Microsoft Entra Dış Kimlik kuruluşunuzun müşterilerin kimliklerini yönetmesine ve genel kullanıma yönelik uygulamalarınıza ve API'lerinize erişimi güvenli bir şekilde denetlemesine olanak tanır. Müşterilerinizin ürünlerinizi satın alabileceği, hizmetlerinize abone olabileceği veya hesap ve verilerine erişebileceği uygulamalar. Müşterilerinizin bir cihazda veya web tarayıcısında yalnızca bir kez oturum açması ve izinlerini vermiş olduğunuz tüm uygulamalarınıza erişmesi gerekir.
Uygulamanızın Dış Kimlik ile oturum açmasını sağlamak için uygulamanızı Dış Kimlik ile kaydetmeniz gerekir. Uygulama kaydı, uygulama ile Dış Kimlik arasında bir güven ilişkisi kurar.
Uygulama kaydı sırasında yeniden yönlendirme URI'sini belirtirsiniz. Yeniden yönlendirme URI'si, kullanıcıların kimlik doğrulamasından sonra Dış Kimlik tarafından yönlendirildiği uç noktadır. Uygulama kayıt işlemi, uygulamanızı benzersiz olarak tanımlayan istemci kimliği olarak da bilinen bir uygulama kimliği oluşturur.
Dış Kimlik, web uygulaması veya tek sayfalı uygulama gibi çeşitli modern uygulama mimarileri için kimlik doğrulamasını destekler. Her uygulama türünün dış kiracıyla etkileşimi farklıdır, bu nedenle kaydetmek istediğiniz uygulama türünü belirtmeniz gerekir.
Bu makalede, bir uygulamayı dış kiracınıza kaydetmeyi öğreneceksiniz.
Tek sayfalı uygulamanızı kaydetme
Dış Kimlik, Tek sayfalı uygulamalar (SPA' lar) için kimlik doğrulamasını destekler.
Aşağıdaki adımlarda SPA'nızı Microsoft Entra yönetim merkezine kaydetme adımları gösterilmektedir:
Microsoft Entra yönetim merkezinde en azından Uygulama Geliştiricisi olarak oturum açın.
Birden çok kiracıya erişiminiz varsa, Dizinler + abonelikler menüsünden dış kiracınıza geçmek için üst menüdeki Ayarlar simgesini
kullanın.
Kimlik>Uygulamaları'na> göz atın Uygulama kayıtları.
+ Yeni kayıt'ı seçin.
Görüntülenen Uygulamayı kaydet sayfasında, uygulamanızın kayıt bilgilerini girin:
Ad bölümünde, uygulamanın kullanıcılarına gösterilen anlamlı bir uygulama adı girin, örneğin ciam-client-app.
Desteklenen hesap türleri'nin altında Yalnızca bu kuruluş dizinindeki Hesaplar'ı seçin.
Yeniden Yönlendirme URI'si (isteğe bağlı) altında Tek sayfalı uygulama (SPA) öğesini seçin ve URL kutusuna yazınhttp://localhost:3000/.
Kaydet'i seçin.
Kayıt tamamlandığında uygulamanın Genel Bakış bölmesi görüntülenir. Uygulama kaynak kodunuzda kullanılacak Dizin (kiracı) kimliğini ve Uygulama (istemci) kimliğini kaydedin.
Yeniden yönlendirme URI'si hakkında
Yeniden yönlendirme URI'si, kullanıcının kullanıcıyla etkileşimini tamamladıktan sonra yetkilendirme sunucusu (bu örnekte Microsoft Entra Id) tarafından gönderildiği ve başarılı yetkilendirme sonrasında erişim belirtecinin veya yetkilendirme kodunun gönderildiği uç noktadır.
Bir üretim uygulamasında, genellikle uygulamanızın çalıştığı genel olarak erişilebilir bir uç noktadır, örneğin https://contoso.com/auth-response.
Uygulama geliştirme sırasında, uygulamanızın yerel olarak dinlediği uç noktayı ekleyebilirsiniz, örneğin http://localhost:3000. Kayıtlı uygulamalarınıza istediğiniz zaman yeniden yönlendirme URI'leri ekleyebilir ve değiştirebilirsiniz.
Yeniden yönlendirme URI'leri için aşağıdaki kısıtlamalar geçerlidir:
Localhost yeniden yönlendirme URL'si kullanmadığınız sürece yanıt URL'si düzeniyle httpsbaşlamalıdır.
Yanıt URL'si büyük/küçük harfe duyarlıdır. Büyük/küçük harf, çalışan uygulamanızın URL yolunun durumuyla eşleşmelidir. Örneğin, uygulamanız yolunun .../abc/response-oidcbir parçası olarak içeriyorsa yanıt URL'sinde belirtmeyin .../ABC/response-oidc . Web tarayıcısı yolları büyük/küçük harfe duyarlı olarak ele aldığından, büyük/küçük harf eşleşmeyen .../ABC/response-oidc URL'ye yönlendirildiğinde ile .../abc/response-oidc ilişkili tanımlama bilgileri dışlanabilir.
