Microsoft Entra ID'de uygulama ve hizmet sorumlusu nesnelerine genel bakış
Bu makalede Microsoft Entra Id'deki uygulama kaydı, uygulama nesneleri ve hizmet sorumluları, bunların ne olduğu, nasıl kullanıldıkları ve birbirleriyle nasıl ilişkili oldukları açıklanmaktadır. Bir uygulamanın uygulama nesnesiyle ilgili hizmet sorumlusu nesneleri arasındaki ilişkiyi göstermek için çok kiracılı bir örnek senaryo da sunulur.
Uygulama kaydı
Kimlik ve erişim yönetimi işlevlerini Microsoft Entra ID’ye temsilci olarak atamak için Microsoft Entra kiracısına bir uygulamanın kaydedilmesi gerekir. Uygulamanızı Microsoft Entra Id ile kaydettiğinizde, uygulamanız için Microsoft Entra Id ile tümleştirilmesini sağlayan bir kimlik yapılandırması oluşturursunuz. Bir uygulamayı kaydederken, uygulamanın tek bir kiracı mı yoksa çok kiracılı mı olduğunu seçersiniz ve isteğe bağlı olarak yeniden yönlendirme URI'sini ayarlayabilirsiniz. Bir uygulamayı kaydetme hakkında adım adım yönergeler için uygulama kaydı hızlı başlangıcına bakın.
Uygulama kaydını tamamladığınızda, uygulamanın ana kiracınızda veya dizininizde bulunan genel olarak benzersiz bir örneğine (uygulama nesnesi) sahip olursunuz. Ayrıca uygulamanız için genel olarak benzersiz bir kimliğiniz de vardır (uygulama/istemci kimliği). Uygulamanızın çalışmasını sağlamak için gizli diziler veya sertifikalar ve kapsamlar ekleyebilir, oturum açma iletişim kutusunda uygulamanızın markasını özelleştirebilir ve daha fazlasını yapabilirsiniz.
Bir uygulamayı kaydederseniz, ev kiracınızda otomatik olarak bir uygulama nesnesi ve hizmet sorumlusu nesnesi oluşturulur. Microsoft Graph API'lerini kullanarak bir uygulama kaydederseniz/oluşturursanız, hizmet sorumlusu nesnesini oluşturmak ayrı bir adımdır.
Uygulama nesnesi
Bir Microsoft Entra uygulaması, uygulamanın kaydedildiği Microsoft Entra kiracısında (uygulamanın "ev" kiracısı olarak bilinir) bulunan tek ve tek uygulama nesnesi tarafından tanımlanır. Bir uygulama nesnesi, bir veya daha fazla hizmet sorumlusu nesnesi oluşturmak için şablon veya şema olarak kullanılır. Uygulamanın kullanıldığı her kiracıda bir hizmet sorumlusu oluşturulur. Nesne odaklı programlamadaki bir sınıfa benzer şekilde, uygulama nesnesi, oluşturulan tüm hizmet sorumlularına (veya uygulama örneklerine) uygulanan bazı statik özelliklere sahiptir.
Uygulama nesnesi bir uygulamanın üç yönünü açıklar:
- Hizmet uygulamaya erişmek için belirteçleri nasıl verebilir?
- Uygulamanın erişmesi gerekebilecek kaynaklar
- Uygulamanın gerçekleştirebileceği eylemler
Ev kiracınızdaki uygulama nesnelerini listelemek ve yönetmek için Microsoft Entra yönetim merkezindeki Uygulama kayıtları sayfasını kullanabilirsiniz.
Microsoft Graph Uygulama varlığı , bir uygulama nesnesinin özellikleri için şemayı tanımlar.
