı API ile etkileşim kurması gerekiyorsa, bunları OICD kullanacak şekilde yapılandırmanızı öneririz. Bu yapılandırma, JWT'nin Microsoft Graph ile etkileşime geçmek için uygulanmasını sağlar. Uygulamaların Microsoft Graph veya Microsoft Entra korumalı API'lerle etkileşim kurmasına gerek yoksa SAML kullanın.

Aşağıdaki diyagramda kullanıcı kimlik doğrulaması akışı gösterilmektedir:

Kullanıcı, Microsoft Entra Kimliği, çözümünüz ve uygulama arasındaki etkileşimlerin diyagramı.

  1. Kullanıcı bir uygulamada oturum açar
  2. Çözüm, kullanıcıyı SAML veya OIDC oturum açma isteğiyle Microsoft Entra Id'ye yönlendirir
  3. Microsoft Entra kullanıcının kimliğini doğrular ve yetkilendirme için bir SAML belirteci veya JWT ile bunları çözümünüze yönlendirir
  4. Çözüm, uygulama protokolunu kullanarak isteğe izin verir

Microsoft Graph API

Aşağıdaki API'lerin kullanılmasını öneririz. Temsilci izinlerini veya uygulama izinlerini yapılandırmak için Microsoft Entra Id kullanın. Bu çözüm için temsilci izinlerini kullanın.

  • Uygulama şablonları API'si - Azure Market eşleşen bir uygulama şablonu bulmak için bu API'yi kullanın
    • Gerekli izinler: Application.Read.All
  • Uygulama kayıt API'si - Kullanıcıların çözümünüzle güvenli hale getirilen uygulamalarda oturum açması için OIDC veya SAML uygulama kayıtları oluşturma
    • Gerekli izinler: Application.Read.All, Application.ReadWrite.All
  • Hizmet sorumlusu API'si - Uygulamayı kaydettikten sonra SSO özelliklerini ayarlamak için hizmet sorumlusu nesnesini güncelleştirin
    • Gerekli izinler: Application.ReadWrite.All, Directory.AccessAsUser.All, AppRoleAssignment.ReadWrite.All (atama için)
  • Koşullu Erişim API'si - Microsoft Entra Koşullu Erişim ilkelerini kullanıcı uygulamalarına uygulama
    • gerekli izinler: Policy.Read.All, Policy.ReadWrite.ConditionalAccess ve Application.Read.All

Daha fazla bilgi edinin Microsoft Graph API'sini kullanma

Microsoft Graph API senaryoları

Uygulama kayıtlarını uygulamak, eski uygulamaları bağlamak ve Koşullu Erişim ilkelerini etkinleştirmek için aşağıdaki bilgileri kullanın. Yönetici onayını otomatikleştirmeyi, belirteç imzalama sertifikasını almayı ve kullanıcıları ve grupları atamayı öğrenin.

Uygulamaları Microsoft Entra Id ile kaydetmek için Microsoft Graph API'sini kullanma

Azure Market uygulama ekleme

Müşterilerinizin kullandığı bazı uygulamalar Azure Market. Dış kiracıya uygulama ekleyen bir çözüm oluşturabilirsiniz. Azure Market şablon aramak için Microsoft Graph API'siyle aşağıdaki örneği kullanın.

Not

Uygulama Şablonları API'sinde görünen ad büyük/küçük harfe duyarlıdır.

Authorization: Required with a valid Bearer token
Method: Get

https://graph.microsoft.com/v1.0/applicationTemplates?$filter=displayname eq "Salesforce.com"

API çağrısından bir eşleşme bulursanız kimliği yakalayın. Aşağıdaki API çağrısını yapın ve JSON gövdesinde uygulama için bir görünen ad sağlayın:

Authorization: Required with a valid Bearer token
Method: POST
Content-type: application/json

https://graph.microsoft.com/v1.0/applicationTemplates/cd3ed3de-93ee-400b-8b19-b61ef44a0f29/instantiate
{
    "displayname": "Salesforce.com"
}

API çağrısını yaptıktan sonra bir hizmet sorumlusu nesnesi oluşturursunuz. Sonraki API çağrılarında kullanılacak uygulama kimliğini ve hizmet sorumlusu kimliğini yakalayın.

