Kaynaklara erişebilen bir Azure AD uygulaması ve hizmet sorumlusu oluşturmak için portalı kullanma

Bu makalede rol tabanlı erişim denetimiyle kullanılabilecek yeni bir Azure Active Directory (Azure AD) uygulaması ve hizmet sorumlusu oluşturma adımları gösterilmektedir. Kaynaklara erişmesi veya bunları değiştirmesi gereken uygulamalarınız, barındırılan hizmetleriniz veya otomatik araçlarınız varsa, uygulama için bir kimlik oluşturabilirsiniz. Bu kimlik, hizmet sorumlusu olarak bilinir. Kaynaklara erişim, hizmet sorumlusuna atanan roller tarafından kısıtlanır ve hangi kaynaklara ve hangi düzeyde erişilebileceğini denetlemenizi sağlar. Güvenlik nedeniyle, otomatikleştirilmiş araçların kullanıcı kimliği ile oturum açmalarına izin vermek yerine her zaman hizmet sorumlularını kullanmanız önerilir.

Bu makalede portalı kullanarak Azure portal hizmet sorumlusunu nasıl oluşturacağınız gösterilmektedir. Uygulamanın yalnızca bir kuruluşta çalıştırılması amaçlandığı tek kiracılı bir uygulamaya odaklanır. Genellikle kuruluşunuzda çalışan iş kolu uygulamaları için tek kiracılı uygulamalar kullanırsınız. Hizmet sorumlusu oluşturmak için Azure PowerShell veya Azure CLI'yi de kullanabilirsiniz.

Önemli

Hizmet sorumlusu oluşturmak yerine, uygulama kimliğiniz için Azure kaynakları için yönetilen kimlikleri kullanmayı göz önünde bulundurun. Kodunuz yönetilen kimlikleri destekleyen ve Azure AD kimlik doğrulamasını destekleyen kaynaklara erişen bir hizmette çalışıyorsa, yönetilen kimlikler sizin için daha iyi bir seçenektir. Şu anda hangi hizmetlerin desteklediği de dahil olmak üzere Azure kaynakları için yönetilen kimlikler hakkında daha fazla bilgi edinmek için bkz. Azure kaynakları için yönetilen kimlikler nedir?.

Uygulama kaydı, uygulama nesneleri ve hizmet sorumluları

Azure portal kullanarak doğrudan hizmet sorumlusu oluşturmanın bir yolu yoktur. Azure portal aracılığıyla bir uygulama kaydettiğinizde, giriş dizininizde veya kiracınızda otomatik olarak bir uygulama nesnesi ve hizmet sorumlusu oluşturulur. Uygulama kaydı, uygulama nesneleri ve hizmet sorumluları arasındaki ilişki hakkında daha fazla bilgi için Bkz. Azure Active Directory'de uygulama ve hizmet sorumlusu nesneleri.

Bir uygulamayı kaydetmek için gereken izinler

Bir uygulamayı Azure AD kiracınıza kaydetmek ve uygulamaya Azure aboneliğinizde bir rol atamak için yeterli izinlere sahip olmanız gerekir.

Azure AD izinlerini denetleme

  1. Azure Active Directory'yi seçin.

  2. GenelBakış-Akışım> bölümünde rolünüzü bulun. Kullanıcı rolüne sahipseniz, yönetici olmayanların uygulamaları kaydedediğinden emin olmanız gerekir.

    Rolünüzü bulmayı gösteren ekran görüntüsü.

  3. Sol bölmede Kullanıcılar'ı ve ardından Kullanıcı ayarları'nı seçin.

  4. Uygulama kayıtları ayarını denetleyin. Bu değer yalnızca bir yönetici tarafından ayarlanabilir. Evet olarak ayarlanırsa, Azure AD kiracıdaki tüm kullanıcılar bir uygulamayı kaydedebilir.

