Aracılığıyla paylaş

Bölge tabanlı yaklaşımla genel kimlik çözümü oluşturma

Önemli

1 Mayıs 2025 tarihinden itibaren Azure AD B2C artık yeni müşteriler için satın alınamayacak. SSS bölümünden daha fazla bilgi edinebilirsiniz.

Bu makalede, bölge tabanlı tasarım yaklaşımına yönelik senaryolar açıklanmaktadır. Tasarıma başlamadan önce hem huni hem de bölge tabanlı tasarım yaklaşımının özelliklerini ve performansını gözden geçirmeniz önerilir.

Tasarımlar şu şekilde hesaplanmıştır:

  • Yerel Hesap kaydolma ve oturum açma
  • Federasyon hesabına kaydolma ve oturum açma
  • Kiracılar arası API tabanlı kimlik doğrulaması tarafından desteklenen, kayıtlı bölge dışından oturum açmış kullanıcılar için yerel hesapların kimliğini doğrulama.
  • Kayıtlı bölgelerinin dışından oturum açmış olan kullanıcılar için federasyon hesaplarının kimliğini doğrulama, kiracılar arası API tabanlı arama ile desteklenir
  • Birden çok farklı bölgeden kaydolmayı engeller
  • Her bölgedeki uygulamaların bağlanacak bir uç nokta kümesi vardır

Yerel hesap kimlik doğrulamaları

Aşağıdaki kullanım örnekleri genel bir Azure AD B2C ortamında tipiktir. Yerel hesap kullanım örnekleri, kullanıcının seyahat ettiği hesapları da kapsar. Her bir kullanım örneği için bir diyagram ve iş akışı adımları sağlar.

Yerel kullanıcı kaydolma

Bu kullanım örneği, kendi ülkesinden/bölgesinden bir kullanıcının Azure AD B2C Yerel Hesabı ile nasıl kaydolma gerçekleştirduğunu gösterir.

Yerel kullanıcı kayıt akışını gösteren ekran görüntüsü.

  1. Avrupa, Orta Doğu ve Afrika (EMEA) kullanıcısı myapp.fr kaydolmaya çalışır. Kullanıcı yerel ana bilgisayar adına gönderilmiyorsa, trafik yöneticisi yeniden yönlendirmeyi zorlar.

  2. Kullanıcı EMEA barındırma alanına iniş yapar.

  3. Kullanıcı kaydolmaya çalışır. Kaydolma işlemi, kullanıcının bölgesel Azure AD B2C kiracılarından birinde mevcut olup olmadığını belirlemek için genel arama tablosunu denetler.

  4. Kullanıcı genel arama tablosunda bulunmaz. Kullanıcının hesabı Azure AD B2C'ye yazılır ve kullanıcının kaydolduğunu bölgeyi izlemek için genel arama tablosuna bir kayıt oluşturulur.

  5. Bölgesel kiracı, uygulamaya bir belirteci geri gönderir.

Mevcut yerel kullanıcı kaydolmaya çalışıyor

Bu kullanım örneği, aynı e-postayı kendi ülkesinden/bölgesinden veya farklı bir bölgeden yeniden kaydeden bir kullanıcının nasıl engellendiğini gösterir.

Mevcut yerel kullanıcı kaydolma denemesi akışını gösteren ekran görüntüsü.

  1. EMEA kullanıcısı myapp.fr kaydolmaya çalışır. Kullanıcı yerel ana bilgisayar adına gönderilmiyorsa, trafik yöneticisi yeniden yönlendirmeyi zorlar.

  2. Kullanıcı EMEA barındırma alanına iniş yapar.

  3. Kullanıcı kaydolmaya çalışır. Kaydolma işlemi, kullanıcının bölgesel Azure AD B2C kiracılarından birinde mevcut olup olmadığını belirlemek için genel arama tablosunu denetler.

  4. Kullanıcının e-postası genel arama tablosunda bulunur ve kullanıcının bu e-postayı önceden bir noktada çözüme kaydettiğini gösterir.

  5. Kullanıcıya, hesabının mevcut olduğunu belirten bir hata gösterilir.

Yerel kullanıcı oturum açma

Bu kullanım örneği, kendi ülkesinden/bölgesinden bir kullanıcının Azure AD B2C yerel hesabıyla nasıl oturum açma gerçekleştirduğunu gösterir.

Yerel kullanıcı oturum açma akışını gösteren ekran görüntüsü.

  1. EMEA kullanıcısı myapp.fr oturum açmayı dener. Kullanıcı yerel ana bilgisayar adına gönderilmiyorsa, trafik yöneticisi yeniden yönlendirmeyi zorlar.

