Hızlı Başlangıç: Microsoft kimlik platformu ile uygulama kaydetme

  • Makale

Azure portalda bir uygulama kaydederek Microsoft kimlik platformunu kullanmaya başlayın.

Microsoft kimlik platformu yalnızca kayıtlı uygulamalar için kimlik ve erişim yönetimi (IAM) gerçekleştirir. web veya mobil uygulama gibi bir istemci uygulaması ya da bir istemci uygulamasını destekleyen bir web API'si olması fark etmez, kaydederek uygulamanızla kimlik sağlayıcısı, Microsoft kimlik platformu arasında bir güven ilişkisi kurar.

İpucu

Bir uygulamayı Azure AD B2C'ye kaydetmek için Öğretici: Azure AD B2C'de web uygulaması kaydetme adımlarını izleyin.

Önkoşullar

Bir uygulamayı kaydetme

İpucu

Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.

Uygulamanızı kaydetmek, uygulamanızla Microsoft kimlik platformu arasında bir güven ilişkisi kurar. Güven tek yönlüdür: uygulamanız Microsoft kimlik platformu güvenir ve tersi olmaz. Oluşturulduktan sonra, uygulama nesnesi farklı kiracılar arasında taşınamaz.

Uygulama kaydını oluşturmak için şu adımları izleyin:

  1. Microsoft Entra yönetim merkezinde en az Bulut Uygulaması Yönetici istrator olarak oturum açın.

  2. Birden çok kiracıya erişiminiz varsa, dizinler + abonelikler menüsünden uygulamayı kaydetmek istediğiniz kiracıya geçmek için üst menüdeki Ayarlar simgesini kullanın.

  3. Kimlik>Uygulamaları'na> göz atın Uygulama kayıtları ve Yeni kayıt'ı seçin.

  4. Uygulamanız için bir görünen Ad girin. Uygulamanızı kullanan kullanıcılar, örneğin oturum açma sırasında görünen adı görebilir. Görünen adı istediğiniz zaman değiştirebilirsiniz ve birden çok uygulama kaydı aynı adı paylaşabilir. Uygulama kaydının görünen adı değil otomatik olarak oluşturulan Uygulama (istemci) kimliği, uygulamanızı kimlik platformunda benzersiz olarak tanımlar.

  5. Uygulamayı kimlerin kullanabileceğini belirtin ve bazen oturum açma hedef kitlesi olarak da adlandırılır.

    Desteklenen hesap türleri Tanım
    Yalnızca bu kuruluş dizinindeki hesaplar Yalnızca kiracınızdaki kullanıcılar (veya konuklar) tarafından kullanılacak bir uygulama oluşturuyorsanız bu seçeneği belirleyin.

    Genellikle iş kolu (LOB) uygulaması olarak adlandırılan bu uygulama, Microsoft kimlik platformu tek kiracılı bir uygulamadır.
    Herhangi bir kuruluş dizinindeki hesaplar Herhangi bir Microsoft Entra kiracısında bulunan kullanıcıların uygulamanızı kullanabilmesini istiyorsanız bu seçeneği belirleyin. Örneğin, birden çok kuruluşa sağlamayı planladığınız bir hizmet olarak yazılım (SaaS) uygulaması oluşturuyorsanız bu seçenek uygundur.

    Bu uygulama türü, Microsoft kimlik platformu çok kiracılı bir uygulama olarak bilinir.
    Herhangi bir kuruluş dizinindeki hesaplar ve kişisel Microsoft hesapları En geniş müşteri kümesini hedeflemek için bu seçeneği seçin.

    Bu seçeneği belirleyerek, kişisel Microsoft hesapları olan kullanıcıları da destekleyebilecek çok kiracılı bir uygulama kaydetmiş olursunuz. Kişisel Microsoft hesapları Skype, Xbox, Live ve Hotmail hesaplarını içerir.
    Kişisel Microsoft hesapları Yalnızca kişisel Microsoft hesapları olan kullanıcılar için bir uygulama oluşturuyorsanız bu seçeneği belirleyin. Kişisel Microsoft hesapları Skype, Xbox, Live ve Hotmail hesaplarını içerir.

  6. Yeniden Yönlendirme URI'sine hiçbir şey girmeyin (isteğe bağlı). Sonraki bölümde yeniden yönlendirme URI'sini yapılandıracaksınız.