Yanıt URL'si, uygulamanızın beklediği şekilde sondaki eğik çizgiyi içermelidir veya hariç tutmalıdır. Örneğin, https://contoso.com/auth-response ve https://contoso.com/auth-response/ uygulamanızda eşleşmeyen URL'ler olarak ele alınabilir.
Yönetici onayı verme
Uygulama kayıtları sayfasında, oluşturduğunuz uygulamayı (ciam-client-app gibi) seçerek Genel Bakış sayfasını açın.
Yönet'in altında API izinleri'ne tıklayın. Yapılandırılan izinler listesinden, uygulamanıza User.Read izni atanmıştır. Ancak, kiracı bir dış kiracı olduğundan, tüketici kullanıcıların kendileri bu izni onaylayamaz. Yönetici olarak kiracıdaki tüm kullanıcılar adına bu izni onaylamanız gerekir:
- Kiracı adınız> için <Yönetici onayı ver'i ve ardından Evet'i seçin.
- Yenile'yi seçin, ardından her iki kapsam için de Durum altında Kiracı adınız> için <Verildi ifadesinin gösterildiğini doğrulayın.
API izinleri verme (isteğe bağlı):
SPA'nızın bir API'yi çağırması gerekiyorsa, API'yi çağırabilmesi için SPA API'nize izin vermelisiniz. Çağırmanız gereken web API'sini de kaydetmeniz gerekir.
İstemci uygulamanıza (ciam-client-app) API izinleri vermek için şu adımları izleyin:
Uygulama kayıtları sayfasında, oluşturduğunuz uygulamayı (ciam-client-app gibi) seçerek Genel Bakış sayfasını açın.
Yönet'in altında API izinleri'ne tıklayın.
Yapılandırılan izinler'in altında İzin ekle'yi seçin.
Kuruluşumun kullandığı API'ler sekmesini seçin.
API'ler listesinde ciam-ToDoList-api gibi API'yi seçin.
Temsilci izinleri seçeneğini belirleyin.
İzinler listesinden ToDoList.Read, ToDoList.ReadWrite öğesini seçin (gerekirse arama kutusunu kullanın).
İzin ekle düğmesini seçin. Bu noktada izinleri doğru atamış olursunuz. Ancak, kiracı bir müşterinin kiracısı olduğundan, tüketici kullanıcıları bu izinlere onay veremez. Bu sorunu çözmek için, yönetici olarak kiracıdaki tüm kullanıcılar adına bu izinleri onaylamanız gerekir:
Kiracı adınız> için <Yönetici onayı ver'i ve ardından Evet'i seçin.
Yenile'yi seçin, ardından her iki kapsam için de Durum altında Kiracı adınız> için <Verildi ifadesinin gösterildiğini doğrulayın.
Yapılandırılan izinler listesinden ToDoList.Read ve ToDoList.ReadWrite izinlerini birer birer seçin ve daha sonra kullanmak üzere iznin tam URI'sini kopyalayın. Tam izin URI'si veya api://{clientId}/{ToDoList.ReadWrite}gibi api://{clientId}/{ToDoList.Read} görünür.
Bağlantı ekleyerek izinleri kullanıma sunma hakkında bilgi edinmek isterseniz Web API'si bölümüne gidin.
Web uygulamanızı kaydetme
Dış Kimlik, web uygulamaları için kimlik doğrulamasını destekler.
Aşağıdaki adımlar, web uygulamanızı Microsoft Entra yönetim merkezine nasıl kaydedeceğini gösterir:
Microsoft Entra yönetim merkezinde en azından Uygulama Geliştiricisi olarak oturum açın.
Birden çok kiracıya erişiminiz varsa, Dizinler + abonelikler menüsünden dış kiracınıza geçmek için üst menüdeki Ayarlar simgesinikullanın.
Kimlik>Uygulamaları'na> göz atın Uygulama kayıtları.
+ Yeni kayıt'ı seçin.
Görüntülenen Uygulamayı kaydet sayfasında, uygulamanızın kayıt bilgilerini girin:
Ad bölümünde, uygulamanın kullanıcılarına gösterilen anlamlı bir uygulama adı girin, örneğin ciam-client-app.
Desteklenen hesap türleri'nin altında Yalnızca bu kuruluş dizinindeki Hesaplar'ı seçin.
Yeniden Yönlendirme URI'si (isteğe bağlı) altında Web'i seçin ve URL kutusuna gibi http://localhost:3000/bir URL girin.
