Uygulama kimlik doğrulaması sertifikası kimlik bilgilerini Microsoft kimlik platformu

Microsoft kimlik platformu, örneğin OAuth 2.0 istemci kimlik bilgileri verme akışında ve adına (OBO) akışında bir istemci gizli dizisinin kullanılabilmesi için uygulamanın kimlik doğrulaması için kendi kimlik bilgilerini kullanmasına olanak tanır.

Bir uygulamanın kimlik doğrulaması için kullanabileceği bir kimlik bilgisi biçimi, uygulamanın sahip olduğu bir sertifikayla imzalanan bir JSON Web Belirteci (JWT) onayıdır. Bu, istemci kimlik doğrulaması seçeneği için OpenID Bağlan belirtiminde private_key_jwt açıklanmıştır.

Başka bir kimlik sağlayıcısı tarafından verilen bir JWT'yi uygulamanız için kimlik bilgisi olarak kullanmak istiyorsanız, federasyon ilkesi ayarlama hakkında bilgi için lütfen iş yükü kimlik federasyonu konusuna bakın.

Onay biçimi

Onaylama işlemini hesaplamak için istediğiniz dilde birçok JWT kitaplığından birini kullanabilirsiniz. MSAL bunu kullanarak .WithCertificate()destekler. Bilgiler belirteç tarafından Üst Bilgi, Talepler ve İmza içinde taşınır.

Parametre Açıklama
alg RS256 olmalıdır
typ JWT olmalıdır
x5t X.509 sertifikasının DER kodlamasının Base64url ile kodlanmış SHA-1 parmak izi. Örneğin, X.509 sertifika karması (Onaltılık 84E05C1D98BCE3A5421D225B140B36E86A3D5534 ) x5t verüldüğünde, talep (Base64url) olabilir hOBcHZi846VCHSJbFAs26Go9VTQ .

Talepler (yük)

Talep türü Value Açıklama
aud https://login.microsoftonline.com/{tenantId}/oauth2/v2.0/token "aud" (hedef kitle) talebi, JWT'nin hedeflediği alıcıları tanımlar (burada Microsoft Entra Kimliği) Bkz. RFC 7519, Bölüm 4.1.3. Bu durumda, bu alıcı oturum açma sunucusudur (login.microsoftonline.com).
exp 1601519414 "exp" (süre sonu) talebi, JWT'nin işlenmek üzere kabul edilmemesi gereken son kullanma süresini tanımlar. Bkz. RFC 7519, Bölüm 4.1.4. Bu, onaylama işleminin o zamana kadar kullanılmasını sağlar, bu nedenle en fazla 5-10 dakika sonra nbf kısa tutun. Microsoft Entra Id şu anda geçerli saate kısıtlama exp eklemez.
iss {ClientID} "iss" (veren) talebi, JWT'yi veren sorumluyu (bu örnekte istemci uygulamanızı) tanımlar. GUID uygulama kimliğini kullanın.
jti (guid) "jti" (JWT ID) talebi, JWT için benzersiz bir tanımlayıcı sağlar. Tanımlayıcı değeri, aynı değerin yanlışlıkla farklı bir veri nesnesine atanma olasılığını göz ardı edecek şekilde atanmalıdır ; uygulama birden çok veren kullanıyorsa, farklı verenler tarafından üretilen değerler arasında çakışmalar engellenmelidir. "jti" değeri büyük/küçük harfe duyarlı bir dizedir. RFC 7519, Bölüm 4.1.7
nbf 1601519114 "nbf" (daha önce değil) talebi, JWT'nin işlenmek üzere kabul edilmediği zamanı tanımlar. RFC 7519, Bölüm 4.1.5. Geçerli saati kullanmak uygundur.
sub {ClientID} "Alt" (konu) talebi JWT'nin konusunu tanımlar, bu durumda da uygulamanızı tanımlar. ile aynı değeri isskullanın.
iat 1601519114 "iat" (verilen) talebi, JWT'nin verildiği zamanı tanımlar. Bu talep, JWT'nin yaşını belirlemek için kullanılabilir. RFC 7519, Bölüm 4.1.5.

İmza

İmza, JSON Web Belirteci RFC7519 belirtiminde açıklandığı gibi sertifika uygulanarak hesaplanır.

Kodu çözülen JWT onay örneği

{
  "alg": "RS256",
  "typ": "JWT",
  "x5t": "gx8tGysyjcRqKjFPnd7RFwvwZI0"
}
.
{
  "aud": "https: //login.microsoftonline.com/contoso.onmicrosoft.com/oauth2/v2.0/token",
  "exp": 1484593341,
  "iss": "97e0a5b7-d745-40b6-94fe-5f77d35c6e05",
  "jti": "22b3bb26-e046-42df-9c96-65dbd72c1c81",
  "nbf": 1484592741,
  "sub": "97e0a5b7-d745-40b6-94fe-5f77d35c6e05"
}
.
"Gh95kHCOEGq5E_ArMBbDXhwKR577scxYaoJ1P{a lot of characters here}KKJDEg"