  7. İlk uygulama kaydını tamamlamak için Kaydet'i seçin.

    Screenshot of Microsoft Entra admin center in a web browser, showing the Register an application pane.

Kayıt tamamlandığında, Microsoft Entra yönetim merkezi uygulama kaydının Genel Bakış bölmesini görüntüler. Uygulama (istemci) kimliğini görürsünüz. İstemci kimliği olarak da adlandırılan bu değer, uygulamanızı Microsoft kimlik platformu benzersiz olarak tanımlar.

Önemli

Yeni uygulama kayıtları varsayılan olarak kullanıcılara gizlenir. Kullanıcıların uygulamayı Uygulamalarım sayfasında görmesine hazır olduğunuzda etkinleştirebilirsiniz. Uygulamayı etkinleştirmek için Microsoft Entra yönetim merkezinde Kimlik>Uygulamaları>Kurumsal uygulamaları'na gidin ve uygulamayı seçin. Ardından Özellikler sayfasında Kullanıcılara görünür mü? seçeneğini Evet olarak değiştirin.

Uygulamanızın kodu veya genellikle uygulamanızda kullanılan bir kimlik doğrulama kitaplığı da istemci kimliğini kullanır. Kimlik, kimlik platformundan aldığı güvenlik belirteçlerini doğrulamanın bir parçası olarak kullanılır.

Screenshot of the Microsoft Entra admin center in a web browser, showing an app registration's Overview pane.

Yeniden yönlendirme URI'sini ekleme

Yeniden yönlendirme URI'si, Microsoft kimlik platformu kullanıcının istemcisini yeniden yönlendirdiği ve kimlik doğrulamasından sonra güvenlik belirteçleri gönderdiği konumdur.

Örneğin üretim web uygulamasında yeniden yönlendirme URI'si genellikle uygulamanızın çalıştığı genel bir uç noktadır( gibi https://contoso.com/auth-response). Geliştirme sırasında, uygulamanızı veya gibi https://127.0.0.1/auth-responsehttp://localhost/auth-responseyerel olarak çalıştırdığınız uç noktayı da eklemek yaygın bir işlemdir. Üretim uygulamasında gereksiz geliştirme ortamlarının/yeniden yönlendirme URI'lerinin gösterilmediğinden emin olun. Bu, geliştirme ve üretim için ayrı uygulama kayıtlarına sahip olarak yapılabilir.

Kayıtlı uygulamalarınız için platform ayarlarını yapılandırarak yeniden yönlendirme URI'lerini ekler ve değiştirirsiniz.

Platform ayarlarını yapılandırma

Yeniden yönlendirme URI'leri de dahil olmak üzere her uygulama türü için AyarlarAzure portalında platform yapılandırmaları. Web ve Tek sayfalı uygulamalar gibi bazı platformlar, yeniden yönlendirme URI'sini el ile belirtmenizi gerektirir. Mobil ve masaüstü gibi diğer platformlar için, diğer ayarlarını yapılandırırken sizin için oluşturulan yeniden yönlendirme URI'leri arasından seçim yapabilirsiniz.

Uygulama ayarlarını hedeflediğiniz platforma veya cihaza göre yapılandırmak için şu adımları izleyin:

  1. Microsoft Entra yönetim merkezindeki Uygulama kayıtları uygulamanızı seçin.

  2. Yönet'in altında Kimlik Doğrulama'yı seçin.

  3. Platform yapılandırmaları'nın altında Platform ekle'yi seçin.

  4. Platformları yapılandır'ın altında, ayarlarını yapılandırmak için uygulama türünüz (platform) kutucuğunu seçin.

    Screenshot of the platform configuration pane in the Azure portal.

    Platform Yapılandırma ayarları
    Web Uygulamanız için yeniden yönlendirme URI'sini girin. Bu URI, Microsoft kimlik platformu kullanıcının istemcisini yeniden yönlendirdiği ve kimlik doğrulamasından sonra güvenlik belirteçleri gönderdiği konumdur.

    Ön kanal oturumu kapatma URL'si ile örtük ve karma akış özellikleri de yapılandırılabilir.

    Sunucuda çalışan standart web uygulamaları için bu platformu seçin.
    Tek sayfalı uygulama Uygulamanız için yeniden yönlendirme URI'sini girin. Bu URI, Microsoft kimlik platformu kullanıcının istemcisini yeniden yönlendirdiği ve kimlik doğrulamasından sonra güvenlik belirteçleri gönderdiği konumdur.

