Aracılı kimlik doğrulaması kullanarak yerel geliştirme sırasında Azure hizmetleri için Java uygulamaların kimliğini doğrulama

Aracılı kimlik doğrulaması, bir uygulamanın kimliğini doğrulamak için sistem kimlik doğrulama aracısını kullanarak kullanıcı kimlik bilgilerini toplar. Sistem kimlik doğrulama aracısı, kullanıcının makinesinde çalışan ve tüm bağlı hesaplar için kimlik doğrulama el sıkışmalarını ve belirteç bakımını yöneten bir uygulamadır.

Aracılı kimlik doğrulaması aşağıdaki avantajları sunar:

• Enables Single Sign-On (SSO): Uygulamaların kullanıcıların Microsoft Entra ID kimlik doğrulamasını basitleştirmesini sağlar ve Microsoft Entra ID yenileme belirteçlerini sızdırma ve kötüye kullanıma karşı korur.
• Gelişmiş güvenlik: Birçok güvenlik geliştirmesi, uygulama mantığını güncelleştirmeye gerek kalmadan aracıyla birlikte sunulur.
• Gelişmiş özellik desteği: Geliştiriciler, aracı yardımıyla zengin işletim sistemi ve hizmet özelliklerine erişebilir.
• Sistem tümleştirmesi: Yerleşik hesap seçicisi ile aracı tak çalıştır özelliğini kullanan uygulamalar, kullanıcının aynı kimlik bilgilerini tekrar kullanmak yerine mevcut bir hesabı hızla seçmesine olanak tanır.
• Belirteç Koruması: Yenileme belirteçlerinin cihaza bağlı olmasını sağlar ve uygulamaların cihaza bağlı erişim belirteçleri almasını sağlar. Bkz. Belirteç Koruması.

Windows Web Account Manager (WAM) adlı bir kimlik doğrulama aracısı sağlar. WAM, Microsoft Entra ID gibi kimlik sağlayıcılarının işletim sistemine yerel olarak bağlanmasını ve uygulamalara güvenli oturum açma hizmetleri sağlamasını sağlar. Aracılı kimlik doğrulaması, etkileşimli oturum açma kimlik bilgileri tarafından izin verilen tüm işlemler için uygulamayı etkinleştirir.

Kişisel Microsoft hesapları ve iş veya okul hesapları desteklenir. Desteklenen Windows sürümlerinde, varsayılan tarayıcı tabanlı kullanıcı arabirimi, yerleşik Windows uygulamalarına benzer şekilde daha sorunsuz bir kimlik doğrulama deneyimiyle değiştirilir.

Aracılı kimlik doğrulaması için uygulamayı yapılandırma

Uygulamanızda aracılı kimlik doğrulamasını etkinleştirmek için şu adımları izleyin:

1. Azure portalındaMicrosoft Entra ID gidin ve sol taraftaki menüden App registrations öğesini seçin.

2. Uygulamanızın kaydını ve ardından Kimlik Doğrulaması'nı seçin.

3. Bir platform yapılandırması aracılığıyla uygulama kaydınıza uygun yeniden yönlendirme URI'sini ekleyin:

   1. Platform yapılandırmaları'nın altında + Platform ekle'yi seçin.

   2. Platformları yapılandır'ın altında, mobil ve masaüstü uygulamaları gibi ayarlarını yapılandırmak için uygulama türünüz (platform) kutucuğunu seçin.

   3. Özel yeniden yönlendirme URI'leri bölümüne aşağıdaki yeniden yönlendirme URI'sini girin:

      ms-appx-web://Microsoft.AAD.BrokerPlugin/{your_client_id}

      {your_client_id}'yı, uygulama kaydının Genel Bakış bölmesindeki Uygulama (istemci) ID ile değiştirin.

   4. 'i seçin ve'i yapılandırın.

   Daha fazla bilgi edinmek için bkz. Uygulama kaydına yeniden yönlendirme URI'sini ekleme.

4. Kimlik Doğrulaması bölmesindeki Gelişmiş ayarlar'ın altında Genel istemci akışlarına izin ver için Evet'i seçin.

5. Değişiklikleri uygulamak için Kaydet'i seçin.

6. Uygulamayı belirli kaynaklar için yetkilendirmek için söz konusu kaynağa gidin, API İzinleri seçin ve Microsoft Graph ve erişmek istediğiniz diğer kaynakları etkinleştirin.

   Önemli

   Ayrıca, ilk kez oturum açtığınızda uygulamanıza onay vermek için kiracınızın yöneticisi olmanız gerekir.

Rol atayın

Uygulama kodunuzu aracılı kimlik doğrulamasıyla başarıyla çalıştırmak için Azure rol tabanlı erişim denetimi (RBAC) kullanarak kullanıcı hesabınıza izin verin. İlgili Azure hizmeti için kullanıcı hesabınıza uygun bir rol atayın. Örneğin:

• Azure Blob Storage: Depolama Hesabı Veri Katkıda Bulunanı rolünü atayın.
• Azure Key Vault: Key Vault Gizli DiziLer Yetkilisi rolünü atayın.