Kaydet'i seçin.
Kayıt tamamlandığında uygulamanın Genel Bakış bölmesi görüntülenir. Uygulama kaynak kodunuzda kullanılacak Dizin (kiracı) kimliğini ve Uygulama (istemci) kimliğini kaydedin.
Yeniden yönlendirme URI'si hakkında
Yeniden yönlendirme URI'si, kullanıcının kullanıcıyla etkileşimini tamamladıktan sonra yetkilendirme sunucusu (bu örnekte Microsoft Entra Id) tarafından gönderildiği ve başarılı yetkilendirme sonrasında erişim belirtecinin veya yetkilendirme kodunun gönderildiği uç noktadır.
Bir üretim uygulamasında, genellikle uygulamanızın çalıştığı genel olarak erişilebilir bir uç noktadır, örneğin https://contoso.com/auth-response.
Uygulama geliştirme sırasında, uygulamanızın yerel olarak dinlediği uç noktayı ekleyebilirsiniz, örneğin http://localhost:3000. Kayıtlı uygulamalarınıza istediğiniz zaman yeniden yönlendirme URI'leri ekleyebilir ve değiştirebilirsiniz.
Yeniden yönlendirme URI'leri için aşağıdaki kısıtlamalar geçerlidir:
Localhost yeniden yönlendirme URL'si kullanmadığınız sürece yanıt URL'si düzeniyle httpsbaşlamalıdır.
Yanıt URL'si büyük/küçük harfe duyarlıdır. Büyük/küçük harf, çalışan uygulamanızın URL yolunun durumuyla eşleşmelidir. Örneğin, uygulamanız yolunun .../abc/response-oidcbir parçası olarak içeriyorsa yanıt URL'sinde belirtmeyin .../ABC/response-oidc . Web tarayıcısı yolları büyük/küçük harfe duyarlı olarak ele aldığından, büyük/küçük harf eşleşmeyen .../ABC/response-oidc URL'ye yönlendirildiğinde ile .../abc/response-oidc ilişkili tanımlama bilgileri dışlanabilir.
Yanıt URL'si, uygulamanızın beklediği şekilde sondaki eğik çizgiyi içermelidir veya hariç tutmalıdır. Örneğin, https://contoso.com/auth-response ve https://contoso.com/auth-response/ uygulamanızda eşleşmeyen URL'ler olarak ele alınabilir.
Yönetici onayı verme
Uygulama kayıtları sayfasında, oluşturduğunuz uygulamayı (ciam-client-app gibi) seçerek Genel Bakış sayfasını açın.
Yönet'in altında API izinleri'ne tıklayın. Yapılandırılan izinler listesinden, uygulamanıza User.Read izni atanmıştır. Ancak, kiracı bir dış kiracı olduğundan, tüketici kullanıcıların kendileri bu izni onaylayamaz. Yönetici olarak kiracıdaki tüm kullanıcılar adına bu izni onaylamanız gerekir:
- Kiracı adınız> için <Yönetici onayı ver'i ve ardından Evet'i seçin.
- Yenile'yi seçin, ardından her iki kapsam için de Durum altında Kiracı adınız> için <Verildi ifadesinin gösterildiğini doğrulayın.
İstemci gizli dizisi oluşturma
Kayıtlı uygulama için bir istemci gizli dizisi oluşturun. Uygulama, belirteç istediğinde kimliğini kanıtlamak için istemci gizli dizisini kullanır.
- Uygulama kayıtları sayfasında, oluşturduğunuz uygulamayı (ciam-client-app gibi) seçerek Genel Bakış sayfasını açın.
- Yönet'in altında Sertifikalar ve gizli diziler'i seçin.
- Yeni gizli anahtar'ı seçin.
- Açıklama kutusuna istemci gizli dizisi için bir açıklama girin (örneğin, ciam uygulama istemci gizli dizisi).
- Süre Sonu'nun altında gizli dizinin geçerli olduğu bir süre seçin (kuruluşunuzun güvenlik kurallarına göre) ve ardından Ekle'yi seçin.
- Gizli dizinin Değerini kaydedin. Bu değeri sonraki bir adımda yapılandırma için kullanacaksınız. Gizli dizi değeri yeniden görüntülenmez ve Sertifikalar ve gizli dizilerden uzaklaştıktan sonra herhangi bir yolla alınamaz. Kaydettiğinizden emin olun.
API izinleri verme (isteğe bağlı)
Web uygulamanızın bir API'yi çağırması gerekiyorsa, API'yi çağırabilmesi için web uygulaması API'nize izin vermelisiniz. Çağırmanız gereken web API'sini de kaydetmeniz gerekir.
