Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Microsoft kimlik platformunda, korumalı kaynaklara erişim gerektiren güvenli uygulamalar geliştirmek için izinleri ve onayı anlamak çok önemlidir. Bu makalede, uygulama geliştiricilerinin kullanıcılardan ve yöneticilerden gerekli yetkilendirmeleri istemesine yardımcı olan izinler ve onaylarla ilgili temel kavramlar ve senaryolara genel bir bakış sağlanmaktadır. Bu kavramları anlayarak, uygulamalarınızın yalnızca ihtiyaç duydukları erişimi istemesini sağlayarak güven ve güvenliği teşvik edebilirsiniz.
E-posta veya takvim verileri gibi korumalı bir kaynağa erişmek için uygulamanızın kaynak sahibinin yetkilendirmesine ihtiyacı vardır. Kaynak sahibi uygulamanızın isteğini onaylayabilir veya reddedebilir. Bu temel kavramları anlamak, kullanıcılardan ve yöneticilerden yalnızca ihtiyaç duydukları erişimi isteyen daha güvenli ve güvenilir uygulamalar oluşturmanıza yardımcı olur.
Erişim senaryoları
Bir uygulama geliştiricisi olarak, uygulamanızın verilere nasıl eriştiği belirlemeniz gerekir. Uygulama, oturum açmış bir kullanıcı adına hareket eden temsilci erişimi veya yalnızca uygulamanın kendi kimliği olarak davranan yalnızca uygulama erişimi kullanabilir.
Temsilci erişimi (kullanıcı adına erişim)
Bu erişim senaryosunda, bir kullanıcı bir istemci uygulamasında oturum açtı. İstemci uygulaması, kullanıcı adına kaynağa erişir. Temsilci erişimi için temsilci izinleri gerekir. hem istemci hem de kullanıcı, isteği yapmak için ayrı olarak yetkilendirilmelidir. Temsilci erişim senaryosu hakkında daha fazla bilgi için bkz . temsilci erişim senaryosu.
İstemci uygulaması için doğru temsilci izinleri verilmelidir. Temsilci izinlerine kapsamlar da denir. Kapsamlar, bir istemci uygulamasının kullanıcı adına nelere erişebileceğini temsil eden belirli bir kaynağın izinleridir. Kapsamlar hakkında daha fazla bilgi için bkz . kapsamlar ve izinler.
Kullanıcı için yetkilendirme, kaynağa erişmesi için kullanıcıya verilen ayrıcalıklara bağlıdır. Örneğin, kullanıcı Microsoft Entra rol tabanlı erişim denetimi (RBAC) tarafından dizin kaynaklarına veya Exchange Online RBAC ile posta ve takvim kaynaklarına erişme yetkisine sahip olabilir. Uygulamalar için RBAC hakkında daha fazla bilgi için bkz. Uygulamalar için RBAC.
Yalnızca uygulama erişimi (Kullanıcı olmadan erişim)
Bu erişim senaryosunda uygulama, kullanıcı oturum açmadan kendi başına hareket eder. Uygulama erişimi otomasyon ve yedekleme gibi senaryolarda kullanılır. Bu senaryo, arka plan hizmetleri veya daemon'lar olarak çalışan uygulamaları içerir. Belirli bir kullanıcının oturum açması istenmediğinde veya gerekli verilerin kapsamı tek bir kullanıcı tarafından tanımlanamazsa uygundur. Yalnızca uygulama erişim senaryosu hakkında daha fazla bilgi için bkz. yalnızca uygulama erişimi.
Yalnızca uygulama erişimi, temsilci kapsamları yerine uygulama rollerini kullanır. Onay aracılığıyla verildiğinde, uygulama rolleri uygulama izinleri olarak da adlandırılabilir. İstemci uygulamasına, çağıran kaynak uygulaması için uygun uygulama izinleri verilmelidir. verilen istemci uygulaması istenen verilere erişebilir. İstemci uygulamalarına uygulama rolleri atama hakkında daha fazla bilgi için bkz . Uygulamalara uygulama rolleri atama.
İzin türleri
Temsilci izinleri , temsilci erişim senaryosunda kullanılır. Bunlar, uygulamanın bir kullanıcı adına işlem yapmasına izni veren izinlerdir. Uygulama, oturum açmış kullanıcının erişemediği hiçbir şeye erişemiyor.
Örneğin, kullanıcı adına temsilci izni verilen Files.Read.All bir uygulamayı alın. Uygulama yalnızca kullanıcının kişisel olarak erişebildiği dosyaları okuyabilir.
Uygulama rolleri olarak da bilinen uygulama izinleri, oturum açmış bir kullanıcı olmadan yalnızca uygulama erişim senaryosunda kullanılır. Uygulama, iznin ilişkili olduğu tüm verilere erişebilir.
Örneğin, Microsoft Graph API'sine uygulama izni Files.Read.All verilen bir uygulama, Microsoft Graph kullanarak kiracıdaki herhangi bir dosyayı okuyabilir. Genel olarak, yalnızca bir API'nin hizmet sorumlusunun yöneticisi veya sahibi bu API tarafından kullanıma sunulan uygulama izinlerine onay verebilir.
