Microsoft Graph uygulamasını kaydetme

Önemli

1 Mayıs 2025 tarihinden itibaren Azure AD B2C artık yeni müşteriler için satın alınamayacak. SSS bölümünden daha fazla bilgi edinebilirsiniz.

Microsoft Graph , Azure AD B2C kiracınızdaki müşteri kullanıcı hesapları ve özel ilkeler dahil olmak üzere birçok kaynağı yönetmenize olanak tanır. Microsoft Graph API'sini çağıran betikler veya uygulamalar yazarak aşağıdakiler gibi kiracı yönetim görevlerini otomatikleştirebilirsiniz:

• Mevcut kullanıcı depolarını Azure AD B2C kiracısına geçirme
• Azure DevOps'ta Azure Pipeline ile özel ilkeler dağıtma ve özel ilke anahtarlarını yönetme
• Kullanıcı kaydını kendi sayfanızda barındırın ve arka planda Azure AD B2C dizininizde kullanıcı hesapları oluşturun
• Uygulama kaydını otomatikleştirme
• Denetim günlüklerini alma

Aşağıdaki bölümler, Azure AD B2C dizininizdeki kaynakların yönetimini otomatikleştirmek için Microsoft Graph API'sini kullanmaya hazırlanmanıza yardımcı olur.

Microsoft Graph API etkileşim modları

Azure AD B2C kiracınızdaki kaynakları yönetmek için Microsoft Graph API'siyle çalışırken kullanabileceğiniz iki iletişim modu vardır:

• Etkileşimli - Bir kez çalıştır görevleri için uygun olan yönetim görevlerini gerçekleştirmek için B2C kiracısında bir yönetici hesabı kullanırsınız. Bu mod, bir yöneticinin Microsoft Graph API'sini çağırmadan önce kimlik bilgilerini kullanarak oturum açmasını gerektirir.

• Otomatik - Zamanlanmış veya sürekli çalıştırılan görevler için bu yöntem, yönetim görevlerini gerçekleştirmek için gereken izinlerle yapılandırdığınız bir hizmet hesabı kullanır. Uygulama (İstemci) Kimliğini ve OAuth 2.0 istemci kimlik bilgilerini kullanarak uygulamalarınızın ve betiklerinizin kimlik doğrulaması için kullandığı bir uygulamayı kaydederek Azure AD B2C'de "hizmet hesabını" oluşturursunuz. Bu durumda uygulama, daha önce açıklanan etkileşimli yöntemde olduğu gibi yönetici kullanıcıyı değil Microsoft Graph API'sini çağırmak için kendisi gibi davranır.

Aşağıdaki bölümlerde gösterilen bir uygulama kaydı oluşturarak Otomatik etkileşim senaryosunu etkinleştirebilirsiniz.

Azure AD B2C kimlik doğrulama hizmeti, OAuth 2.0 istemci kimlik bilgileri verme akışını (şu anda genel önizleme aşamasındadır) doğrudan destekler, ancak Azure AD B2C kaynaklarınızı Microsoft Graph API aracılığıyla yönetmek için kullanamazsınız. Ancak, Azure AD B2C kiracınızdaki bir uygulama için Microsoft Entra Id ve Microsoft kimlik platformu uç noktasını kullanarak /token ayarlayabilirsiniz.

Yönetim uygulamasını kaydetme

Betikleriniz ve uygulamalarınız Azure AD B2C kaynaklarını yönetmek için Microsoft Graph API'siyle etkileşime geçmeden önce, Azure AD B2C kiracınızda gerekli API izinlerini veren bir uygulama kaydı oluşturmanız gerekir.

1. Azure portalınaoturum açın.
2. Birden çok kiracıya erişiminiz varsa Azure AD B2C kiracınıza geçiş yapmak için Dizinler + abonelikler menüsünde, üstteki menüden Ayarlar simgesini seçin.
3. Azure portalında Azure AD B2C'yi arayın ve seçin.
4. Uygulama kayıtlarıöğesini seçin, ve ardından Yeni kayıtöğesini seçin.
5. Uygulama için bir Ad girin. Örneğin , managementapp1.
6. Yalnızca bu kuruluş dizininde Hesaplar'ı seçin.
7. İzinler'in altında Openid ve offline_access izinlerine yönetici onayı ver onay kutusunu temizleyin.
8. Kaydıseçin.
9. Uygulamaya genel bakış sayfasında görüntülenen Uygulama (istemci) kimliğini kaydedin. Bu değeri sonraki bir adımda kullanacaksınız.

API erişimi verme

Uygulamanızın Microsoft Graph'teki verilere erişmesi için kayıtlı uygulamaya ilgili uygulama izinlerini verin. Uygulamanızın etkili izinleri, izin tarafından ima edilen tüm ayrıcalık düzeyidir. Örneğin, Azure AD B2C kiracınızdaki her kullanıcıyı oluşturmak, okumak, güncelleştirmek ve silmek için User.ReadWrite.All iznini ekleyin.

Uyarı

User.ReadWrite.All izni, kullanıcı hesabı parolalarını güncelleştirme özelliğini içermez. Uygulamanızın kullanıcı hesabı parolalarını güncelleştirmesi gerekiyorsa, kullanıcı yöneticisi rolü verin. Kullanıcı yöneticisi rolü verildiğinde User.ReadWrite.All gerekli değildir. Kullanıcı yöneticisi rolü, kullanıcıları yönetmek için gereken her şeyi içerir.