Hizmet sorumlusu nesnesi
Microsoft Entra kiracısı tarafından güvenliği sağlanan kaynaklara erişmek için, erişim gerektiren varlığın bir güvenlik sorumlusu tarafından temsil edilmesi gerekir. Bu gereksinim hem kullanıcılar (kullanıcı sorumlusu) hem de uygulamalar (hizmet sorumlusu) için geçerlidir. Güvenlik sorumlusu, Microsoft Entra kiracısında kullanıcı/uygulama için erişim ilkesini ve izinleri tanımlar. Bu, oturum açma sırasında kullanıcının/uygulamanın kimlik doğrulaması ve kaynak erişimi sırasında yetkilendirme gibi temel özellikleri etkinleştirir.
Üç tür hizmet sorumlusu vardır:
Uygulama - Bu hizmet sorumlusu türü, tek bir kiracı veya dizindeki genel uygulama nesnesinin yerel gösterimi veya uygulama örneğidir. Bu durumda, hizmet sorumlusu uygulama nesnesinden oluşturulmuş somut bir örnektir ve belirli özellikleri bu uygulama nesnesinden devralır. Uygulamanın kullanıldığı her kiracıda bir hizmet sorumlusu oluşturulur ve genel olarak benzersiz uygulama nesnesine başvurur. Hizmet sorumlusu nesnesi, uygulamanın belirli bir kiracıda gerçekte neler yapabileceğini, uygulamaya kimlerin erişebileceğini ve uygulamanın erişebileceği kaynakları tanımlar.
Bir uygulamaya kiracıdaki kaynaklara erişim izni verildiğinde (kayıt veya onay üzerine), bir hizmet sorumlusu nesnesi oluşturulur. Bir uygulamayı kaydettiğinizde, otomatik olarak bir hizmet sorumlusu oluşturulur. Azure PowerShell, Azure CLI, Microsoft Graph ve diğer araçları kullanarak bir kiracıda hizmet sorumlusu nesneleri de oluşturabilirsiniz.
Yönetilen kimlik - Bu tür bir hizmet sorumlusu yönetilen kimliği temsil etmek için kullanılır. Yönetilen kimlikler, geliştiricilerin kimlik bilgilerini yönetme gereksinimini ortadan kaldırır. Yönetilen kimlikler, Microsoft Entra kimlik doğrulamasını destekleyen kaynaklara bağlanırken uygulamaların kullanması için bir kimlik sağlar. Yönetilen kimlik etkinleştirildiğinde, kiracınızda yönetilen kimliği temsil eden bir hizmet sorumlusu oluşturulur. Yönetilen kimlikleri temsil eden hizmet sorumlularına erişim ve izinler verilebilir, ancak doğrudan güncelleştirilemez veya değiştirilemez.
Eski - Bu hizmet sorumlusu türü, uygulama kayıtları kullanılmadan önce oluşturulan bir uygulama veya eski deneyimler aracılığıyla oluşturulan bir uygulama olan eski bir uygulamayı temsil eder. Eski hizmet sorumlusu kimlik bilgilerine, hizmet sorumlusu adlarına, yanıt URL'lerine ve yetkili bir kullanıcının düzenleyebileceği ancak ilişkili uygulama kaydına sahip olmayan diğer özelliklere sahip olabilir. Hizmet sorumlusu yalnızca oluşturulduğu kiracıda kullanılabilir.
Microsoft Graph ServicePrincipal varlığı , hizmet sorumlusu nesnesinin özellikleri için şemayı tanımlar.
Kiracıdaki hizmet sorumlularını listelemek ve yönetmek için Microsoft Entra yönetim merkezindeki Kurumsal uygulamalar sayfasını kullanabilirsiniz. Hizmet sorumlusunun izinlerini, kullanıcının onayladığı izinleri, kullanıcıların bu onayı yaptığı izinleri, oturum açma bilgilerini ve daha fazlasını görebilirsiniz.
Uygulama nesneleri ve hizmet sorumluları arasındaki ilişki
Uygulama nesnesi, uygulamanızın tüm kiracılarda kullanılmak üzere genel gösterimidir ve hizmet sorumlusu belirli bir kiracıda kullanılmak üzere yerel temsildir. Uygulama nesnesi, ilgili hizmet sorumlusu nesnelerini oluştururken kullanılmak üzere ortak ve varsayılan özelliklerin türetildiği şablon görevi görür.
