Aracılığıyla paylaş

Aracılı kimlik doğrulamasını kullanarak yerel geliştirme sırasında Azure hizmetlerinde JavaScript uygulamalarının kimliğini doğrulama

Aracılı kimlik doğrulaması, bir uygulamanın kimliğini doğrulamak için sistem kimlik doğrulama aracısını kullanarak kullanıcı kimlik bilgilerini toplar. Sistem kimlik doğrulama aracısı, kullanıcının makinesinde çalışan ve tüm bağlı hesaplar için kimlik doğrulama el sıkışmalarını ve belirteç bakımını yöneten bir uygulamadır.

Aracılı kimlik doğrulaması aşağıdaki avantajları sunar:

  • Tek Sign-On (SSO) etkinleştirir: Uygulamaların kullanıcıların Microsoft Entra ID ile kimlik doğrulamasını basitleştirmesini sağlar ve Microsoft Entra ID yenileme belirteçlerini sızdırma ve kötüye kullanıma karşı korur.
  • Gelişmiş güvenlik: Birçok güvenlik geliştirmesi, uygulama mantığını güncelleştirmeye gerek kalmadan aracıyla birlikte sunulur.
  • Gelişmiş özellik desteği: Geliştiriciler, aracı yardımıyla zengin işletim sistemi ve hizmet özelliklerine erişebilir.
  • Sistem tümleştirmesi: Yerleşik hesap seçicisi ile aracı tak çalıştır özelliğini kullanan uygulamalar, kullanıcının aynı kimlik bilgilerini tekrar kullanmak yerine mevcut bir hesabı hızla seçmesine olanak tanır.
  • Belirteç Koruması: Yenileme belirteçlerinin cihaza bağlı olmasını sağlar ve uygulamaların cihaza bağlı erişim belirteçleri almasını sağlar. Bkz. Belirteç Koruması.

Windows , Web Hesabı Yöneticisi (WAM) adlı bir kimlik doğrulama aracısı sağlar. WAM, Microsoft Entra ID gibi kimlik sağlayıcılarının işletim sistemine yerel olarak bağlanmasını ve uygulamalara güvenli oturum açma hizmetleri sağlamasını sağlar. Aracılı kimlik doğrulaması, etkileşimli oturum açma kimlik bilgileri tarafından izin verilen tüm işlemler için uygulamayı etkinleştirir.

Kişisel Microsoft hesapları ve iş veya okul hesapları desteklenir. Desteklenen Windows sürümlerinde, varsayılan tarayıcı tabanlı kullanıcı arabirimi, yerleşik Windows uygulamalarına benzer şekilde daha sorunsuz bir kimlik doğrulama deneyimiyle değiştirilir.

Linux, kimlik doğrulama aracısı olarak Linux için Microsoft çoklu oturum açma özelliğini kullanır.

Aracılı kimlik doğrulaması için uygulamayı yapılandırma

Uygulamanızda aracılı kimlik doğrulamasını etkinleştirmek için şu adımları izleyin:

  1. Azure portalındaMicrosoft Entra Id'ye gidin ve sol taraftaki menüden Uygulama kayıtları'nı seçin.

  2. Uygulamanızın kaydını ve ardından Kimlik Doğrulaması'nı seçin.

  3. Bir platform yapılandırması aracılığıyla uygulama kaydınıza uygun yeniden yönlendirme URI'sini ekleyin:

    1. Platform yapılandırmaları'nın altında + Platform ekle'yi seçin.

    2. Platformları yapılandır'ın altında, mobil ve masaüstü uygulamaları gibi ayarlarını yapılandırmak için uygulama türünüz (platform) kutucuğunu seçin.

    3. Özel yeniden yönlendirme URI'leri bölümüne platformunuz için aşağıdaki yeniden yönlendirme URI'sini girin:

      Platform Yeniden yönlendirme URI'si
      Windows 10+ veya WSL ms-appx-web://Microsoft.AAD.BrokerPlugin/{your_client_id}
      macOS msauth.com.msauth.unsignedapp://auth imzasız uygulamalar için
      msauth.{bundle_id}://auth imzalı uygulamalar için
      Linux işletim sistemi https://login.microsoftonline.com/common/oauth2/nativeclient

      {your_client_id} veya {bundle_id} yerine, uygulama kaydının Genel Bakış bölmesindeki Uygulama (istemci) kimliğini koyun.

    4. 'i seçin ve'i yapılandırın.