İstemci uygulamanıza (ciam-client-app) API izinleri vermek için şu adımları izleyin:
Uygulama kayıtları sayfasında, oluşturduğunuz uygulamayı (ciam-client-app gibi) seçerek Genel Bakış sayfasını açın.
Yönet'in altında API izinleri'ne tıklayın.
Yapılandırılan izinler'in altında İzin ekle'yi seçin.
Kuruluşumun kullandığı API'ler sekmesini seçin.
API'ler listesinde ciam-ToDoList-api gibi API'yi seçin.
Temsilci izinleri seçeneğini belirleyin.
İzinler listesinden ToDoList.Read, ToDoList.ReadWrite öğesini seçin (gerekirse arama kutusunu kullanın).
İzin ekle düğmesini seçin. Bu noktada izinleri doğru atamış olursunuz. Ancak, kiracı bir müşterinin kiracısı olduğundan, tüketici kullanıcıları bu izinlere onay veremez. Bu sorunu çözmek için, yönetici olarak kiracıdaki tüm kullanıcılar adına bu izinleri onaylamanız gerekir:
Kiracı adınız> için <Yönetici onayı ver'i ve ardından Evet'i seçin.
Yenile'yi seçin, ardından her iki kapsam için de Durum altında Kiracı adınız> için <Verildi ifadesinin gösterildiğini doğrulayın.
Yapılandırılan izinler listesinden ToDoList.Read ve ToDoList.ReadWrite izinlerini birer birer seçin ve daha sonra kullanmak üzere iznin tam URI'sini kopyalayın. Tam izin URI'si veya api://{clientId}/{ToDoList.ReadWrite}gibi api://{clientId}/{ToDoList.Read} görünür.
Web API'nizi kaydetme
Microsoft Entra yönetim merkezinde en azından Uygulama Geliştiricisi olarak oturum açın.
Birden çok kiracıya erişiminiz varsa, Dizinler + abonelikler menüsünden dış kiracınıza geçmek için üst menüdeki Ayarlar simgesinikullanın.
Kimlik>Uygulamaları'na> göz atın Uygulama kayıtları.
+ Yeni kayıt'ı seçin.
Görüntülenen Uygulamayı kaydet sayfasında, uygulamanızın kayıt bilgilerini girin:
Ad bölümünde, uygulamanın kullanıcılarına görüntülenecek anlamlı bir uygulama adı girin, örneğin ciam-ToDoList-api.
Desteklenen hesap türleri'nin altında Yalnızca bu kuruluş dizinindeki Hesaplar'ı seçin.
Uygulamayı kaydetmek için Kaydet'i seçin.
Kayıt tamamlandığında uygulamanın Genel Bakış bölmesi görüntülenir. Uygulama kaynak kodunuzda kullanılacak Dizin (kiracı) kimliğini ve Uygulama (istemci) kimliğini kaydedin.
İzinleri kullanıma sunma
İstemci uygulamalarının bir kullanıcı için erişim belirtecini başarıyla alabilmesi için api'nin Temsilci İzni olarak da adlandırılan en az bir kapsam yayımlaması gerekir. Kapsam yayımlamak için şu adımları izleyin:
Uygulama kayıtları sayfasında, oluşturduğunuz API uygulamasını (ciam-ToDoList-api) seçerek Genel Bakış sayfasını açın.
Yönet'in altında API'yi kullanıma sunma'yı seçin.
Sayfanın üst kısmında, Uygulama Kimliği URI'si'nin yanındaki Ekle bağlantısını seçerek bu uygulama için benzersiz bir URI oluşturun.
gibi api://{clientId}önerilen Uygulama Kimliği URI'sini kabul edin ve Kaydet'i seçin. Web uygulamanız web API'si için bir erişim belirteci istediğinde, API için tanımladığınız her kapsam için ön ek olarak URI'yi ekler.
Bu API tarafından tanımlanan kapsamlar'ın altında Kapsam ekle'yi seçin.
API'ye okuma erişimi tanımlayan aşağıdaki değerleri girin ve değişikliklerinizi kaydetmek için Kapsam ekle'yi seçin:
| Özellik |
Değer |
| Kapsam adı |
ToDoList.Read |
| Kimler onaylayabilir |
Yalnızca Yönetici |
| Yönetici onayı görünen adı |
'TodoListApi' kullanarak kullanıcıların ToDo listesini okuma |
| Yönetici onayı açıklaması |
Uygulamanın 'TodoListApi' kullanarak kullanıcının ToDo listesini okumasına izin verin. |
| Durum |
Etkin |
Kapsam ekle'yi yeniden seçin ve API'ye okuma ve yazma erişim kapsamı tanımlayan aşağıdaki değerleri girin. Değişikliklerinizi kaydetmek için Kapsam ekle'yi seçin:
| Özellik |
Değer |
| Kapsam adı |
ToDoList.ReadWrite |
| Kimler onaylayabilir |
Yalnızca Yönetici |
| Yönetici onayı görünen adı |
'ToDoListApi' kullanarak kullanıcıların ToDo listesini okuma ve yazma |
| Yönetici onayı açıklaması |
Uygulamanın 'ToDoListApi' kullanarak kullanıcının ToDo listesini okumasına ve yazmasına izin ver |
| Durum |
Etkin |
Yönet'in altında Bildirim'i seçerek API bildirim düzenleyicisini açın.
