kimlik belirteçlerini Microsoft kimlik platformu

Kimlik belirteci, OpenID Connect'in OAuth 2.0'a yaptığı temel uzantıdır. Kimlik belirteçleri yetkilendirme sunucusu tarafından verilir ve kullanıcı hakkında bilgi taşıyan talepler içerir. Bunlar, erişim belirteci yerine veya yanında gönderilebilir. Kimlik Belirteçlerindeki bilgiler, istemcinin bir kullanıcının iddia ettikleri kişi olduğunu doğrulamasını sağlar. Kimlik belirteçlerinin üçüncü taraf uygulamalar tarafından anlaşılması amaçlanmıştır. Kimlik belirteçleri yetkilendirme amacıyla kullanılmamalıdır. Erişim belirteçleri yetkilendirme için kullanılır. Kimlik belirteçleri tarafından sağlanan talepler, uygulamanızın içinde UX için, bir veritabanında anahtar olarak ve istemci uygulamasına erişim sağlamak için kullanılabilir.

Önkoşullar

Bu makaleye geçmeden önce aşağıdaki makale yararlı olacaktır:

Kimlik belirtecindeki talepler

Kimlik belirteçleri JSON web belirteçleridir (JWT). Bu kimlik belirteçleri üst bilgi, yük ve imzadan oluşur. Üst bilgi ve imza belirtecin orijinalliğini doğrulamak için kullanılırken, yük istemciniz tarafından istenen kullanıcı hakkındaki bilgileri içerir. v1.0 ve v2.0 kimlik belirteçlerinin taşıdığı bilgilerde farklılıklar vardır. Sürüm, istenen uç noktayı temel alır. Mevcut uygulamalar büyük olasılıkla Azure AD uç noktasını (v1.0) kullansa da, yeni uygulamalar "Microsoft kimlik platformu" uç noktasını (v2.0) kullanmalıdır.

  • v1.0: Azure AD uç noktası:https://login.microsoftonline.com/common/oauth2/authorize
  • v2.0: Microsoft kimlik Platformu uç noktası: https://login.microsoftonline.com/common/oauth2/v2.0/authorize

Örnek v1.0 kimlik belirteci

eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6IjdfWnVmMXR2a3dMeFlhSFMzcTZsVWpVWUlHdyIsImtpZCI6IjdfWnVmMXR2a3dMeFlhSFMzcTZsVWpVWUlHdyJ9.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.UJQrCA6qn2bXq57qzGX_-D3HcPHqBMOKDPx4su1yKRLNErVD8xkxJLNLVRdASHqEcpyDctbdHccu6DPpkq5f0ibcaQFhejQNcABidJCTz0Bb2AbdUCTqAzdt9pdgQvMBnVH1xk3SCM6d4BbT4BkLLj10ZLasX7vRknaSjE_C5DI7Fg4WrZPwOhII1dB0HEZ_qpNaYXEiy-o94UJ94zCr07GgrqMsfYQqFR7kn-mn68AjvLcgwSfZvyR_yIK75S_K37vC3QryQ7cNoafDe9upql_6pB2ybMVlgWPs_DmbJ8g0om-sPlwyn74Cc1tW3ze-Xptw_2uVdPgWyqfuWAfq6Q

Bu v1.0 örnek belirtecini jwt.ms görüntüleyin.

Örnek v2.0 kimlik belirteci

eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsImtpZCI6IjFMVE16YWtpaGlSbGFfOHoyQkVKVlhlV01xbyJ9.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.1AFWW-Ck5nROwSlltm7GzZvDwUkqvhSQpm55TQsmVo9Y59cLhRXpvB8n-55HCr9Z6G_31_UbeUkoz612I2j_Sm9FFShSDDjoaLQr54CreGIJvjtmS3EkK9a7SJBbcpL1MpUtlfygow39tFjY7EVNW9plWUvRrTgVk7lYLprvfzw-CIqw3gHC-T7IK_m_xkr08INERBtaecwhTeN4chPC4W3jdmw_lIxzC48YoQ0dB1L9-ImX98Egypfrlbm0IBL5spFzL6JDZIRRJOu8vecJvj1mq-IUhGt0MacxX8jdxYLP-KUu2d9MbNKpCKJuZ7p8gwTL5B7NlUdh_dmSviPWrw

Bu v2.0 örnek belirtecini jwt.ms görüntüleyin.