    Ön kanal oturumu kapatma URL'si ile örtük ve karma akış özellikleri de yapılandırılabilir.

    JavaScript veya Angular, Vue.js, React.js veya Blazor WebAssembly gibi bir çerçeve kullanarak istemci tarafı web uygulaması oluşturuyorsanız bu platformu seçin.
    iOS / macOS Uygulama Paket Kimliğini girin. Bunu Derleme Ayarlar'nde veya Info.plist dosyasındaki Xcode'da bulabilirsiniz.

    Paket Kimliği belirttiğinizde sizin için bir yeniden yönlendirme URI'si oluşturulur.
    Android Uygulama Paketi adını girin. AndroidManifest.xml dosyasında bulabilirsiniz. Ayrıca İmza karması oluşturup girin.

    Bu ayarları belirttiğinizde sizin için bir yeniden yönlendirme URI'si oluşturulur.
    Mobil ve masaüstü uygulamaları Önerilen Yeniden Yönlendirme URI'lerinden birini seçin. Veya üzerinde veya daha fazla Özel yeniden yönlendirme URI'sini belirtin.

    Katıştırılmış tarayıcı kullanan masaüstü uygulamaları için,
    https://login.microsoftonline.com/common/oauth2/nativeclient

    Sistem tarayıcısı kullanan masaüstü uygulamaları için,
    http://localhost

    En son Microsoft Kimlik Doğrulama Kitaplığı'nı (MSAL) kullanmayan veya aracı kullanmayan mobil uygulamalar için bu platformu seçin. Ayrıca masaüstü uygulamaları için bu platformu seçin.

  5. Platform yapılandırmasını tamamlamak için Yapılandır'ı seçin.

Yeniden yönlendirme URI'leri kısıtlamaları

Uygulama kaydına eklediğiniz yeniden yönlendirme URI'lerinin biçiminde bazı kısıtlamalar vardır. Bu kısıtlamalar hakkında ayrıntılı bilgi için bkz . Yeniden yönlendirme URI'si (yanıt URL'si) kısıtlamaları ve sınırlamaları.

Kimlik bilgileri ekle

Kimlik bilgileri, web API'lerine erişen gizli istemci uygulamaları tarafından kullanılır. Gizli istemcilere örnek olarak web uygulamaları, diğer web API'leri veya hizmet türü ve daemon türündeki uygulamalar verilebilir. Kimlik bilgileri, uygulamanızın kendi kimliğini doğrulamasını sağlar ve çalışma zamanında bir kullanıcıdan etkileşim gerektirmez.

Gizli istemci uygulama kaydınıza kimlik bilgileri olarak sertifikalar, istemci gizli dizileri (dize) veya federasyon kimliği kimlik bilgileri ekleyebilirsiniz.

Screenshot of the Microsoft Entra admin center, showing the Certificates and secrets pane in an app registration.

Sertifika ekleme

Bazen ortak anahtar olarak da adlandırılan sertifika, istemci gizli dizilerinden daha güvenli olarak kabul edildiğinden önerilen kimlik bilgisi türüdür. Uygulamanızda kimlik doğrulama yöntemi olarak sertifika kullanma hakkında daha fazla bilgi için bkz. Microsoft kimlik platformu uygulama kimlik doğrulama sertifikası kimlik bilgileri.

  1. Microsoft Entra yönetim merkezindeki Uygulama kayıtları uygulamanızı seçin.
  2. Sertifikalar ve gizli diziler>Sertifikalar>Sertifikayı karşıya yükle'yi seçin.
  3. Karşıya yüklemek istediğiniz dosyayı seçin. Şu dosya türlerinden biri olmalıdır: .cer, .pem, .crt.
  4. Ekle'yi seçin.

Gizli anahtar ekleme

Bazen uygulama parolası olarak da adlandırılan istemci gizli dizisi, uygulamanızın kendisini kimlik doğrulaması için sertifika yerine kullanabileceği bir dize değeridir.

İstemci gizli dizileri, sertifika kimlik bilgilerine göre daha az güvenli olarak kabul edilir. Uygulama geliştiricileri, kullanım kolaylığı nedeniyle bazen yerel uygulama geliştirme sırasında istemci gizli dizilerini kullanır. Ancak, üretimde çalışan tüm uygulamalarınız için sertifika kimlik bilgilerini kullanmanız gerekir.

