App Service veya Azure İşlevleri uygulamanızı Microsoft Entra oturum açma özelliğini kullanacak şekilde yapılandırma
Atlamak için başka bir kimlik doğrulama sağlayıcısı seçin.
Bu makalede, uygulamanızın kullanıcılara kimlik doğrulama sağlayıcısı olarak Microsoft kimlik platformu (Microsoft Entra Id) ile oturum açması için Azure Uygulaması Hizmeti veya Azure İşlevleri için kimlik doğrulamasını yapılandırma gösterilmektedir.
App Service Kimlik Doğrulaması özelliği, Microsoft kimlik platformu ile otomatik olarak bir uygulama kaydı oluşturabilir. Ayrıca, sizin veya dizin yöneticisinin ayrı olarak oluşturduğu bir kaydı da kullanabilirsiniz.
Not
Otomatik olarak yeni kayıt oluşturma seçeneği kamu bulutlarında veya [Müşteriler için Microsoft Entra Id (Önizleme)] kullanılırken kullanılamaz. Bunun yerine ayrı bir kayıt tanımlayın.
1. Seçenek: Otomatik olarak yeni bir uygulama kaydı oluşturma
Ayrı olarak bir uygulama kaydı oluşturmanız gerekmediği sürece bu seçeneği kullanın. Uygulama kaydı oluşturulduktan sonra Microsoft Entra Id'de özelleştirebilirsiniz.
Soldaki menüden Kimlik Doğrulaması'nı seçin. Kimlik sağlayıcısı ekle'yi seçin.
Kimlik sağlayıcısı açılan listesinde Microsoft'u seçin. Yeni kayıt oluşturma seçeneği varsayılan olarak seçilidir. Kaydın adını veya desteklenen hesap türlerini değiştirebilirsiniz.
İstemci gizli dizisi oluşturulur ve adlı
MICROSOFT_PROVIDER_AUTHENTICATION_SECRET
bir yuva yapışkan uygulama ayarı olarak depolanır. Gizli diziyi Azure Key Vault'ta yönetmek istiyorsanız bu ayarı daha sonra Key Vault başvurularını kullanacak şekilde güncelleştirebilirsiniz.Uygulama için yapılandırılan ilk kimlik sağlayıcısı buysa, bir App Service kimlik doğrulama ayarları bölümü de istenir. Aksi takdirde, sonraki adıma geçebilirsiniz.
Bu seçenekler uygulamanızın kimliği doğrulanmamış isteklere nasıl yanıt vereceğini belirler ve varsayılan seçimler tüm istekleri bu yeni sağlayıcıyla oturum açmak üzere yeniden yönlendirir. Bu davranışı şimdi özelleştir seçeneğini değiştirebilir veya daha sonra Kimlik doğrulama ayarları'nın yanındaki Düzenle'yi seçerek bu ayarları ana Kimlik Doğrulama ekranından değiştirebilirsiniz. Bu seçenekler hakkında daha fazla bilgi edinmek için bkz . Kimlik doğrulama akışı.
(İsteğe bağlı) İleri: İzinler'i seçin ve uygulamanın gerektirdiği Microsoft Graph izinlerini ekleyin. Bunlar uygulama kaydına eklenir, ancak bunları daha sonra da değiştirebilirsiniz.
Ekle'yi seçin.
Artık uygulamanızda kimlik doğrulaması için Microsoft kimlik platformu kullanmaya hazırsınız. Sağlayıcı, Kimlik Doğrulaması ekranında listelenir. Buradan bu sağlayıcı yapılandırmasını düzenleyebilir veya silebilirsiniz.
Azure Depolama ve Microsoft Graph'e erişen bir web uygulaması için Microsoft Entra oturum açma işlemini yapılandırma örneği için bu öğreticiye bakın.