Aşağıda listelenen tüm JWT talepleri, aksi belirtilmedikçe hem v1.0 hem de v2.0 belirteçlerinde görünür.

Üst bilgi talepleri

Aşağıdaki tabloda kimlik belirteçlerinde bulunan üst bilgi talepleri gösterilmektedir.

İste Biçimlendir Açıklama
typ Dize - her zaman "JWT" Belirtecin bir JWT belirteci olduğunu gösterir.
alg Dize Belirteci imzalamak için kullanılan algoritmayı gösterir. Örnek: "RS256"
kid Dize Bu belirtecin imzasını doğrulamak için kullanılabilecek ortak anahtarın parmak izini belirtir. Hem v1.0 hem de v2.0 kimlik belirteçlerinde yayılan.
x5t Dize ile aynı işlevi görür (kullanımda ve değerde).kid x5t yalnızca uyumluluk amacıyla v1.0 kimlik belirteçlerinde gösterilen eski bir taleptir.

Yük talepleri

Aşağıdaki tabloda, varsayılan olarak çoğu kimlik belirtecinde yer alan talepler gösterilmektedir (belirtilen durumlar dışında). Ancak uygulamanız, kimlik belirtecinde daha fazla talep istemek için isteğe bağlı beyanları kullanabilir. İsteğe bağlı talepler, talepten groups kullanıcının adı hakkındaki bilgilere kadar değişebilir.