Uygulama kayıtları ayarı Hayır olarak ayarlanırsa, yalnızca yönetici rolüne sahip kullanıcılar bu tür uygulamaları kaydedebilir. Kullanılabilir yönetici rolleri ve Azure AD her role verilen belirli izinler hakkında bilgi edinmek için bkz. Azure AD yerleşik roller. Hesabınıza Kullanıcı rolü atanmışsa ancak uygulama kaydı ayarı yönetici kullanıcılarla sınırlıysa, yöneticinizden size uygulama kayıtlarının tüm yönlerini oluşturabilen ve yönetebilen yönetici rollerinden birini atamasını veya kullanıcıların uygulamaları kaydetmesini sağlamasını isteyin.

Azure aboneliği izinlerini denetleme

Azure aboneliğinizde hesabınızın AD uygulamasına rol atama erişimi olmalıdır Microsoft.Authorization/*/Write . Bu eylemin izni, Sahip rolüyle veya Kullanıcı Erişimi Yöneticisi rolüyle verilir. Hesabınıza Katkıda Bulunan rolü atanmışsa, yeterli izne sahip değilsinizdir. Hizmet sorumlusuna bir rol atamaya çalışırken bir hata alırsınız.

Abonelik izinlerinizi denetlemek için:

  1. Abonelikler'i arayın ve seçin veya Giriş sayfasında Abonelikler'i seçin.

    Abonelik izinlerinde arama ekran görüntüsü.

  2. Hizmet sorumlusunu oluşturmak istediğiniz aboneliği seçin.

    Atama için abonelik seçin.

    Aradığınız aboneliği görmüyorsanız genel abonelikler filtresi'ni seçin. Portal için istediğiniz aboneliğin seçildiğinden emin olun.

  3. İzinlerim'i seçin. Ardından bu aboneliğin tüm erişim ayrıntılarını görüntülemek için buraya tıklayın'ı seçin.

    Hizmet sorumlusunu oluşturmak istediğiniz aboneliği seçin.

  4. Atanan rollerinizi görüntülemek için Rol atamaları'na tıklayın ve bir AD uygulamasına rol atamak için yeterli izinlere sahip olup olmadığınızı belirleyin. Aksi takdirde abonelik yöneticinizden sizi Kullanıcı Erişimi Yöneticisi rolüne eklemesini isteyin. Aşağıdaki görüntüde kullanıcıya Sahip rolü atanır ve bu da kullanıcının yeterli izinlere sahip olduğu anlamına gelir.

    Kullanıcıya Sahip rolünün atandığı ekran görüntüsü.

Uygulamayı Azure AD kaydetme ve hizmet sorumlusu oluşturma

Şimdi doğrudan kimliği oluşturmaya geçelim. Bir sorunla karşılaşırsanız, hesabınızın kimliği oluşturadığından emin olmak için gerekli izinleri denetleyin.

  1. Azure portal aracılığıyla Azure Hesabınızda oturum açın.

  2. Azure Active Directory'yi seçin.

  3. Uygulama kayıtları’nı seçin.

  4. Yeni kayıt’ı seçin.

  5. Uygulamayı adlandırın, örneğin "example-app". Uygulamayı kimlerin kullanabileceğini belirleyen desteklenen bir hesap türü seçin. Yeniden Yönlendirme URI'sinin altında, oluşturmak istediğiniz uygulama türü için Web'i seçin. Erişim belirtecinin gönderildiği URI'yi girin. Yerel uygulama için kimlik bilgileri oluşturamazsınız. Otomatik bir uygulama için bu türü kullanamazsınız. Değerleri ayarladıktan sonra Kaydet'i seçin.

    Uygulamanız için bir ad yazın.

Azure AD uygulamanızı ve hizmet sorumlunuzu oluşturdunuz.

Not

Azure AD'da aynı ada sahip birden çok uygulama kaydedebilirsiniz, ancak uygulamaların farklı Uygulama (istemci) kimlikleri olmalıdır.

Uygulamaya rol atama

Aboneliğinizdeki kaynaklara erişmek için uygulamaya bir rol atamanız gerekir. Hangi rolün uygulama için doğru izinleri sunduğuna karar verin. Kullanılabilir roller hakkında bilgi edinmek için bkz. Azure yerleşik rolleri.