Seçenek 2: Ayrı olarak oluşturulan mevcut bir kaydı kullanma
App Service kimlik doğrulamasını mevcut bir uygulama kaydını kullanacak şekilde yapılandırabilirsiniz. Mevcut bir uygulama kaydını kullanmak için en yaygın durumlar aşağıdaki durumlardır:
- Hesabınızın Microsoft Entra kiracınızda uygulama kayıtları oluşturma izinleri yok.
- Uygulamanızın içinde olduğundan farklı bir Microsoft Entra kiracısından uygulama kaydı kullanmak istiyorsunuz.
- Yeni kayıt oluşturma seçeneği kamu bulutlarında kullanılamaz.
1. Adım: App Service uygulamanız için Microsoft Entra Id'de uygulama kaydı oluşturma
Uygulama kaydını oluştururken, daha sonra App Service uygulamasında kimlik doğrulamasını yapılandırırken ihtiyacınız olacak aşağıdaki bilgileri toplayın:
- Client ID
- Kiracı kimliği
- gizli dizi (isteğe bağlı, ancak önerilir)
- Başvuru kodu URI
Uygulama kaydı oluşturma yönergeleri, iş gücü kiracısı mı yoksa müşteri kiracısı mı kullandığınıza bağlıdır. Senaryonuz için doğru yönerge kümesini seçmek için aşağıdaki sekmeleri kullanın.
Uygulamayı kaydetmek için aşağıdaki adımları uygulayın:
Azure portalında oturum açın, Uygulama Hizmetleri'ni arayıp seçin ve ardından uygulamanızı seçin. Uygulamanızın URL'sini not edin. Microsoft Entra uygulama kaydınızı yapılandırmak için bunu kullanacaksınız.
Portalda kiracınıza gidin:
Portal menüsünden Microsoft Entra Id'yi seçin. Kullandığınız kiracı App Service uygulamasını yapılandırmak için kullandığınız kiracıdan farklıysa, önce dizinleri değiştirmeniz gerekir.
"Genel Bakış" ekranında, Kiracı Kimliğini ve Birincil etki alanını not edin.
Sol gezinti bölmesinden Uygulama kayıtları> Yeni kayıt'ı seçin.
Uygulama kaydetme sayfasında, uygulama kaydınız için bir Ad girin.
Desteklenen hesap türleri bölümünde bu uygulamaya erişebilecek hesap türünü seçin.
Yeniden Yönlendirme URI'leri bölümünde platform için Web'i seçin ve yazın
<app-url>/.auth/login/aad/callback
. Örneğin,https://contoso.azurewebsites.net/.auth/login/aad/callback
.Kaydet'i seçin.
Uygulama kaydı oluşturulduktan sonra, uygulama (istemci) kimliğini ve daha sonraki sürümler için Dizin (kiracı) kimliğini kopyalayın.
Sol gezinti bölmesinden Kimlik Doğrulaması'nı seçin. Örtük verme ve karma akışlar altında, App Service'ten OpenID Bağlan kullanıcı oturum açma işlemlerine izin vermek için kimlik belirteçlerini etkinleştirin. Kaydet'i seçin.
(İsteğe bağlı) Sol gezinti bölmesinden Marka ve özellikler'i seçin. Giriş sayfası URL'si bölümünde App Service uygulamanızın URL'sini girin ve Kaydet'i seçin.
Sol gezinti bölmesinden Bir API'yi Kullanıma Sunma Kaydet'i> seçin.> Bu değer, kaynak olarak kullanıldığında uygulamayı benzersiz olarak tanımlar ve erişim izni veren belirteçlerin istenebilmesini sağlar. Oluşturduğunuz kapsamlar için ön ek olarak kullanılır.
Tek kiracılı bir uygulama için, biçimindeki
api://<application-client-id>
varsayılan değeri kullanabilirsiniz. Kiracınız için doğrulanmış etki alanlarından birine göre dahahttps://contoso.com/api
okunabilir bir URI de belirtebilirsiniz. Çok kiracılı bir uygulama için özel bir URI sağlamanız gerekir. Uygulama Kimliği URI'leri için kabul edilen biçimler hakkında daha fazla bilgi edinmek için uygulama kayıtları en iyi yöntemler başvurusuna bakın.Yeni bir kapsam ekle'yi seçin.
