App Service veya Azure İşlevleri uygulamanızı Microsoft Entra oturum açma özelliğini kullanacak şekilde yapılandırma

Atlamak için başka bir kimlik doğrulama sağlayıcısı seçin.

• Microsoft Entra ID
• Facebook
• Google
• Twitter
• OpenID Bağlan sağlayıcısı
• Apple ile oturum açma (Önizleme)

Bu makalede, uygulamanızın kullanıcılara kimlik doğrulama sağlayıcısı olarak Microsoft kimlik platformu (Microsoft Entra Id) ile oturum açması için Azure Uygulaması Hizmeti veya Azure İşlevleri için kimlik doğrulamasını yapılandırma gösterilmektedir.

App Service Kimlik Doğrulaması özelliği, Microsoft kimlik platformu ile otomatik olarak bir uygulama kaydı oluşturabilir. Ayrıca, sizin veya dizin yöneticisinin ayrı olarak oluşturduğu bir kaydı da kullanabilirsiniz.

• Otomatik olarak yeni uygulama kaydı oluşturma
• Ayrı olarak oluşturulan mevcut bir kaydı kullanma

Not

Otomatik olarak yeni kayıt oluşturma seçeneği kamu bulutlarında veya [Müşteriler için Microsoft Entra Id (Önizleme)] kullanılırken kullanılamaz. Bunun yerine ayrı bir kayıt tanımlayın.

1. Seçenek: Otomatik olarak yeni bir uygulama kaydı oluşturma

Ayrı olarak bir uygulama kaydı oluşturmanız gerekmediği sürece bu seçeneği kullanın. Uygulama kaydı oluşturulduktan sonra Microsoft Entra Id'de özelleştirebilirsiniz.

1. Azure portalında oturum açın ve uygulamanıza gidin.

2. Soldaki menüden Kimlik Doğrulaması'nı seçin. Kimlik sağlayıcısı ekle'yi seçin.

3. Kimlik sağlayıcısı açılan listesinde Microsoft'u seçin. Yeni kayıt oluşturma seçeneği varsayılan olarak seçilidir. Kaydın adını veya desteklenen hesap türlerini değiştirebilirsiniz.

   İstemci gizli dizisi oluşturulur ve adlı MICROSOFT_PROVIDER_AUTHENTICATION_SECRETbir yuva yapışkan uygulama ayarı olarak depolanır. Gizli diziyi Azure Key Vault'ta yönetmek istiyorsanız bu ayarı daha sonra Key Vault başvurularını kullanacak şekilde güncelleştirebilirsiniz.

4. Uygulama için yapılandırılan ilk kimlik sağlayıcısı buysa, bir App Service kimlik doğrulama ayarları bölümü de istenir. Aksi takdirde, sonraki adıma geçebilirsiniz.

   Bu seçenekler uygulamanızın kimliği doğrulanmamış isteklere nasıl yanıt vereceğini belirler ve varsayılan seçimler tüm istekleri bu yeni sağlayıcıyla oturum açmak üzere yeniden yönlendirir. Bu davranışı şimdi özelleştir seçeneğini değiştirebilir veya daha sonra Kimlik doğrulama ayarları'nın yanındaki Düzenle'yi seçerek bu ayarları ana Kimlik Doğrulama ekranından değiştirebilirsiniz. Bu seçenekler hakkında daha fazla bilgi edinmek için bkz . Kimlik doğrulama akışı.

5. (İsteğe bağlı) İleri: İzinler'i seçin ve uygulamanın gerektirdiği Microsoft Graph izinlerini ekleyin. Bunlar uygulama kaydına eklenir, ancak bunları daha sonra da değiştirebilirsiniz.

6. Ekle'yi seçin.

Artık uygulamanızda kimlik doğrulaması için Microsoft kimlik platformu kullanmaya hazırsınız. Sağlayıcı, Kimlik Doğrulaması ekranında listelenir. Buradan bu sağlayıcı yapılandırmasını düzenleyebilir veya silebilirsiniz.

Azure Depolama ve Microsoft Graph'e erişen bir web uygulaması için Microsoft Entra oturum açma işlemini yapılandırma örneği için bu öğreticiye bakın.

Seçenek 2: Ayrı olarak oluşturulan mevcut bir kaydı kullanma

App Service kimlik doğrulamasını mevcut bir uygulama kaydını kullanacak şekilde yapılandırabilirsiniz. Mevcut bir uygulama kaydını kullanmak için en yaygın durumlar aşağıdaki durumlardır:

• Hesabınızın Microsoft Entra kiracınızda uygulama kayıtları oluşturma izinleri yok.
• Uygulamanızın içinde olduğundan farklı bir Microsoft Entra kiracısından uygulama kaydı kullanmak istiyorsunuz.
• Yeni kayıt oluşturma seçeneği kamu bulutlarında kullanılamaz.

