Öğretici: Müşteri kiracınızı bir Node.js daemon uygulamasını yetkilendirmeye hazırlama
Bu öğreticide, erişim belirteci almayı ve ardından Node.js bir daemon uygulamasında web API'sini çağırmayı öğreneceksiniz. İstemci daemon uygulamasının kendi kimliğini kullanarak erişim belirteci almasını sağlarsınız. Bunu yapmak için önce uygulamanızı müşteriler için Microsoft Entra kimliği kiracınıza kaydedersiniz.
Bu öğreticide şunları yapacaksınız:
- Web API'sini kaydedin ve Microsoft Entra yönetim merkezinde uygulama izinlerini yapılandırın.
- İstemci daemon uygulamasını kaydedin; Microsoft Entra yönetim merkezinde uygulama izinleri verin.
- Microsoft Entra yönetim merkezinde daemon uygulamanız için bir gizli dizi oluşturun.
Microsoft Entra yönetim merkezine zaten bir istemci daemon uygulaması ve web API'sini kaydettiyseniz, bu öğreticideki adımları atlayabilir ve ardından API çağırmak için erişim belirteci alma bölümüne geçebilirsiniz.
Önkoşullar
- Müşteriler kiracısı için Microsoft Entra kimliği. Henüz bir aboneliğiniz yoksa ücretsiz deneme sürümüne kaydolun.
Web API'si uygulamasını kaydetme
Microsoft Entra yönetim merkezinde en azından Uygulama Geliştiricisi olarak oturum açın.
Birden çok kiracıya erişiminiz varsa, müşteri kiracınıza geçmek için üst menüdeki Dizinler + abonelikler filtresini
kullanın.Kimlik>Uygulamaları>Uygulama kayıtları'na göz atın.
+ Yeni kayıt'ı seçin.
Görüntülenen Uygulamayı kaydet sayfasında, uygulamanızın kayıt bilgilerini girin:
Ad bölümünde, uygulamanın kullanıcılarına görüntülenecek anlamlı bir uygulama adı girin, örneğin ciam-ToDoList-api.
Desteklenen hesaptürleri'nin altında Yalnızca bu kuruluş dizinindeki hesaplar'ı seçin.
Uygulamayı kaydetmek için Kaydet'i seçin.
Kayıt tamamlandığında uygulamanın Genel Bakış bölmesi görüntülenir. Uygulama kaynak kodunuzda kullanılacak Dizin (kiracı) kimliğini ve Uygulama (istemci) kimliğini kaydedin.
Uygulama rollerini yapılandırma
İstemci uygulamalarının kendileri gibi bir erişim belirteci alabilmesi için bir API'nin uygulamalar için Uygulama İzni olarak da adlandırılan en az bir uygulama rolü yayımlaması gerekir. Uygulama izinleri, istemci uygulamalarının kendilerinin kimliklerini başarıyla doğrulamasını sağlamak istediklerinde ve oturum açma kullanıcıları gerekmediğinde API'lerin yayımlaması gereken izin türüdür. Uygulama izni yayımlamak için şu adımları izleyin:
Uygulama kayıtları sayfasında, oluşturduğunuz uygulamayı (ciam-ToDoList-api gibi) seçerek Genel Bakış sayfasını açın.
Yönet'in altında Uygulama rolleri'ne tıklayın.
Uygulama rolü oluştur'u seçin, ardından aşağıdaki değerleri girin ve ardından Uygula'yı seçerek değişikliklerinizi kaydedin:
Özellik Değer Görünen ad ToDoList.Read.All İzin verilen üye türleri Uygulamalar Değer ToDoList.Read.All Description Uygulamanın 'TodoListApi' kullanarak her kullanıcının ToDo listesini okumasına izin ver Uygulama rolü oluştur'u yeniden seçin, ardından ikinci uygulama rolü için aşağıdaki değerleri girin ve ardından Uygula'yı seçerek değişikliklerinizi kaydedin:
Özellik Değer Görünen ad ToDoList.ReadWrite.All İzin verilen üye türleri Uygulamalar Değer ToDoList.ReadWrite.All Description Uygulamanın 'ToDoListApi' kullanarak her kullanıcının ToDo listesini okumasına ve yazmasına izin ver
idtyp belirteci talebi yapılandırma
Microsoft kimliği tarafından döndürülen belirteçler, bunları isteyen istemciler tarafından en iyi performansı sağlamak için daha küçük tutulur. Sonuç olarak, belirteçte artık varsayılan olarak birkaç talep yoktur ve uygulama başına özel olarak istenmelidir. Bu uygulama için, web API'sinin belirtecin uygulama belirteci mi yoksa uygulama+kullanıcı belirteci mi olduğunu belirlemesine yardımcı olmak için idtyp isteğe bağlı talebi eklersiniz. Scp ve rol taleplerinin bir birleşimi aynı amaçla kullanılabilse de idtyp talebi, uygulama belirtecini ve uygulama+kullanıcı belirtecini ayırt etmenin en kolay yoludur. Örneğin, belirteç yalnızca uygulama belirteci olduğunda bu talebin değeri uygulamadır.
idtyp isteğe bağlı talebi yapılandırmak için aşağıdaki adımları kullanın:
Yönet'in altında Belirteç yapılandırması'yı seçin.
İsteğe bağlı talep ekle'yi seçin.
Belirteç türü'nin altında Erişim'i seçin.