- Kapsam adı alanına user_impersonation girin.
- Kullanıcıların bu kapsama onay vermesine izin vermek istiyorsanız, Kimler onaylayabilir bölümünde Yönetici ve kullanıcılar'ı seçin.
- Metin kutularına, kullanıcıların onay sayfasında görmesini istediğiniz onay kapsamı adını ve açıklamasını girin. Örneğin, Access <uygulama adı> girin.
- Kapsam ekle'yi seçin.
(İsteğe bağlı) İstemci gizli dizisi oluşturmak için:
- Sol gezinti bölmesinde Sertifikalar ve gizli diziler İstemci gizli>dizileri Yeni istemci gizli dizisi'ni> seçin.
- Bir açıklama ve süre sonu girin ve Ekle'yi seçin.
- Değer alanında istemci gizli anahtarı değerini kopyalayın. Bu sayfadan uzaklaştıktan sonra bir daha gösterilmez.
(İsteğe bağlı) Birden çok Yanıt URL'sini eklemek için Kimlik Doğrulaması'na tıklayın.
Uygulama kaydınızı ayarlamayı tamamlayın:
İş gücü kiracısı için başka bir adım gerekli değildir.
2. Adım: App Service uygulamanızda Microsoft Entra ID'yi etkinleştirme
Sol gezinti bölmesinde Kimlik Doğrulaması Kimlik Doğrulama>Ekle kimlik sağlayıcısı>Microsoft'u seçin.
Oluşturduğunuz uygulama kaydının Kiracı türünü seçin.
Uygulamayı, uygun kiracı türüne yönelik yönergeleri kullanarak oluşturduğunuz kaydı kullanacak şekilde yapılandırın:
Uygulama kayıt türü için aşağıdakilerden birini seçin:
- Bu dizinde var olan bir uygulama kaydını seçin: Geçerli kiracıdan bir uygulama kaydı seçin ve gerekli uygulama bilgilerini otomatik olarak toplayın. Sistem, uygulama kaydına karşı yeni bir istemci gizli dizisi oluşturmayı dener ve uygulamanızı otomatik olarak bunu kullanacak şekilde yapılandıracaktır. Varsayılan veren URL'si, uygulama kaydında yapılandırılan desteklenen hesap türlerine göre ayarlanır. Bu varsayılanı değiştirmek istiyorsanız aşağıdaki tabloya bakın.
- Mevcut bir uygulama kaydının ayrıntılarını sağlayın: Başka bir kiracıdan uygulama kaydının ayrıntılarını belirtin veya hesabınızın geçerli kiracıda kayıtları sorgulama izni yoksa. Bu seçenek için yapılandırma değerlerini aşağıdaki tabloya göre el ile doldurmanız gerekir.
İş gücü kiracısının kimlik doğrulama uç noktası, bulut ortamına özgü bir değer olmalıdır. Örneğin, genel Azure'daki bir iş gücü kiracısı "https://login.microsoftonline.com" kimlik doğrulaması uç noktası olarak. Doğru Veren URL'sini oluşturmak için gereken kimlik doğrulama uç noktası değerini not edin.
Yapılandırma ayrıntılarını doğrudan doldururken, uygulama kaydı oluşturma işlemi sırasında topladığınız değerleri kullanın:
İstemci gizli dizisi adlı
MICROSOFT_PROVIDER_AUTHENTICATION_SECRET
bir yuva yapışkan uygulama ayarı olarak depolanır. Gizli diziyi Azure Key Vault'ta yönetmek istiyorsanız bu ayarı daha sonra Key Vault başvurularını kullanacak şekilde güncelleştirebilirsiniz.Uygulama için yapılandırılan ilk kimlik sağlayıcısı buysa, bir App Service kimlik doğrulama ayarları bölümü de istenir. Aksi takdirde, sonraki adıma geçebilirsiniz.