Kapsamı abonelik, kaynak grubu veya kaynak düzeyinde ayarlayabilirsiniz. İzinler alt kapsam düzeylerine devralınır. Örneğin, bir kaynak grubu için Okuyucu rolüne uygulama eklemek, kaynak grubunu ve içerdiği tüm kaynakları okuyabileceği anlamına gelir.

  1. Azure portal, uygulamayı atamak istediğiniz kapsam düzeyini seçin. Örneğin, abonelik kapsamında bir rol atamak için Abonelikler'i arayın ve seçin veya Giriş sayfasında Abonelikler'i seçin.

    Örneğin, abonelik kapsamında bir rol atayın.

  2. Uygulamayı atamak için belirli bir aboneliği seçin.

    Atama için abonelik seçin.

    Aradığınız aboneliği görmüyorsanız genel abonelikler filtresi'ni seçin. Portal için istediğiniz aboneliğin seçildiğinden emin olun.

  3. Erişim denetimi (IAM) öğesini seçin.

  4. Rol ataması ekle sayfasını açmak için Rol ataması ekle'yi> seçin.

  5. Rol sekmesinde, listedeki uygulamaya atamak istediğiniz rolü seçin. Örneğin, uygulamanın yeniden başlatma, örnekleri başlatma ve durdurma gibi eylemleri yürütmesine izin vermek için Katkıda Bulunan rolünü seçin. Kullanılabilir roller hakkında daha fazla bilgi edinin.

    Üyeler sekmesine gitmek için İleri düğmesini seçin. Kullanıcı, grup veya hizmet sorumlusuna>erişim ata'yı ve ardından Üye seç'i seçin. Varsayılan olarak, Azure AD uygulamalar kullanılabilir seçeneklerde görüntülenmez. Uygulamanızı bulmak için ada göre arama yapın (örneğin, "example-app") ve döndürülen listeden seçin. Seç düğmesine tıklayın. Ardından Gözden Geçir ve ata düğmesine tıklayın.

    Rol atamayı gösteren ekran görüntüsü.

Hizmet sorumlunuz ayarlandı. Betiklerinizi veya uygulamalarınızı çalıştırmak için kullanmaya başlayabilirsiniz. Hizmet sorumlunuzu yönetmek için (izinler, kullanıcı tarafından onaylanan izinler, hangi kullanıcıların onayladığına bakın, izinleri gözden geçirin, oturum açma bilgilerine bakın ve daha fazlası) Kurumsal uygulamalar'a gidin.

Sonraki bölümde program aracılığıyla oturum açarken gereken değerlerin nasıl alındığını gösterir.

Oturum açmak için kiracı ve uygulama kimliği değerlerini alma

Program aracılığıyla oturum açarken, kimlik doğrulama isteğinizle birlikte kiracı kimliğini ve uygulama kimliğini geçirin. Ayrıca bir sertifikaya veya kimlik doğrulama anahtarına da ihtiyacınız vardır (aşağıdaki bölümde açıklanmıştır). Bu değerleri almak için aşağıdaki adımları kullanın:

  1. Azure Active Directory'yi seçin.

  2. Azure AD'daki Uygulama kayıtları uygulamanızı seçin.

  3. Dizin (kiracı) kimliğini kopyalayın ve uygulama kodunuzda depolayın.

    Dizini (kiracı kimliği) kopyalayın ve uygulama kodunuzda depolayın.

    Dizin (kiracı) kimliği varsayılan dizine genel bakış sayfasında da bulunabilir.

  4. Uygulama kimliği'ni kopyalayın ve bunu uygulama kodunuzda depolayın.

    Uygulama (istemci) kimliğini kopyalayın.

Kimlik doğrulaması: İki seçenek

Hizmet sorumluları için iki tür kimlik doğrulaması kullanılabilir: parola tabanlı kimlik doğrulaması (uygulama gizli dizisi) ve sertifika tabanlı kimlik doğrulaması. Sertifika kullanmanızı öneririz, ancak uygulama gizli dizisi de oluşturabilirsiniz.