    Daha fazla bilgi edinmek için bkz. Uygulama kaydına yeniden yönlendirme URI'sini ekleme.

  4. Kimlik Doğrulaması bölmesindeki Gelişmiş ayarlar'ın altında Genel istemci akışlarına izin ver için Evet'i seçin.

  5. Değişiklikleri uygulamak için Kaydet'i seçin.

  6. Uygulamayı belirli kaynaklar için yetkilendirmek için söz konusu kaynağa gidin, API İzinleri'ni seçin ve Microsoft Graph'ı ve erişmek istediğiniz diğer kaynakları etkinleştirin.

    Önemli

    Ayrıca, ilk kez oturum açtığınızda uygulamanıza onay vermek için kiracınızın yöneticisi olmanız gerekir.

Rol atayın

Uygulama kodunuzu aracılı kimlik doğrulamasıyla başarıyla çalıştırmak için Azure rol tabanlı erişim denetimi (RBAC) kullanarak kullanıcı hesabınıza izin verin. İlgili Azure hizmeti için kullanıcı hesabınıza uygun bir rol atayın. Örneğin:

  • Azure Blob Depolama: Depolama Hesabı Veri Katkıcısı rolünü atayın.
  • Azure Key Vault: Key Vault Sırları Görevlisi rolünü atayın.

Bir uygulama belirtilirse, User_impersonation Access Azure Depolama için API izinlerinin ayarlanmış olması gerekir (önceki bölümde 6. adım). Bu API izni, oturum açma sırasında onay verildikten sonra uygulamanın oturum açmış kullanıcı adına Azure depolamaya erişmesine olanak tanır.

Kodu uygulama

Azure Kimlik kitaplığı InteractiveBrowserCredential kullanarak aracılı kimlik doğrulamasını destekler. Örneğin, InteractiveBrowserCredential ile Azure Key Vault'ta kimlik doğrulaması yapmak üzere bir Node.js konsol uygulamasında kullanmak için şu adımları izleyin:

  1. @azure/identity ve @azure/identity-broker paketlerini yükleyin:

    npm install @azure/identity @azure/identity-broker

  2. Aracı seçeneklerini kullanarak InteractiveBrowserCredential örneğini oluşturun ve yerel aracı eklentisini kaydedin:

    import { useIdentityPlugin, InteractiveBrowserCredential } from "@azure/identity";
import { nativeBrokerPlugin } from "@azure/identity-broker";

// Register the native broker plugin for brokered authentication
useIdentityPlugin(nativeBrokerPlugin);

// Use InteractiveBrowserCredential with broker for interactive or silent authentication

// On Windows: Uses Windows Authentication Manager (WAM) - you'll be prompted to sign in
// On macOS: Opens a browser window for authentication, since the broker flow isn't currently supported.
// On Linux: Uses Microsoft Single Sign-on (SSO) for Linux.

const credential = new InteractiveBrowserCredential({
    brokerOptions: {
        enabled: true,
        useDefaultBrokerAccount: true,
        // For Node.js console apps, we need to provide an empty buffer for parentWindowHandle
        parentWindowHandle: new Uint8Array(0),
    },
});

Tip

JavaScript için Azure SDK GitHub deposunda örnek uygulama kodunun tamamını görüntüleyin.

Yukarıdaki örnekte, özellik useDefaultBrokerAccount olarak ayarlanmıştır trueve bu da varsayılan sistem hesabıyla sessiz, aracılı bir kimlik doğrulama akışını kabul eder. Bu şekilde kullanıcının aynı hesabı tekrar tekrar seçmesi gerekmez. Eğer sessiz ise, aracılı kimlik doğrulaması başarısız olursa veya useDefaultBrokerAccountfalse olarak ayarlanırsa, InteractiveBrowserCredential etkileşimli, aracılı kimlik doğrulamasına geri döner.

Aşağıdaki ekran görüntüsünde alternatif etkileşimli, aracılı kimlik doğrulama deneyimi gösterilmektedir:

Bir kullanıcının kimliğini doğrulamak için aracı özellikli InteractiveBrowserCredential örneği kullanılırken Windows oturum açma deneyimini gösteren ekran görüntüsü.

Aşağıdaki videoda alternatif etkileşimli, aracılı kimlik doğrulama deneyimi gösterilmektedir:

Bir kullanıcının kimliğini doğrulamak için aracı özellikli InteractiveBrowserCredential örneği kullanılırken Linux oturum açma deneyimini gösteren animasyonlu gif.

İlgili içerik

  • Last updated on