Bu seçenekler uygulamanızın kimliği doğrulanmamış isteklere nasıl yanıt vereceğini belirler ve varsayılan seçimler tüm istekleri bu yeni sağlayıcıyla oturum açmak üzere yeniden yönlendirir. Bu davranışı şimdi özelleştir seçeneğini değiştirebilir veya daha sonra Kimlik doğrulama ayarları'nın yanındaki Düzenle'yi seçerek bu ayarları ana Kimlik Doğrulama ekranından değiştirebilirsiniz. Bu seçenekler hakkında daha fazla bilgi edinmek için bkz . Kimlik doğrulama akışı.
Ekle'yi seçin.
Artık uygulamanızda kimlik doğrulaması için Microsoft kimlik platformu kullanmaya hazırsınız. Sağlayıcı, Kimlik Doğrulaması ekranında listelenir. Buradan bu sağlayıcı yapılandırmasını düzenleyebilir veya silebilirsiniz.
İstekleri yetkilendirme
Varsayılan olarak, App Service Kimlik Doğrulaması yalnızca kimlik doğrulamasını işler ve çağıranın söyledikleri kişi olup olmadığını belirler. Çağıranın bir kaynağa erişimi olup olmadığını belirlemek, kimlik doğrulamasının ötesinde bir ek adımdır. Bu kavramlar hakkında daha fazla bilgi için Microsoft kimlik platformu yetkilendirme temel bilgilerine göz atın.
Uygulamanız kodda yetkilendirme kararları verebilir. App Service Kimlik Doğrulaması, yardımcı olabilecek bazı yerleşik denetimler sağlar, ancak bunlar uygulamanızın yetkilendirme gereksinimlerini karşılamak için tek başına yeterli olmayabilir.
İpucu
Çok kiracılı uygulamalar, değerlerin izin verildiğinden emin olmak için bu işlemin bir parçası olarak isteği vereni ve kiracı kimliğini doğrulamalıdır. App Service Kimlik Doğrulaması çok kiracılı bir senaryo için yapılandırıldığında, isteğin hangi kiracıdan geldiğini doğrulamaz. Örneğin, kuruluşun hizmete kaydolarak kaydolmasına bağlı olarak bir uygulamanın belirli kiracılarla sınırlı olması gerekebilir. Çok kiracılı Microsoft kimlik platformu kılavuzuna bakın.
Uygulama kodundan doğrulama gerçekleştirme
Uygulama kodunuzda yetkilendirme denetimleri gerçekleştirdiğinizde, App Service Kimlik Doğrulaması tarafından sağlanan talep bilgilerinde yararlanabilirsiniz. Eklenen x-ms-client-principal
üst bilgi, çağıran hakkında iddia edilen talepleri içeren Base64 ile kodlanmış bir JSON nesnesi içerir. Varsayılan olarak, bu talepler bir talep eşlemesi üzerinden geçer, bu nedenle talep adları belirteçte gördüğünüz adlarla her zaman eşleşmeyebilir. Örneğin, tid
talep bunun yerine ile http://schemas.microsoft.com/identity/claims/tenantid
eşlenir.
Eklenen üst bilgiden x-ms-token-aad-access-token
doğrudan temel erişim belirteci ile de çalışabilirsiniz.
Yerleşik yetkilendirme ilkesi kullanma
Oluşturulan uygulama kaydı, Microsoft Entra kiracınız için gelen isteklerin kimliğini doğrular. Varsayılan olarak, kiracı içindeki herkesin uygulamaya erişmesine de olanak tanır ve bu da birçok uygulama için uygundur. Ancak bazı uygulamaların yetkilendirme kararları alarak erişimi daha fazla kısıtlaması gerekir. Uygulama kodunuz genellikle özel yetkilendirme mantığını işlemek için en iyi yerdir. Ancak, yaygın senaryolar için Microsoft kimlik platformu erişimi sınırlamak için kullanabileceğiniz yerleşik denetimler sağlar.