Kodlanmış JWT onay örneği

Aşağıdaki dize, kodlanmış onay örneğidir. Dikkatlice bakarsanız, noktalarla ayrılmış üç bölüm (.):

  • İlk bölüm üst bilgiyi kodlar
  • İkinci bölüm talepleri (yük) kodlar
  • Son bölüm, ilk iki bölümün içeriğindeki sertifikalarla hesaplanan imzadır
"eyJhbGciOiJSUzI1NiIsIng1dCI6Imd4OHRHeXN5amNScUtqRlBuZDdSRnd2d1pJMCJ9.eyJhdWQiOiJodHRwczpcL1wvbG9naW4ubWljcm9zb2Z0b25saW5lLmNvbVwvam1wcmlldXJob3RtYWlsLm9ubWljcm9zb2Z0LmNvbVwvb2F1dGgyXC90b2tlbiIsImV4cCI6MTQ4NDU5MzM0MSwiaXNzIjoiOTdlMGE1YjctZDc0NS00MGI2LTk0ZmUtNWY3N2QzNWM2ZTA1IiwianRpIjoiMjJiM2JiMjYtZTA0Ni00MmRmLTljOTYtNjVkYmQ3MmMxYzgxIiwibmJmIjoxNDg0NTkyNzQxLCJzdWIiOiI5N2UwYTViNy1kNzQ1LTQwYjYtOTRmZS01Zjc3ZDM1YzZlMDUifQ.
Gh95kHCOEGq5E_ArMBbDXhwKR577scxYaoJ1P{a lot of characters here}KKJDEg"

Sertifikanızı Microsoft kimlik platformu'a kaydetme

Aşağıdaki yöntemlerden herhangi birini kullanarak sertifika kimlik bilgilerini Microsoft Entra yönetim merkezi aracılığıyla Microsoft kimlik platformu istemci uygulamasıyla ilişkilendirebilirsiniz:

Sertifika dosyasını karşıya yükleme

İstemci uygulamasının Uygulama kayıtları sekmesinde:

  1. Sertifikalar ve gizli diziler>Sertifikalar'ı seçin.
  2. Sertifikayı karşıya yükle'ye tıklayın ve karşıya yüklenecek sertifika dosyasını seçin.
  3. Ekle'yi tıklatın. Sertifika karşıya yüklendikten sonra parmak izi, başlangıç tarihi ve süre sonu değerleri görüntülenir.

Uygulama bildirimini güncelleştirme

Sertifika aldıktan sonra şu değerleri hesap edin:

  • $base64Thumbprint - Sertifika karması için Base64 kodlanmış değeri
  • $base64Value - Sertifika ham verilerinin Base64 ile kodlanmış değeri

Uygulama bildirimindeki ($keyId) anahtarı tanımlamak için bir GUID sağlayın.

İstemci uygulaması için Azure uygulama kaydında:

  1. Uygulama bildirimini açmak için Bildirim'i seçin.

  2. Aşağıdaki şemayı kullanarak keyCredentials özelliğini yeni sertifika bilgilerinizle değiştirin.

    "keyCredentials": [
        {
            "customKeyIdentifier": "$base64Thumbprint",
            "keyId": "$keyid",
            "type": "AsymmetricX509Cert",
            "usage": "Verify",
            "value":  "$base64Value"
        }
    ]
    
  3. Uygulama bildirimindeki düzenlemeleri kaydedin ve bildirimi Microsoft kimlik platformu'a yükleyin.

    keyCredentials Özelliği çok değerlidir, bu nedenle daha zengin anahtar yönetimi için birden çok sertifika yükleyebilirsiniz.

İstemci onayı kullanma

İstemci onayları, bir istemci gizli dizisinin kullanılacağı her yerde kullanılabilir. Örneğin yetkilendirme kodu akışında, isteğin uygulamanızdan geldiğini kanıtlamak için bir client_secret geçirebilirsiniz. Bunu ve client_assertion_type parametreleriyle client_assertion değiştirebilirsiniz.

Parametre Değer Açıklama
client_assertion_type urn:ietf:params:oauth:client-assertion-type:jwt-bearer Bu, sertifika kimlik bilgisi kullandığınızı belirten sabit bir değerdir.
client_assertion JWT Bu, yukarıda oluşturulan JWT'dir.

Sonraki adımlar

MSAL.NET kitaplığı bu senaryoyu tek bir kod satırında işler.

GitHub'da Microsoft kimlik platformu kod örneğini kullanan .NET daemon konsol uygulaması, bir uygulamanın kimlik doğrulaması için kendi kimlik bilgilerini nasıl kullandığını gösterir. Ayrıca PowerShell cmdlet'ini kullanarak otomatik olarak imzalanan bir sertifikayıNew-SelfSignedCertificate nasıl oluşturabileceğinizi de gösterir. Sertifika oluşturmak, parmak izini hesaplamak vb. için örnek depodaki uygulama oluşturma betiklerini de kullanabilirsiniz.