  2. Kullanıcı EMEA barındırma alanına iniş yapar.

  3. Kullanıcı kimlik bilgilerini bölgesel kiracıya girer.

  4. Bölgesel kiracı, uygulamaya geri bir belirteç gönderir.

  5. Kullanıcı uygulamada oturum açtı.

Seyahat eden kullanıcı oturum açma

Bu kullanım örneği, bir kullanıcının bölgeler arasında nasıl gezinebileceğini ve kaydolmasıyla ilgili olarak bölgesel kiracısında depolanan kullanıcı profilini ve kimlik bilgilerini nasıl koruyabileceğini gösterir.

Seyahat eden kullanıcı oturum açma akışını gösteren ekran görüntüsü.

  1. Kuzey Amerika (NOAM) kullanıcısı, Fransa'da tatilde oldukları için myapp.fr'da oturum açmaya çalışır. Kullanıcı yerel ana bilgisayar adına gönderilmiyorsa, trafik yöneticisi yeniden yönlendirmeyi zorlar.

  2. Kullanıcı EMEA barındırma alanına iniş yapar.

  3. Kullanıcı kimlik bilgilerini bölgesel kiracıya girer.

  4. Kullanıcının e-postası EMEA Azure AD B2C dizininde bulunamadığından bölgesel kiracı genel arama tablosunda bir arama gerçekleştirir.

  5. Kullanıcının e-postası NOAM Azure AD B2C kiracısında kayıtlı olarak bulunur.

  6. EMEA Azure AD B2C kiracısı, kimlik bilgilerini doğrulamak için NOAM Azure AD B2C kiracısına karşı bir Microsoft Entra ROPC akışı gerçekleştirir.

    Uyarı

    Bu çağrı ayrıca kullanıcının Graph API çağrısı gerçekleştirmesi için bir belirteç getirir. EMEA Azure AD B2C kiracısı, kullanıcının profilini getirmek için NOAM Azure AD B2C kiracısına bir Graph API çağrısı gerçekleştirir. Bu çağrının kimliği, son adımda alınan Graph API'sinin erişim belirteci tarafından doğrulanır.

  7. Bölgesel kiracı, token geri alma uygulaması gönderir.

Yerel kullanıcı parolayı unuttu

Bu kullanım örneği, bir kullanıcının kendi ülkesi/bölgesi içindeyken parolasını nasıl sıfırlayabileceğinizi gösterir.

Yerel kullanıcının parola akışını unuttuğunu gösteren ekran görüntüsü.

  1. EMEA kullanıcısı myapp.fr oturum açmayı dener. Kullanıcı yerel ana bilgisayar adına gönderilmiyorsa, trafik yöneticisi yeniden yönlendirmeyi zorlar.

  2. Kullanıcı EMEA Azure AD B2C kiracıya ulaşır ve parolayı unuttum seçeneğini belirler. Kullanıcı e-posta adresini girer ve doğrular.

  3. Kullanıcının hangi bölgesel kiracıda var olduğunu belirlemek için e-posta araması gerçekleştirilir.

  4. Kullanıcı yeni bir parola sağlar.

  5. Yeni parola EMEA Azure AD B2C kiracısına yazılır.

  6. Bölgesel kiracı, uygulamaya bir belirteci geri gönderir.

Seyahat eden kullanıcı parolayı unuttu

Bu kullanım örneği, bir kullanıcının hesabını kaydettiği bölgeden uzaklaşırken parolasını nasıl sıfırlayabileceğinizi gösterir.

Seyahat eden kullanıcının parola akışını unuttuğunu gösteren ekran görüntüsü.

  1. NOAM kullanıcısı, Fransa'da tatilde oldukları için myapp.fr'da oturum açmaya çalışır. Kullanıcı yerel ana bilgisayar adına gönderilmiyorsa, trafik yöneticisi yeniden yönlendirmeyi zorlar.

  2. Kullanıcı EMEA Azure AD B2C kiracıya ulaşır ve parolayı unuttum seçeneğini belirler. Kullanıcı e-posta adresini girer ve doğrular.

  3. Kullanıcının hangi bölgesel kiracıda var olduğunu belirlemek için e-posta araması gerçekleştirilir.

  4. E-postanın NOAM Azure AD B2C kiracısında mevcut olduğu tespit edilir. Kullanıcı yeni bir parola sağlar.

  5. Yeni parola, Graph API çağrısı aracılığıyla NOAM Azure AD B2C kiracısına yazılır.

  6. Bölgesel kiracı, uygulamaya bir belirteci geri gönderir.

Yerel kullanıcı parolası değişikliği

Bu kullanım örneği, bir kullanıcının hesabını kaydettiği bölgede oturum açtıktan sonra parolasını nasıl değiştirebileceğini gösterir.

Yerel kullanıcı değiştirme parola akışını gösteren ekran görüntüsü.