Temsilci ve uygulama izinlerinin karşılaştırması
| İzin türleri | Temsilcili izinler | Uygulama izinleri |
|---|---|---|
| Uygulama türleri | Web / Mobil / tek sayfalı uygulama (SPA) | Web / Arka Plan Süreci |
| Erişim bağlamı | Kullanıcı adına erişim sağlama | Kullanıcı olmadan erişim sağlama |
| Kimler onaylayabilir | - Kullanıcılar verileri için onay verebilir - Yöneticiler tüm kullanıcılar için onay verebilir |
Yalnızca yönetici onay verebilir |
| Onay yöntemleri | - Statik: uygulama kaydında yapılandırılmış liste - Dinamik: Oturum açma sırasında bireysel izinler isteme |
- YALNIZCA Statik: Uygulama kaydında yapılandırılmış liste |
| Diğer adlar | -Kapsam - OAuth2 izin kapsamları |
- Uygulama rolleri - Yalnızca uygulama izinleri |
| Onay sonucu (Microsoft Graph'a özgü) | OAuth2PermissionGrant | appRoleAssignment |
Onay
Uygulamalara izin vermenin bir yolu da onaydır. Onay, kullanıcıların veya yöneticilerin bir uygulamayı korumalı bir kaynağa erişmesi için yetkilendirmesine neden olan bir işlemdir. Örneğin, bir kullanıcı uygulamada ilk kez oturum açmayı denediğinde, uygulama kullanıcının profilini görmek ve kullanıcının posta kutusunun içeriğini okumak için izin isteyebilir. Kullanıcı, bir onay istemi aracılığıyla uygulamanın istediği izinlerin listesini görür. Kullanıcıların onay istemi görebileceği diğer senaryolar şunlardır:
- Daha önce izin verildiğinde iptal edilir.
- Uygulama, oturum açma sırasında özel olarak onay isteyecek şekilde kodlandığında.
- Uygulama, çalışma zamanında gerektiğinde yeni izinler istemek için dinamik onay kullandığında.
Onay isteminin temel ayrıntıları, uygulamanın gerektirdiği izinlerin listesi ve yayımcı bilgileridir. Hem yöneticiler hem de son kullanıcılar için onay istemi ve onay deneyimi hakkında daha fazla bilgi için bkz. uygulama onayı deneyimi.
Kullanıcı onayı
Kullanıcı onayı, bir kullanıcı uygulamada oturum açmaya çalıştığında gerçekleşir. Kullanıcı, zaten onay verilip verilmediğini belirlemek için denetlenen oturum açma kimlik bilgilerini sağlar. Gerekli izinler için kullanıcı veya yönetici onayının önceki kaydı yoksa, kullanıcıya bir onay istemi gösterilir ve uygulamaya istenen izinleri vermesi istenir. Yöneticinin kullanıcı adına onay vermesi gerekebilir.
Yönetici onayı
Gerekli izinlere bağlı olarak, bazı uygulamalar bir yöneticinin onay veren kişi olmasını gerektirebilir. Örneğin, uygulama izinleri ve birçok yüksek ayrıcalıklı temsilci izni yalnızca bir yönetici tarafından onaylanabilir.
Yöneticiler kendileri veya kuruluşun tamamı için onay verebilir. Kullanıcı ve yönetici onayı hakkında daha fazla bilgi için bkz . kullanıcı ve yönetici onayına genel bakış.
Onay verilmediyse ve bu yüksek ayrıcalıklı izinlerden biri istenirse kimlik doğrulama isteklerinden yönetici onayı istenir.
Özel uygulama kapsamları içeren izin istekleri yüksek ayrıcalık olarak kabul edilmez ve bu nedenle yönetici onayı gerektirmez.
Ön kimlik doğrulaması
Ön kimlik doğrulaması, bir kaynak uygulama sahibinin kullanıcıların önceden kimlik doğrulaması yapılan aynı izin kümesi için bir onay istemi görmesine gerek kalmadan izinler vermesine olanak tanır. Bu şekilde, önceden yetkilendirilmiş bir uygulama kullanıcılardan izinlere onay vermelerini istemez. Kaynak sahipleri, Azure portalında veya PowerShell ve Microsoft Graph gibi API'leri kullanarak istemci uygulamalarını önceden doğrulayabilir.
Çoğu durumda Microsoft Entra Dış Kimliği'nde müşteri tarafından karşı karşıya olan uygulamaların tümü, kuruluşun parçası olmayan ve uygulama tarafından istenen izinlere onay veremeyen kullanıcılara yönelik olduğundan ön kimlik doğrulaması gerektirir. Ön yetkilendirme, bu kullanıcıların onay istenmeden uygulamaya erişebilmesini sağlar.
Diğer yetkilendirme sistemleri
Onay çerçevesi, bir uygulamanın veya kullanıcının korumalı kaynaklara erişim yetkisi vermenin tek yoludur. Yöneticiler, hassas bilgilere erişim verebilen diğer yetkilendirme sistemlerinin farkında olmalıdır. Microsoft'taki çeşitli yetkilendirme sistemlerine örnek olarak Microsoft Entra yerleşik rolleri, Azure RBAC, Exchange RBAC ve Teams kaynağına özgü onay verilebilir.