İste Biçimlendir Açıklama
aud Dize, Uygulama Kimliği GUID'si Belirtecin hedeflenen alıcısını tanımlar. 'de id_tokenshedef kitle, uygulamanızın uygulama kimliğidir ve Azure portal uygulamanıza atanır. Bu değer doğrulanmalıdır. Belirtecin uygulamanızın Uygulama Kimliği ile eşleşmemesi durumunda reddedilmesi gerekir.
iss Dize, veren bir URI Belirteci oluşturan ve döndüren vereni veya "yetkilendirme sunucusunu" tanımlar. Ayrıca, kullanıcının kimliğinin doğrulandığı Azure AD kiracıyı da tanımlar. Belirteç v2.0 uç noktası tarafından verildiyse, URI ile /v2.0sona erer. Kullanıcının bir Microsoft hesabından bir tüketici kullanıcısı olduğunu belirten GUID değeridir 9188040d-6c67-4c5b-b112-36a304b66dad. Uygulamanız, varsa uygulamada oturum açabilecek kiracı kümesini kısıtlamak için talebin GUID bölümünü kullanmalıdır.
iat int, Unix zaman damgası "Verme Tarihi", bu belirteç için kimlik doğrulamasının ne zaman gerçekleştiğini gösterir.
idp Dize, genellikle bir STS URI'sı Belirtecin öznesinin kimliğini doğrulayan kimlik sağlayıcısını kaydeder. Bu değer, kullanıcı hesabı verenle (örneğin konuklar) aynı kiracıda olmadığı sürece Veren talebi değeriyle aynıdır. Talep mevcut değilse, bunun yerine değerinin iss kullanılabileceğini gösterir. Kuruluş bağlamında kullanılan kişisel hesaplar için (örneğin, Azure AD kiracıya davet edilen kişisel bir hesap), idp talep 'live.com' veya Microsoft hesabı kiracısını 9188040d-6c67-4c5b-b112-36a304b66dadiçeren bir STS URI'si olabilir.
nbf int, Unix zaman damgası "nbf" (daha önce değil) talebi, JWT'nin işlenmek üzere kabul edilmediği zamanı tanımlar.
exp int, Unix zaman damgası "exp" (süre sonu) talebi, JWT'nin işlenmek üzere kabul edilmemesi gereken süre sonunu tanımlar. Belirli durumlarda bir kaynağın belirteci bu süreden önce reddedebileceğini unutmayın. Örneğin, kimlik doğrulamasında bir değişiklik yapılması gerekiyorsa veya belirteç iptali algılandıysa.
c_hash Dize Kod karması, kimlik belirteçlerine yalnızca kimlik belirteci bir OAuth 2.0 yetkilendirme koduyla verildiğinde eklenir. Yetkilendirme kodunun orijinalliğini doğrulamak için kullanılabilir. Bu doğrulamanın nasıl yapılacağını anlamak için bkz. OpenID Connect belirtimi.
at_hash Dize Erişim belirteci karması, kimlik belirteçlerine yalnızca kimlik belirteci OAuth 2.0 erişim belirteci ile uç noktadan verildiğinde /authorize eklenir. Erişim belirtecinin orijinalliğini doğrulamak için kullanılabilir. Bu doğrulamanın nasıl yapılacağını anlamak için bkz. OpenID Connect belirtimi. Bu, uç noktadan kimlik belirteçlerinde /token döndürülmüyor.
aio Opak Dize Azure AD tarafından belirteç yeniden kullanımı için verileri kaydetmek için kullanılan iç talep. Yoksayılmalıdır.
preferred_username Dize Kullanıcıyı temsil eden birincil kullanıcı adı. Belirtilen biçime sahip olmayan bir e-posta adresi, telefon numarası veya genel bir kullanıcı adı olabilir. Değeri değişebilir ve zaman içinde değişebilir. Bu değer değişebilir olduğundan yetkilendirme kararları almak için kullanılmamalıdır. Ancak kullanıcı adı ipuçları için ve kullanıcı adı olarak okunabilir kullanıcı arabiriminde kullanılabilir. Bu profile talebi almak için kapsam gereklidir. Yalnızca v2.0 belirteçlerinde sunulur.
email Dize Talep email , e-posta adresi olan konuk hesapları için varsayılan olarak mevcuttur. Uygulamanız, isteğe bağlı talebi kullanarak email yönetilen kullanıcılar (kaynakla aynı kiracıdan gelenler) için e-posta talebi isteyebilir. v2.0 uç noktasında uygulamanız OpenID Connect kapsamını da email isteyebilir; talebi almak için hem isteğe bağlı talebi hem de kapsamı istemeniz gerekmez.
name Dize Talep, name belirtecin konusunu tanımlayan, insan tarafından okunabilir bir değer sağlar. Değerin benzersiz olacağı garanti değildir, değiştirilebilir ve yalnızca görüntüleme amacıyla kullanılmak üzere tasarlanmıştır. Bu profile talebi almak için kapsam gereklidir.
nonce Dize Nonce, özgün /authorize isteğinde bulunan parametreyle IDP'ye eşleşiyor. Eşleşmiyorsa, uygulamanızın belirteci reddetmesi gerekir.
oid Dize, GUID Microsoft kimlik sistemindeki bir nesnenin sabit tanımlayıcısı ( bu örnekte, bir kullanıcı hesabı). Bu kimlik, kullanıcıyı uygulamalar arasında benzersiz olarak tanımlar. Aynı kullanıcıda oturum açarken iki farklı uygulama talepte oid aynı değeri alır. Microsoft Graph bu kimliği belirli bir kullanıcı hesabının özelliği olarak id döndürür. oid birden çok uygulamanın kullanıcılar arasında bağıntı oluşturmasına izin verdiğindenprofile, bu talebi almak için kapsam gereklidir. Birden çok kiracıda tek bir kullanıcı varsa, kullanıcının her kiracıda farklı bir nesne kimliği içereceğini unutmayın; kullanıcı her hesapta aynı kimlik bilgileriyle oturum açtığında bile farklı hesaplar olarak kabul edilir. Talep oid bir GUID'dir ve yeniden kullanılamaz.
roles Dize dizisi Oturum açan kullanıcıya atanan rol kümesi.
rh Opak Dize Azure tarafından belirteçleri yeniden doğrulama amacıyla kullanılan bir iç talep. Yoksayılmalıdır.
sub Dize Belirtecin bir uygulamanın kullanıcısı gibi bilgileri onayladığı sorumlu. Bu değer sabittir ve yeniden atanamaz veya yeniden kullanılamaz. Konu çift yönlü bir tanımlayıcıdır; belirli bir uygulama kimliği için benzersizdir. Tek bir kullanıcı iki farklı istemci kimliği kullanarak iki farklı uygulamada oturum açarsa, bu uygulamalar konu talebi için iki farklı değer alır. Mimarinize ve gizlilik gereksinimlerinize bağlı olarak bu istenebilir veya istenmeyebilir.
tid Dize, GUID Kullanıcının oturum açmakta olduğu kiracıyı temsil eder. İş ve okul hesapları için GUID, kullanıcının oturum açmakta olduğu kuruluşun sabit kiracı kimliğidir. Kişisel Microsoft hesabı kiracısında (Xbox, Yaşam için Teams veya Outlook gibi hizmetler) oturum açma işlemleri için değeri olur 9188040d-6c67-4c5b-b112-36a304b66dad.
unique_name Dize Yalnızca v1.0 belirteçlerinde bulunur. Belirtecin konusunu tanımlayan ve okunabilir bir değer sunar. Bu değerin bir kiracı içinde benzersiz olacağı garanti değildir ve yalnızca görüntüleme amacıyla kullanılmalıdır.
uti Dize JWT belirtimindeki ile jti eşdeğer belirteç tanımlayıcısı talebi. Büyük/küçük harfe duyarlı benzersiz, belirteç başına tanımlayıcı.
ver Dize, 1.0 veya 2.0 id_token sürümünü gösterir.
hasgroups Boole Varsa, kullanıcının en az bir grupta olduğunu belirten her zaman doğru olur. Tam grup talebi URI parçasını URL uzunluk sınırlarının (şu anda 6 veya daha fazla grup) ötesine genişletiyorsa, örtük izin akışlarında JWT'ler için grup talebi yerine kullanılır. İstemcinin kullanıcı gruplarını (https://graph.microsoft.com/v1.0/users/{userID}/getMemberObjects ) belirlemek için Microsoft Graph API kullanması gerektiğini gösterir.
groups:src1 JSON nesnesi Uzunluğu sınırlı olmayan ancak hasgroups yine de belirteç için çok büyük olan belirteç istekleri için, kullanıcının tam gruplar listesine bir bağlantı eklenir. Dağıtılmış talep olarak JWT'ler için, talebin groups yerine yeni bir talep olarak SAML için.