Bir uygulama nesnesinin sahip olduğu:
- Yazılım uygulamasıyla bire bir ilişki ve
- Karşılık gelen hizmet sorumlusu nesneleriyle bire çok ilişkisi
Uygulamanın kullanıldığı her kiracıda bir hizmet sorumlusu oluşturulmalıdır. Bu uygulamanın oturum açabilmesi ve/veya kiracı tarafından korunan kaynaklara erişebilmesi için bir kimlik oluşturmasını sağlar. Tek kiracılı bir uygulamanın yalnızca bir hizmet sorumlusu (kendi ev kiracısında) vardır ve uygulama kaydı sırasında kullanılması onaylanır. Çok kiracılı bir uygulamanın her kiracıda, bu kiracıdaki bir kullanıcının kullanımına onay verdiği bir hizmet sorumlusu da oluşturulur.
Bir uygulamayla ilişkili hizmet sorumlularını listeleme
Bir uygulama nesnesiyle ilişkili hizmet sorumlularını bulabilirsiniz.
Microsoft Entra yönetim merkezinde uygulama kaydına genel bakış'a gidin. Yerel dizinde Yönetilen uygulama'ya tıklayın.
Uygulamaları değiştirme ve silmenin sonuçları
Uygulama nesnenizde yaptığınız tüm değişiklikler, uygulamanın yalnızca ev kiracısında (kayıtlı olduğu kiracı) hizmet sorumlusu nesnesine de yansıtılır. Bu, bir uygulama nesnesinin silinmesinin kendi ev kiracısı hizmet sorumlusu nesnesini de sileceği anlamına gelir. Ancak, uygulama kayıtları kullanıcı arabirimi aracılığıyla bu uygulama nesnesini geri yüklemek ilgili hizmet sorumlusunu geri yüklemez. Uygulamaların ve hizmet sorumlusu nesnelerinin silinmesi ve kurtarılması hakkında daha fazla bilgi için bkz . Uygulamaları ve hizmet sorumlusu nesnelerini silme ve kurtarma.
Örnek
Aşağıdaki diyagramda, bir uygulamanın uygulama nesnesi ile karşılık gelen hizmet sorumlusu nesneleri arasındaki ilişki İk uygulaması adlı örnek bir çok kiracılı uygulama bağlamında gösterilmektedir. Bu örnek senaryoda üç Microsoft Entra kiracısı vardır:
- Adatum - İk uygulamasını geliştiren şirket tarafından kullanılan kiracı
- Contoso - İk uygulamasının tüketicisi olan Contoso kuruluşu tarafından kullanılan kiracı
- Fabrikam - İk uygulamasını da kullanan Fabrikam kuruluşu tarafından kullanılan kiracı
Bu örnek senaryoda:
| Adımlar | Veri Akışı Açıklaması |
|---|---|
| 1 | Uygulamanın ev kiracısında uygulama ve hizmet sorumlusu nesneleri oluşturma işlemi. |
| 2 | Contoso ve Fabrikam yöneticileri onayı tamamladığında, şirketlerinin Microsoft Entra kiracısında bir hizmet sorumlusu nesnesi oluşturulur ve yöneticinin verdiği izinler atanır. ayrıca İk uygulamasının kullanıcıların bireysel kullanım için onayına izin verecek şekilde yapılandırılabilir/tasarlanabilir. |
| 3 | İk uygulamasının (Contoso ve Fabrikam) tüketici kiracılarının her birinin kendi hizmet sorumlusu nesnesi vardır. Her biri, ilgili yönetici tarafından onaylanan izinler tarafından yönetilen, çalışma zamanında uygulamanın bir örneğini kullanımını temsil eder. |
Sonraki adımlar
Hizmet sorumlusu oluşturmayı öğrenin: