Belirteçlere ve taleplere genel bakış
Merkezi kimlik sağlayıcısı, özellikle kuruluş ağından oturum açması gerekmeyecek dünya çapında kullanıcıları olan uygulamalar için kullanışlıdır. Microsoft kimlik platformu kullanıcıların kimliğini doğrular ve erişim belirteçleri, yenileme belirteçleri ve kimlik belirteçleri gibi güvenlik belirteçleri sağlar. Güvenlik belirteçleri, istemci uygulamasının bir kaynak sunucusundaki korumalı kaynaklara erişmesine olanak sağlar.
- Erişim belirteci - Erişim belirteci, OAuth 2.0 akışının bir parçası olarak yetkilendirme sunucusu tarafından verilen bir güvenlik belirtecidir. Kullanıcı ve belirtecin hedeflendiği kaynak hakkında bilgiler içerir. Bilgiler web API'lerine ve diğer korumalı kaynaklara erişmek için kullanılabilir. Kaynaklar, bir istemci uygulamasına erişim vermek için erişim belirteçlerini doğrular. Daha fazla bilgi için bkz. Microsoft kimlik platformu erişim belirteçleri.
- Yenileme belirteci - Erişim belirteçleri yalnızca kısa bir süre için geçerli olduğundan, yetkilendirme sunucuları bazen erişim belirteci verilirken aynı anda bir yenileme belirteci verir. daha sonra istemci uygulaması gerektiğinde bu yenileme belirtecini yeni bir erişim belirteci ile değiştirebilir. Daha fazla bilgi için bkz. Microsoft kimlik platformu belirteçleri yenileme.
- Kimlik belirteci - Kimlik belirteçleri bir OpenID Bağlan akışının parçası olarak istemci uygulamasına gönderilir. Bunlar bir erişim belirteci yerine veya yanında gönderilebilir. Kimlik belirteçleri, istemci tarafından kullanıcının kimliğini doğrulamak için kullanılır. Microsoft kimlik platformu kimlik belirteçlerini nasıl verir hakkında daha fazla bilgi edinmek için bkz. Microsoft kimlik platformu kimlik belirteçleri.
Birçok kurumsal uygulama, kullanıcıların kimliğini doğrulamak için SAML kullanır. SAML onayları hakkında bilgi için bkz . SAML belirteci başvurusu.
Belirteçleri doğrulama
Belirtecin oluşturulduğu uygulamaya, kullanıcıda oturum açan web uygulamasına veya belirteci doğrulamak için çağrılan web API'sine aittir. Yetkilendirme sunucusu belirteci özel bir anahtarla imzalar. Yetkilendirme sunucusu ilgili ortak anahtarı yayımlar. Bir belirteci doğrulamak için uygulama, imzanın özel anahtar kullanılarak oluşturulduğunu doğrulamak için yetkilendirme sunucusu ortak anahtarını kullanarak imzayı doğrular. Daha fazla bilgi için Talepleri doğrulayarak uygulamaların ve API'lerin güvenliğini sağlama makalesine bakın.
Mümkün olduğunda desteklenen Microsoft Kimlik Doğrulama Kitaplıklarını (MSAL) kullanmanızı öneririz. Bu, sizin için belirteçleri alma, yenileme ve doğrulamayı uygular. Ayrıca kiracının OpenID iyi bilinen bulma belgesini kullanarak kiracı ayarları ve anahtarları için standartlara uyumlu bulma uygular. MSAL, .NET, JavaScript, Java, Python, Android ve iOS gibi birçok farklı uygulama mimarisini ve platformu destekler.
Belirteçler yalnızca sınırlı bir süre için geçerlidir, bu nedenle yetkilendirme sunucusu sık sık bir belirteç çifti sağlar. Uygulamaya veya korumalı kaynağa erişen bir erişim belirteci sağlanır. Erişim belirtecinin süresi dolmak üzereyken erişim belirtecini yenilemek için kullanılan bir yenileme belirteci sağlanır.
Erişim belirteçleri üst bilgide taşıyıcı belirteç olarak bir web API'sine Authorization geçirilir. Bir uygulama yetkilendirme sunucusuna yenileme belirteci sağlayabilir. Uygulamaya kullanıcı erişimi iptal edilmemişse, yeni bir erişim belirteci ve yeni bir yenileme belirteci alır. Yetkilendirme sunucusu yenileme belirtecini aldığında, yalnızca kullanıcı hala yetkilendirilmişse başka bir erişim belirteci gönderir.
JSON Web Belirteçleri ve talepleri
Microsoft kimlik platformu, güvenlik belirteçlerini talep içeren JSON Web Belirteçleri (JWT) olarak uygular. JWT'ler güvenlik belirteçleri olarak kullanıldığından, bu kimlik doğrulama biçimi bazen JWT kimlik doğrulaması olarak adlandırılır.
Talep, bir kaynak sunucusu gibi başka bir varlığa istemci uygulaması veya kaynak sahibi gibi bir varlık hakkında onaylar sağlar. Talep, JWT talebi veya JSON Web Belirteci talebi olarak da adlandırılır.
