Uygulamalar için rol tabanlı erişim denetimini kullanma
Şunlar için geçerlidir: 
İş gücü kiracıları
Dış kiracılar (daha fazla bilgi edinin)
Rol tabanlı erişim denetimi (RBAC), uygulamalarda yetkilendirmeyi zorunlu kılmaya yönelik popüler bir mekanizmadır. Bir kuruluş RBAC kullandığında, uygulama geliştiricisi uygulama için rolleri tanımlar. Ardından bir yönetici, uygulamadaki içeriğe ve işlevlere kimlerin erişebileceğini denetlemek için farklı kullanıcılara ve gruplara roller atayabilir.
Uygulamalar genellikle kullanıcı rolü bilgilerini bir güvenlik belirtecinde talep olarak alır. Geliştiriciler rol taleplerinin uygulama izinleri olarak yorumlanması için kendi uygulamalarını sağlama esnekliğine sahiptir. İzinlerin bu yorumu, uygulamaların veya ilgili kitaplıkların platformu tarafından sağlanan ara yazılımları veya diğer seçenekleri kullanmayı içerebilir.
Uygulama rolleri
Microsoft Entra Dış Kimlik, uygulamanız için uygulama rolleri tanımlamanıza ve bu rolleri kullanıcılara ve gruplara atamanıza olanak tanır. Bir kullanıcıya veya gruba atadığınız roller, uygulamanızdaki kaynaklara ve işlemlere erişim düzeylerini tanımlar.
kimliği doğrulanmış bir kullanıcı için güvenlik belirteci Microsoft Entra Dış Kimlik, güvenlik belirtecinin rol talebine kullanıcı veya gruba atadığınız rollerin adlarını içerir. Bir istekte bu güvenlik belirtecini alan bir uygulama daha sonra rol talebindeki değerlere göre yetkilendirme kararları alabilir.
İpucu
Bu özelliği denemek için Woodgrove Groceries tanıtımına gidin ve "Rol tabanlı erişim denetimi" kullanım örneğini başlatın.
Gruplar
Geliştiriciler, belirli gruplardaki kullanıcının üyeliklerinin rol üyelikleri olarak yorumlandığı uygulamalarında RBAC uygulamak için güvenlik gruplarını da kullanabilir. Bir kuruluş güvenlik gruplarını kullandığında, belirteçte bir grup talebi bulunur. Gruplar talebi, kullanıcının geçerli dış kiracı içinde atandığı tüm grupların tanımlayıcılarını belirtir.
İpucu
Bu özelliği denemek için Woodgrove Market tanıtımına gidin ve "Grup tabanlı erişim denetimi" kullanım örneğini başlatın.
Uygulama rolleri ve gruplar karşılaştırması
Yetkilendirme için uygulama rollerini veya grupları kullanabilirsiniz ancak aralarındaki önemli farklar senaryonuz için kullanmaya karar vermenize neden olabilir.
| Uygulama rolleri | Gruplar |
|---|---|
| Bunlar bir uygulamaya özeldir ve uygulama kaydında tanımlanır. | Bunlar bir uygulamaya değil, dış kiracıya özgü değildir. |
| Uygulamalar arasında paylaşılamaz. | Birden çok uygulamada kullanılabilir. |
| Uygulama rolleri, uygulama kayıtları kaldırıldığında kaldırılır. | Uygulama kaldırılsa bile gruplar değişmeden kalır. |
Talepte sağlanır roles . |
Talepte groups sağlanır. |
Güvenlik grubu oluşturma
Güvenlik grupları, paylaşılan kaynaklara kullanıcı ve bilgisayar erişimini yönetir. Tüm grup üyelerinin aynı güvenlik izinleri kümesine sahip olması için bir güvenlik grubu oluşturabilirsiniz.
Güvenlik grubu oluşturmak için şu adımları izleyin:
- Microsoft Entra yönetim merkezinde en az Bir Grup Yöneticisi olarak oturum açın.
- Birden çok kiracıya erişiminiz varsa, Dizinler + abonelikler menüsünden dış kiracınıza geçmek için üst menüdeki Ayarlar simgesini
kullanın. - Kimlik>Grupları>Tüm gruplar'a göz atın.
- Yeni Grup seçeneğini belirleyin.
- Grup türü açılan listesinde Güvenlik'i seçin.
- Güvenlik grubu için Contoso_App_Administrators gibi grup adı girin.
- Güvenlik grubu için Contoso uygulaması Güvenlik Yöneticisi gibi grup açıklaması girin.
- Oluştur'u belirleyin.
Yeni güvenlik grubu Tüm gruplar listesinde görünür. Hemen görmüyorsanız sayfayı yenileyin.