Örnek JWT Değeri:
"groups":"src1"
"_claim_sources: "src1" : { "endpoint" : "https://graph.microsoft.com/v1.0/users/{userID}/getMemberObjects" }

Daha fazla bilgi için bkz . Fazla kullanım talebi grupları.

Bir kullanıcıyı güvenilir bir şekilde tanımlamak için talepleri kullanma (Konu ve Nesne Kimliği)

Bir kullanıcıyı tanımlarken (örneğin, bir veritabanında ararken veya hangi izinlere sahip olduğuna karar verirken), zaman içinde sabit ve benzersiz kalacak bilgileri kullanmak kritik önem taşır. Eski uygulamalar bazen e-posta adresi, telefon numarası veya UPN gibi alanlar kullanır. Bunların tümü zaman içinde değişebilir ve zaman içinde yeniden kullanılabilir. Örneğin, bir çalışan adını değiştirdiğinde veya bir çalışana öncekiyle eşleşen bir e-posta adresi verildiğinde, artık çalışan yoktur. Bu nedenle, uygulamanızın bir kullanıcıyı tanımlamak için insan tarafından okunabilir veriler kullanmaması kritik öneme sahiptir. Genel olarak insanlar tarafından okunabilir olması, birinin okuyacağı ve değiştirmek istediği anlamına gelir. Bunun yerine, OIDC standardı tarafından sağlanan talepleri veya Microsoft tarafından sağlanan uzantı taleplerini ( sub ve oid talepleri) kullanın.

Kullanıcı başına bilgileri doğru şekilde depolamak için, gerektiğinde yönlendirme veya parçalama için kullanılan tek başına veya oid tek başına (GUID'ler benzersizdir) tid kullanınsub. Hizmetler arasında veri paylaşmanız gerekiyorsa, oid+tid tüm uygulamalar belirli bir kiracıda hareket eden belirli bir kullanıcı için aynı oid ve tid taleplere sahip olduğundan en iyisidir. sub Microsoft kimlik platformu talep "çifte göre" şeklindedir; belirteç alıcısı, kiracısı ve kullanıcı birleşimine göre benzersizdir. Bu nedenle, belirli bir kullanıcı için kimlik belirteçleri isteyen iki uygulama farklı sub talepler alır, ancak bu kullanıcı için aynı oid talepleri alır.