Bu bölümde, App Service kimlik doğrulaması V2 API'sini kullanarak yerleşik denetimlerin nasıl etkinleştirileceği gösterilmektedir. Şu anda bu yerleşik denetimleri yapılandırmanın tek yolu Azure Resource Manager şablonları veya REST API'sini kullanmaktır.
API nesnesi içinde, Microsoft Entra kimlik sağlayıcısı yapılandırması aşağıdaki yapıda olduğu gibi bir nesne içerebilen bir defaultAuthorizationPolicy
bölüme sahiptirvalidation
:
{
"validation": {
"defaultAuthorizationPolicy": {
"allowedApplications": [],
"allowedPrincipals": {
"identities": []
}
}
}
}
Ayrıca, kullanılan API sürümünden bağımsız olarak bazı denetimler bir uygulama ayarı aracılığıyla yapılandırılabilir. WEBSITE_AUTH_AAD_ALLOWED_TENANTS
Uygulama ayarı, en fazla 10 kiracı kimliği içeren virgülle ayrılmış bir listeyle yapılandırılabilir (örneğin, "559a2f9c-c6f2-4d31-b8d6-5ad1a13f8330,5693f64a-3ad5-4be7-b846-e9d1141bcebc") gelen belirtecin talep tarafından tid
belirtildiği şekilde belirtilen kiracılardan birinden olmasını zorunlu kılmaktadır. Uygulama WEBSITE_AUTH_AAD_REQUIRE_CLIENT_SERVICE_PRINCIPAL
ayarı, gelen belirtecin bir oid
talep içermesini gerektirecek şekilde "true" veya "1" olarak yapılandırılabilir. Bu ayar yoksayılır ve yapılandırıldıysa allowedPrincipals.identities
true olarak değerlendirilir (talep bu sağlanan kimlik listesinde denetlendiğinden oid
).
Bu yerleşik denetimlerde başarısız olan isteklere bir HTTP 403 Forbidden
yanıtı verilir.
İstemci uygulamalarını App Service'inize erişecek şekilde yapılandırma
Önceki bölümlerde, kullanıcıların kimliğini doğrulamak için App Service veya Azure İşlevinizi kaydettiniz. Bu bölümde yerel istemcilerin veya daemon uygulamalarının Microsoft Entra Id'ye nasıl kaydedildiği açıklanır ve böylece App Service'iniz tarafından kullanıcılar veya kendileri adına kullanıma sunulan API'lere erişim isteğinde bulunabilirler( örneğin N katmanlı mimaride). Yalnızca kullanıcıların kimliğini doğrulamak istiyorsanız bu bölümdeki adımları tamamlamanız gerekmez.
Yerel istemci uygulaması
Oturum açmış bir kullanıcı adına App Service uygulamanızın API'lerine erişim istemek için yerel istemcileri kaydedebilirsiniz.
Portal menüsünden Microsoft Entra Id'yi seçin.
Sol gezinti bölmesinden Uygulama kayıtları> Yeni kayıt'ı seçin.
Uygulama kaydetme sayfasında, uygulama kaydınız için bir Ad girin.
Yeniden yönlendirme URI'si bölümünde Genel istemci (mobil ve masaüstü) öğesini seçin ve URL'yi
<app-url>/.auth/login/aad/callback
yazın. Örneğin,https://contoso.azurewebsites.net/.auth/login/aad/callback
.Kaydet'i seçin.
Uygulama kaydı oluşturulduktan sonra Uygulama (istemci) kimliği değerini kopyalayın.
Not
Bir Microsoft Store uygulaması için bunun yerine URI olarak SID paketini kullanın.
Sol gezinti bölmesinde API izinleri>İzin ekle>API'lerim'i seçin.