1. Seçenek: Sertifikayı karşıya yükleme

Varsa var olan bir sertifikayı kullanabilirsiniz. İsteğe bağlı olarak, yalnızca test amacıyla otomatik olarak imzalanan bir sertifika oluşturabilirsiniz. Otomatik olarak imzalanan bir sertifika oluşturmak için PowerShell'i açın ve New-SelfSignedCertificate'i aşağıdaki parametrelerle çalıştırarak sertifikayı bilgisayarınızdaki kullanıcı sertifika deposunda oluşturun:

$cert=New-SelfSignedCertificate -Subject "CN=DaemonConsoleCert" -CertStoreLocation "Cert:\CurrentUser\My"  -KeyExportPolicy Exportable -KeySpec Signature

Windows Denetim Masası'den erişilebilen Kullanıcı Sertifikasını Yönet MMC ek bileşenini kullanarak bu sertifikayı bir dosyaya aktarın.

  1. Başlat menüsünde Çalıştır'ı seçin ve certmgr.msc girin.

    Geçerli kullanıcının Sertifika Yöneticisi aracı görüntülenir.

  2. Sertifikalarınızı görüntülemek için, sol bölmedeki Sertifikalar - Geçerli Kullanıcı'nın altında Kişisel dizinini genişletin.

  3. Oluşturduğunuz sertifikaya sağ tıklayın, Tüm görevler-Dışarı> Aktar'ı seçin.

  4. Sertifika Dışarı Aktarma sihirbazını izleyin. Özel anahtarı dışarı aktarmayın ve öğesine aktarın. CER dosyası.

Sertifikayı karşıya yüklemek için:

  1. Azure Active Directory'yi seçin.

  2. Azure AD'daki Uygulama kayıtları uygulamanızı seçin.

  3. Sertifika gizli dizileri'ni &seçin.

  4. Sertifikalar>Sertifikayı karşıya yükle'yi seçin ve sertifikayı (var olan bir sertifika veya dışarı aktardığınız otomatik olarak imzalanan sertifika) seçin.

    Sertifikayı karşıya yükle'yi seçin ve eklemek istediğiniz sertifikayı seçin.

  5. Add (Ekle) seçeneğini belirleyin.

Sertifikayı uygulama kayıt portalında uygulamanıza kaydettikten sonra, istemci uygulama kodunun sertifikayı kullanmasını etkinleştirin.

2. Seçenek: Yeni uygulama gizli dizisi oluşturma

Sertifika kullanmamayı seçerseniz yeni bir uygulama gizli dizisi oluşturabilirsiniz.

  1. Azure Active Directory'yi seçin.

  2. Azure AD'daki Uygulama kayıtları uygulamanızı seçin.

  3. Sertifika gizli dizileri'ni &seçin.

  4. İstemci gizli dizileri -> Yeni istemci gizli dizisi'ni seçin.

  5. Gizli dizinin açıklamasını ve süresini belirtin. İşiniz bittiğinde Ekle'yi seçin.

    gizli diziyi kaydettikten sonra, istemci gizli dizisinin değeri görüntülenir. Anahtarı daha sonra alamayacağınız için bu değeri kopyalayın. Anahtar değerini uygulama olarak oturum açmak için uygulama kimliğiyle birlikte sağlayacaksınız. Anahtarı, uygulamanızın alabileceği bir konumda depolayın.

    Bunu daha sonra alamadığınız için gizli dizi değerini kopyalayın.

Kaynaklarda erişim ilkelerini yapılandırma

Uygulamanızın erişmesi gereken kaynaklar üzerinde ek izinler yapılandırmanız gerekebileceğini unutmayın. Örneğin, uygulamanıza anahtarlara, gizli dizilere veya sertifikalara erişim vermek için bir anahtar kasasının erişim ilkelerini de güncelleştirmeniz gerekir.

  1. Azure portal anahtar kasanıza gidin ve Erişim ilkeleri'ni seçin.
  2. Erişim ilkesi ekle'yi ve ardından uygulamanıza vermek istediğiniz anahtar, gizli dizi ve sertifika izinlerini seçin. Daha önce oluşturduğunuz hizmet sorumlusunu seçin.
  3. Erişim ilkesini eklemek için Ekle'yi , ardından değişikliklerinizi işlemek için Kaydet'i seçin. Erişim ilkesi ekleme

Sonraki adımlar