Rolleri ve rol taleplerini kullanarak Java WebLogic uygulamalarının güvenliğini sağlama

Bu makalede, kullanıcıları oturum açmak için OpenID Connect kullanan bir Java WebLogic uygulaması ve yetkilendirme için Microsoft Entra ID Uygulama Rolleri (uygulama rolleri) gösterilmektedir.

Bu uygulama, Microsoft Entra ID'nin uygulama rollerini ve rol talepleri özelliğini kullanarak rol tabanlı erişim denetimi (RBAC) uygular. Bir diğer yaklaşım da Microsoft Entra Id gruplarını ve grup taleplerini kullanmaktır. Microsoft Entra Id grupları ve uygulama rolleri birbirini dışlamaz. Her ikisini de ayrıntılı erişim denetimi sağlamak için kullanabilirsiniz.

Yetkilendirme ilkelerini güvenli bir şekilde zorunlu kılmak için RBAC'yi uygulama rolleri ve rol talepleri ile de kullanabilirsiniz.

Bu senaryo ve bu örneği kapsayan bir video için bkz . Uygulama rollerini, güvenlik gruplarını, kapsamları ve dizin rollerini kullanarak uygulamalarınızda yetkilendirme uygulama.

Protokollerin bu senaryoda ve diğer senaryolarda nasıl çalıştığı hakkında daha fazla bilgi için bkz . Kimlik doğrulaması ve yetkilendirme.

Bu uygulama, bir kullanıcıda oturum açmak ve Microsoft Entra Id'den kimlik belirteci almak için Java için MSAL (MSAL4J) kullanır.

Bu örnekte ilk olarak kullanıcıda oturum açmak için Java için MSAL (MSAL4J) kullanılır. Giriş sayfasında, kullanıcının kimlik belirteçlerindeki talepleri görüntülemesi için bir seçenek görüntülenir. Bu uygulama, kullanıcıların atanmış oldukları uygulama rolüne bağlı olarak ayrıcalıklı bir yönetici sayfasını veya normal bir kullanıcı sayfasını görüntülemesini de sağlar. Amaç, bir uygulama içinde belirli işlevlere veya sayfalara erişimin, ait oldukları role bağlı olarak kullanıcıların alt kümeleriyle nasıl kısıtlandığını gösteren bir örnek sağlamaktır.

Bu tür yetkilendirme RBAC kullanılarak uygulanır. RBAC ile, yönetici tek tek kullanıcılara veya gruplara değil rollere izin verir. Yönetici daha sonra belirli içeriğe ve işlevlere kimlerin erişebileceğini denetlemek için farklı kullanıcılara ve gruplara roller atayabilir.

Bu örnek uygulama aşağıdaki iki Uygulama Rolünü tanımlar:

• PrivilegedAdmin: Yalnızca Yöneticiler ve Normal Kullanıcılar sayfalarına erişim yetkisine sahip.
• RegularUser: Normal Kullanıcılar sayfasına erişme yetkisine sahip.

Bu uygulama rolleri Azure portalında uygulamanın kayıt bildiriminde tanımlanır. Kullanıcı uygulamada oturum açtığında, Microsoft Entra Id kullanıcıya rol üyeliği biçiminde tek tek verilen her rol için bir rol talebi yayar.

Azure portalı aracılığıyla rollere kullanıcı ve grup atayabilirsiniz.

Not

Uç nokta, kullanıcıların oturum açma yetkisi olarak kullanılıyorsa https://login.microsoftonline.com/common/ , kiracıdaki konuk kullanıcılar için rol talepleri mevcut değildir. Bir kullanıcının gibi https://login.microsoftonline.com/tenantidkiracılı bir uç noktada oturum açması gerekir.