App Service uygulamanız için daha önce oluşturduğunuz uygulama kaydını seçin. Uygulama kaydını görmüyorsanız, App Service uygulamanız için Microsoft Entra Id'de uygulama kaydı oluşturma bölümüne user_impersonation kapsamını eklediğinizden emin olun.
Temsilci izinleri'nin altında user_impersonation'ı ve ardından İzin ekle'yi seçin.
App Service uygulamanıza bir kullanıcı adına erişim isteyebilen bir yerel istemci uygulaması yapılandırmış oldunuz.
Daemon istemci uygulaması (hizmet-hizmet çağrıları)
N katmanlı mimaride, istemci uygulamanız bir App Service veya İşlev uygulamasını istemci uygulamasının kendisi adına çağırmak için bir belirteç alabilir (kullanıcı adına değil). Bu senaryo, oturum açmış bir kullanıcı olmadan görevler gerçekleştiren etkileşimli olmayan daemon uygulamaları için kullanışlıdır. Standart OAuth 2.0 istemci kimlik bilgileri verme işlevini kullanır.
- Portal menüsünden Microsoft Entra Id'yi seçin.
- Sol gezinti bölmesinden Uygulama kayıtları> Yeni kayıt'ı seçin.
- Uygulama kaydetme sayfasında, uygulama kaydınız için bir Ad girin.
- Bir daemon uygulaması için Yeniden Yönlendirme URI'sine ihtiyacınız yoktur, bu nedenle bu uri'yi boş tutabilirsiniz.
- Kaydet'i seçin.
- Uygulama kaydı oluşturulduktan sonra Uygulama (istemci) kimliği değerini kopyalayın.
- Sol gezinti bölmesinde Sertifikalar ve gizli diziler İstemci gizli>dizileri Yeni istemci gizli dizisi'ni> seçin.
- Bir açıklama ve süre sonu girin ve Ekle'yi seçin.
- Değer alanında istemci gizli anahtarı değerini kopyalayın. Bu sayfadan uzaklaştıktan sonra bir daha gösterilmez.
Şimdi parametresini hedef uygulamanın Uygulama Kimliği URI'sine ayarlayarak resource
istemci kimliğini ve istemci gizli dizisini kullanarak erişim belirteci isteyebilirsiniz. Sonuçta elde edilen erişim belirteci standart OAuth 2.0 Yetkilendirme üst bilgisi kullanılarak hedef uygulamaya sunulabilir ve App Service kimlik doğrulaması, çağıranın (bu durumda kullanıcının değil, uygulamanın) kimliğinin doğrulandığını belirtmek için belirteci her zamanki gibi doğrular ve kullanır.
Şu anda bu, Microsoft Entra kiracınızdaki tüm istemci uygulamalarının erişim belirteci istemesine ve hedef uygulamada kimlik doğrulaması yapmasına olanak tanır. Yalnızca belirli istemci uygulamalarına izin vermek için yetkilendirmeyi zorlamak istiyorsanız, bazı ek yapılandırmalar gerçekleştirmeniz gerekir.
- Korumak istediğiniz App Service veya İşlev uygulamasını temsil eden uygulama kaydının bildiriminde bir Uygulama Rolü tanımlayın.
- Yetkilendirilmesi gereken istemciyi temsil eden uygulama kaydında API izinleri>İzin ekle>API'lerim'i seçin.
- Daha önce oluşturduğunuz uygulama kaydını seçin. Uygulama kaydını görmüyorsanız bir Uygulama Rolü eklediğinizden emin olun.
- Uygulama izinleri'nin altında, daha önce oluşturduğunuz Uygulama Rolünü seçin ve ardından İzin ekle'yi seçin.
- İstemci uygulamasını izin isteme yetkisi vermek için Yönetici onayı ver'i seçtiğinizden emin olun.