Microsoft Entra Dış Kimlik, uygulamalarda kullanılmak üzere belirteçlere kullanıcının grup üyeliği bilgilerini içerebilir. Rollere kullanıcı ve grup atama bölümünde belirteçlere grup talebi eklemeyi öğreneceksiniz.
Bir uygulama için rolleri bildirme
Microsoft Entra yönetim merkezinde en az Bir Uygulama Yöneticisi olarak oturum açın.
Birden çok kiracıya erişiminiz varsa, Dizinler + abonelikler menüsünden dış kiracınıza geçmek için üst menüdeki Ayarlar simgesini
kullanın.Kimlik>Uygulamaları'na> göz atın Uygulama kayıtları.
Uygulama rollerini tanımlamak istediğiniz uygulamayı seçin.
Uygulama rolleri'ni ve ardından Uygulama rolü oluştur'u seçin.
Uygulama rolü oluştur bölmesinde rol için ayarları girin. Aşağıdaki tabloda her ayar ve parametreleri açıklanmaktadır.
Alan Veri Akışı Açıklaması Örnek Görünen ad Uygulama atama deneyimlerinde görünen uygulama rolünün görünen adı. Bu değer boşluk içerebilir. Orders managerİzin verilen üye türleri Bu uygulama rolünün kullanıcılara, uygulamalara veya her ikisine de atanıp atanamayacağını belirtir. Users/GroupsValue Uygulamanın belirteçte beklemesi gereken rol talebi değerini belirtir. Değer, uygulamanın kodunda başvuruda bulunan dizeyle tam olarak eşleşmelidir. Değer boşluk içeremez. Orders.ManagerAçıklama Yönetici uygulama atama deneyimleri sırasında görüntülenen uygulama rolünün daha ayrıntılı bir açıklaması. Manage online orders.Bu uygulama rolünü etkinleştirmek istiyor musunuz? Uygulama rolünün etkinleştirilip etkinleştirilmediğini belirtir. Bir uygulama rolünü silmek için, silme işlemini denemeden önce bu onay kutusunun seçimini kaldırın ve değişikliği uygulayın. Kontrol Uygulama rolünü oluşturmak için Uygula'yı seçin.
Rollere kullanıcı ve grup atama
Uygulamanıza uygulama rolleri ekledikten sonra, yönetici rollere kullanıcı ve grup atayabilir. Kullanıcıların ve grupların rollere atanma işlemi yönetim merkezi aracılığıyla veya Microsoft Graph kullanılarak program aracılığıyla gerçekleştirilebilir. Çeşitli uygulama rollerine atanan kullanıcılar uygulamada oturum açtıklarında, belirteçlerinin talepte roles atanmış rolleri olur.
Azure portalını kullanarak uygulama rollerine kullanıcı ve grup atamak için:
- Microsoft Entra yönetim merkezinde en az Bir Uygulama Yöneticisi olarak oturum açın
- Birden çok kiracıya erişiminiz varsa, Dizinler + abonelikler menüsünden dış kiracınıza geçmek için üst menüdeki Ayarlar simgesinikullanın.
- Kimlik>Uygulamaları>Kurumsal uygulamaları'na göz atın.
- Tüm uygulamalarınızın listesini görüntülemek için Tüm uygulamalar'ı seçin. Uygulamanız listede görünmüyorsa, listeyi kısıtlamak için Tüm uygulamalar listesinin yukarısındaki filtreleri kullanın veya uygulamanızı bulmak için listeyi aşağı kaydırın.
- Rollere kullanıcı veya güvenlik grubu atamak istediğiniz uygulamayı seçin.
- Yönet bölümünde Kullanıcılar ve gruplar'ı seçin.
- Atama Ekle bölmesini açmak için Kullanıcı ekle'yi seçin.
- Atama Ekle bölmesinde Kullanıcılar ve gruplar'ı seçin. Kullanıcıların ve güvenlik gruplarının listesi görüntülenir. Listeden birden çok kullanıcı ve grup seçebilirsiniz.
- Kullanıcıları ve grupları seçtikten sonra Seç'i seçin.
- Atama ekle bölmesinde Rol seçin'i seçin. Uygulama için tanımladığınız tüm roller görüntülenir.
- Bir rol seçin ve ardından Seç'i seçin.
- Kullanıcıların ve grupların uygulamaya atanma işlemini tamamlamak için Ata'yı seçin.
- Eklediğiniz kullanıcıların ve grupların Kullanıcılar ve gruplar listesinde göründüğünü onaylayın.
Uygulamanızı test etmek için oturumu kapatın ve rolleri atadığınız kullanıcıyla yeniden oturum açın. Kullanıcının rolünü içerdiğinden emin olmak için güvenlik belirtecini inceleyin.