Önkoşullar

• JDK sürüm 8 veya üzeri
• Maven 3
• Microsoft Entra Id kiracısı. Daha fazla bilgi için bkz . Microsoft Entra Id kiracısını alma.
• Yalnızca kuruluş dizininizdeki hesaplarla çalışmak istiyorsanız kendi Microsoft Entra Id kiracınızdaki bir kullanıcı hesabı , yani tek kiracılı mod. Kiracınızda henüz bir kullanıcı hesabı oluşturmadıysanız devam etmeden önce bunu yapmanız gerekir. Daha fazla bilgi için bkz . Kullanıcıları oluşturma, davet etme ve silme.

• WebLogic
• Visual Studio Code
• Visual Studio Code için Azure Araçları

Öneriler

• Java / Jakarta Servlets hakkında biraz bilgi.
• Linux/OSX terminali hakkında biraz bilgi.
• Belirteçlerinizi incelemek için jwt.ms.
• Ağ etkinliğinizi izlemek ve sorun gidermek için Fiddler .
• En son gelişmelerden haberdar olmak için Microsoft Entra Blogu'na up-to.

Örneği ayarlama

Aşağıdaki bölümlerde örnek uygulamanın nasıl ayarlanacağı gösterilmektedir.

Örnek depoyu kopyalama veya indirme

Örneği kopyalamak için bir Bash penceresi açın ve aşağıdaki komutu kullanın:

git clone https://github.com/Azure-Samples/ms-identity-msal-java-samples.git
cd 3-java-servlet-web-app/3-Authorization-II/roles

Alternatif olarak, ms-identity-msal-java-samples deposuna gidin, ardından .zip dosyası olarak indirin ve sabit sürücünüze ayıklayın.

Önemli

Windows'ta dosya yolu uzunluğu sınırlamalarını önlemek için depoyu sabit sürücünüzün köküne yakın bir dizine kopyalayın veya ayıklayın.

Örnek uygulamayı Microsoft Entra ID kiracınıza kaydetme

Bu örnekte bir proje var. Aşağıdaki bölümlerde, Azure portalını kullanarak uygulamayı nasıl kaydedeceğiniz gösterilmektedir.

Uygulamalarınızı oluşturmak istediğiniz Microsoft Entra ID kiracısını seçin

Kiracınızı seçmek için aşağıdaki adımları kullanın:

1. Azure Portal’ında oturum açın.

2. Hesabınız birden fazla Microsoft Entra ID kiracısında varsa Azure portalının köşesindeki profilinizi seçin ve ardından Dizini değiştir'i seçerek oturumunuzu istediğiniz Microsoft Entra ID kiracısına değiştirin.

Uygulamayı kaydetme (java-servlet-webapp-roles)

İlk olarak, Hızlı Başlangıç: Uygulamayı Microsoft kimlik platformu kaydetme başlığı altındaki yönergeleri izleyerek Azure portalına yeni bir uygulama kaydedin.

Ardından kaydı tamamlamak için aşağıdaki adımları kullanın:

1. Geliştiriciler için Microsoft kimlik platformu Uygulama kayıtları sayfasına gidin.

2. Yeni kayıt öğesini seçin.

3. Görüntülenen Uygulamayı kaydet sayfasında aşağıdaki uygulama kayıt bilgilerini girin:

   • Ad bölümünde, uygulamanın kullanıcılarına görüntülenmesi için anlamlı bir uygulama adı girin. Örneğin, java-servlet-webapp-roles.

   • Desteklenen hesap türleri'nin altında aşağıdaki seçeneklerden birini belirleyin:

     • Bu kuruluş dizinindeki Hesaplar'ı yalnızca kiracınızdaki kullanıcılar (yani tek kiracılı bir uygulama) kullanmak üzere bir uygulama oluşturuyorsanız seçin.

   • Yeniden Yönlendirme URI'si bölümünde, birleşik giriş kutusunda Web'i seçin ve aşağıdaki yeniden yönlendirme URI'sini girin: http://localhost:8080/msal4j-servlet-roles/auth/redirect.

