Microsoft 365 kullanıcıları için tek kiracılı ve çok kiracılı kimlik doğrulaması

Bu makale, tek kiracılı ve çok kiracılı Microsoft Entra ID (Microsoft Entra ID ) uygulamaları için kimlik doğrulama işlemi hakkında içgörü sağlar. Microsoft 365 kullanıcıları için, Azure İletişim Hizmetleri kullanıma sunulan Arama yazılım geliştirme seti (SDK) ile arama deneyimleri oluştururken kimlik doğrulamasını kullanabilirsiniz. Bu makaledeki kullanım örnekleri tek tek kimlik doğrulama yapıtlarını da böler.

Olay 1: Tek kiracılı uygulama örneği

Fabrikam şirketi, şirket içi kullanım için bir uygulama oluşturmşu. Uygulamanın tüm kullanıcıları Microsoft Entra Id'ye sahiptir. Azure İletişim Hizmetleri erişim, Azure rol tabanlı erişim denetimi (Azure RBAC) tarafından denetlenır.

Aşağıdaki sıralı diyagramda tek kiracılı kimlik doğrulaması ayrıntılı olarak gösterilmiştir.

Başlamadan önce:

• Alice veya Microsoft Entra yöneticisinin, ilk oturum açma girişiminden önce özel Teams uygulamasına onay vermesi gerekir. Onay hakkında daha fazla bilgi edinin.
• Azure İletişim Hizmetleri kaynak yöneticisinin Alice'e rolünü gerçekleştirme izni vermesi gerekir. Azure RBAC rol ataması hakkında daha fazla bilgi edinin.

Adımlar:

1. Microsoft Entra Kimliğini kullanarak Alice'in kimliğini doğrulama: Alice'in kimliği, Microsoft Authentication Library (MSAL) ile standart bir OAuth akışı kullanılarak doğrulanır. Kimlik doğrulaması başarılı olursa, istemci uygulaması değeri ve değeri olan bir Microsoft Entra kullanıcısının A1 Nesne Kimliği ile bir A2Microsoft Entra erişim belirteci alır. Belirteçler bu makalenin devamında özetlenmiştir. Geliştirici perspektifinden kimlik doğrulaması bu hızlı başlangıçta inceleniyor.
2. Alice için erişim belirteci alma: Değeri B olan özel bir kimlik doğrulama yapıtı kullanarak Fabrikam uygulaması, Alice'in Azure İletişim Hizmetleri erişim belirteci için Microsoft Entra erişim belirtecini değiştirme izni olup olmadığına karar vermek için yetkilendirme mantığı gerçekleştirir. Başarılı yetkilendirmeden sonra Fabrikam uygulaması, , A2ve A3yapıtlarını A1kullanarak denetim düzlemi mantığı gerçekleştirir. Azure İletişim Hizmetleri erişim belirteciD, Fabrikam uygulamasında Alice için oluşturulur. Bu erişim belirteci, arama gibi Azure İletişim Hizmetleri veri düzlemi eylemleri için kullanılabilir. A2 ve A3 yapıtları doğrulama için yapıtla A1 birlikte geçirilir. Doğrulama, Microsoft Entra Belirtecinin beklenen kullanıcıya verildiğini garanti eder. Uygulama, saldırganların diğer uygulamalara veya diğer kullanıcılara verilen Microsoft Entra erişim belirteçlerini kullanmasını engeller. Yapıtları alma A hakkında daha fazla bilgi için bkz . MSAL kitaplığı aracılığıyla Microsoft Entra kullanıcı belirtecini ve nesne kimliğini alma ve Uygulama Kimliği Alma.
3. Arama Bob: Alice, Fabrikam'ın uygulamasıyla Microsoft 365 kullanıcısı Bob'a bir çağrı yapar. Çağrı, Azure İletişim Hizmetleri erişim belirteci ile Çağrı SDK'sı aracılığıyla gerçekleştirilir. Microsoft 365 kullanıcıları için uygulama geliştirme hakkında daha fazla bilgi edinin.

Yapı:

• Artifakı A1
  • Tür: Microsoft Entra erişim belirteci
  • İzleyici: Azure Communication Services, kontrol düzlemi
  • Kaynak: Fabrikam'ın Microsoft Entra kiracısı
  • İzinler: https://auth.msft.communication.azure.com/Teams.ManageCalls, https://auth.msft.communication.azure.com/Teams.ManageChats
• Artifakı A2
  • Tür: Microsoft Entra kullanıcısının Nesne Kimliği
  • Kaynak: Fabrikam'ın Microsoft Entra kiracısı
  • Yetkilisi: https://login.microsoftonline.com/<tenant>/
• Artifakı A3
  • Tür: Microsoft Entra uygulama kimliği
  • Kaynak: Fabrikam'ın Microsoft Entra kiracısı
• Artifakı B
  • Tür: Özel Fabrikam yetkilendirme yapıtı (Microsoft Entra Kimliği veya farklı bir yetkilendirme hizmeti tarafından verilir)
• Artifakı C
  • Tür: Azure İletişim Hizmetleri kaynak yetkilendirme yapıtı.
  • Kaynak: Microsoft Entra kimlik doğrulaması için taşıyıcı belirteci veya Karma Tabanlı İleti Kimlik Doğrulama Kodu (HMAC) yükü ve erişim anahtarı tabanlı kimlik doğrulaması için imza içeren "Yetkilendirme" HTTP üst bilgisi.
• Artifakı D
  • Tür: erişim belirtecini Azure İletişim Hizmetleri
  • hedef kitle: Azure Communication Services, veri düzlemi
  • Azure İletişim Hizmetleri Kaynak Kimliği: Fabrikam'ınAzure Communication Services Resource ID

Olay 2: Çok kiracılı uygulama örneği

Contoso şirketi dış müşteriler için bir uygulama oluşturmİştir. Bu uygulama Contoso'nun kendi altyapısında özel kimlik doğrulaması kullanır. Contoso, Fabrikam'ın uygulamasından belirteçleri almak için bir bağlantı dizesi kullanır.

Aşağıdaki sıralı diyagramda çok kiracılı kimlik doğrulaması ayrıntılı olarak gösterilmiştir.

Başlamadan önce:

• Alice veya Microsoft Entra yöneticisinin ilk oturum açma girişiminden önce Contoso'nun Microsoft Entra uygulamasına onay vermesi gerekir. Onay hakkında daha fazla bilgi edinin.

Adımlar:

1. Fabrikam uygulamasını kullanarak Alice'in kimliğini doğrula: Alice'in kimliği Fabrikam'ın uygulaması aracılığıyla doğrulanır. Microsoft Authentication Library (MSAL) ile standart bir OAuth akışı kullanılır. MSAL'yi doğru bir yetkiliyle yapılandırdığınızdan emin olun. Kimlik doğrulaması başarılı olursa Contoso istemci uygulaması değeri olan bir A1 Microsoft Entra erişim belirteci ve değeri olan A2bir Microsoft Entra kullanıcısının Nesne Kimliği alır. Belirteç ayrıntıları aşağıda özetlenmiştir. Geliştirici perspektifinden kimlik doğrulaması bu hızlı başlangıçta inceleniyor.
2. Alice için erişim belirteci alma: Değer B içeren özel bir kimlik doğrulama yapıtı kullanarak Contoso uygulaması, Alice'in microsoft entra erişim belirtecini Azure İletişim Hizmetleri erişim belirteci için değiştirme izni olup olmadığına karar vermek için yetkilendirme mantığı gerçekleştirir. Başarılı yetkilendirmeden sonra Contoso uygulaması , A2ve A3yapıtlarını A1kullanarak denetim düzlemi mantığı gerçekleştirir. Contoso uygulamasında Alice için bir Azure İletişim Hizmetleri erişim belirteci D oluşturulur. Bu erişim belirteci, arama gibi Azure İletişim Hizmetleri veri düzlemi eylemleri için kullanılabilir. A2 ve A3 yapıtları ile birlikte A1geçirilir. Doğrulama, Microsoft Entra Belirtecinin beklenen kullanıcıya verildiğini garanti eder. Uygulama, saldırganların diğer uygulamalara veya diğer kullanıcılara verilen Microsoft Entra erişim belirteçlerini kullanmasını engeller. Yapıtları alma A hakkında daha fazla bilgi için bkz . MSAL kitaplığı aracılığıyla Microsoft Entra kullanıcı belirtecini ve nesne kimliğini alma ve Uygulama Kimliği Alma.
3. Arama Bob: Alice, Fabrikam'ın uygulamasıyla Microsoft 365 kullanıcısı Bob'a bir çağrı yapar. Çağrı, Azure İletişim Hizmetleri erişim belirteci ile Çağrı SDK'sı aracılığıyla gerçekleştirilir. Bu hızlı başlangıçta Microsoft 365 kullanıcıları için uygulama geliştirme hakkında daha fazla bilgi edinin.

Yapı:

• Artifakı A1
  • Tür: Microsoft Entra erişim belirteci
  • İzleyici: Azure Communication Services, kontrol düzlemi
  • Kaynak: Contoso uygulama kaydının Microsoft Entra kiracısı
  • İzin: https://auth.msft.communication.azure.com/Teams.ManageCalls, https://auth.msft.communication.azure.com/Teams.ManageChats
• Artifakı A2
  • Tür: Microsoft Entra kullanıcısının Nesne Kimliği
  • Kaynak: Fabrikam'ın Microsoft Entra kiracısı
  • Yetkili: https://login.microsoftonline.com/<tenant>/ veya https://login.microsoftonline.com/organizations/ (senaryonuza göre )
• Artifakı A3
  • Tür: Microsoft Entra uygulama kimliği
  • Kaynak: Contoso uygulama kaydının Microsoft Entra kiracısı
• Artifakı B
  • Tür: Özel Contoso yetkilendirme yapıtı (Microsoft Entra Kimliği veya farklı bir yetkilendirme hizmeti tarafından verilir)
• Artifakı C
  • Tür: Azure İletişim Hizmetleri kaynak yetkilendirme yapıtı.
  • Kaynak: Microsoft Entra kimlik doğrulaması için taşıyıcı belirteci veya Karma Tabanlı İleti Kimlik Doğrulama Kodu (HMAC) yükü ve erişim anahtarı tabanlı kimlik doğrulaması için imza içeren "Yetkilendirme" HTTP üst bilgisi
• Artifakı D
  • Tür: erişim belirtecini Azure İletişim Hizmetleri
  • hedef kitle: Azure Communication Services, veri düzlemi
  • Azure İletişim Hizmetleri Kaynak Kimliği: Contoso'nunAzure Communication Services Resource ID

Sonraki adımlar

• Kimlik doğrulaması hakkında daha fazla bilgi edinin.
• Microsoft 365 kullanıcılarının kimliğini doğrulamak için bu hızlı başlangıcı deneyin.
• Bir Microsoft 365 kullanıcısını çağırmak için bu hızlı başlangıcı deneyin.

Aşağıdaki örnek uygulamalar ilginizi çekebilir:

• Mobil ve masaüstü uygulamalarında Microsoft 365 kullanıcıları için Azure İletişim Hizmetleri erişim belirteçleri alma sürecini gösteren Örnek Uygulamayı deneyin.

• Microsoft 365 kullanıcılarına yönelik Azure İletişim Hizmetleri erişim belirteçlerinin tek sayfalı bir uygulamada nasıl edinilmiş olduğunu görmek için SPA örnek uygulamasına göz atın.

• Azure İletişim Hizmetleri için bir kimlik doğrulama hizmetinin sunucu uygulaması hakkında daha fazla bilgi edinmek için Kimlik doğrulama hizmeti hero örneğine göz atın.