Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Uygulamalar, Uygulamaların Azure hizmetlerine ve kaynaklarına erişmesini sağlayan Microsoft Entra Id kimlik doğrulaması yapmak için Azure Kimlik kitaplığını kullanabilir. Bu kimlik doğrulama gereksinimi, uygulamanın Azure'a dağıtılıp dağıtılmadığını, şirket içinde barındırılıp barındırılmadığını veya bir geliştirici iş istasyonunda yerel olarak çalıştırılmasını sağlar. İlerideki bölümlerde, JavaScript için Azure SDK'sını kullanırken farklı ortamlarda microsoft entra id'sine yönelik bir uygulamanın kimliğini doğrulamak için önerilen yaklaşımlar açıklanmaktadır.
Uygulama kimlik doğrulaması için önerilen yaklaşım
Microsoft Entra ID aracılığıyla belirteç tabanlı kimlik doğrulaması, bağlantı dizelerini veya anahtar tabanlı seçenekleri kullanmak yerine uygulamaların Azure'da kimlik doğrulaması için önerilen yaklaşımdır. Azure Kimlik kitaplığı, belirteç tabanlı kimlik doğrulamasını destekleyen sınıflar sağlar ve uygulamanın yerel olarak, Azure'da veya şirket içi bir sunucuda çalıştırılması fark etmeksizin uygulamaların Azure kaynaklarında kimlik doğrulamasına izin verir.
Belirteç tabanlı kimlik doğrulamasının avantajları
Belirteç tabanlı kimlik doğrulaması, bağlantı dizelerine göre aşağıdaki avantajları sunar:
- Belirteç tabanlı kimlik doğrulaması yalnızca Azure kaynağına erişmeyi amaçlayan belirli uygulamaların bunu yapabilmesini sağlarken, bağlantı dizesi olan herkes veya herhangi bir uygulama bir Azure kaynağına bağlanabilir.
- Belirteç tabanlı kimlik doğrulaması, Azure kaynak erişimini yalnızca uygulamanın ihtiyaç duyduğu belirli izinlerle sınırlamanıza olanak tanır. Bu , en az ayrıcalık ilkesini izler. Buna karşılık, bir bağlantı dizesi Azure kaynağına tam haklar verir.
- Belirteç tabanlı kimlik doğrulaması için yönetilen kimlik kullanırken, Azure sizin için yönetim işlevlerini işler, bu nedenle gizli dizileri güvenli hale getirme veya döndürme gibi görevler konusunda endişelenmeniz gerekmez. Bu, gizliliği ihlal edilebilecek bir bağlantı dizesi veya uygulama gizli dizisi olmadığından uygulamayı daha güvenli hale getirir.
- Azure Kimlik kitaplığı sizin için Microsoft Entra belirteçlerini alır ve yönetir.
Bağlantı dizelerinin kullanımı, belirteç tabanlı kimlik doğrulamasının bir seçenek olmadığı senaryolarla, ilk kavram kanıtı uygulamalarıyla veya üretim veya hassas verilere erişmeyen geliştirme prototipleriyle sınırlı olmalıdır. Mümkün olduğunda, Azure kaynaklarında kimlik doğrulaması yapmak için Azure Kimlik kitaplığında bulunan belirteç tabanlı kimlik doğrulama sınıflarını kullanın.
Farklı ortamlarda kimlik doğrulaması
Bir uygulamanın Azure kaynaklarında kimlik doğrulaması yapmak için kullanması gereken belirteç tabanlı kimlik doğrulaması türü, uygulamanın nerede çalıştığına bağlıdır. Aşağıdaki diyagramda farklı senaryolar ve ortamlar için rehberlik sağlanır:
Bir uygulama şu durumlarda:
- Azure'da barındırılan: Uygulamanın yönetilen kimlik kullanarak Azure kaynaklarında kimlik doğrulaması yapması gerekir. Bu seçenek , sunucu ortamlarında kimlik doğrulaması bölümünde daha ayrıntılı olarak ele alınmıştı.
- Geliştirme sırasında yerel olarak çalışıyor: Uygulama bir geliştirici hesabı, aracı veya hizmet sorumlusu kullanarak Azure'da kimlik doğrulaması yapabilir. Her seçenek , yerel geliştirme sırasında kimlik doğrulamasında daha ayrıntılı olarak ele alınır.