Hizmet sorumlusu nesnesine SAML protokolü ve oturum açma URL'si ile düzeltme eki uygulama:

Authorization: Required with a valid Bearer token
Method: PATCH
Content-type: servicePrincipal/json

https://graph.microsoft.com/v1.0/servicePrincipals/aaaaaaaa-bbbb-cccc-1111-222222222222
{
    "preferredSingleSignOnMode":"saml",
    "loginURL": "https://www.salesforce.com"
}

Uygulama nesnesine yeniden yönlendirme URI'leri ve tanımlayıcı URI'leri ile düzeltme eki uygulama:

Authorization: Required with a valid Bearer token
Method: PATCH
Content-type: application/json

https://graph.microsoft.com/v1.0/applications/00001111-aaaa-2222-bbbb-3333cccc4444
{
    "web": {
    "redirectUris":["https://www.salesforce.com"]},
    "identifierUris":["https://www.salesforce.com"]
}

Azure Market'de olmayan uygulamaları ekleme

Azure Market eşleşme yoksa veya özel bir uygulamayı tümleştirmek için Microsoft Entra Id'de özel bir uygulamayı şablon kimliğiyle kaydedin: 8adf8e6e-67b2-4cf2-a259-e3dc5476c621. Ardından aşağıdaki API çağrısını yapın ve JSON gövdesinde bir uygulama görünen adı sağlayın:

Authorization: Required with a valid Bearer token
Method: POST
Content-type: application/json

https://graph.microsoft.com/v1.0/applicationTemplates/8adf8e6e-67b2-4cf2-a259-e3dc5476c621/instantiate
{
    "displayname": "Custom SAML App"
}

API çağrısını yaptıktan sonra bir hizmet sorumlusu nesnesi oluşturursunuz. Sonraki API çağrılarında kullanılacak uygulama kimliğini ve hizmet sorumlusu kimliğini yakalayın.

Hizmet sorumlusu nesnesine SAML protokolü ve oturum açma URL'si ile düzeltme eki uygulama:

Authorization: Required with a valid Bearer token
Method: PATCH
Content-type: servicePrincipal/json

https://graph.microsoft.com/v1.0/servicePrincipals/aaaaaaaa-bbbb-cccc-1111-222222222222
{
    "preferredSingleSignOnMode":"saml",
    "loginURL": "https://www.samlapp.com"
}

Uygulama nesnesine yeniden yönlendirme URI'leri ve tanımlayıcı URI'leri ile düzeltme eki uygulama:

Authorization: Required with a valid Bearer token
Method: PATCH
Content-type: application/json

https://graph.microsoft.com/v1.0/applications/00001111-aaaa-2222-bbbb-3333cccc4444
{
    "web": {
    "redirectUris":["https://www.samlapp.com"]},
    "identifierUris":["https://www.samlapp.com"]
}

Microsoft Entra çoklu oturum açma özelliğini kullanma

SaaS uygulamaları Microsoft Entra ID'ye kaydedildikten sonra, uygulamaların kimlik sağlayıcısı (IdP) olarak Microsoft Entra Id kullanmaya başlaması gerekir:

Eski kimlik doğrulamasıyla uygulamaları Microsoft Entra Id'ye Bağlan

Çözümünüz müşterinin SSO ve Microsoft Entra özelliklerini, hatta desteklenmeyen uygulamaları kullanmasını sağlayabilir. Eski protokollerle erişime izin vermek için uygulamanız, kullanıcının kimliğini doğrulamak ve Microsoft Entra Koşullu Erişim ilkelerini uygulamak için Microsoft Entra Id'yi çağırır. Konsolunuzdan bu tümleştirmeyi etkinleştirin. Çözümünüzle Microsoft Entra Id arasında bir SAML veya OIDC uygulama kaydı oluşturun.

SAML uygulama kaydı oluşturma

Şu özel uygulama şablonu kimliğini kullanın: 8adf8e6e-67b2-4cf2-a259-e3dc5476c621. Ardından aşağıdaki API çağrısını yapın ve JSON gövdesinde bir görünen ad sağlayın:

Authorization: Required with a valid Bearer token
Method: POST
Content-type: application/json

https://graph.microsoft.com/v1.0/applicationTemplates/8adf8e6e-67b2-4cf2-a259-e3dc5476c621/instantiate
{
    "displayname": "Custom SAML App"
}

API çağrısını yaptıktan sonra bir hizmet sorumlusu nesnesi oluşturursunuz. Sonraki API çağrılarında kullanılacak uygulama kimliğini ve hizmet sorumlusu kimliğini yakalayın.