4. Uygulamayı kaydetmek için Kaydet'i seçin.

5. Uygulamanın kayıt sayfasında, daha sonra kullanmak üzere Uygulama (istemci) kimliği değerini bulun ve kopyalayın. Bu değeri uygulamanızın yapılandırma dosyasında veya dosyalarında kullanırsınız.

6. Yaptığınız değişiklikleri kaydetmek için Kaydet'i seçin.

7. Uygulamanın kayıt sayfasında, gizli dizi oluşturabileceğiniz ve sertifikaları karşıya yükleyebileceğiniz sayfayı açmak için gezinti bölmesinde Sertifikalar ve gizli diziler'i seçin.

8. Gizli anahtarlar bölümünün altında, Yeni gizli anahtar'ı seçin.

9. Uygulama gizli dizisi gibi bir açıklama yazın.

10. Kullanılabilir sürelerden birini seçin: 1 yıl içinde, 2 yıl içinde veya Hiçbir Zaman Dolmaz.

11. Ekle'yi seçin. Oluşturulan değer görüntülenir.

12. Oluşturulan değeri kopyalayıp sonraki adımlarda kullanmak üzere kaydedin. Kodunuzun yapılandırma dosyaları için bu değere ihtiyacınız vardır. Bu değer yeniden görüntülenmez ve başka bir yolla alamazsınız. Bu nedenle, başka bir ekrana veya bölmeye gitmeden önce Azure portalından kaydettiğinizden emin olun.

Uygulama rollerini tanımlama

Uygulama rollerini tanımlamak için aşağıdaki adımları kullanın:

1. Yine aynı uygulama kaydında, gezinti bölmesinde Uygulama rolleri'ni seçin.

2. Uygulama rolü oluştur'u seçin ve aşağıdaki değerleri girin:

   • Görünen ad için uygun bir ad girin; örneğin PrivilegedAdmin.
   • İzin verilen üye türleri için Kullanıcı'yı seçin.
   • Değer olarak PrivilegedAdmin girin.
   • Açıklama için Yönetici Sayfasını görüntüleyebilen PrivilegedAdmins girin.

3. Uygulama rolü oluştur'u seçin ve aşağıdaki değerleri girin:

   • Görünen ad için uygun bir ad girin; örneğin, RegularUser.
   • İzin verilen üye türleri için Kullanıcı'yı seçin.
   • Değer olarak RegularUser girin.
   • Açıklama için, Kullanıcı Sayfasını görüntüleyebilen RegularUsers girin.

4. Yaptığınız değişiklikleri kaydetmek için Apply'ı (Uygula) seçin.

Uygulama rollerine kullanıcı atama

Daha önce tanımlanan uygulama rolüne kullanıcı eklemek için buradaki yönergeleri izleyin: Kullanıcıları ve grupları rollere atama.

---

Uygulamayı (java-servlet-webapp-roles) uygulama kaydınızı kullanacak şekilde yapılandırma

Uygulamayı yapılandırmak için aşağıdaki adımları kullanın:

Not

Aşağıdaki adımlarda veya ClientIDAppIdile Application ID aynıdır.

1. Projeyi IDE'nizde açın.

2. authentication.properties dosyasını açın.

3. dizesini {enter-your-tenant-id-here}bulun. Mevcut değeri Microsoft Entra Id kiracı kimliğiniz ile değiştirin.

4. Dizeyi {enter-your-client-id-here} bulun ve mevcut değeri Azure portalından kopyalanan uygulama kimliğiyle veya java-servlet-webapp-call-graphclientId uygulamanın kimliğiyle değiştirin.

5. Dizeyi {enter-your-client-secret-here} bulun ve mevcut değeri Azure portalında uygulamanın oluşturulması java-servlet-webapp-roles sırasında kaydettiğiniz değerle değiştirin.

6. app.roles özelliğini bulun ve değerin olarak app.roles=admin PrivilegedAdmin, user RegularUserayarlandığından emin olun veya belirli rollerinizin adlarını kullanın.