  1. Microsoft Entra yönetim merkezindeki Uygulama kayıtları uygulamanızı seçin.
  2. Sertifikalar ve gizli diziler İstemci gizli>dizileri>Yeni istemci gizli dizisi'ni seçin.
  3. İstemci gizli diziniz için bir açıklama ekleyin.
  4. Gizli dizi için bir süre sonu seçin veya özel bir yaşam süresi belirtin.
    • gizli dizi ömrü iki yıl (24 ay) veya daha kısa süreyle sınırlıdır. 24 aydan uzun bir özel yaşam süresi belirtemezsiniz.
    • Microsoft, 12 aydan kısa bir süre sonu değeri ayarlamanızı önerir.
  5. Ekle'yi seçin.
  6. Gizli anahtarın değerini istemci uygulama kodunuzda kullanmak üzere kaydedin. Bu gizli dizi değeri, bu sayfadan ayrıldıktan sonra bir daha görüntülenmez.

Uygulama güvenliği önerileri için bkz. Microsoft kimlik platformu en iyi yöntemler ve öneriler.

Otomatik olarak hizmet sorumlusu oluşturan bir Azure DevOps hizmet bağlantısı kullanıyorsanız, istemci gizli dizisini doğrudan güncelleştirmek yerine Azure DevOps portalı sitesinden istemci gizli dizisini güncelleştirmeniz gerekir. Azure DevOps portalı sitesinden istemci gizli dizisini güncelleştirme hakkında şu belgeye bakın: Azure Resource Manager hizmet bağlantılarında sorun giderme.

Federasyon kimlik bilgisi ekleme

Federasyon kimliği kimlik bilgileri, GitHub Actions gibi iş yüklerine, Kubernetes üzerinde çalışan iş yüklerine veya Azure dışındaki işlem platformlarında çalışan iş yüklerinin iş yükü kimlik federasyonu kullanarak gizli dizileri yönetmeye gerek kalmadan Microsoft Entra korumalı kaynaklara erişmesine olanak tanıyan bir kimlik bilgisi türüdür.

Federasyon kimlik bilgileri eklemek için şu adımları izleyin:

  1. Microsoft Entra yönetim merkezindeki Uygulama kayıtları uygulamanızı seçin.

  2. Sertifikalar ve gizli diziler>Federasyon kimlik bilgileri Kimlik bilgisi> ekle'yi seçin.

  3. Federasyon kimlik bilgisi senaryosu açılan kutusunda desteklenen senaryolardan birini seçin ve yapılandırmayı tamamlamak için ilgili yönergeleri izleyin.

    • Başka bir kiracıda Azure Key Vault kullanarak kiracınızdaki verileri şifrelemek için müşteri tarafından yönetilen anahtarlar .
    • Uygulamanızın belirteçlerini almak ve varlıkları Azure'a dağıtmak üzere GitHub iş akışını yapılandırmak üzere Azure kaynaklarını dağıtan GitHub eylemleri.
    • Azure kaynaklarına erişen Kubernetes, uygulamanız için belirteçleri almak ve Azure kaynaklarına erişmek üzere bir Kubernetes hizmet hesabı yapılandırıyor.
    • Uygulamanızın belirteçlerini almak ve Azure kaynaklarına erişmek üzere dış OpenID Bağlan sağlayıcısı tarafından yönetilen bir kimliği yapılandırmak için diğer veren.

Federasyon kimlik bilgileriyle erişim belirteci alma hakkında daha fazla bilgi için Microsoft kimlik platformu ve OAuth 2.0 istemci kimlik bilgileri akışı makalesine bakın.

Sonraki adımlar

İstemci uygulamalarının genellikle bir web API'sindeki kaynaklara erişmesi gerekir. Microsoft kimlik platformu kullanarak istemci uygulamanızı koruyabilirsiniz. Web API'nize kapsamlı, izin tabanlı erişim yetkisi vermek için de platformu kullanabilirsiniz.

Web API'niz için başka bir uygulama kaydı oluşturmak ve kapsamlarını kullanıma açmak için serinin sonraki hızlı başlangıcına gidin.

Web API'sini kullanıma açmak için uygulama yapılandırma