Hizmet sorumlusu nesnesine SAML protokolü ve oturum açma URL'si ile düzeltme eki uygulama:

Authorization: Required with a valid Bearer token
Method: PATCH
Content-type: servicePrincipal/json

https://graph.microsoft.com/v1.0/servicePrincipals/aaaaaaaa-bbbb-cccc-1111-222222222222
{
    "preferredSingleSignOnMode":"saml",
    "loginURL": "https://www.samlapp.com"
}

Uygulama nesnesine yeniden yönlendirme URI'leri ve tanımlayıcı URI'leri ile düzeltme eki uygulama:

Authorization: Required with a valid Bearer token
Method: PATCH
Content-type: application/json

https://graph.microsoft.com/v1.0/applications/00001111-aaaa-2222-bbbb-3333cccc4444
{
    "web": {
    "redirectUris":["https://www.samlapp.com"]},
    "identifierUris":["https://www.samlapp.com"]
}

OIDC uygulama kaydı oluşturma

Özel uygulama için şu şablon kimliğini kullanın: 8adf8e6e-67b2-4cf2-a259-e3dc5476c621. Aşağıdaki API çağrısını yapın ve JSON gövdesinde bir görünen ad sağlayın:

Authorization: Required with a valid Bearer token
Method: POST
Content-type: application/json

https://graph.microsoft.com/v1.0/applicationTemplates/8adf8e6e-67b2-4cf2-a259-e3dc5476c621/instantiate
{
    "displayname": "Custom OIDC App"
}

API çağrısından, sonraki API çağrılarında kullanılacak uygulama kimliğini ve hizmet sorumlusu kimliğini yakalayın.

Authorization: Required with a valid Bearer token
Method: PATCH
Content-type: application/json

https://graph.microsoft.com/v1.0/applications/{Application Object ID}
{
    "web": {
    "redirectUris":["https://www.samlapp.com"]},
    "identifierUris":["[https://www.samlapp.com"],
    "requiredResourceAccess": [
    {
        "resourceAppId": "00000003-0000-0000-c000-000000000000",
        "resourceAccess": [
        {
            "id": "7427e0e9-2fba-42fe-b0c0-848c9e6a8182",
            "type": "Scope"
        },
        {
            "id": "e1fe6dd8-ba31-4d61-89e7-88639da4683d",
            "type": "Scope"
        },
        {
            "id": "37f7f235-527c-4136-accd-4a02d197296e",
            "type": "Scope"
        }]
    }]
}

Not

Düğümdeki resourceAccess API izinleri, uygulamaya oturum açmayı etkinleştiren openid, User.Read ve offline_access izinlerini verir. Bkz. Microsoft Graph izinlerine genel bakış.

Koşullu Erişim ilkeleri uygulama

Müşteriler ve iş ortakları, uygulama başına Koşullu Erişim ilkeleri oluşturmak veya uygulamak için Microsoft Graph API'sini kullanabilir. İş ortakları için müşteriler, Microsoft Entra yönetim merkezini kullanmadan çözümünüzden bu ilkeleri uygulayabilir. Microsoft Entra Koşullu Erişim ilkelerini uygulamak için iki seçenek vardır:

Koşullu Erişim ilkesi kullanma

Koşullu Erişim ilkelerinin listesi için aşağıdaki sorguyu çalıştırın. Değiştireceğiniz ilke nesne kimliğini alın.

Authorization: Required with a valid Bearer token
Method:GET

https://graph.microsoft.com/v1.0/identity/conditionalAccess/policies

İlkeye düzeltme eki uygulamak için, kapsamında olacak includeApplicationsuygulama nesne kimliğini JSON gövdesine ekleyin:

Authorization: Required with a valid Bearer token
Method: PATCH

https://graph.microsoft.com/v1.0/identity/conditionalAccess/policies/{policyid}
{
    "displayName":"Existing Conditional Access Policy",
    "state":"enabled",
    "conditions": 
    {
        "applications": 
        {
            "includeApplications":[
                "00000003-0000-0ff1-ce00-000000000000", 
                "{Application Object ID}"
            ]
        },
        "users": {
            "includeUsers":[
                "All"
            ] 
        }
    },
    "grantControls": 
    {
        "operator":"OR",
        "builtInControls":[
            "mfa"
        ]
    }
}

Yeni koşullu erişim ilkesi oluşturma

JSON gövdesinde kapsamına includeApplicationseklenecek uygulama nesnesi kimliğini ekleyin:

Authorization: Required with a valid Bearer token
Method: POST

https://graph.microsoft.com/v1.0/identity/conditionalAccess/policies/
{
    "displayName":"New Conditional Access Policy",
    "state":"enabled",
    "conditions": 
    {
        "applications": {
            "includeApplications":[
                "{Application Object ID}"
            ]
        },
        "users": {
            "includeUsers":[
                "All"
            ]
        }
    },
    "grantControls": {
        "operator":"OR",
        "builtInControls":[
            "mfa"
        ]
    }
}
#Policy Template for Requiring Compliant Device