Örneği oluşturma

Maven kullanarak örneği oluşturmak için, örneğin pom.xml dosyasını içeren dizine gidin ve aşağıdaki komutu çalıştırın:

mvn clean package

Bu komut, çeşitli uygulama sunucularında çalıştırabileceğiniz bir .war dosyası oluşturur.

Örneği dağıtma

Bu yönergelerde, WebLogic'i yüklediğiniz ve bazı sunucu etki alanı ayarladığınız varsayılır.

WebLogic'e dağıtmadan önce, örneğin kendisinde bazı yapılandırma değişiklikleri yapmak ve ardından paketi derlemek veya yeniden derlemek için aşağıdaki adımları kullanın:

1. Örnekte, istemci kimliğini, kiracıyı , yeniden yönlendirme URL'sini vb. yapılandırdığınız application.properties veya authentication.properties dosyasını bulun.

2. Bu dosyada, WebLogic'in üzerinde çalıştığı URL ve bağlantı noktasına veya başvurularını localhost:8080localhost:8443 değiştirin. Bu, varsayılan olarak olmalıdır localhost:7001.

3. Ayrıca Azure uygulama kaydında da aynı değişikliği yapmanız gerekir; burada Bunu Azure portalında Kimlik Doğrulaması sekmesindeki Yeniden Yönlendirme URI değeriyle ayarlayabilirsiniz.

Örneği web konsolu aracılığıyla WebLogic'e dağıtmak için aşağıdaki adımları kullanın:

1. WebLogic sunucusunu DOMAIN_NAME\bin\startWebLogic.cmd ile başlatın.

2. tarayıcınızda WebLogic web konsoluna gidin http://localhost:7001/console.

3. Etki Alanı Yapısı>Dağıtımları'na gidin, Yükle'yi seçin, Dosyalarınızı karşıya yükleyin'i seçin ve ardından Maven kullanarak oluşturduğunuz .war dosyasını bulun.

4. Bu dağıtımı uygulama olarak yükle'yi seçin, İleri'yi, Son'u ve ardından Kaydet'i seçin.

5. Varsayılan ayarların çoğu iyi olmalıdır, ancak uygulamayı örnek yapılandırmada veya Azure uygulama kaydında ayarladığınız yeniden yönlendirme URI'sine uyacak şekilde adlandırmanız gerekir. Yani, yeniden yönlendirme URI'si ise http://localhost:7001/msal4j-servlet-auth, uygulamaya msal4j-servlet-authadını vermelisiniz.

6. Etki Alanı Yapısı>Dağıtımları'na geri dönün ve uygulamanızı başlatın.

7. Uygulama başlatıldıktan sonra adresine gidin http://localhost:7001/<application-name>/ve uygulamaya erişebilmelisiniz.

Örneği keşfetme

Örneği keşfetmek için aşağıdaki adımları kullanın:

1. Ekranın ortasında oturum açma veya oturum kapatma durumunun görüntülendiğine dikkat edin.
2. Köşedeki bağlama duyarlı düğmeyi seçin. Bu düğme, uygulamayı ilk kez çalıştırdığınızda Oturum Aç'ı okur.
3. Sonraki sayfada yönergeleri izleyin ve Microsoft Entra Id kiracısında bir hesapla oturum açın.
4. Onay ekranında, istenen kapsamlara dikkat edin.
5. Bağlama duyarlı düğmenin artık Oturumu kapat ifadesinin yer aldığından ve kullanıcı adınızı görüntülediğine dikkat edin.
6. Kimlik belirtecinin çözülen taleplerinden bazılarını görmek için Kimlik Belirteci Ayrıntıları'nı seçin.
7. Sayfayı görüntülemek için Yalnızca Yöneticiler'i /admin_only seçin. Bu sayfayı yalnızca uygulama rolüne PrivilegedAdmin sahip kullanıcılar görüntüleyebilir. Aksi takdirde, bir yetkilendirme hatası iletisi görüntülenir.
8. Sayfayı görüntülemek için Normal Kullanıcılar'ı/regular_user seçin. Yalnızca uygulama rolüne RegularUser sahip kullanıcılar veya PrivilegedAdmin bu sayfayı görüntüleyebilir. Aksi takdirde, bir yetkilendirme hatası iletisi görüntülenir.
9. Oturumu kapatmak için köşedeki düğmeyi kullanın.