1. Adım: App Service uygulamanız için Microsoft Entra Id'de uygulama kaydı oluşturma

Uygulama kaydını oluştururken, daha sonra App Service uygulamasında kimlik doğrulamasını yapılandırırken ihtiyacınız olacak aşağıdaki bilgileri toplayın:

• Client ID
• Kiracı kimliği
• gizli dizi (isteğe bağlı, ancak önerilir)
• Başvuru kodu URI

Uygulama kaydı oluşturma yönergeleri, iş gücü kiracısı mı yoksa müşteri kiracısı mı kullandığınıza bağlıdır. Senaryonuz için doğru yönerge kümesini seçmek için aşağıdaki sekmeleri kullanın.

Uygulamayı kaydetmek için aşağıdaki adımları uygulayın:

1. Azure portalında oturum açın, Uygulama Hizmetleri'ni arayıp seçin ve ardından uygulamanızı seçin. Uygulamanızın URL'sini not edin. Microsoft Entra uygulama kaydınızı yapılandırmak için bunu kullanacaksınız.

2. Portalda kiracınıza gidin:

   İş gücü kiracısı

   Portal menüsünden Microsoft Entra Id'yi seçin. Kullandığınız kiracı App Service uygulamasını yapılandırmak için kullandığınız kiracıdan farklıysa, önce dizinleri değiştirmeniz gerekir.

   Müşteri kiracısı

   1. Henüz bir müşteri kiracınız yoksa, Müşteri kimliği ve erişim yönetimi (CIAM) kiracısı oluşturma başlığındaki yönergeleri izleyerek bir kiracı oluşturun.

   2. Azure portalındaki dizininizi müşteri kiracısına geçirin.

      İpucu

      İki kiracı bağlamında (aboneliğinizin kiracısı ve müşteri kiracısı) çalıştığınız için Azure portalını web tarayıcınızın iki ayrı sekmesinde açmak isteyebilirsiniz. Her kiracı farklı bir kiracıda oturum açabilir.

   3. Portal menüsünden Microsoft Entra Id'yi seçin.

3. "Genel Bakış" ekranında, Kiracı Kimliğini ve Birincil etki alanını not edin.

4. Sol gezinti bölmesinden Uygulama kayıtları> Yeni kayıt'ı seçin.

5. Uygulama kaydetme sayfasında, uygulama kaydınız için bir Ad girin.

6. Desteklenen hesap türleri bölümünde bu uygulamaya erişebilecek hesap türünü seçin.

7. Yeniden Yönlendirme URI'leri bölümünde platform için Web'i seçin ve yazın<app-url>/.auth/login/aad/callback. Örneğin, https://contoso.azurewebsites.net/.auth/login/aad/callback.

8. Kaydet'i seçin.

9. Uygulama kaydı oluşturulduktan sonra, uygulama (istemci) kimliğini ve daha sonraki sürümler için Dizin (kiracı) kimliğini kopyalayın.

10. Sol gezinti bölmesinden Kimlik Doğrulaması'nı seçin. Örtük verme ve karma akışlar altında, App Service'ten OpenID Bağlan kullanıcı oturum açma işlemlerine izin vermek için kimlik belirteçlerini etkinleştirin. Kaydet'i seçin.

11. (İsteğe bağlı) Sol gezinti bölmesinden Marka ve özellikler'i seçin. Giriş sayfası URL'si bölümünde App Service uygulamanızın URL'sini girin ve Kaydet'i seçin.

12. Sol gezinti bölmesinden Bir API'yi Kullanıma Sunma Kaydet'i> seçin.> Bu değer, kaynak olarak kullanıldığında uygulamayı benzersiz olarak tanımlar ve erişim izni veren belirteçlerin istenebilmesini sağlar. Oluşturduğunuz kapsamlar için ön ek olarak kullanılır.

    Tek kiracılı bir uygulama için, biçimindeki api://<application-client-id>varsayılan değeri kullanabilirsiniz. Kiracınız için doğrulanmış etki alanlarından birine göre daha https://contoso.com/api okunabilir bir URI de belirtebilirsiniz. Çok kiracılı bir uygulama için özel bir URI sağlamanız gerekir. Uygulama Kimliği URI'leri için kabul edilen biçimler hakkında daha fazla bilgi edinmek için uygulama kayıtları en iyi yöntemler başvurusuna bakın.

13. Yeni bir kapsam ekle'yi seçin.

    1. Kapsam adı alanına user_impersonation girin.
    2. Kullanıcıların bu kapsama onay vermesine izin vermek istiyorsanız, Kimler onaylayabilir bölümünde Yönetici ve kullanıcılar'ı seçin.
    3. Metin kutularına, kullanıcıların onay sayfasında görmesini istediğiniz onay kapsamı adını ve açıklamasını girin. Örneğin, Access <uygulama adı> girin.
    4. Kapsam ekle'yi seçin.

14. (İsteğe bağlı) İstemci gizli dizisi oluşturmak için:

    1. Sol gezinti bölmesinde Sertifikalar ve gizli diziler İstemci gizli>dizileri Yeni istemci gizli dizisi'ni> seçin.
    2. Bir açıklama ve süre sonu girin ve Ekle'yi seçin.
    3. Değer alanında istemci gizli anahtarı değerini kopyalayın. Bu sayfadan uzaklaştıktan sonra bir daha gösterilmez.

15. (İsteğe bağlı) Birden çok Yanıt URL'sini eklemek için Kimlik Doğrulaması'na tıklayın.

16. Uygulama kaydınızı ayarlamayı tamamlayın:

    İş gücü kiracısı

    İş gücü kiracısı için başka bir adım gerekli değildir.

    Müşteri kiracısı

    1. Kiracıdaki uygulama kayıtları arasında paylaşılabilen bir kimlik doğrulama deneyimini tanımlayan bir kullanıcı akışı oluşturun:

       1. Kiracıya geri dönün ve Dış kimlikler'i seçin.
       2. (İsteğe bağlı) Tüm kimlik sağlayıcıları altında kimlik sağlayıcılarını yapılandırın. Kullanılabilir seçenekler hakkında ayrıntılı bilgi için bkz . Müşteriler için kimlik doğrulama yöntemleri ve kimlik sağlayıcıları.
       3. Kullanıcı akışları>Yeni kullanıcı akışı'ı seçin.
       4. "SignUpSignIn" gibi bir ad girin ve ardından bu akışta kullanmak istediğiniz kimlik sağlayıcılarını ve kullanıcı özniteliklerini seçin. İşiniz bittiğinde Oluştur’u seçin.

       Bu adımlar, Kaydolma ve oturum açma kullanıcı akışı oluşturma bölümünde de ele alınmıştır.

    2. Uygulama kaydınızı kullanıcı akışıyla çalışacak şekilde yapılandırın:

       1. Yeni oluşturduğunuz kullanıcı akışını seçin.
       2. Uygulamalar Uygulama> ekle'yi seçin.
       3. Daha önce oluşturduğunuz uygulama kaydını arayın, seçin ve ardından Seç'i seçin.

       Bu adımlar, Uygulamanızı kullanıcı akışına ekleme bölümünde de ele alınmıştır.

    3. Sonraki adımları gerçekleştirebilmek için dizininizi aboneliğinizi ve App Service uygulamanızı içeren kiracıya geri dönün.

2. Adım: App Service uygulamanızda Microsoft Entra ID'yi etkinleştirme

1. Azure portalında oturum açın ve uygulamanıza gidin.

2. Sol gezinti bölmesinde Kimlik Doğrulaması Kimlik Doğrulama>Ekle kimlik sağlayıcısı>Microsoft'u seçin.

3. Oluşturduğunuz uygulama kaydının Kiracı türünü seçin.

4. Uygulamayı, uygun kiracı türüne yönelik yönergeleri kullanarak oluşturduğunuz kaydı kullanacak şekilde yapılandırın:

   İş gücü kiracısı

   Uygulama kayıt türü için aşağıdakilerden birini seçin:

   • Bu dizinde var olan bir uygulama kaydını seçin: Geçerli kiracıdan bir uygulama kaydı seçin ve gerekli uygulama bilgilerini otomatik olarak toplayın. Sistem, uygulama kaydına karşı yeni bir istemci gizli dizisi oluşturmayı dener ve uygulamanızı otomatik olarak bunu kullanacak şekilde yapılandıracaktır. Varsayılan veren URL'si, uygulama kaydında yapılandırılan desteklenen hesap türlerine göre ayarlanır. Bu varsayılanı değiştirmek istiyorsanız aşağıdaki tabloya bakın.
   • Mevcut bir uygulama kaydının ayrıntılarını sağlayın: Başka bir kiracıdan uygulama kaydının ayrıntılarını belirtin veya hesabınızın geçerli kiracıda kayıtları sorgulama izni yoksa. Bu seçenek için yapılandırma değerlerini aşağıdaki tabloya göre el ile doldurmanız gerekir.