  1. EMEA'dan kullanıcı, myapp.fr oturum açtıktan sonra parolayı değiştir'i seçer.

  2. Kullanıcı EMEA Azure AD B2C kiracısına ulaşır ve Single-Sign Açık (SSO) tanımlama bilgisi kümesi kullanıcının parolasını hemen değiştirmesine olanak tanır.

  3. Yeni parola, EMEA Azure AD B2C kiracısında kullanıcı hesabına yazılır.

  4. Bölgesel kiracı, uygulamaya bir belirteci geri gönderir.

Seyahat eden kullanıcı parolası değişikliği

Bu kullanım örneği, kullanıcının oturum açtıktan sonra parolasını, hesabını kaydettiği bölgeden uzakta nasıl değiştirebileceğini gösterir.

Seyahat eden kullanıcının parola değiştirme akışını gösteren ekran görüntüsü.

  1. NOAM kullanıcıları, myapp.fr oturum açtıktan sonra parola değiştir'i seçmeye çalışır.

  2. Kullanıcı EMEA Azure AD B2C kiracısına ulaşır ve SSO tanımlama bilgisi kümesi kullanıcının parolasını hemen değiştirmesine olanak tanır.

  3. Küresel arama tablosu kontrol edildikten sonra, kullanıcının e-postasının NOAM kiracısında olduğu tespit edilmiştir.

  4. Yeni parola, MS Graph API çağrısıyla NOAM Azure AD B2C kiracısında kullanıcı hesabına yazılır.

  5. Bölgesel kiracı, uygulamaya bir belirteci geri gönderir.

Federasyon Kimlik Sağlayıcısı kimlik doğrulamaları

Aşağıdaki kullanım örnekleri, Azure AD B2C istemcisi olarak kaydolmak veya oturum açmak için federasyon kimliklerini kullanma örneklerini gösterir.

Yerel federe kimlik kaydı

Bu kullanım örneği, yerel bölgesinden bir kullanıcının federasyon kimliği kullanarak hizmete nasıl kaydolduğunu gösterir.

Kayıt akışını gösteren ekran görüntüsü.

  1. EMEA kullanıcısı myapp.fr kaydolmaya çalışır. Kullanıcı yerel ana bilgisayar adına gönderilmiyorsa, trafik yöneticisi yeniden yönlendirmeyi zorlar.

  2. Kullanıcı EMEA barındırma alanına iniş yapar.

  3. Kullanıcı, federasyon kimlik sağlayıcısıyla oturum açmayı seçer.

  4. Genel arama tablosunda bir arama gerçekleştirin.

    • Hesap bağlama kapsamındaysa: Federasyon IdP tanımlayıcısı veya federasyon IdP'sinden geri gelen e-posta arama tablosunda yoksa devam edin.

    • Hesap bağlama kapsamında değilse: Federasyon IdP'den geri gelen IdP tanımlayıcısı arama tablosunda yoksa devam edin.

  5. Kullanıcı hesabını EMEA Azure AD B2C kiracısına kaydedin.

  6. Bölgesel kiracı, uygulamaya bir belirteci geri gönderir.

Yerel federasyon kullanıcısı oturum açma

Bu kullanım örneği, yerel bölgesinden bir kullanıcının federasyon kimliği kullanarak hizmette nasıl oturum açtığını gösterir.

Ekran görüntüsü oturum açma akışını gösteriyor.

  1. EMEA kullanıcısı myapp.fr oturum açmayı dener. Kullanıcı yerel ana bilgisayar adına gönderilmiyorsa, trafik yöneticisi yeniden yönlendirmeyi zorlar.

  2. Kullanıcı EMEA barındırma alanına iniş yapar.

  3. Kullanıcı, federasyon kimlik sağlayıcısıyla oturum açmayı seçer.

  4. Genel arama tablosunda bir arama gerçekleştirin ve kullanıcının federasyon kimliğinin EMEA'da kayıtlı olduğunu onaylayın.

  5. Bölgesel kiracı, uygulamaya bir belirteci geri gönderir.

Seyahat eden federatif kullanıcı oturum açma

Bu senaryoda, kullanıcının kaydoldukları bölgeden uzakta bulunan bir kullanıcının federasyon IdP'si kullanarak hizmette nasıl oturum açma işlemi gerçekleştirdiği gösterilir.

Seyahat eden kullanıcı akışı için oturum açmayı gösteren ekran görüntüsü.

  1. NOAM kullanıcısı myapp.fr oturum açmayı dener. Kullanıcı yerel ana bilgisayar adına gönderilmiyorsa, trafik yöneticisi yeniden yönlendirmeyi zorlar.