Kod hakkında

Bu örnek, bir kullanıcıyı oturum açmak ve rol talebi içerebilecek bir kimlik belirteci almak için Java için MSAL (MSAL4J) kullanır. Mevcut rol talebine bağlı olarak, oturum açan kullanıcı korumalı sayfalardan Admins Only birine veya her ikisine de erişemez ve Regular Users.

Bu örneğin davranışını çoğaltmak istiyorsanız, src/main/java/com/microsoft/azuresamples/msal4j klasöründeki pom.xml dosyasını ve yardımcı ve authservlets klasörlerinin içeriğini kopyalayabilirsiniz. Authentication.properties dosyasına da ihtiyacınız vardır. Bu sınıflar ve dosyalar, çok çeşitli uygulamalarda kullanabileceğiniz genel kodlar içerir. Örneğin geri kalanını da kopyalayabilirsiniz, ancak diğer sınıflar ve dosyalar bu örneğin amacını ele almak için özel olarak oluşturulur.

İçindekiler

Aşağıdaki tabloda örnek proje klasörünün içeriği gösterilmektedir:

Dosya/klasör	Açıklama
src/main/java/com/microsoft/azuresamples/msal4j/roles/	Bu dizin, uygulamanın arka uç iş mantığını tanımlayan sınıfları içerir.
src/main/java/com/microsoft/azuresamples/msal4j/authservlets/	Bu dizin, oturum açma ve oturumu kapatma uç noktaları için kullanılan sınıfları içerir.
*Servlet.java	Kullanılabilir tüm uç noktalar, adları Servletile biten Java sınıflarında tanımlanır.
src/main/java/com/microsoft/azuresamples/msal4j/helpers/	Kimlik doğrulaması için yardımcı sınıflar.
AuthenticationFilter.java	Kimliği doğrulanmamış istekleri korumalı uç noktalara 401 sayfasına yönlendirir.
src/main/resources/authentication.properties	Microsoft Entra Kimliği ve program yapılandırması.
src/main/webapp/	Bu dizin kullanıcı arabirimini içerir - JSP şablonları
CHANGELOG.md	Örnekteki değişikliklerin listesi.
CONTRIBUTING.md	Örneğe katkıda bulunma yönergeleri.
LİSANS	Örneğin lisansı.

Kimlik belirtecinde rol talebi işleme

Belirtecin rol talebi, aşağıdaki örnekte gösterildiği gibi oturum açmış kullanıcının atandığı rollerin adlarını içerir:

{
  ...
  "roles": [
    "Role1",
    "Role2",]
  ...
}

ConfidentialClientApplication

ConfidentialClientApplication Aşağıdaki örnekte gösterildiği gibi AuthHelper.java dosyasında bir örnek oluşturulur. Bu nesne, Microsoft Entra yetkilendirme URL'sini oluşturmaya yardımcı olur ve ayrıca kimlik doğrulama belirtecini bir erişim belirteci için değiştirmesine yardımcı olur.

// getConfidentialClientInstance method
IClientSecret secret = ClientCredentialFactory.createFromSecret(SECRET);
confClientInstance = ConfidentialClientApplication
                     .builder(CLIENT_ID, secret)
                     .authority(AUTHORITY)
                     .build();

Örnek oluşturma için aşağıdaki parametreler kullanılır:

• Uygulamanın istemci kimliği.
• Gizli İstemci Uygulamaları için bir gereksinim olan gizli dizi.
• Microsoft Entra kiracı kimliğinizi içeren Microsoft Entra Kimliği Yetkilisi.