   İş gücü kiracısının kimlik doğrulama uç noktası, bulut ortamına özgü bir değer olmalıdır. Örneğin, genel Azure'daki bir iş gücü kiracısı "https://login.microsoftonline.com" kimlik doğrulaması uç noktası olarak. Doğru Veren URL'sini oluşturmak için gereken kimlik doğrulama uç noktası değerini not edin.

   Müşteri kiracısı

   Müşteri kiracısı için yapılandırma değerlerini aşağıdaki tabloya göre el ile doldurmanız gerekir.

   Bir müşteri kiracısının kimlik doğrulama uç noktası, kiracı alt etki> alanını kiracı için varsayılan alt etki alanıyla değiştirerek <olmalıdırhttps://<tenant-subdomain>.ciamlogin.com. Varsayılan alt etki alanı, kiracının birincil etki alanının bir parçasıdır. Bu etki alanı formda <tenant-subdomain>.onmicrosoft.com olmalıdır ve kiracı oluşturma sırasında ayarlanmıştır. Örneğin, kiracı "contoso.onmicrosoft.com" etki alanına sahipse, kiracı alt etki alanı "contoso" ve kimlik doğrulama uç noktası "https://contoso.ciamlogin.com". Doğru Veren URL'sini oluşturmak için gereken kimlik doğrulama uç noktası değerini not edin.

   Yapılandırma ayrıntılarını doğrudan doldururken, uygulama kaydı oluşturma işlemi sırasında topladığınız değerleri kullanın:

   Alan	Açıklama
   Uygulama (istemci) kimliği	Uygulama kaydının Uygulama (istemci) kimliğini kullanın.
   İstemci Gizli Anahtarı	Uygulama kaydında oluşturduğunuz istemci gizli dizisini kullanın. İstemci gizli dizisiyle karma akış kullanılır ve App Service erişim ve yenileme belirteçleri döndürür. İstemci gizli dizisi ayarlı olmadığında örtük akış kullanılır ve yalnızca kimlik belirteci döndürülür. Bu belirteçler sağlayıcı tarafından gönderilir ve App Service kimlik doğrulama belirteci deposunda depolanır.
   Veren URL'si	kullanın <authentication-endpoint>/<tenant-id>/v2.0ve authentication-endpoint> değerini kiracı türünüz ve bulut ortamınız için önceki adımda belirlediğiniz kimlik doğrulama uç noktasıyla değiştirin<; ayrıca kiracı kimliğini> uygulama kaydının oluşturulduğu Dizin (kiracı) kimliğiyle değiştirin.< Azure AD v1 kullanan uygulamalar için URL'yi atlar /v2.0 . Bu değer, kullanıcıları doğru Microsoft Entra kiracısına yönlendirmenin yanı sıra uygun belirteç imzalama anahtarlarını ve belirteç veren talep değerini belirlemek üzere uygun meta verileri indirmek için kullanılır. Kiracıya özgü uç nokta dışındaki tüm yapılandırmalar çok kiracılı olarak kabul edilir. Çok kiracılı yapılandırmalarda, sistem tarafından verenin veya kiracı kimliğinin doğrulaması yapılmaz ve bu denetimler uygulamanızın yetkilendirme mantığında tam olarak işlenmelidir.
   İzin Verilen Belirteç hedef kitleleri	Bu alan isteğe bağlıdır. Yapılandırılan Uygulama (istemci) kimliğiher zaman örtük olarak izin verilen bir hedef kitle olarak kabul edilir. Uygulamanız diğer istemciler tarafından çağrılacak bir API'yi temsil ediyorsanız, uygulama kaydında yapılandırdığınız Uygulama Kimliği URI'sini de eklemeniz gerekir. İzin verilen hedef kitleler listesinde toplam 500 karakterlik bir sınır vardır.

   İstemci gizli dizisi adlı MICROSOFT_PROVIDER_AUTHENTICATION_SECRETbir yuva yapışkan uygulama ayarı olarak depolanır. Gizli diziyi Azure Key Vault'ta yönetmek istiyorsanız bu ayarı daha sonra Key Vault başvurularını kullanacak şekilde güncelleştirebilirsiniz.

5. Uygulama için yapılandırılan ilk kimlik sağlayıcısı buysa, bir App Service kimlik doğrulama ayarları bölümü de istenir. Aksi takdirde, sonraki adıma geçebilirsiniz.

   Bu seçenekler uygulamanızın kimliği doğrulanmamış isteklere nasıl yanıt vereceğini belirler ve varsayılan seçimler tüm istekleri bu yeni sağlayıcıyla oturum açmak üzere yeniden yönlendirir. Bu davranışı şimdi özelleştir seçeneğini değiştirebilir veya daha sonra Kimlik doğrulama ayarları'nın yanındaki Düzenle'yi seçerek bu ayarları ana Kimlik Doğrulama ekranından değiştirebilirsiniz. Bu seçenekler hakkında daha fazla bilgi edinmek için bkz . Kimlik doğrulama akışı.

6. Ekle'yi seçin.

Artık uygulamanızda kimlik doğrulaması için Microsoft kimlik platformu kullanmaya hazırsınız. Sağlayıcı, Kimlik Doğrulaması ekranında listelenir. Buradan bu sağlayıcı yapılandırmasını düzenleyebilir veya silebilirsiniz.

İstekleri yetkilendirme

Varsayılan olarak, App Service Kimlik Doğrulaması yalnızca kimlik doğrulamasını işler ve çağıranın söyledikleri kişi olup olmadığını belirler. Çağıranın bir kaynağa erişimi olup olmadığını belirlemek, kimlik doğrulamasının ötesinde bir ek adımdır. Bu kavramlar hakkında daha fazla bilgi için Microsoft kimlik platformu yetkilendirme temel bilgilerine göz atın.

Uygulamanız kodda yetkilendirme kararları verebilir. App Service Kimlik Doğrulaması, yardımcı olabilecek bazı yerleşik denetimler sağlar, ancak bunlar uygulamanızın yetkilendirme gereksinimlerini karşılamak için tek başına yeterli olmayabilir.

İpucu

Çok kiracılı uygulamalar, değerlerin izin verildiğinden emin olmak için bu işlemin bir parçası olarak isteği vereni ve kiracı kimliğini doğrulamalıdır. App Service Kimlik Doğrulaması çok kiracılı bir senaryo için yapılandırıldığında, isteğin hangi kiracıdan geldiğini doğrulamaz. Örneğin, kuruluşun hizmete kaydolarak kaydolmasına bağlı olarak bir uygulamanın belirli kiracılarla sınırlı olması gerekebilir. Çok kiracılı Microsoft kimlik platformu kılavuzuna bakın.

Uygulama kodundan doğrulama gerçekleştirme

Uygulama kodunuzda yetkilendirme denetimleri gerçekleştirdiğinizde, App Service Kimlik Doğrulaması tarafından sağlanan talep bilgilerinde yararlanabilirsiniz. Eklenen x-ms-client-principal üst bilgi, çağıran hakkında iddia edilen talepleri içeren Base64 ile kodlanmış bir JSON nesnesi içerir. Varsayılan olarak, bu talepler bir talep eşlemesi üzerinden geçer, bu nedenle talep adları belirteçte gördüğünüz adlarla her zaman eşleşmeyebilir. Örneğin, tid talep bunun yerine ile http://schemas.microsoft.com/identity/claims/tenantid eşlenir.

Eklenen üst bilgiden x-ms-token-aad-access-token doğrudan temel erişim belirteci ile de çalışabilirsiniz.

Yerleşik yetkilendirme ilkesi kullanma

Oluşturulan uygulama kaydı, Microsoft Entra kiracınız için gelen isteklerin kimliğini doğrular. Varsayılan olarak, kiracı içindeki herkesin uygulamaya erişmesine de olanak tanır ve bu da birçok uygulama için uygundur. Ancak bazı uygulamaların yetkilendirme kararları alarak erişimi daha fazla kısıtlaması gerekir. Uygulama kodunuz genellikle özel yetkilendirme mantığını işlemek için en iyi yerdir. Ancak, yaygın senaryolar için Microsoft kimlik platformu erişimi sınırlamak için kullanabileceğiniz yerleşik denetimler sağlar.

Bu bölümde, App Service kimlik doğrulaması V2 API'sini kullanarak yerleşik denetimlerin nasıl etkinleştirileceği gösterilmektedir. Şu anda bu yerleşik denetimleri yapılandırmanın tek yolu Azure Resource Manager şablonları veya REST API'sini kullanmaktır.