- Şirket içinde barındırılan: Uygulamanın bir uygulama hizmet prensipali kullanarak Azure kaynaklarında kimlik doğrulaması yapması gerekir. Şirket içi iş akışları, şirket içinde barındırılan uygulamalar için kimlik doğrulaması bölümünde daha ayrıntılı olarak ele alınmaktadır.
Azure tarafından barındırılan uygulamalar için kimlik doğrulaması
Uygulamanız Azure'da barındırıldığında, kimlik bilgilerini yönetmeye gerek kalmadan Azure kaynaklarında kimlik doğrulaması yapmak için yönetilen kimlikleri kullanabilir. İki tür yönetilen kimlik vardır: kullanıcı tarafından atanan ve sistem tarafından atanan.
Kullanıcı tarafından atanan yönetilen kimlik kullanma
Kullanıcı atanan yönetilen kimlik, bağımsız bir Azure kaynağı olarak oluşturulur. Bir veya daha fazla Azure kaynağına atanarak bu kaynakların aynı kimlik ve izinleri paylaşmasına olanak tanıyabilirsiniz. Kullanıcı tarafından atanan yönetilen kimliği kullanarak kimlik doğrulaması yapmak için, kimliği oluşturun, Azure kaynağınıza atayın ve ardından uygulamanızı istemci kimliğini belirterek kimlik doğrulaması için bu kimliği kullanacak şekilde yapılandırın.
Sistem tarafından atanan yönetilen kimlik kullanma
Sistem tarafından atanan yönetilen kimlik doğrudan bir Azure kaynağında etkinleştirilir. Kimlik, bu kaynağın yaşam döngüsüne bağlıdır ve kaynak silindiğinde otomatik olarak silinir. Sistem tarafından atanan yönetilen kimliği kullanarak kimlik doğrulaması yapmak için Azure kaynağınızda kimliği etkinleştirin ve ardından uygulamanızı kimlik doğrulaması için bu kimliği kullanacak şekilde yapılandırın.
Yerel geliştirme sırasında kimlik doğrulaması
Yerel geliştirme sırasında geliştirici kimlik bilgilerinizi, aracınızı veya hizmet sorumlunuzu kullanarak Azure kaynaklarında kimlik doğrulaması yapabilirsiniz. Bu, uygulamanızın kimlik doğrulama mantığını Azure'a dağıtmadan test etmenizi sağlar.
Geliştirici kimlik bilgilerini kullanma
Yerel geliştirme sırasında Azure kaynaklarında kimlik doğrulaması yapmak için kendi Azure kimlik bilgilerinizi kullanabilirsiniz. Bu genellikle, uygulamanıza Azure hizmetlerine erişmek için gerekli belirteçleri sağlayabilen Azure CLI gibi bir geliştirme aracı kullanılarak yapılır. Bu yöntem kullanışlıdır ancak yalnızca geliştirme amacıyla kullanılmalıdır.
Aracı kullanma
Aracılı kimlik doğrulaması, bir uygulamanın kimliğini doğrulamak için sistem kimlik doğrulama aracısını kullanarak kullanıcı kimlik bilgilerini toplar. Sistem kimlik doğrulama aracısı, kullanıcının makinesinde çalışır ve tüm bağlı hesaplar için kimlik doğrulama handshake işlemlerini ve token yönetimini yönetir.
Hizmet ilkesi kullanma
Bir uygulamayı temsil etmek için bir Microsoft Entra kiracısında bir hizmet sorumlusu oluşturulur ve Azure kaynaklarında kimlik doğrulaması yapmak için kullanılır. Uygulamanızı yerel geliştirme sırasında hizmet sorumlusu kimlik bilgilerini kullanacak şekilde yapılandırabilirsiniz. Bu yöntem, geliştirici kimlik bilgilerini kullanmaktan daha güvenlidir ve uygulamanızın üretimde kimlik doğrulamasına daha yakındır. Ancak, gizli bilgilere duyulan ihtiyaç nedeniyle yönetilen kimlik kullanmak kadar ideal değildir.
Şirket içinde barındırılan uygulamalar için kimlik doğrulaması
Şirket içinde barındırılan uygulamalarda, Azure kaynaklarında kimlik doğrulaması yapmak için bir hizmet sorumlusu kullanabilirsiniz. Bu, Microsoft Entra Id'de bir hizmet sorumlusu oluşturmayı, gerekli izinleri atamayı ve uygulamanızı kimlik bilgilerini kullanacak şekilde yapılandırmayı içerir. Bu yöntem, şirket içi uygulamanızın Azure hizmetlerine güvenli bir şekilde erişmesini sağlar.