Bu örnekte, bu değerler Config.java dosyasındaki bir özellik okuyucu kullanılarak authentication.properties dosyasından okunur.

Adım adım gözden geçirme

Aşağıdaki adımlar, uygulamanın işlevselliğine ilişkin bir kılavuz sağlar:

1. Oturum açma işleminin ilk adımı, Microsoft Entra Id kiracınız için uç noktaya istek /authorize göndermektir. MSAL4J ConfidentialClientApplication örneği, yetkilendirme isteği URL'si oluşturmak için kullanılır. Uygulama, tarayıcıyı kullanıcının oturum açtığı bu URL'ye yönlendirir.

   final ConfidentialClientApplication client = getConfidentialClientInstance();
   AuthorizationRequestUrlParameters parameters = AuthorizationRequestUrlParameters.builder(Config.REDIRECT_URI, Collections.singleton(Config.SCOPES))
           .responseMode(ResponseMode.QUERY).prompt(Prompt.SELECT_ACCOUNT).state(state).nonce(nonce).build();
   
   final String authorizeUrl = client.getAuthorizationRequestUrl(parameters).toString();
   contextAdapter.redirectUser(authorizeUrl);
   

   Aşağıdaki listede bu kodun özellikleri açıklanmaktadır:

   • AuthorizationRequestUrlParameters: AuthorizationRequestUrl oluşturmak için ayarlanması gereken parametreler.
   • REDIRECT_URI: Burada Microsoft Entra Id, kullanıcı kimlik bilgilerini topladıktan sonra tarayıcıyı kimlik doğrulama koduyla birlikte yeniden yönlendirir. Azure portalındaki Microsoft Entra ID uygulama kaydındaki yeniden yönlendirme URI'si ile eşleşmelidir.
   • SCOPES: Kapsamlar , uygulama tarafından istenen izinlerdir.
     • Normalde, üç kapsam openid profile offline_access kimlik belirteci yanıtı almak için yeterlidir.
     • Uygulama tarafından istenen kapsamların tam listesi authentication.properties dosyasında bulunabilir. gibi User.Readdaha fazla kapsam ekleyebilirsiniz.

2. Kullanıcıya Microsoft Entra Id tarafından bir oturum açma istemi sunulur. Oturum açma girişimi başarılı olursa, kullanıcının tarayıcısı uygulamanın yeniden yönlendirme uç noktasına yönlendirilir. Bu uç noktaya yönelik geçerli bir istek bir yetkilendirme kodu içerir.

3. Örnek ConfidentialClientApplication daha sonra bu yetkilendirme kodunu bir kimlik belirteci ve Microsoft Entra Id'den erişim belirteci ile değiştirir.

   // First, validate the state, then parse any error codes in response, then extract the authCode. Then:
   // build the auth code params:
   final AuthorizationCodeParameters authParams = AuthorizationCodeParameters
           .builder(authCode, new URI(Config.REDIRECT_URI)).scopes(Collections.singleton(Config.SCOPES)).build();
   
   // Get a client instance and leverage it to acquire the token:
   final ConfidentialClientApplication client = AuthHelper.getConfidentialClientInstance();
   final IAuthenticationResult result = client.acquireToken(authParams).get();
   

   Aşağıdaki listede bu kodun özellikleri açıklanmaktadır:

   • AuthorizationCodeParameters: Kimlik ve/veya erişim belirteci için Yetkilendirme Kodunu değiştirmek için ayarlanması gereken parametreler.
   • authCode: Yeniden yönlendirme uç noktasında alınan yetkilendirme kodu.
   • REDIRECT_URI: Önceki adımda kullanılan yeniden yönlendirme URI'sinin yeniden geçirilmesi gerekir.
   • SCOPES: Önceki adımda kullanılan kapsamlar yeniden geçirilmelidir.