  2. Kullanıcı EMEA barındırma alanına iniş yapar.

  3. Kullanıcı, federasyon kimlik sağlayıcısıyla oturum açmayı seçer.

    Uyarı

    Tüm Azure AD B2C bölgesel kiracılarında Social IdP'deki Uygulama Kaydı'ndan aynı Uygulama Kimliğini kullanın. Bu, Social IdP'den geri gelen kimliğin her zaman aynı olmasını sağlar.

  4. Genel arama tablosunda bir arama gerçekleştirin ve kullanıcının federasyon kimliğinin NOAM'ye kaydedildiğini belirleyin.

  5. MS Graph API'sini kullanarak NOAM Azure AD B2C kiracısından hesap verilerini okuyun.

  6. Bölgesel kiracı, uygulamaya bir belirteci geri gönderir.

Eşleşen ölçütlerle hesap bağlama

Bu senaryoda, eşleşen bir ölçüt (genellikle e-posta adresi) karşılandığında kullanıcıların hesap bağlamayı nasıl gerçekleştirebileceği gösterilir.

Hesap birleştirme/bağlama akışını gösteren ekran görüntüsü.

  1. EMEA kullanıcısı myapp.fr oturum açmayı dener. Kullanıcı yerel ana bilgisayar adına gönderilmiyorsa, trafik yöneticisi yeniden yönlendirmeyi zorlar.

  2. Kullanıcı EMEA barındırma alanına iniş yapar.

  3. Kullanıcı, federasyon kimlik sağlayıcısı/sosyal kimlik sağlayıcısıyla oturum açmayı seçer.

  4. Federe IdP'den döndürülen kimlik için küresel arama tablosunda bir arama gerçekleştirilir.

  5. Kimliğin mevcut olmadığı, ancak federasyon IdP'sinden gelen e-postanın EMEA Azure AD B2C'de mevcut olduğu durumlarda, bu bir hesap bağlama senaryosudur.

  6. Kullanıcıyı dizinden okuyun ve hesapta hangi kimlik doğrulama yöntemlerinin etkinleştirildiğini belirleyin. Kullanıcının bu hesaptaki mevcut bir kimlik doğrulama yöntemiyle oturum açması için bir ekran sunun.

  7. Kullanıcı Azure AD B2C'de hesabın sahibi olduğunu kanıtladıktan sonra yeni sosyal kimliği mevcut hesaba ekleyin ve genel arama tablosundaki hesaba sosyal kimliği ekleyin.

  8. Bölgesel kiracı, uygulamaya bir belirteci geri gönderir.

Eşleşen ölçütlerle bağlantılı seyahat eden kullanıcı hesabı

Bu senaryo, kullanıcıların bölgeden uzakta olduklarında hesap bağlamayı nasıl gerçekleştirebileceklerini gösterir.

Seyahat eden kullanıcı birleştirme/bağlantı hesapları akışını gösteren ekran görüntüsü.

  1. NOAM kullanıcısı myapp.fr oturum açmayı dener. Kullanıcı yerel ana bilgisayar adına gönderilmiyorsa, trafik yöneticisi yeniden yönlendirmeyi zorlar.

  2. Kullanıcı EMEA barındırma alanına iniş yapar.

  3. Kullanıcı, federasyon kimlik sağlayıcısı/sosyal kimlik sağlayıcısıyla oturum açmayı seçer.

  4. Federe IdP'den döndürülen kimlik için küresel arama tablosunda bir arama gerçekleştirilir.

  5. Kimliğin mevcut olmadığı ve federasyon IdP'sinden gelen e-postanın başka bir bölgede bulunduğu durumlarda, bu bir seyahat eden kullanıcı hesabı bağlama senaryosudur.

  6. Kullanıcıların şu anda talep topladığı onaylayan bir id_token_hint bağlantısı oluşturun. Federasyon kullanarak NOAM Azure AD B2C kiracısına bir yolculuk başlatma. Kullanıcı, NOAM Azure AD B2C kiracısı aracılığıyla hesabın sahibi olduğunu kanıtlayacaktır.

    Uyarı

    Bu yöntem, ana kiracıda mevcut hesap bağlama mantığını yeniden kullanmak ve kimlik koleksiyonunu işlemek için dış API çağrılarını azaltmak amacıyla kullanılır. id_token_hint kullanan bir özel ilke örneği burada bulunabilir.

  7. Kullanıcı Azure AD B2C'de hesabın sahibi olduğunu kanıtladıktan sonra, NOAM Azure AD B2C kiracısına graph API çağrısı yaparak yeni sosyal kimliği mevcut hesaba ekleyin. Genel arama tablosundaki hesaba sosyal kimlik ekleyin.

  8. Bölgesel kiracı, uygulamaya bir belirteci geri gönderir.

Sonraki Adımlar

  • Last updated on