- Önceki senaryoya benzer şekilde (herhangi bir rol eklenmeden önce), artık aynı hedef
resource
için bir erişim belirteci isteyebilirsiniz ve erişim belirteci, istemci uygulaması için yetkilendirilmiş Uygulama Rollerini içeren birroles
talep içerir. - Hedef App Service veya İşlev uygulama kodunda, artık beklenen rollerin belirteçte mevcut olduğunu doğrulayabilirsiniz (bu, App Service kimlik doğrulaması tarafından gerçekleştirilmez). Daha fazla bilgi için bkz . Access kullanıcı talepleri.
App Service uygulamanıza kendi kimliğini kullanarak erişebilen bir daemon istemci uygulaması yapılandırmış oldunuz.
En iyi yöntemler
Kimlik doğrulaması ayarlamak için kullandığınız yapılandırmadan bağımsız olarak, aşağıdaki en iyi yöntemler kiracınızı ve uygulamalarınızı daha güvende tutar:
- Her App Service uygulamasını Microsoft Entra ID'de kendi uygulama kaydıyla yapılandırın.
- Her App Service uygulamasına kendi izinlerini ve onayını verin.
- Ayrı dağıtım yuvaları için ayrı uygulama kayıtları kullanarak ortamlar arası izin paylaşımından kaçının. Yeni kodu test ederken bu uygulama, sorunların üretim uygulamasını etkilemesini önlemeye yardımcı olabilir.
Microsoft Graph'a geçiş
Bazı eski uygulamalar, kullanımdan kaldırılacak şekilde zamanlanan kullanımdan kaldırılmış Azure AD Graph bağımlılığıyla da ayarlanmış olabilir. Örneğin, uygulama kodunuz ara yazılım işlem hattındaki yetkilendirme filtresinin bir parçası olarak grup üyeliğini denetlemek için Azure AD Graph'ı çağırmış olabilir. Uygulamalar, Azure AD Graph kullanımdan kaldırma işleminin bir parçası olarak Microsoft Entra Id tarafından sağlanan yönergeleri izleyerek Microsoft Graph'a taşınmalıdır. Bu yönergeleri izleyerek App Service kimlik doğrulaması yapılandırmanızda bazı değişiklikler yapmanız gerekebilir. Uygulama kaydınıza Microsoft Graph izinleri ekledikten sonra şunları yapabilirsiniz:
Henüz yapmadıysanız Veren URL'sini "/v2.0" sonekini içerecek şekilde güncelleştirin.
Oturum açma yapılandırmanızdan Azure AD Graph izinleri isteklerini kaldırın. Değiştirebileceğiniz özellikler, kullandığınız yönetim API'sinin sürümüne bağlıdır:
- V1 API' sini ()
/authsettings
kullanıyorsanız, bu dizideadditionalLoginParams
yer alır. - V2 API' sini ()
/authsettingsV2
kullanıyorsanız, bu dizideloginParameters
yer alır.
";, örneğin, tüm başvurularınıhttps://graph.windows.net" kaldırmanız gerekir. Bu parametreyi
resource
("/v2.0" uç noktası tarafından desteklenmeyen) veya Azure AD Graph'ten özel olarak istediğiniz kapsamları içerir.Ayrıca, uygulama kaydı için ayarladığınız yeni Microsoft Graph izinlerini istemek için yapılandırmayı güncelleştirmeniz gerekir. Bu kurulumu birçok durumda basitleştirmek için .default kapsamını kullanabilirsiniz. Bunu yapmak için yeni bir oturum açma parametresi
scope=openid profile email https://graph.microsoft.com/.default
ekleyin.- V1 API' sini ()
Bu değişikliklerle, App Service Kimlik Doğrulaması oturum açmayı denediğinde artık Azure AD Graph için izin istemeyecek ve bunun yerine Microsoft Graph için bir belirteç alacaktır. Bu belirtecin uygulama kodunuzdan herhangi bir şekilde kullanılmasının, Microsoft Entra Id tarafından sağlanan yönergelere göre de güncelleştirilmiş olması gerekir.