4. acquireToken Başarılı olursa belirteç talepleri ayıklanır. Nonce denetimi geçerse, sonuçlar bir örneğine contextIdentityContextData yerleştirilir ve oturuma kaydedilir. Uygulama daha sonra aşağıdaki kodda gösterildiği gibi oturumdan erişime ihtiyaç duyduğu her zaman örneğini kullanarak öğesinin örneğini IdentityContextDataIdentityContextAdapterServlet oluşturabilir:

   // parse IdToken claims from the IAuthenticationResult:
   // (the next step - validateNonce - requires parsed claims)
   context.setIdTokenClaims(result.idToken());
   
   // if nonce is invalid, stop immediately! this could be a token replay!
   // if validation fails, throws exception and cancels auth:
   validateNonce(context);
   
   // set user to authenticated:
   context.setAuthResult(result, client.tokenCache().serialize());
   

Yolları koruma

Örnek uygulamanın yollara erişimi nasıl filtrelediğini öğrenmek için bkz . AuthenticationFilter.java. authentication.properties dosyasında, app.protect.authenticated özelliği aşağıdaki örnekte gösterildiği gibi yalnızca kimliği doğrulanmış kullanıcıların erişebileceği virgülle ayrılmış yolları içerir:

# for example, /token_details requires any user to be signed in and does not require special roles claim(s)
app.protect.authenticated=/token_details

altındaki virgülle ayrılmış kural kümelerinde app.protect.roles listelenen yollardan herhangi biri, aşağıdaki örnekte gösterildiği gibi kimliği doğrulanmamış kullanıcılar için de sınır dışıdır. Ancak bu yollar, uygulama rolü üyeliklerinin boşlukla ayrılmış bir listesini de içerir: Kimlik doğrulamasından sonra yalnızca ilgili rollerden en az birine sahip kullanıcılar bu yollara erişebilir.

# local short names for app roles - for example, sets admin to mean PrivilegedAdmin (useful for long rule sets defined in the next key, app.protect.roles)
app.roles=admin PrivilegedAdmin, user RegularUser

# A route and its corresponding <space-separated> role(s) that can access it; the start of the next route & its role(s) is delimited by a <comma-and-space-separator>
# this says: /admins_only can be accessed by PrivilegedAdmin, /regular_user can be accessed by PrivilegedAdmin role and the RegularUser role
app.protect.roles=/admin_only admin, /regular_user admin user

Kapsamlar

Kapsamlar , Microsoft Entra Id'ye uygulamanın istediği erişim düzeyini bildirir.

İstenen kapsamlara bağlı olarak Microsoft Entra Id, oturum açma sırasında kullanıcıya bir onay iletişim kutusu sunar. Kullanıcı bir veya daha fazla kapsama onay verirse ve bir belirteç alırsa, scopes-consented-to sonucuna access_tokenkodlanır.

Uygulama tarafından istenen kapsamlar için bkz . authentication.properties. Bu üç kapsam MSAL tarafından istenir ve varsayılan olarak Microsoft Entra Id tarafından verilir.

Daha Fazla Bilgi

• Java için Microsoft Kimlik Doğrulama Kitaplığı (MSAL)
• Microsoft kimlik platformu
• Hızlı Başlangıç: Microsoft kimlik platformu ile uygulama kaydetme
• Microsoft Entra ID uygulama onayı deneyimlerini anlama
• Kullanıcı ve yönetici onaylarını anlama
• MSAL kod örnekleri
• Nasıl yapılır: Uygulamanıza uygulama rolleri ekleme ve bunları belirteçte alma
• Microsoft Entra ID'de bir uygulama için kullanıcı atamasını yönetme

Sonraki adım

Azure Sanal Makineler'de WebLogic'e Java WebLogic uygulamaları dağıtma