API nesnesi içinde, Microsoft Entra kimlik sağlayıcısı yapılandırması aşağıdaki yapıda olduğu gibi bir nesne içerebilen bir defaultAuthorizationPolicy bölüme sahiptirvalidation:

{
    "validation": {
        "defaultAuthorizationPolicy": {
            "allowedApplications": [],
            "allowedPrincipals": {
                "identities": []
            }
        }
    }
}

Özellik	Açıklama
defaultAuthorizationPolicy	Uygulamaya erişmek için karşılanması gereken gereksinimler grubu. Erişim, yapılandırılmış özelliklerinin her biri üzerinde bir mantıksal AND değere göre verilir. her allowedPrincipals ikisi de yapılandırıldığındaallowedApplications, gelen isteğin kabul edilebilmesi için her iki gereksinimi de karşılaması gerekir.
allowedApplications	Uygulamaya çağrı yapan istemci kaynağını temsil eden dize uygulaması istemci kimliklerinin izin verilenler listesi. Bu özellik boş bir dizi olarak yapılandırıldığında, yalnızca listede belirtilen bir uygulama tarafından alınan belirteçler kabul edilir. Bu ilke, erişim belirteci olması gereken gelen belirtecin veya azp talebi değerlendirirappid. Microsoft kimlik platformu talep başvurusuna bakın.
allowedPrincipals	Gelen istek tarafından temsil edilen sorumlunun uygulamaya erişip erişemediğini belirleyen bir denetim grubu. memnuniyeti allowedPrincipals , yapılandırılmış özellikleri üzerinde bir mantıksal OR temel alır.
identities (altında allowedPrincipals)	Erişimi olan kullanıcıları veya uygulamaları temsil eden dize nesnesi kimliklerinin izin verilenler listesi. Bu özellik boş bir dizi olarak yapılandırıldığında, allowedPrincipals istek tarafından temsil edilen kullanıcı veya uygulama listede belirtilirse gereksinim karşılanabilir. Kimlik listesinde toplam 500 karakter sınırı vardır. Bu ilke, gelen belirtecin oid iddiasını değerlendirir. Microsoft kimlik platformu talep başvurusuna bakın.

Ayrıca, kullanılan API sürümünden bağımsız olarak bazı denetimler bir uygulama ayarı aracılığıyla yapılandırılabilir. WEBSITE_AUTH_AAD_ALLOWED_TENANTS Uygulama ayarı, en fazla 10 kiracı kimliği içeren virgülle ayrılmış bir listeyle yapılandırılabilir (örneğin, "559a2f9c-c6f2-4d31-b8d6-5ad1a13f8330,5693f64a-3ad5-4be7-b846-e9d1141bcebc") gelen belirtecin talep tarafından tid belirtildiği şekilde belirtilen kiracılardan birinden olmasını zorunlu kılmaktadır. Uygulama WEBSITE_AUTH_AAD_REQUIRE_CLIENT_SERVICE_PRINCIPAL ayarı, gelen belirtecin bir oid talep içermesini gerektirecek şekilde "true" veya "1" olarak yapılandırılabilir. Bu ayar yoksayılır ve yapılandırıldıysa allowedPrincipals.identities true olarak değerlendirilir (talep bu sağlanan kimlik listesinde denetlendiğinden oid ).

Bu yerleşik denetimlerde başarısız olan isteklere bir HTTP 403 Forbidden yanıtı verilir.

İstemci uygulamalarını App Service'inize erişecek şekilde yapılandırma

Önceki bölümlerde, kullanıcıların kimliğini doğrulamak için App Service veya Azure İşlevinizi kaydettiniz. Bu bölümde yerel istemcilerin veya daemon uygulamalarının Microsoft Entra Id'ye nasıl kaydedildiği açıklanır ve böylece App Service'iniz tarafından kullanıcılar veya kendileri adına kullanıma sunulan API'lere erişim isteğinde bulunabilirler( örneğin N katmanlı mimaride). Yalnızca kullanıcıların kimliğini doğrulamak istiyorsanız bu bölümdeki adımları tamamlamanız gerekmez.

Yerel istemci uygulaması

Oturum açmış bir kullanıcı adına App Service uygulamanızın API'lerine erişim istemek için yerel istemcileri kaydedebilirsiniz.

1. Portal menüsünden Microsoft Entra Id'yi seçin.

2. Sol gezinti bölmesinden Uygulama kayıtları> Yeni kayıt'ı seçin.

3. Uygulama kaydetme sayfasında, uygulama kaydınız için bir Ad girin.

4. Yeniden yönlendirme URI'si bölümünde Genel istemci (mobil ve masaüstü) öğesini seçin ve URL'yi <app-url>/.auth/login/aad/callbackyazın. Örneğin, https://contoso.azurewebsites.net/.auth/login/aad/callback.