Not

Kiracılar idp arasında kullanıcıları ilişkilendirmek amacıyla bir kullanıcı hakkındaki bilgileri depolamak için talebi kullanmayın. Bir kullanıcının kiracılar arasındaki ve sub talepleri, uygulamaların kiracılar arasında kullanıcıları izleyememesini sağlamak için tasarım gereği değiştikçe çalışmazoid.

Bir kullanıcının bir kiracıda barındırıldığı ve başka bir kiracıda kimlik doğrulaması yaptığı konuk senaryoları, kullanıcıya hizmette yepyeni bir kullanıcı gibi davranmalıdır. Contoso kiracısında belgeleriniz ve ayrıcalıklarınız Fabrikam kiracısında geçerli olmamalıdır. Bu, kiracılar arasında yanlışlıkla veri sızıntısını ve veri yaşam döngülerinin uygulanmasını önlemek için önemlidir. Bir konuğu kiracıdan çıkarmak, bu kiracıda oluşturduğu verilere erişimini de kaldırmalıdır.

Grupların fazla kullanım talebi

Belirteç boyutunun HTTP üst bilgi boyutu sınırlarını aşmadığından emin olmak için Azure AD talepte groups yer alan nesne kimliklerinin sayısını sınırlar. Bir kullanıcı fazla kullanım sınırından (SAML belirteçleri için 150, JWT belirteçleri için 200) daha fazla gruba üyeyse, Azure AD belirteçte grup talebi yaymaz. Bunun yerine, belirteçte kullanıcının grup üyeliğini almak için Microsoft Graph API sorgulaması için uygulamaya işaret eden bir fazla kullanım talebi içerir.

{
  ...
  "_claim_names": {
   "groups": "src1"
    },
    {
  "_claim_sources": {
    "src1": {
        "endpoint":"[Url to get this user's group membership from]"
        }
       }
     }
  ...
}

Kimlik belirteci yaşam süresi

Varsayılan olarak, kimlik belirteci bir saat geçerlidir; bir saat sonra istemcinin yeni bir kimlik belirteci alması gerekir.

bir kimlik belirtecinin ömrünü, istemci uygulamasının uygulama oturumunun ne sıklıkta sona ereceğini ve kullanıcının sessiz veya etkileşimli olarak yeniden kimlik doğrulamasını ne sıklıkta gerektirdiğini denetlemek için ayarlayabilirsiniz. Daha fazla bilgi için Bkz. Yapılandırılabilir belirteç ömrü.

Kimlik belirtecini doğrulama

Kimlik belirtecini doğrulama, erişim belirtecini doğrulamanın ilk adımına benzer. İstemciniz belirtecin üzerinde oynanıp oynanmadığını denetleyebiliyor. Doğru verenin belirteci geri gönderdiğinden emin olmak için vereni de doğrulayabilir. Kimlik belirteçleri her zaman bir JWT belirteci olduğundan, bu belirteçleri doğrulamak için birçok kitaplık vardır. Bunu kendiniz yapmak yerine bunlardan birini kullanmanızı öneririz. Yalnızca gizli istemcilerin (gizli dizisi olanlar) kimlik belirteçlerini doğrulaması gerektiğini unutmayın. Genel uygulamalar (tamamen kullanıcının tarayıcısı veya kendi ev ağı gibi denetlemediğiniz bir cihazda veya ağda çalışan kodlar) kimlik belirtecini doğrulamadan yararlanamaz. Bunun nedeni, kötü amaçlı bir kullanıcının belirtecin doğrulanması için kullanılan anahtarları araya girip düzenleyebiliyor olmasıdır.

Belirteci el ile doğrulamak için erişim belirtecini doğrulama adımlarına bakın. Belirteçteki imza doğrulandıktan sonra kimlik belirtecinde aşağıdaki JWT talepleri doğrulanmalıdır. Bu talepler, belirteç doğrulama kitaplığınız tarafından da doğrulanabilir:

  • Zaman damgaları: iat, nbfve exp zaman damgalarının tümü geçerli saatten önce veya sonra uygun şekilde düşmelidir.
  • hedef kitle: Talep, aud uygulamanızın uygulama kimliğiyle eşleşmelidir.
  • Nonce: Yükteki talep, nonce ilk istek sırasında /authorize uç noktasına geçirilen nonce parametresiyle eşleşmelidir.

Sonraki adımlar