Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Uygulamalar, Microsoft Entra ID kimlik doğrulaması yapmak için Azure Kimlik kitaplığını kullanabilir ve bu da uygulamaların Azure hizmetlere ve kaynaklara erişmesine olanak tanır. Bu kimlik doğrulama gereksinimi, uygulamanın Azure dağıtılıp dağıtılmadığını, şirket içinde barındırılıp barındırılmadığını veya bir geliştirici iş istasyonunda yerel olarak çalıştırılmasını sağlar. İlerideki bölümlerde, Azure SDK istemci kitaplıklarını kullanırken farklı ortamlarda Microsoft Entra ID için bir uygulamanın kimliğini doğrulamak için önerilen yaklaşımlar açıklanmaktadır.
Uygulama kimlik doğrulaması için önerilen yaklaşım
Microsoft Entra ID aracılığıyla belirteç tabanlı kimlik doğrulaması, bağlantı dizelerini veya anahtar tabanlı seçenekleri kullanmak yerine uygulamaların Azure kimlik doğrulaması için önerilen yaklaşımdır. Azure Identity kitaplığı belirteç tabanlı kimlik doğrulamasını destekleyen sınıflar sağlar ve uygulamanın yerel olarak, Azure veya şirket içi sunucuda çalışıp çalışmadığı fark etmeksizin uygulamaların Azure kaynaklarda kimlik doğrulamasına izin veren sınıflar sağlar.
Belirteç tabanlı kimlik doğrulamasının avantajları
Belirteç tabanlı kimlik doğrulaması, bağlantı dizelerine göre aşağıdaki avantajları sunar:
- Belirteç tabanlı kimlik doğrulaması yalnızca Azure kaynağına erişmeyi amaçlayan belirli uygulamaların bunu yapabilmesini sağlarken, connection string olan herkes veya herhangi bir uygulama Azure bir kaynağa bağlanabilir.
- Belirteç tabanlı kimlik doğrulaması, Azure kaynak erişimini yalnızca uygulamanın ihtiyaç duyduğu belirli izinlerle sınırlamanıza olanak tanır. Bu , en az ayrıcalık ilkesini izler. Buna karşılık, bir bağlantı dizesi Azure kaynağı için tüm yetkilere sahiptir.
- Belirteç tabanlı kimlik doğrulaması için managed identity kullanırken, Azure sizin için yönetim işlevlerini işler, böylece gizli dizileri güvenli hale getirme veya döndürme gibi görevler konusunda endişelenmeniz gerekmez. Bu, tehlikeye atılacak bir connection string veya uygulama sırrı olmadığı için uygulamayı daha güvenli hale getirir.
- Azure Kimlik kitaplığı sizin için Microsoft Entra belirteçleri alır ve yönetir.
Bağlantı dizelerinin kullanımı, belirteç tabanlı kimlik doğrulamasının bir seçenek olmadığı senaryolarla, ilk kavram kanıtı uygulamalarıyla veya üretim veya hassas verilere erişmeyen geliştirme prototipleriyle sınırlı olmalıdır. Mümkün olduğunda, Azure kaynaklarda kimlik doğrulaması yapmak için Azure Kimlik kitaplığında bulunan belirteç tabanlı kimlik doğrulama sınıflarını kullanın.
Farklı ortamlarda kimlik doğrulaması
Bir uygulamanın Azure kaynaklarda kimlik doğrulaması yapmak için kullanması gereken belirteç tabanlı kimlik doğrulaması türü, uygulamanın nerede çalıştığına bağlıdır. Aşağıdaki diyagramda farklı senaryolar ve ortamlar için rehberlik sağlanır:
Bir uygulama şu durumlarda:
- Azure üzerinde barındırılan: Uygulama, yönetilen kimlik kullanarak Azure kaynaklarına kimlik doğrulaması yapmalıdır. Bu seçenek , sunucu ortamlarında kimlik doğrulaması bölümünde daha ayrıntılı olarak ele alınmıştı.
- Geliştirme sırasında yerelde çalıştırma: Uygulama, Azure üzerinde kimlik doğrulaması yapmak için bir geliştirici hesabı, bir aracı veya bir hizmet ilkesi kullanabilir. Her seçenek , yerel geliştirme sırasında kimlik doğrulamasında daha ayrıntılı olarak ele alınır.
- Şirket İçi Barındırma: Uygulama, Azure kaynaklarında kimlik doğrulaması yaparken bir uygulama hizmet ilkesi veya Azure Arc durumunda yönetilen kimlik kullanmalıdır. Şirket içi iş akışları, şirket içinde barındırılan uygulamalar için Kimlik Doğrulama sayfasında daha ayrıntılı olarak ele alınmaktadır.
Azure barındırılan uygulamalar için kimlik doğrulaması
Uygulamanız Azure barındırıldığında, kimlik bilgilerini yönetmeye gerek kalmadan Azure kaynaklarda kimlik doğrulaması yapmak için yönetilen kimlikleri kullanabilir. İki tür yönetilen kimlik vardır: kullanıcı tarafından atanan ve sistem tarafından atanan.
Kullanıcı tarafından atanan yönetilen kimlik kullanma
Kullanıcı tarafından atanan yönetilen kimlik, bağımsız bir Azure kaynağı olarak oluşturulur. Bir veya daha fazla Azure kaynağına atanarak bu kaynakların aynı kimlik ve izinleri paylaşmasına olanak sağlanır. Kullanıcı tarafından atanan yönetilen kimliği kullanarak kimlik doğrulaması yapmak için kimliği oluşturun, Azure kaynağınıza atayın ve ardından uygulamanızı istemci kimliğini, kaynak kimliğini veya nesne kimliğini belirterek kimlik doğrulaması için bu kimliği kullanacak şekilde yapılandırın.
Sistem tarafından atanan yönetilen kimlik kullanma
Sistem tarafından atanan yönetilen kimlik doğrudan bir Azure kaynağında etkinleştirilir. Kimlik, bu kaynağın yaşam döngüsüne bağlıdır ve kaynak silindiğinde otomatik olarak silinir. Sistem tarafından atanan yönetilen kimliği kullanarak kimlik doğrulaması yapmak için, Azure kaynağınızda kimliği etkinleştirin ve ardından uygulamanızı kimlik doğrulaması için bu kimliği kullanacak şekilde yapılandırın.
Yerel geliştirme sırasında kimlik doğrulaması
Yerel geliştirme sırasında, geliştirici kimlik bilgilerinizi veya hizmet sorumlunuzu kullanarak Azure kaynaklarda kimlik doğrulaması yapabilirsiniz. Bu, uygulamanızın kimlik doğrulama mantığını Azure dağıtmadan test etmenizi sağlar.
Geliştirici kimlik bilgilerini kullanma
Yerel geliştirme sırasında Azure kaynaklarda kimlik doğrulaması yapmak için kendi Azure kimlik bilgilerinizi kullanabilirsiniz. Bu genellikle uygulamanıza Azure hizmetlerine erişmek için gerekli belirteçleri sağlayabilen Azure CLI veya Visual Studio Code gibi bir geliştirme aracı kullanılarak yapılır. Bu yöntem kullanışlıdır ancak yalnızca geliştirme amacıyla kullanılmalıdır.
Bir aracı kullanın
Aracılı kimlik doğrulaması, bir uygulamanın kimliğini doğrulamak için sistem kimlik doğrulama aracısını kullanarak kullanıcı kimlik bilgilerini toplar. Sistem kimlik doğrulama aracısı, kullanıcının makinesinde çalışır ve tüm bağlı hesaplar için kimlik doğrulama handshake işlemlerini ve token yönetimini yönetir.
Hizmet ilkesi kullanma
Bir uygulamayı temsil etmek için bir Microsoft Entra kiracısında hizmet sorumlusu oluşturulur ve Azure kaynaklarda kimlik doğrulaması yapmak için kullanılır. Uygulamanızı yerel geliştirme sırasında hizmet sorumlusu kimlik bilgilerini kullanacak şekilde yapılandırabilirsiniz. Bu yöntem, geliştirici kimlik bilgilerini kullanmaktan daha güvenlidir ve uygulamanızın üretimde kimlik doğrulamasına daha yakındır. Ancak, gizli bilgilere duyulan ihtiyaç nedeniyle yönetilen kimlik kullanmak kadar ideal değildir.
Şirket içinde barındırılan uygulamalar için kimlik doğrulaması
Şirket içinde barındırılan uygulamalarda, Azure kaynaklarda kimlik doğrulaması yapmak için bir hizmet sorumlusu kullanabilirsiniz. Bu, Microsoft Entra ID bir hizmet sorumlusu oluşturmayı, gerekli izinleri atamayı ve uygulamanızı kimlik bilgilerini kullanacak şekilde yapılandırmayı içerir. Bu yöntem, şirket içi uygulamanızın Azure hizmetlere güvenli bir şekilde erişmesini sağlar.