İsteğe bağlı talep kimliğini seçin.
Değişikliklerinizi kaydetmek için Ekle'yi seçin.
Daemon uygulamasını kaydetme
Uygulamanızın kullanıcıları Microsoft Entra ile oturum açmasını sağlamak için, müşteriler için Microsoft Entra kimliği oluşturduğunuz uygulamadan haberdar edilmelidir. Uygulama kaydı, uygulama ile Microsoft Entra arasında bir güven ilişkisi kurar. Bir uygulamayı kaydettiğinizde, Dış Kimlik, kimlik doğrulama istekleri oluştururken uygulamanızı tanımlamak için kullanılan bir değer olan Uygulama (istemci) Kimliği olarak bilinen benzersiz bir tanımlayıcı oluşturur.
Aşağıdaki adımlar, uygulamanızı Microsoft Entra yönetim merkezine nasıl kaydedeceğini gösterir:
Microsoft Entra yönetim merkezinde en azından Uygulama Geliştiricisi olarak oturum açın.
Birden çok kiracıya erişiminiz varsa, müşteri kiracınıza geçmek için üst menüdeki Dizinler + abonelikler filtresini
kullanın.Kimlik>Uygulamaları>Uygulama kayıtları'na göz atın.
+ Yeni kayıt'ı seçin.
Görüntülenen Uygulamayı kaydet sayfasında;
- Uygulamanın kullanıcılarına gösterilen anlamlı bir uygulama Adı girin, örneğin ciam-client-app.
- Desteklenen hesaptürleri'nin altında Yalnızca bu kuruluş dizinindeki hesaplar'ı seçin.
Kaydet’i seçin.
Başarılı bir kayıtta uygulamanın Genel Bakış bölmesi görüntülenir. Uygulama kaynak kodunuzda kullanılacak Uygulama (istemci) kimliğini kaydedin.
İstemci gizli dizisi oluşturma
Kayıtlı uygulama için bir istemci gizli dizisi oluşturun. Uygulama, belirteç istediğinde kimliğini kanıtlamak için istemci gizli dizisini kullanır.
- Uygulama kayıtları sayfasında, oluşturduğunuz uygulamayı (ciam-client-app gibi) seçerek Genel Bakış sayfasını açın.
- Yönet'in altında Sertifika gizli dizileri'ni &seçin.
- Yeni istemci gizli dizisi'ni seçin.
- Açıklama kutusuna istemci gizli dizisi için bir açıklama girin (örneğin, ciam uygulama istemci gizli dizisi).
- Süre Sonu'nun altında gizli dizinin geçerli olduğu bir süre seçin (kuruluşunuzun güvenlik kuralları başına) ve ardından Ekle'yi seçin.
- Gizli dizinin Değerini kaydedin. Bu değeri sonraki bir adımda yapılandırma için kullanacaksınız.
Not
Gizli dizi değeri yeniden görüntülenmez ve Sertifikalar ve gizli diziler sayfasından uzaklaştıktan sonra herhangi bir yolla alınamaz, bu nedenle kaydettiğinizden emin olun.
Gelişmiş güvenlik için istemci gizli dizileri yerine sertifikaları kullanmayı göz önünde bulundurun.
Daemon uygulamasına API izinleri verme
Uygulama kayıtları sayfasında, ciam-client-app gibi oluşturduğunuz uygulamayı seçin.
Yönet'in altında API izinleri'ne tıklayın.
Yapılandırılan izinler'in altında İzin ekle'yi seçin.
API'lerim sekmesini seçin.
API'ler listesinde ciam-ToDoList-api gibi API'yi seçin.
Uygulama izinleri seçeneğini belirleyin. Bu seçeneği, uygulama kullanıcı olarak değil, kendisi olarak oturum açtığında seçeriz.
İzinler listesinden TodoList.Read.All, ToDoList.ReadWrite.All öğesini seçin (gerekirse arama kutusunu kullanın).
İzin ekle düğmesini seçin.
Bu noktada izinleri doğru atamışsınız. Ancak, daemon uygulaması kullanıcıların bu uygulamayla etkileşim kurmasına izin vermediğinden, kullanıcılar bu izinlere onay veremez. Bu sorunu çözmek için, yönetici olarak kiracıdaki tüm kullanıcılar adına bu izinleri onaylamanız gerekir:
- Kiracı adınız> için <yönetici onayı ver'i ve ardından Evet'i seçin.
- Yenile'yi seçin ve kiracı adınız> için <Verildi seçeneğinin her iki izin için de Durum altında göründüğünü doğrulayın.
Uygulama kaydı ayrıntılarınızı toplama
Bir sonraki adımda, daemon uygulama uygulamanızı hazırlarsınız. Aşağıdaki ayrıntılara ulaşdığınızdan emin olun:
- Kaydettiğiniz istemci daemon uygulamasının Uygulama (istemci) kimliği.
- Daemon uygulamanızı kaydettiğiniz Dizin (kiracı) alt etki alanı. Kiracı adınız yoksa kiracı ayrıntılarınızı nasıl okuyacağınızı öğrenin.
- Oluşturduğunuz daemon uygulamasının uygulama gizli dizisi değeri.
- Kaydettiğiniz web API'si uygulamasının Uygulama (istemci) kimliği.
Sonraki adımlar
Sonraki öğreticide, daemon Node.js uygulamanızı hazırlayacaksınız.