5. Kaydet'i seçin.

6. Uygulama kaydı oluşturulduktan sonra Uygulama (istemci) kimliği değerini kopyalayın.

   Not

   Bir Microsoft Store uygulaması için bunun yerine URI olarak SID paketini kullanın.

7. Sol gezinti bölmesinde API izinleri>İzin ekle>API'lerim'i seçin.

8. App Service uygulamanız için daha önce oluşturduğunuz uygulama kaydını seçin. Uygulama kaydını görmüyorsanız, App Service uygulamanız için Microsoft Entra Id'de uygulama kaydı oluşturma bölümüne user_impersonation kapsamını eklediğinizden emin olun.

9. Temsilci izinleri'nin altında user_impersonation'ı ve ardından İzin ekle'yi seçin.

App Service uygulamanıza bir kullanıcı adına erişim isteyebilen bir yerel istemci uygulaması yapılandırmış oldunuz.

Daemon istemci uygulaması (hizmet-hizmet çağrıları)

N katmanlı mimaride, istemci uygulamanız bir App Service veya İşlev uygulamasını istemci uygulamasının kendisi adına çağırmak için bir belirteç alabilir (kullanıcı adına değil). Bu senaryo, oturum açmış bir kullanıcı olmadan görevler gerçekleştiren etkileşimli olmayan daemon uygulamaları için kullanışlıdır. Standart OAuth 2.0 istemci kimlik bilgileri verme işlevini kullanır.

1. Portal menüsünden Microsoft Entra Id'yi seçin.
2. Sol gezinti bölmesinden Uygulama kayıtları> Yeni kayıt'ı seçin.
3. Uygulama kaydetme sayfasında, uygulama kaydınız için bir Ad girin.
4. Bir daemon uygulaması için Yeniden Yönlendirme URI'sine ihtiyacınız yoktur, bu nedenle bu uri'yi boş tutabilirsiniz.
5. Kaydet'i seçin.
6. Uygulama kaydı oluşturulduktan sonra Uygulama (istemci) kimliği değerini kopyalayın.
7. Sol gezinti bölmesinde Sertifikalar ve gizli diziler İstemci gizli>dizileri Yeni istemci gizli dizisi'ni> seçin.
8. Bir açıklama ve süre sonu girin ve Ekle'yi seçin.
9. Değer alanında istemci gizli anahtarı değerini kopyalayın. Bu sayfadan uzaklaştıktan sonra bir daha gösterilmez.

Şimdi parametresini hedef uygulamanın Uygulama Kimliği URI'sine ayarlayarak resource istemci kimliğini ve istemci gizli dizisini kullanarak erişim belirteci isteyebilirsiniz. Sonuçta elde edilen erişim belirteci standart OAuth 2.0 Yetkilendirme üst bilgisi kullanılarak hedef uygulamaya sunulabilir ve App Service kimlik doğrulaması, çağıranın (bu durumda kullanıcının değil, uygulamanın) kimliğinin doğrulandığını belirtmek için belirteci her zamanki gibi doğrular ve kullanır.

Şu anda bu, Microsoft Entra kiracınızdaki tüm istemci uygulamalarının erişim belirteci istemesine ve hedef uygulamada kimlik doğrulaması yapmasına olanak tanır. Yalnızca belirli istemci uygulamalarına izin vermek için yetkilendirmeyi zorlamak istiyorsanız, bazı ek yapılandırmalar gerçekleştirmeniz gerekir.

1. Korumak istediğiniz App Service veya İşlev uygulamasını temsil eden uygulama kaydının bildiriminde bir Uygulama Rolü tanımlayın.
2. Yetkilendirilmesi gereken istemciyi temsil eden uygulama kaydında API izinleri>İzin ekle>API'lerim'i seçin.
3. Daha önce oluşturduğunuz uygulama kaydını seçin. Uygulama kaydını görmüyorsanız bir Uygulama Rolü eklediğinizden emin olun.
4. Uygulama izinleri'nin altında, daha önce oluşturduğunuz Uygulama Rolünü seçin ve ardından İzin ekle'yi seçin.
5. İstemci uygulamasını izin isteme yetkisi vermek için Yönetici onayı ver'i seçtiğinizden emin olun.
6. Önceki senaryoya benzer şekilde (herhangi bir rol eklenmeden önce), artık aynı hedef resourceiçin bir erişim belirteci isteyebilirsiniz ve erişim belirteci, istemci uygulaması için yetkilendirilmiş Uygulama Rollerini içeren bir roles talep içerir.
7. Hedef App Service veya İşlev uygulama kodunda, artık beklenen rollerin belirteçte mevcut olduğunu doğrulayabilirsiniz (bu, App Service kimlik doğrulaması tarafından gerçekleştirilmez). Daha fazla bilgi için bkz . Access kullanıcı talepleri.