Güvenlik belirteçlerine grup talepleri ekleme
Grup üyeliği taleplerini güvenlik belirteçlerinde yaymak için şu adımları izleyin:
- Microsoft Entra yönetim merkezinde en az Bir Uygulama Yöneticisi olarak oturum açın.
- Birden çok kiracıya erişiminiz varsa, Dizinler + abonelikler menüsünden dış kiracınıza geçmek için üst menüdeki Ayarlar simgesinikullanın.
- Kimlik>Uygulamaları'na> göz atın Uygulama kayıtları.
- Gruplar talebi eklemek istediğiniz uygulamayı seçin.
- Yönet'in altında Belirteç yapılandırması'nı seçin.
- Grup talebi ekle'yi seçin.
- Güvenlik belirteçlerine eklenecek grup türlerini seçin.
- Belirteç özelliklerini türe göre özelleştir için Grup Kimliği'ni seçin.
- Grup talebi eklemek için Ekle'yi seçin.
Gruba üye ekleme
Uygulamanıza uygulama grupları talebi eklediğinize göre, güvenlik gruplarına kullanıcı ekleyin. Güvenlik grubunuz yoksa bir grup oluşturun.
- Microsoft Entra yönetim merkezinde en az Bir Grup Yöneticisi olarak oturum açın.
- Birden çok kiracıya erişiminiz varsa, Dizinler + abonelikler menüsünden dış kiracınıza geçmek için üst menüdeki Ayarlar simgesinikullanın.
- Kimlik>Grupları>Tüm gruplar'a göz atın.
- Yönetmek istediğiniz grubu seçin.
- Üyeler'i seçin.
- + Üye ekle'yi seçin.
- Listeyi kaydırın veya arama kutusuna bir ad girin. Birden çok ad seçebilirsiniz. Hazır olduğunuzda Seç'i seçin.
- Gruba Genel Bakış sayfası, şimdi gruba eklenen üye sayısını gösterecek şekilde güncelleştirilir.
Uygulamanızı test etmek için oturumu kapatın ve güvenlik grubuna eklediğiniz kullanıcıyla yeniden oturum açın. Kullanıcının grup üyeliğini içerdiğinden emin olmak için güvenlik belirtecini inceleyin.
Gruplar ve uygulama rolleri desteği
Dış kiracı, Microsoft Entra kullanıcı ve grup yönetimi modelini ve uygulama atamasını izler. Temel Microsoft Entra özelliklerinin çoğu dış kiracılara aşamalı olarak uygulanıyor.
Aşağıdaki tabloda şu anda hangi özelliklerin kullanılabildiği gösterilmektedir.
| Özellik | Şu anda kullanılabilir mi? |
|---|---|
| Kaynak için uygulama rolü oluşturma | Evet, uygulama bildirimini değiştirerek |
| Kullanıcılara uygulama rolü atama | Yes |
| Gruplara uygulama rolü atama | Evet, yalnızca Microsoft Graph aracılığıyla |
| Uygulamalara uygulama rolü atama | Evet, uygulama izinleri aracılığıyla |
| Uygulama rolüne kullanıcı atama | Yes |
| Uygulama rolüne uygulama atama (uygulama izni) | Yes |
| Uygulama/hizmet sorumlusuna grup ekleme (grup talebi) | Evet, yalnızca Microsoft Graph aracılığıyla |
| Microsoft Entra yönetim merkezi aracılığıyla müşteri (yerel kullanıcı) oluşturma/güncelleştirme/silme | Yes |
| Microsoft Entra yönetim merkezi aracılığıyla bir müşterinin (yerel kullanıcı) parolasını sıfırlama | Yes |
| Microsoft Graph aracılığıyla müşteri (yerel kullanıcı) oluşturma/güncelleştirme/silme | Yes |
| Microsoft Graph aracılığıyla bir müşterinin (yerel kullanıcı) parolasını sıfırlama | Evet, yalnızca hizmet sorumlusu Genel Yönetici rolüne eklendiğinde |
| Microsoft Entra yönetim merkezi aracılığıyla güvenlik grubu oluşturma/güncelleştirme/silme | Yes |
| Microsoft Graph API'sini kullanarak güvenlik grubu oluşturma/güncelleştirme/silme | Yes |
| Microsoft Entra yönetim merkezini kullanarak güvenlik grubu üyelerini değiştirme | Yes |
| Microsoft Graph API'sini kullanarak güvenlik grubu üyelerini değiştirme | Yes |
| 50.000 kullanıcıya ve 50.000 gruba kadar ölçeklendirin | Şu anda kullanılamıyor |
| En az iki gruba 50.000 kullanıcı ekleme | Şu anda kullanılamıyor |
Sonraki adımlar
- Web uygulamanızda rol tabanlı erişim denetimini kullanmayı öğrenin.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin