Microsoft kimlik platformu ile uygulama oturum açma akışı

Bu konuda, Microsoft kimlik platformu kullanan web, masaüstü ve mobil uygulamalar için temel oturum açma akışı açıklanmaktadır. Microsoft kimlik platformu tarafından desteklenen oturum açma senaryoları hakkında bilgi edinmek için bkz. Kimlik doğrulama akışları ve uygulama senaryoları.

Web uygulaması oturum açma akışı

Kullanıcı tarayıcıda bir web uygulamasına gittiği zaman aşağıdakiler gerçekleşir:

  • Web uygulaması, kullanıcının kimliğinin doğrulanıp doğrulanamadığını belirler.
  • Kullanıcının kimliği doğrulanmamışsa, web uygulaması kullanıcı oturum açmak için Microsoft Entra Id'yi temsil eder. Bu oturum açma, kuruluşun ilkesiyle uyumlu olacaktır. Bu, kullanıcıdan kimlik bilgilerini girmesini istemek, çok faktörlü kimlik doğrulaması (bazen iki öğeli kimlik doğrulaması veya 2FA olarak da adlandırılır) veya hiç parola kullanmamak (örneğin, Windows Hello kullanmak) anlamına gelebilir.
  • Kullanıcıdan istemci uygulamasının ihtiyaç duyduğu erişimi onaylaması istenir. bu nedenle, Microsoft kimlik platformu kullanıcının onay vermiş olduğu erişimi temsil eden belirteçler sunabilmesi için istemci uygulamalarının Microsoft Entra ID'ye kaydedilmesi gerekir.

Kullanıcı başarıyla kimlik doğrulamasından geçtiğinde:

  • Microsoft kimlik platformu web uygulamasına bir belirteç gönderir.
  • Tarayıcının tanımlama bilgisi jar'ında kullanıcının kimliğini içeren bir Microsoft Entra etki alanıyla ilişkili bir tanımlama bilgisi kaydedilir. Bir uygulama Microsoft kimlik platformu yetkilendirme uç noktasına gitmek için tarayıcıyı bir sonraki kullanışında, kullanıcının yeniden oturum açması gerekmemesi için tarayıcı tanımlama bilgisini sunar. Bu aynı zamanda SSO'nun başarıldığı yoldur. Tanımlama bilgisi Microsoft Entra Id tarafından üretilir ve yalnızca Microsoft Entra Id ile anlaşılabilir.
  • Ardından web uygulaması belirteci doğrular. Doğrulama başarılı olursa, web uygulaması korumalı sayfayı görüntüler ve tarayıcının tanımlama bilgisi jar'ında oturum tanımlama bilgisini kaydeder. Kullanıcı başka bir sayfaya gittiği zaman, web uygulaması oturum tanımlama bilgisine göre kullanıcının kimliğinin doğrulandığını bilir.

Aşağıdaki sıralı diyagram bu etkileşimi özetler:

web app authentication process

Bir web uygulaması kullanıcının kimliğinin doğrulanmış olup olmadığını nasıl belirler?

Web uygulaması geliştiricileri, belirli sayfaların tümünün mi yoksa yalnızca belirli sayfaların mı kimlik doğrulaması gerektirdiğini belirtebilir. Örneğin, ASP.NET/ASP.NET Core'da bu işlem, denetleyici eylemlerine [Authorize] özniteliği eklenerek gerçekleştirilir.

Bu öznitelik, ASP.NET kullanıcının kimliğini içeren bir oturum tanımlama bilgisinin varlığını denetlemesine neden olur. Tanımlama bilgisi yoksa ASP.NET kimlik doğrulamasını belirtilen kimlik sağlayıcısına yönlendirir. Kimlik sağlayıcısı Microsoft Entra Id ise, web uygulaması kimlik doğrulamasını https://login.microsoftonline.comöğesine yönlendirir ve bu da bir oturum açma iletişim kutusu görüntüler.

Bir web uygulamasının Microsoft kimlik platformu oturum açma temsilcilerini kullanma ve belirteç alma

Kullanıcı kimlik doğrulaması tarayıcı üzerinden gerçekleşir. OpenID protokolü standart HTTP protokolü iletilerini kullanır.

  • Web uygulaması, Microsoft kimlik platformu kullanmak için tarayıcıya bir HTTP 302 (yeniden yönlendirme) gönderir.
  • Kullanıcının kimliği doğrulandığında, Microsoft kimlik platformu tarayıcı üzerinden bir yeniden yönlendirme kullanarak belirteci web uygulamasına gönderir.
  • Yeniden yönlendirme, web uygulaması tarafından yeniden yönlendirme URI'si biçiminde sağlanır. Bu yeniden yönlendirme URI'si Microsoft Entra uygulama nesnesine kaydedilir. Uygulama çeşitli URL'lerde dağıtılabildiği için çeşitli yeniden yönlendirme URI'leri olabilir. Bu nedenle web uygulamasının kullanılacak yeniden yönlendirme URI'sini de belirtmesi gerekir.
  • Microsoft Entra Id, web uygulaması tarafından gönderilen yeniden yönlendirme URI'sinin uygulamanın kayıtlı yeniden yönlendirme URI'lerinden biri olduğunu doğrular.

Masaüstü ve mobil uygulama oturum açma akışı

Yukarıda açıklanan akış, masaüstü ve mobil uygulamalar için küçük farklılıklarla geçerlidir.

Masaüstü ve mobil uygulamalar, kimlik doğrulaması için ekli Web denetimi veya sistem tarayıcısı kullanabilir. Aşağıdaki diyagramda, bir Masaüstü veya mobil uygulamanın erişim belirteçleri almak ve web API'lerini çağırmak için Microsoft Kimlik Doğrulama Kitaplığı'nı (MSAL) nasıl kullandığı gösterilmektedir.

Desktop app how it appears to be

MSAL, belirteçleri almak için bir tarayıcı kullanır. Web uygulamalarında olduğu gibi kimlik doğrulaması da Microsoft kimlik platformu için temsilci olarak verilir.

Microsoft Entra Id, web uygulamalarıyla aynı kimlik tanımlama bilgisini tarayıcıya kaydettiğinden, yerel veya mobil uygulama sistem tarayıcısını kullanırsa, ilgili web uygulamasıyla hemen SSO alır.

MSAL varsayılan olarak sistem tarayıcısını kullanır. Ekli denetimin daha tümleşik bir kullanıcı deneyimi sağlamak için kullanıldığı .NET Framework masaüstü uygulamaları özel durumdur.

Sonraki adımlar

Kimlik doğrulaması ve yetkilendirmeyle ilgili temel bilgileri kapsayan diğer konular için:

Uygulama oturum açma akışı hakkında daha fazla bilgi edinmek için:

  • Microsoft kimlik platformu tarafından desteklenen kullanıcıların kimliğini doğrulamaya yönelik diğer senaryolar hakkında daha fazla bilgi edinmek için bkz. Kimlik doğrulama akışları ve uygulama senaryoları.
  • Tek ve kolaylaştırılmış bir programlama modelinde Microsoft Hesapları, Microsoft Entra hesapları ve Azure AD B2C kullanıcıları ile çalışan uygulamalar geliştirmenize yardımcı olan Microsoft kitaplıkları hakkında bilgi edinmek için bkz . MSAL kitaplıkları .