App Service uygulamanıza kendi kimliğini kullanarak erişebilen bir daemon istemci uygulaması yapılandırmış oldunuz.

En iyi yöntemler

Kimlik doğrulaması ayarlamak için kullandığınız yapılandırmadan bağımsız olarak, aşağıdaki en iyi yöntemler kiracınızı ve uygulamalarınızı daha güvende tutar:

• Her App Service uygulamasını Microsoft Entra ID'de kendi uygulama kaydıyla yapılandırın.
• Her App Service uygulamasına kendi izinlerini ve onayını verin.
• Ayrı dağıtım yuvaları için ayrı uygulama kayıtları kullanarak ortamlar arası izin paylaşımından kaçının. Yeni kodu test ederken bu uygulama, sorunların üretim uygulamasını etkilemesini önlemeye yardımcı olabilir.

Microsoft Graph'a geçiş

Bazı eski uygulamalar, kullanımdan kaldırılacak şekilde zamanlanan kullanımdan kaldırılmış Azure AD Graph bağımlılığıyla da ayarlanmış olabilir. Örneğin, uygulama kodunuz ara yazılım işlem hattındaki yetkilendirme filtresinin bir parçası olarak grup üyeliğini denetlemek için Azure AD Graph'ı çağırmış olabilir. Uygulamalar, Azure AD Graph kullanımdan kaldırma işleminin bir parçası olarak Microsoft Entra Id tarafından sağlanan yönergeleri izleyerek Microsoft Graph'a taşınmalıdır. Bu yönergeleri izleyerek App Service kimlik doğrulaması yapılandırmanızda bazı değişiklikler yapmanız gerekebilir. Uygulama kaydınıza Microsoft Graph izinleri ekledikten sonra şunları yapabilirsiniz:

1. Henüz yapmadıysanız Veren URL'sini "/v2.0" sonekini içerecek şekilde güncelleştirin.

2. Oturum açma yapılandırmanızdan Azure AD Graph izinleri isteklerini kaldırın. Değiştirebileceğiniz özellikler, kullandığınız yönetim API'sinin sürümüne bağlıdır:

   • V1 API' sini ()/authsettings kullanıyorsanız, bu dizide additionalLoginParams yer alır.
   • V2 API' sini ()/authsettingsV2 kullanıyorsanız, bu dizide loginParameters yer alır.

   ";, örneğin, tüm başvurularınıhttps://graph.windows.net" kaldırmanız gerekir. Bu parametreyi resource ("/v2.0" uç noktası tarafından desteklenmeyen) veya Azure AD Graph'ten özel olarak istediğiniz kapsamları içerir.

   Ayrıca, uygulama kaydı için ayarladığınız yeni Microsoft Graph izinlerini istemek için yapılandırmayı güncelleştirmeniz gerekir. Bu kurulumu birçok durumda basitleştirmek için .default kapsamını kullanabilirsiniz. Bunu yapmak için yeni bir oturum açma parametresi scope=openid profile email https://graph.microsoft.com/.defaultekleyin.

Bu değişikliklerle, App Service Kimlik Doğrulaması oturum açmayı denediğinde artık Azure AD Graph için izin istemeyecek ve bunun yerine Microsoft Graph için bir belirteç alacaktır. Bu belirtecin uygulama kodunuzdan herhangi bir şekilde kullanılmasının, Microsoft Entra Id tarafından sağlanan yönergelere göre de güncelleştirilmiş olması gerekir.

Sonraki adımlar

• App Service Kimlik Doğrulamasına / Yetkilendirmeye genel bakış.
• Öğretici: Azure Uygulaması Hizmetinde uçtan uca kullanıcıların kimliğini doğrulama ve yetkilendirme

• Öğretici: Azure Depolama ve Microsoft Graph'a erişen bir web uygulamasında kullanıcıların kimliğini doğrulama ve yetkilendirme
• Öğretici: Azure Uygulaması Hizmetinde uçtan uca kullanıcıların kimliğini doğrulama ve yetkilendirme