{
    "displayName":"Enforce Compliant Device",
    "state":"enabled",
    "conditions": {
        "applications": {
            "includeApplications":[
                "{Application Object ID}"
            ]
        },
        "users": {
            "includeUsers":[
                "All"
            ]
        }
    },
    "grantControls": {
        "operator":"OR",
        "builtInControls":[
            "compliantDevice",
            "domainJoinedDevice"
        ]
    }
}

#Policy Template for Block

{
    "displayName":"Block",
    "state":"enabled",
    "conditions": {
        "applications": {
            "includeApplications":[
                "{Application Object ID}"
            ]
        },
        "users": {
            "includeUsers":[
                "All"
            ] 
        }
    },
    "grantControls": {
        "operator":"OR",
        "builtInControls":[
            "block"
        ]
    }
}

Müşteri çözümünüzden Microsoft Entra ID'ye uygulama ekliyorsa, Microsoft Graph ile yönetici onayını otomatikleştirebilirsiniz. API çağrılarında oluşturduğunuz uygulama hizmet sorumlusu nesne kimliğine ve dış kiracıdan Microsoft Graph hizmet sorumlusu nesne kimliğine ihtiyacınız vardır.

Aşağıdaki API çağrısını yaparak Microsoft Graph hizmet sorumlusu nesne kimliğini alın:

Authorization: Required with a valid Bearer token
Method:GET

https://graph.microsoft.com/v1.0/serviceprincipals/?$filter=appid eq '00000003-0000-0000-c000-000000000000'&$select=id,appDisplayName

Yönetici onayını otomatikleştirmek için aşağıdaki API çağrısını yapın:

Authorization: Required with a valid Bearer token
Method: POST
Content-type: application/json

https://graph.microsoft.com/v1.0/oauth2PermissionGrants
{
    "clientId":"{Service Principal Object ID of Application}",
    "consentType":"AllPrincipals",
    "principalId":null,
    "resourceId":"{Service Principal Object ID Of Microsoft Graph}",
    "scope":"openid user.read offline_access}"
}

Belirteç imzalama sertifikasını alma

Belirteç imzalama sertifikasının genel bölümünü almak için, uygulamanın Microsoft Entra meta veri uç noktasından kullanın GET :

Method:GET

https://login.microsoftonline.com/{Tenant_ID}/federationmetadata/2007-06/federationmetadata.xml?appid={Application_ID}

Kullanıcı ve grup atama

Uygulamayı Microsoft Entra Id'de yayımladıktan sonra, Uygulamalarım portalında göründüğünden emin olmak için uygulamayı kullanıcılara ve gruplara atayabilirsiniz. Bu atama, uygulamayı oluştururken oluşturulan hizmet sorumlusu nesnesindedir. Bkz. Uygulamalarım portala genel bakış.

Uygulamanın kendisiyle ilişkilendirmiş olabileceği örnekleri alın AppRole . SaaS uygulamalarının bunlarla ilişkili çeşitli AppRole örnekleri olması yaygındır. Genellikle özel uygulamalar için bir varsayılan AppRole örnek vardır. AppRole Atamak istediğiniz örnek kimliğini alın:

Authorization: Required with a valid Bearer token
Method:GET

https://graph.microsoft.com/v1.0/servicePrincipals/aaaaaaaa-bbbb-cccc-1111-222222222222

Microsoft Entra Id'den, uygulamaya atamak istediğiniz kullanıcı veya grup nesnesi kimliğini alın. Önceki API çağrısından uygulama rolü kimliğini alın ve hizmet sorumlusundaki düzeltme eki gövdesiyle gönderin:

Authorization: Required with a valid Bearer token
Method: PATCH
Content-type: servicePrincipal/json

https://graph.microsoft.com/v1.0/servicePrincipals/aaaaaaaa-bbbb-cccc-1111-222222222222
{
    "principalId":"{Principal Object ID of User -or- Group}",
    "resourceId":"{Service Principal Object ID}",
    "appRoleId":"{App Role ID}"
}

Ortaklık

Microsoft, ağ ve teslim denetleyicilerini kullanırken eski uygulamaların korunmasına yardımcı olmak için aşağıdaki uygulama teslim denetleyicisi (ADC) sağlayıcılarıyla ortaklıkları vardır.

Aşağıdaki VPN çözümü sağlayıcıları, SSO ve çok faktörlü kimlik doğrulaması (MFA) gibi modern kimlik doğrulaması ve yetkilendirme yöntemlerini etkinleştirmek için Microsoft Entra ID ile bağlanır.

Aşağıdaki yazılım tanımlı çevre (SDP) çözümleri sağlayıcıları, SSO ve MFA gibi kimlik doğrulaması ve yetkilendirme yöntemleri için Microsoft Entra Id ile bağlanır.