özelliğini olarak 2ayarlayınaccessTokenAcceptedVersion.
Kaydet'i seçin.
Web API'sinin izinlerini yayımlarken en az ayrıcalık ilkesi hakkında daha fazla bilgi edinin.
Uygulama rolleri ekleme
bir API'nin, istemci uygulamalarının kendileri gibi bir erişim belirteci alabilmesi için uygulamalar için Uygulama İzni olarak da adlandırılan en az bir uygulama rolü yayımlaması gerekir. Uygulama izinleri, istemci uygulamalarının kendi kimliklerini başarıyla doğrulayıp oturum açması gerekmediğinde API'lerin yayımlaması gereken izin türüdür. Uygulama izni yayımlamak için şu adımları izleyin:
Uygulama kayıtları sayfasında, oluşturduğunuz uygulamayı (ciam-ToDoList-api gibi) seçerek Genel Bakış sayfasını açın.
Yönet'in altında Uygulama rolleri'ne tıklayın.
Uygulama rolü oluştur'u seçin, ardından aşağıdaki değerleri girin ve ardından Uygula'yı seçerek değişikliklerinizi kaydedin:
| Özellik |
Değer |
| Görünen ad |
ToDoList.Read.All |
| İzin verilen üye türleri |
Uygulamalar |
| Değer |
ToDoList.Read.All |
| Açıklama |
Uygulamanın 'TodoListApi' kullanarak her kullanıcının ToDo listesini okumasına izin ver |
Uygulama rolü oluştur'u yeniden seçin, ardından ikinci uygulama rolü için aşağıdaki değerleri girin ve ardından Değişikliklerinizi kaydetmek için Uygula'yı seçin:
| Özellik |
Değer |
| Görünen ad |
ToDoList.ReadWrite.All |
| İzin verilen üye türleri |
Uygulamalar |
| Değer |
ToDoList.ReadWrite.All |
| Açıklama |
Uygulamanın 'ToDoListApi' kullanarak her kullanıcının ToDo listesini okumasına ve yazmasına izin ver |
Masaüstü veya Mobil uygulamanızı kaydetme
Aşağıdaki adımlar, uygulamanızı Microsoft Entra yönetim merkezine nasıl kaydedeceğini gösterir:
Microsoft Entra yönetim merkezinde en azından Uygulama Geliştiricisi olarak oturum açın.
Birden çok kiracıya erişiminiz varsa, Dizinler + abonelikler menüsünden dış kiracınıza geçmek için üst menüdeki Ayarlar simgesinikullanın.
Kimlik>Uygulamaları'na> göz atın Uygulama kayıtları.
+ Yeni kayıt'ı seçin.
Görüntülenen Uygulamayı kaydet sayfasında, uygulamanızın kayıt bilgilerini girin:
Ad bölümünde, uygulamanın kullanıcılarına gösterilen anlamlı bir uygulama adı girin, örneğin ciam-client-app.
Desteklenen hesap türleri'nin altında Yalnızca bu kuruluş dizinindeki Hesaplar'ı seçin.
Yeniden Yönlendirme URI'si (isteğe bağlı) altında Mobil ve masaüstü uygulamaları seçeneğini belirleyin ve URL kutusuna benzersiz bir şemaya sahip bir URI girin. Örneğin, Electron masaüstü uygulamasının yeniden yönlendirme URI'si http://localhost .NET Çok Platformlu Uygulama Kullanıcı Arabirimi(MAUI) ile benzer msal{ClientId}://authgörünür.
Kaydet'i seçin.
Kayıt tamamlandığında uygulamanın Genel Bakış bölmesi görüntülenir. Uygulama kaynak kodunuzda kullanılacak Dizin (kiracı) kimliğini ve Uygulama (istemci) kimliğini kaydedin.
Yönetici onayı verme
Uygulama kayıtları sayfasında, oluşturduğunuz uygulamayı (ciam-client-app gibi) seçerek Genel Bakış sayfasını açın.
Yönet'in altında API izinleri'ne tıklayın. Yapılandırılan izinler listesinden, uygulamanıza User.Read izni atanmıştır. Ancak, kiracı bir dış kiracı olduğundan, tüketici kullanıcıların kendileri bu izni onaylayamaz. Yönetici olarak kiracıdaki tüm kullanıcılar adına bu izni onaylamanız gerekir:
- Kiracı adınız> için <Yönetici onayı ver'i ve ardından Evet'i seçin.
- Yenile'yi seçin, ardından her iki kapsam için de Durum altında Kiracı adınız> için <Verildi ifadesinin gösterildiğini doğrulayın.
API izinleri verme (isteğe bağlı)
Mobil uygulamanızın bir API'yi çağırması gerekiyorsa, API'yi çağırabilmesi için mobil uygulama API'nize izin vermelisiniz. Çağırmanız gereken web API'sini de kaydetmeniz gerekir.
İstemci uygulamanıza (ciam-client-app) API izinleri vermek için şu adımları izleyin:
Uygulama kayıtları sayfasında, oluşturduğunuz uygulamayı (ciam-client-app gibi) seçerek Genel Bakış sayfasını açın.
Yönet'in altında API izinleri'ne tıklayın.
Yapılandırılan izinler'in altında İzin ekle'yi seçin.
Kuruluşumun kullandığı API'ler sekmesini seçin.
API'ler listesinde ciam-ToDoList-api gibi API'yi seçin.
Temsilci izinleri seçeneğini belirleyin.
İzinler listesinden ToDoList.Read, ToDoList.ReadWrite öğesini seçin (gerekirse arama kutusunu kullanın).
İzin ekle düğmesini seçin. Bu noktada izinleri doğru atamış olursunuz. Ancak, kiracı bir müşterinin kiracısı olduğundan, tüketici kullanıcıları bu izinlere onay veremez. Bu sorunu çözmek için, yönetici olarak kiracıdaki tüm kullanıcılar adına bu izinleri onaylamanız gerekir:
Kiracı adınız> için <Yönetici onayı ver'i ve ardından Evet'i seçin.
Yenile'yi seçin, ardından her iki kapsam için de Durum altında Kiracı adınız> için <Verildi ifadesinin gösterildiğini doğrulayın.
Yapılandırılan izinler listesinden ToDoList.Read ve ToDoList.ReadWrite izinlerini birer birer seçin ve daha sonra kullanmak üzere iznin tam URI'sini kopyalayın. Tam izin URI'si veya api://{clientId}/{ToDoList.ReadWrite}gibi api://{clientId}/{ToDoList.Read} görünür.
Daemon uygulamanızı kaydetme
Aşağıdaki adımlar, daemon uygulamanızı Microsoft Entra yönetim merkezine nasıl kaydedeceğini gösterir:
Microsoft Entra yönetim merkezinde en azından Uygulama Geliştiricisi olarak oturum açın.
Birden çok kiracıya erişiminiz varsa, Dizinler + abonelikler menüsünden dış kiracınıza geçmek için üst menüdeki Ayarlar simgesinikullanın.
Kimlik>Uygulamaları'na> göz atın Uygulama kayıtları.
+ Yeni kayıt'ı seçin.
Görüntülenen Uygulamayı kaydet sayfasında, uygulamanızın kayıt bilgilerini girin:
Ad bölümünde, uygulamanın kullanıcılarına görüntülenecek anlamlı bir uygulama adı girin, örneğin ciam-client-app.
Desteklenen hesap türleri'nin altında Yalnızca bu kuruluş dizinindeki Hesaplar'ı seçin.
Kaydet'i seçin.
Kayıt tamamlandığında uygulamanın Genel Bakış bölmesi görüntülenir. Uygulama kaynak kodunuzda kullanılacak Dizin (kiracı) kimliğini ve Uygulama (istemci) kimliğini kaydedin.
API izinleri verme
Bir daemon uygulaması, OAuth 2.0 istemci kimlik bilgileri akışını kullanarak kendisi olarak oturum açar. Kendi kimliklerini doğrulayan uygulamalar için gerekli olan uygulama izinleri (uygulama rolleri) verirsiniz. Daemon uygulamanızın çağırması gereken web API'sini de kaydetmeniz gerekir.
Uygulama kayıtları sayfasında, oluşturduğunuz uygulamayı (ciam-client-app gibi) seçin.
Yönet'in altında API izinleri'ne tıklayın.
Yapılandırılan izinler'in altında İzin ekle'yi seçin.
Kuruluşumun kullandığı API'ler sekmesini seçin.
API'ler listesinde ciam-ToDoList-api gibi API'yi seçin.
Uygulama izinleri seçeneğini belirleyin. Bu seçeneği, uygulama kullanıcı olarak değil, kendisi olarak oturum açtığında seçeriz.
İzinler listesinden TodoList.Read.All, ToDoList.ReadWrite.All öğesini seçin (gerekirse arama kutusunu kullanın).
İzin ekle düğmesini seçin.