Talepler, belirteç konusuyla ilgili olguları aktaran ad veya değer çiftleridir. Örneğin, bir talep, yetkilendirme sunucusunun kimliğini doğrulayan güvenlik sorumlusuyla ilgili olgular içerebilir. Belirli bir belirteçte bulunan talepler, belirteç türü, konunun kimliğini doğrulamak için kullanılan kimlik bilgisi türü ve uygulama yapılandırması gibi birçok şeye bağlıdır.
Uygulamalar aşağıdaki çeşitli görevler için talepleri kullanabilir:
- Belirteci doğrulama
- Belirteç sahibinin kiracısını belirleme
- Kullanıcı bilgilerini görüntüleme
- Öznenin yetkilendirme durumunu belirleme
Talep, aşağıdaki bilgi türlerini sağlayan anahtar-değer çiftlerinden oluşur:
- Belirteci oluşturan güvenlik belirteci sunucusu
- Belirtecin oluşturulduğu tarih
- Konu (kullanıcı gibi, ancak daemon'lar gibi)
- Hedef kitle, belirtecin oluşturulduğu uygulamadır
- Belirteci isteyen uygulama (istemci)
Belirteç uç noktaları ve verenler
Microsoft Entra ID iki kiracı yapılandırmasını destekler: şirket içi kullanıma yönelik ve çalışanları ve işletme konuklarını yöneten bir iş gücü yapılandırması ve tüketicileri ve iş ortaklarını kısıtlanmış bir dış dizinde yalıtma için iyileştirilmiş bir müşteri yapılandırması . Temel alınan kimlik hizmeti her iki kiracı yapılandırması için de aynı olsa da, dış kiracılar için oturum açma etki alanları ve belirteç verme yetkilisi farklıdır. Bu, uygulamaların gerekirse iş gücü ve dış kimlik iş akışlarını ayrı tutmasına olanak tanır.
Microsoft Entra iş gücü kiracıları, sts.windows.net tarafından verilen belirteçlerle login.microsoftonline.com kimlik doğrulaması yapar. Temel güven ilişkileri bu birlikte çalışabilirliğe izin verdikçe, iş gücü kiracı belirteçleri genellikle kiracılar ve çok kiracılı uygulamalar arasında değiştirilebilir. Microsoft Entra dış kiracıları {tenantname}.ciamlogin.com formunun kiracılı uç noktalarını kullanır. Dış kiracılara kayıtlı uygulamaların belirteçleri doğru bir şekilde almak ve doğrulamak için bu ayrımı bilmesi gerekir.
Her Microsoft Entra kiracısı standartlara uyumlu iyi bilinen bir meta veriler yayımlar. Bu belge, verenin adı, kimlik doğrulaması ve yetkilendirme uç noktaları, desteklenen kapsamlar ve talepler hakkında bilgi içerir. Dış kiracılar için, belge şu konumda genel kullanıma sunulur: https://{tenantname}.ciamlogin.com/{tenantid}/v2.0/.well-known/openid-configuration. Bu uç nokta,{tenantid}.ciamlogin.com/{tenantid}/v2.0 https:// veren bir değer döndürür.
Yetkilendirme akışları ve kimlik doğrulama kodları
İstemcinizin nasıl oluşturulduğuna bağlı olarak, Microsoft kimlik platformu tarafından desteklenen kimlik doğrulama akışlarından birini veya birkaçını kullanabilir. Desteklenen akışlar çeşitli belirteçler ve yetkilendirme kodları üretebilir ve bunların çalışması için farklı belirteçler gerektirir. Aşağıdaki tabloda genel bir bakış sunulmaktadır.
| Akış | Şunları gerektirir | Kimlik belirteci | Erişim belirteci | Yenileme belirteci | Yetki kodu |
|---|---|---|---|---|---|
| Yetkilendirme kodu akışı | x | x | x | x | |
| Örtük akış | x | x | |||
| Karma OIDC akışı | x | x | |||
| Yenileme belirteci kullanım | Yenileme belirteci | x | x | x | |
| On-behalf-of akışı | Erişim belirteci | x | x | x | |
| İstemci kimlik bilgileri | x (Yalnızca uygulama) |
Örtük akış kullanılarak verilen belirteçlerin uzunluk sınırlaması vardır çünkü URL kullanılarak tarayıcıya geri geçirilirler( burada response_mode veya fragment).query Bazı tarayıcılar, tarayıcı çubuğuna yerleştirilebilen VE çok uzun olduğunda başarısız olabilecek URL'nin boyutu üzerinde bir sınıra sahiptir. Sonuç olarak, bu belirteçlerin veya wids talepleri yokturgroups.
Ayrıca bkz.
Sonraki adımlar
- Kimlik doğrulaması ve yetkilendirmeyle ilgili temel kavramlar hakkında bilgi edinmek için bkz . Kimlik doğrulaması ve yetkilendirme.