Uygulamanıza birden çok uygulama izni verilmektedir. Örneğin, uygulamanızın Azure AD B2C kiracınızdaki grupları da yönetmesi gerekiyorsa Group.ReadWrite.All iznini de ekleyin.

Uygulama kayıtları

1. Yönet altında API izinleri'ni seçin.
2. Yapılandırılan izinler'in altında İzin ekle'yi seçin.
3. Microsoft API'leri sekmesini ve ardından Microsoft Graph'ı seçin.
4. Uygulama izinleri'ni seçin.
5. Uygun izin grubunu genişletin ve yönetim uygulamanıza vermek istediğiniz iznin onay kutusunu seçin. Örneğin:
   • User>User.ReadWrite.All: Kullanıcı geçişi veya kullanıcı yönetimi senaryoları için.
   • Group>Group.ReadWrite.All: Grup oluşturmak için grup üyeliklerini okuyun ve güncelleştirin ve grupları silin.
   • AuditLog>AuditLog.Read.All: Dizinin denetim günlüklerini okumak için.
   • Policy>Policy.ReadWrite.TrustFramework: Sürekli tümleştirme/sürekli teslim (CI/CD) senaryoları için. Örneğin, Azure Pipelines ile özel ilke dağıtımı.
6. İzinler ekle'yi seçin. Belirtildiği gibi, sonraki adıma geçmeden önce birkaç dakika bekleyin.
7. (Kiracı adınız) için Yönetici onayı ver'i seçin.
8. Azure AD B2C kiracınızda Bulut Uygulaması Yöneticisi rolü atanmış bir hesapla oturum açın ve (kiracı adınız) için yönetici onayı ver'i seçin.
9. Yenile seçin ve ardından Durum altında "Verildi: ..." ifadesinin göründüğünü doğrulayın. İzinlerin yayılması birkaç dakika sürebilir.

[İsteğe bağlı] Kullanıcı yöneticisi rolü verme

Uygulamanızın veya betiğinizin kullanıcıların parolalarını güncelleştirmesi gerekiyorsa, uygulamanıza Kullanıcı yöneticisi rolünü atamanız gerekir. Kullanıcı yöneticisi rolü, uygulamanıza belirlediğiniz sabit bir izin kümesine sahiptir.

Kullanıcı yöneticisi rolünü eklemek için şu adımları izleyin:

1. Azure portalınaoturum açın.
2. Birden çok kiracıya erişiminiz varsa Azure AD B2C kiracınıza geçiş yapmak için Dizinler + abonelikler menüsünde, üstteki menüden Ayarlar simgesini seçin.
3. Azure AD B2C'yi arayıp seçin.
4. Yönet'in altında Roller ve yöneticiler'i seçin.
5. Kullanıcı yöneticisi rolünü seçin.
6. Ödev ekle'yi seçin.
7. Seç metin kutusuna, daha önce kaydettiğiniz uygulamanın adını veya kimliğini (örneğin, managementapp1) girin. Arama sonuçlarında göründüğünde uygulamanızı seçin.
8. Add (Ekle) seçeneğini belirleyin. İzinlerin tamamen yayılması birkaç dakika sürebilir.

İstemci gizli oluştur

Uygulamanızın jeton isteğinde bulunurken kimliğini kanıtlamak için bir istemci gizli anahtarına ihtiyacı var. İstemci gizli anahtarını eklemek için şu adımları izleyin:

Uygulama kayıtları

1. Yönet altında Sertifikalar ve gizli anahtarlar'ı seçin.
2. Yeni istemci gizli anahtarını seçin.
3. Açıklama kutusuna istemci sırrı için bir açıklama girin. Örneğin, clientsecret1.
4. Süre Sonu altında, gizli anahtarın geçerli olacağı süreyi seçin ve ardından Ekle'yi seçin.
5. Sırrın Değerini kaydedin. Bu değeri sonraki bir adımda yapılandırma için kullanacaksınız.

Uygulamalar (Eski)

1. API ACCESS'in altında Anahtarlar'ı seçin.
2. Anahtar açıklaması kutusuna anahtar için bir açıklama girin. Örneğin, clientsecret1.
3. Bir geçerlilik Süresi seçin ve ardından Kaydet'i seçin.
4. Anahtarın VALUE değerini kaydedin. Bu değeri sonraki bir adımda yapılandırma için kullanacaksınız.

Sonraki Adımlar

Artık yönetim uygulamanızı kaydettiniz ve gerekli izinleri verdiyseniz, uygulamalarınız ve hizmetleriniz (örneğin, Azure Pipelines) Microsoft Graph API'siyle etkileşime geçmek için kimlik bilgilerini ve izinlerini kullanabilir.

• Microsoft Entra Id'den erişim belirteci alma
• Microsoft Graph'ı çağırmak için erişim belirtecini kullanma
• Microsoft Graph tarafından desteklenen B2C işlemleri
• Microsoft Graph ile Azure AD B2C kullanıcı hesaplarını yönetme
• Microsoft Entra raporlama API'siyle denetim günlüklerini alma