Bu noktada izinleri doğru atamış olursunuz. Ancak, daemon uygulaması kullanıcıların bu uygulamayla etkileşim kurmasına izin vermediğinden, kullanıcılar bu izinlere onay veremez. Bu sorunu çözmek için, yönetici olarak kiracıdaki tüm kullanıcılar adına bu izinleri onaylamanız gerekir:
- Kiracı adınız> için <Yönetici onayı ver'i ve ardından Evet'i seçin.
- Yenile'yi seçin, ardından Kiracı adınız> için <Verildi seçeneğinin her iki izin için de Durum altında göründüğünü doğrulayın.
Microsoft Graph API'sini kaydetme
Uygulamanızın Microsoft Entra ile kullanıcılarla oturum açmasını sağlamak için Microsoft Entra Dış Kimlik oluşturduğunuz uygulama hakkında bilgi edinilmesi gerekir. Uygulama kaydı, uygulama ile Microsoft Entra arasında bir güven ilişkisi kurar. Bir uygulamayı kaydettiğinizde, Dış Kimlik, kimlik doğrulama istekleri oluştururken uygulamanızı tanımlamak için kullanılan bir değer olan Uygulama (istemci) kimliği olarak bilinen benzersiz bir tanımlayıcı oluşturur.
Aşağıdaki adımlar, uygulamanızı Microsoft Entra yönetim merkezine nasıl kaydedeceğini gösterir:
Microsoft Entra yönetim merkezinde en azından Uygulama Geliştiricisi olarak oturum açın.
Birden çok kiracıya erişiminiz varsa, Dizinler + abonelikler menüsünden dış kiracınıza geçmek için üst menüdeki Ayarlar simgesinikullanın.
Kimlik>Uygulamaları'na> göz atın Uygulama kayıtları.
+ Yeni kayıt'ı seçin.
Görüntülenen Uygulamayı kaydet sayfasında;
- Uygulamanın kullanıcılarına gösterilen anlamlı bir uygulama Adı girin, örneğin ciam-client-app.
- Desteklenen hesap türleri'nin altında Yalnızca bu kuruluş dizinindeki Hesaplar'ı seçin.
Kaydet'i seçin.
Başarılı bir kayıtta uygulamanın Genel Bakış bölmesi görüntülenir. Uygulama kaynak kodunuzda kullanılacak Uygulama (istemci) kimliğini kaydedin.
Uygulamanıza API Erişimi Verme
Uygulamanızın Microsoft Graph API'sindeki verilere erişmesi için kayıtlı uygulamaya ilgili uygulama izinlerini verin. Uygulamanızın etkili izinleri, izin tarafından ima edilen tüm ayrıcalık düzeyidir. Örneğin, dış kiracınızdaki her kullanıcıyı oluşturmak, okumak, güncelleştirmek ve silmek için User.ReadWrite.All iznini ekleyin.
Yönet'in altında API izinleri'ne tıklayın.
Yapılandırılan izinler'in altında İzin ekle'yi seçin.
Microsoft API'leri sekmesini ve ardından Microsoft Graph'ı seçin.
Uygulama izinleri'ni seçin.
Uygun izin grubunu genişletin ve yönetim uygulamanıza vermek istediğiniz iznin onay kutusunu seçin. Örneğin:
User>User.ReadWrite.All: Kullanıcı geçişi veya kullanıcı yönetimi senaryoları için.
Group>Group.ReadWrite.All: Grup oluşturmak için grup üyeliklerini okuyun ve güncelleştirin ve grupları silin.
AuditLog>AuditLog.Read.All: Dizinin denetim günlüklerini okumak için.
Policy>Policy.ReadWrite.TrustFramework: Sürekli tümleştirme/sürekli teslim (CI/CD) senaryoları için. Örneğin, Azure Pipelines ile özel ilke dağıtımı.
İzinler ekle'yi seçin. Belirtildiği gibi, sonraki adıma geçmeden önce birkaç dakika bekleyin.
(Kiracı adınız) için Yönetici onayı ver'i seçin.
Şu anda oturum açmadıysanız, dış kiracınızda en az Bulut Uygulaması Yönetici istrator rolü atanmış bir hesapla oturum açın ve ardından (kiracı adınız) için yönetici onayı ver'i seçin.
Yenile'yi seçin ve ardından "... için verildi" ifadesini doğrulayın Durum'un altında görünür. İzinlerin yayılması birkaç dakika sürebilir.
Uygulamanızı kaydettikten sonra, uygulamanıza bir istemci gizli dizisi eklemeniz gerekir. Bu istemci gizli dizisi, Microsoft Graph API'sini çağırmak üzere uygulamanızın kimliğini doğrulamak için kullanılır.
İstemci gizli dizisi oluşturma
Kayıtlı uygulama için bir istemci gizli dizisi oluşturun. Uygulama, belirteç istediğinde kimliğini kanıtlamak için istemci gizli dizisini kullanır.