Bir uygulama belirtilirse, user_impersonation Access Azure Storage (önceki bölümdeki 6. adım) için ayarlanmış API izinlerine sahip olması gerekir. Bu API izni, oturum açma sırasında onay verildikten sonra uygulamanın oturum açmış kullanıcı adına Azure depolama alanına erişmesine olanak tanır.

Kodu uygulama

Azure Kimlik kitaplığı, InteractiveBrowserCredential kullanarak aracılı kimlik doğrulamasını destekler. azure-identity-broker kitaplığı, sistem kimlik doğrulama aracısını kullanabilen bir InteractiveBrowserCredential oluşturan InteractiveBrowserBrokerCredentialBuilder sağlar. Örneğin, Java konsol uygulamasında aracılı kimlik doğrulaması kullanarak SecretClient ile Azure Key Vault kimlik doğrulaması yapmak için şu adımları izleyin:

1. azure-identity-broker Dosyanıza pom.xml bağımlılığı ekleyin:

   <dependency>
       <groupId>com.azure</groupId>
       <artifactId>azure-identity-broker</artifactId>
   </dependency>
   

2. Ana pencerenin üzerinde gösterilmesi gereken hesap seçici iletişim kutusu için bir öncelik alın. Örnekler için bkz. Pencere tutamacını alma.

3. InteractiveBrowserCredential kullanarak bir InteractiveBrowserBrokerCredentialBuilder örneği oluşturun.

   import com.azure.identity.InteractiveBrowserCredential;
   import com.azure.identity.broker.InteractiveBrowserBrokerCredentialBuilder;
   import com.azure.security.keyvault.secrets.SecretClient;
   import com.azure.security.keyvault.secrets.SecretClientBuilder;
   import com.azure.security.keyvault.secrets.models.KeyVaultSecret;
   
   long windowHandle = getWindowHandle(); // See examples below
   
   InteractiveBrowserCredential credential = new InteractiveBrowserBrokerCredentialBuilder()
       .setWindowHandle(windowHandle)
       .useDefaultBrokerAccount()
       .build();
   
   SecretClient client = new SecretClientBuilder()
       .vaultUrl("https://<your-key-vault-name>.vault.azure.net")
       .credential(credential)
       .buildClient();
   
   KeyVaultSecret secret = client.getSecret("MySecret");
   System.out.println("Retrieved secret: " + secret.getName());
   

Yukarıdaki örnekte, useDefaultBrokerAccount varsayılan sistem hesabıyla sessiz, aracılı bir kimlik doğrulama akışını kabul eder. Bu şekilde kullanıcının aynı hesabı tekrar tekrar seçmesi gerekmez. Sessiz, aracılı kimlik doğrulaması başarısız olursa etkileşimli InteractiveBrowserCredential , aracılı kimlik doğrulamasına geri döner.

Aşağıdaki ekran görüntüsünde alternatif etkileşimli, aracılı kimlik doğrulama deneyimi gösterilmektedir:

Pencere tutamacını alma

Etkileşimli olarak kimlik doğrulaması yapmak için InteractiveBrowserCredential kullandığınızda, kimlik doğrulama iletişim kutusunun, isteği gönderen pencerenin üzerinde doğru şekilde göründüğünden emin olmak amacıyla bir üst pencere tanıtıcısına ihtiyacınız vardır.

JavaFX uygulaması

JavaFX uygulaması için, JNA (Java Native Access) yardımıyla pencere tutamacını edinin.

import com.sun.jna.Pointer;
import com.sun.jna.platform.win32.User32;
import com.sun.jna.platform.win32.WinDef;

public long getWindowHandle(Stage stage) {
    WinDef.HWND hwnd = User32.INSTANCE.FindWindow(null, stage.getTitle());
    return Pointer.nativeValue(hwnd.getPointer());
}

Konsol uygulaması

Windows konsol uygulaması için JNA kullanarak konsol penceresi tutamacını alın:

import com.sun.jna.Pointer;
import com.sun.jna.platform.win32.Kernel32;
import com.sun.jna.platform.win32.WinDef;

WinDef.HWND hwnd = Kernel32.INSTANCE.GetConsoleWindow();
long windowHandle = Pointer.nativeValue(hwnd.getPointer());

İlgili içerik

• Azure Identity kitaplığını kullanarak Java uygulamalarını Azure hizmetlere doğrula
• > Geliştirici hesaplarını kullanarak yerel geliştirme sırasında Java uygulamalarını Azure hizmetlere doğrulayın
• Java için Azure Kimlik kitaplığı
• Azure Kimlik Aracısı kitaplığı Java için