Microsoft Entra uygulamasını kaydetme ve hizmet sorumlusu oluşturma

Bu makalede rol tabanlı erişim denetimi (RBAC) ile kullanılabilecek bir Microsoft Entra uygulaması ve hizmet sorumlusu oluşturmayı öğreneceksiniz. Yeni bir uygulamayı Microsoft Entra Id'ye kaydettiğinizde, uygulama kaydı için otomatik olarak bir hizmet sorumlusu oluşturulur. Hizmet sorumlusu, uygulamanın Microsoft Entra kiracısında kimliğidir. Kaynaklara erişim, hizmet sorumlusuna atanan rollerle kısıtlanır ve hangi kaynaklara ve hangi düzeyde erişilebileceğini denetlemenizi sağlar. Güvenlik nedeniyle, hizmet sorumlularının kullanıcı kimliğiyle oturum açmalarına izin vermek yerine otomatik araçlarla kullanılması her zaman önerilir.

Bu örnek, tek bir kuruluşta kullanılan iş kolu uygulamaları için geçerlidir. Hizmet sorumlusu oluşturmak için Azure PowerShell'i veya Azure CLI'yi de kullanabilirsiniz.

Önemli

Hizmet sorumlusu oluşturmak yerine, uygulama kimliğiniz için Azure kaynakları için yönetilen kimlikleri kullanmayı göz önünde bulundurun. Kodunuz yönetilen kimlikleri destekleyen ve Microsoft Entra kimlik doğrulamasını destekleyen kaynaklara erişen bir hizmette çalışıyorsa, yönetilen kimlikler sizin için daha iyi bir seçenektir. Şu anda hangi hizmetlerin desteklediği de dahil olmak üzere Azure kaynakları için yönetilen kimlikler hakkında daha fazla bilgi edinmek için bkz . Azure kaynakları için yönetilen kimlikler nedir?.

Uygulama kaydı, uygulama nesneleri ve hizmet sorumluları arasındaki ilişki hakkında daha fazla bilgi için Bkz . Microsoft Entra Id'de uygulama ve hizmet sorumlusu nesneleri.

Önkoşullar

Bir uygulamayı Microsoft Entra kiracınıza kaydetmek için şunları yapmanız gerekir:

  • Microsoft Entra kullanıcı hesabı. Henüz bir hesabınız yoksa ücretsiz olarak bir hesap oluşturabilirsiniz.
  • Bir uygulamayı Microsoft Entra kiracınıza kaydetmek ve uygulamaya Azure aboneliğinizde bir rol atamak için yeterli izinler. Bu görevleri tamamlamak için izne Application.ReadWrite.All ihtiyacınız vardır.

Bir uygulamayı Microsoft Entra Id ile kaydetme ve hizmet sorumlusu oluşturma

İpucu

Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.

  1. Microsoft Entra yönetim merkezinde en az Bir Bulut Uygulaması Yöneticisi olarak oturum açın.

  2. Kimlik>Uygulamaları'na> göz atın Uygulama kayıtları ardından Yeni kayıt'ı seçin.

  3. Uygulamayı adlandırın, örneğin example-app.

  4. Desteklenen hesap türleri'nin altında Yalnızca bu kuruluş dizinindeki Hesaplar'ı seçin.

  5. Yeniden Yönlendirme URI'sinin altında, oluşturmak istediğiniz uygulama türü için Web'i seçin. Erişim belirtecinin gönderildiği URI'yi girin.

  6. Kaydet'i seçin.

    Uygulama kayıt sayfasını gösteren ekran görüntüsü.

Uygulamaya rol atama

Aboneliğinizdeki kaynaklara erişmek için uygulamaya bir rol atamanız gerekir. Hangi rolün uygulama için doğru izinleri sunduğuna karar verin. Kullanılabilir roller hakkında bilgi edinmek için bkz . Azure yerleşik rolleri.

Kapsamı abonelik, kaynak grubu veya kaynak düzeyinde ayarlayabilirsiniz. İzinler daha düşük kapsam düzeylerine devralınır.

  1. Azure Portal’ında oturum açın.

  2. Uygulamayı atamak istediğiniz kapsam düzeyini seçin. Örneğin, abonelik kapsamında bir rol atamak için Abonelikler'i arayın ve seçin. Aradığınız aboneliği görmüyorsanız genel abonelikler filtresi'ni seçin. Kiracı için istediğiniz aboneliğin seçildiğinden emin olun.

  3. Erişim denetimi (IAM) öğesini seçin.

  4. Ekle'yi ve ardından Rol ataması ekle'yi seçin.

  5. Rol sekmesinde, listeden uygulamaya atamak istediğiniz rolü seçin.

  6. İleri'yi seçin.

  7. Üyeler sekmesinde, Erişim ata için Kullanıcı, grup veya hizmet sorumlusu'na tıklayın.

  8. Üyeleri seç öğesini seçin. Varsayılan olarak, Microsoft Entra uygulamaları kullanılabilir seçeneklerde görüntülenmez. Uygulamanızı bulmak için ada göre arayın.

  9. Seç düğmesini ve ardından Gözden geçir ve ata'yı seçin.

    Rol atamasını gösteren ve üyelerin nasıl ekleneceğini vurgulayan ekran görüntüsü.

Hizmet sorumlunuz ayarlandı. Betiklerinizi veya uygulamalarınızı çalıştırmak için kullanmaya başlayabilirsiniz. Hizmet sorumlunuzu yönetmek için (izinler, kullanıcı tarafından onaylanan izinler, hangi kullanıcıların onayladığına bakın, izinleri gözden geçirin, oturum açma bilgilerine bakın ve daha fazlası), Kurumsal uygulamalar'a gidin.

Sonraki bölümde, program aracılığıyla oturum açarken gereken değerlerin nasıl alındığını gösterir.

Uygulamada oturum açma

Program aracılığıyla oturum açarken, kimlik doğrulama isteğinizde dizin (kiracı) kimliğini ve uygulama (istemci) kimliğini geçirirsiniz. Ayrıca bir sertifikaya veya kimlik doğrulama anahtarına da ihtiyacınız vardır. Dizin kimliğini ve uygulama kimliğini almak için:

  1. Microsoft Entra yönetim merkezi Giriş sayfasını açın.
  2. Kimlik>Uygulamaları'na> göz atın Uygulama kayıtları ardından uygulamanızı seçin.
  3. Uygulamanın genel bakış sayfasında Dizin (kiracı) kimliği değerini kopyalayın ve uygulama kodunuzda depolayın.
  4. Uygulama (istemci) Kimliği değerini kopyalayın ve uygulama kodunuzda depolayın.

Kimlik doğrulaması kurulumu

Hizmet sorumluları için iki tür kimlik doğrulaması kullanılabilir: parola tabanlı kimlik doğrulaması (uygulama gizli dizisi) ve sertifika tabanlı kimlik doğrulaması. Sertifika yetkilisi tarafından verilen güvenilir bir sertifika kullanmanızı öneririz, ancak test için bir uygulama gizli dizisi veya otomatik olarak imzalanan bir sertifika da oluşturabilirsiniz.

Sertifika dosyasını karşıya yüklemek için:

  1. Kimlik>Uygulamaları'na> göz atın Uygulama kayıtları ardından uygulamanızı seçin.
  2. Sertifikalar ve gizli diziler'i seçin.
  3. Sertifikalar'ı, ardından Sertifikayı karşıya yükle'yi ve ardından karşıya yüklenecek sertifika dosyasını seçin.
  4. Ekle'yi seçin. Sertifika karşıya yüklendikten sonra parmak izi, başlangıç tarihi ve süre sonu değerleri görüntülenir.

Sertifikayı uygulama kayıt portalında uygulamanıza kaydettikten sonra, gizli istemci uygulama kodunun sertifikayı kullanmasını etkinleştirin.

Seçenek 2: Yalnızca test etme: Otomatik olarak imzalanan sertifika oluşturma ve karşıya yükleme

İsteğe bağlı olarak, yalnızca test amacıyla otomatik olarak imzalanan bir sertifika oluşturabilirsiniz. Otomatik olarak imzalanan bir sertifika oluşturmak için Windows PowerShell'i açın ve aşağıdaki parametrelerle New-SelfSignedCertificate komutunu çalıştırarak sertifikayı bilgisayarınızdaki kullanıcı sertifika deposunda oluşturun:

$cert=New-SelfSignedCertificate -Subject "CN=DaemonConsoleCert" -CertStoreLocation "Cert:\CurrentUser\My"  -KeyExportPolicy Exportable -KeySpec Signature

Windows Denetim Masası'dan erişilebilen Kullanıcı Sertifikasını Yönet MMC ek bileşenini kullanarak bu sertifikayı bir dosyaya aktarın.

  1. Başlat menüsünde Çalıştır'ı seçin ve certmgr.msc girin. Geçerli kullanıcının Sertifika Yöneticisi aracı görüntülenir.
  2. Sertifikalarınızı görüntülemek için sol bölmedeki Sertifikalar - Geçerli Kullanıcı'nın altında Kişisel dizinini genişletin.
  3. Oluşturduğunuz sertifikaya sağ tıklayın, Tüm görevler-Dışarı> Aktar'ı seçin.
  4. Sertifika Dışarı Aktarma sihirbazını izleyin.

Sertifikayı karşıya yüklemek için:

  1. Kimlik>Uygulamaları'na> göz atın Uygulama kayıtları ardından uygulamanızı seçin.
  2. Sertifikalar ve gizli diziler'i seçin.
  3. Sertifikalar'ı, ardından Sertifikayı karşıya yükle'yi ve ardından sertifikayı (var olan bir sertifika veya dışarı aktardığınız otomatik olarak imzalanan sertifika) seçin.
  4. Ekle'yi seçin.

Sertifikayı uygulama kayıt portalında uygulamanıza kaydettikten sonra, gizli istemci uygulama kodunun sertifikayı kullanmasını etkinleştirin.

3. Seçenek: Yeni bir istemci gizli dizisi oluşturma

Sertifika kullanmamayı seçerseniz yeni bir istemci gizli dizisi oluşturabilirsiniz.

  1. Kimlik>Uygulamaları'na> göz atın Uygulama kayıtları ardından uygulamanızı seçin.
  2. Sertifikalar ve gizli diziler'i seçin.
  3. İstemci gizli dizileri'ni ve ardından Yeni istemci gizli dizisi'ni seçin.
  4. Anahtar için bir açıklama ve süre belirtin.
  5. Ekle'yi seçin.

İstemci gizli dizisini kaydettikten sonra, istemci gizli dizisinin değeri görüntülenir. Bu yalnızca bir kez görüntülenir, bu nedenle bu değeri kopyalayın ve uygulamanızın bu değeri alabildiği bir yerde depolayın; genellikle uygulamanızın gibi clientIdauthority değerleri veya kaynak kodunda tuttuğu yerde depolayın. Uygulama olarak oturum açmak için gizli dizi değerini uygulamanın istemci kimliğiyle birlikte sağlayacaksınız.

Kaynaklarda erişim ilkelerini yapılandırma

Uygulamanızın erişmesi gereken kaynaklar üzerinde ek izinler yapılandırmanız gerekebilir. Örneğin, uygulamanızın anahtarlara, gizli dizilere veya sertifikalara erişmesini sağlamak için bir anahtar kasasının erişim ilkelerini de güncelleştirmeniz gerekir.

Erişim ilkelerini yapılandırmak için:

  1. Azure Portal’ında oturum açın.

  2. Anahtar kasanızı seçin ve Erişim ilkeleri'ni seçin.

  3. Erişim ilkesi ekle'yi ve ardından uygulamanıza vermek istediğiniz anahtar, gizli dizi ve sertifika izinlerini seçin. Daha önce oluşturduğunuz hizmet sorumlusunu seçin.

  4. Erişim ilkesini eklemek için Ekle'yi ve ardından Kaydet'i seçin.

    Erişim ilkesi ekleme