- Uygulama kayıtları sayfasında, oluşturduğunuz uygulamayı (ciam-client-app gibi) seçerek Genel Bakış sayfasını açın.
- Yönet'in altında Sertifikalar ve gizli diziler'i seçin.
- Yeni gizli anahtar'ı seçin.
- Açıklama kutusuna istemci gizli dizisi için bir açıklama girin (örneğin, ciam uygulama istemci gizli dizisi).
- Süre Sonu'nun altında gizli dizinin geçerli olduğu bir süre seçin (kuruluşunuzun güvenlik kurallarına göre) ve ardından Ekle'yi seçin.
- Gizli dizinin Değerini kaydedin. Bu değeri sonraki bir adımda yapılandırma için kullanacaksınız. Gizli dizi değeri yeniden görüntülenmez ve Sertifikalar ve gizli dizilerden uzaklaştıktan sonra herhangi bir yolla alınamaz. Kaydettiğinizden emin olun.
Yerel kimlik doğrulama uygulaması kaydetme
Uygulamanızın Microsoft Entra ile kullanıcılarla oturum açmasını sağlamak için Microsoft Entra Dış Kimlik oluşturduğunuz uygulama hakkında bilgi edinilmesi gerekir. Uygulama kaydı, uygulama ile Microsoft Entra arasında bir güven ilişkisi kurar. Bir uygulamayı kaydettiğinizde, Dış Kimlik, kimlik doğrulama istekleri oluştururken uygulamanızı tanımlamak için kullanılan bir değer olan Uygulama (istemci) kimliği olarak bilinen benzersiz bir tanımlayıcı oluşturur.
Aşağıdaki adımlar, uygulamanızı Microsoft Entra yönetim merkezine nasıl kaydedeceğini gösterir:
Microsoft Entra yönetim merkezinde en azından Uygulama Geliştiricisi olarak oturum açın.
Birden çok kiracıya erişiminiz varsa, Dizinler + abonelikler menüsünden dış kiracınıza geçmek için üst menüdeki Ayarlar simgesinikullanın.
Kimlik>Uygulamaları'na> göz atın Uygulama kayıtları.
+ Yeni kayıt'ı seçin.
Görüntülenen Uygulamayı kaydet sayfasında;
- Uygulamanın kullanıcılarına gösterilen anlamlı bir uygulama Adı girin, örneğin ciam-client-app.
- Desteklenen hesap türleri'nin altında Yalnızca bu kuruluş dizinindeki Hesaplar'ı seçin.
Kaydet'i seçin.
Başarılı bir kayıtta uygulamanın Genel Bakış bölmesi görüntülenir. Uygulama kaynak kodunuzda kullanılacak Uygulama (istemci) kimliğini kaydedin.
Yönetici onayı verme
Uygulama kayıtları sayfasında, oluşturduğunuz uygulamayı (ciam-client-app gibi) seçerek Genel Bakış sayfasını açın.
Yönet'in altında API izinleri'ne tıklayın. Yapılandırılan izinler listesinden, uygulamanıza User.Read izni atanmıştır. Ancak, kiracı bir dış kiracı olduğundan, tüketici kullanıcıların kendileri bu izni onaylayamaz. Yönetici olarak kiracıdaki tüm kullanıcılar adına bu izni onaylamanız gerekir:
- Kiracı adınız> için <Yönetici onayı ver'i ve ardından Evet'i seçin.
- Yenile'yi seçin, ardından her iki kapsam için de Durum altında Kiracı adınız> için <Verildi ifadesinin gösterildiğini doğrulayın.
Genel istemci ve yerel kimlik doğrulama akışlarını etkinleştirme
Bu uygulamanın genel bir istemci olduğunu ve yerel kimlik doğrulamasını kullanabileceğini belirtmek için genel istemci ve yerel kimlik doğrulama akışlarını etkinleştirin:
- Uygulama kayıtları sayfasından, genel istemci ve yerel kimlik doğrulama akışlarını etkinleştirmek istediğiniz uygulama kaydını seçin.
- Yönet'in altında Kimlik Doğrulama'yı seçin.
- Gelişmiş ayarlar'ın altında genel istemci akışlarına izin verin:
- Aşağıdaki mobil ve masaüstü akışlarını etkinleştir için Evet'i seçin.
- Yerel kimlik doğrulamasını etkinleştir için Evet'i seçin.
- Kaydet düğmesini seçin.
Yeni bir uygulamayı kaydettikten sonra, Microsoft Entra yönetim merkezindeki genel bakış sayfasından Uygulama (istemci) kimliğini bulabilirsiniz.
İş gücü kiracıları
Dış kiracılar (daha fazla bilgi edinin)
