Microsoft Entra uygulamasını kaydetme ve hizmet sorumlusu oluşturma

Bu makalede rol tabanlı erişim denetimi (RBAC) ile kullanılabilecek bir Microsoft Entra uygulaması ve hizmet sorumlusu oluşturmayı öğreneceksiniz. Yeni bir uygulamayı Microsoft Entra Id'ye kaydettiğinizde, uygulama kaydı için otomatik olarak bir hizmet sorumlusu oluşturulur. Hizmet sorumlusu, uygulamanın Microsoft Entra kiracısında kimliğidir. Kaynaklara erişim, hizmet sorumlusuna atanan rollerle kısıtlanır ve hangi kaynaklara ve hangi düzeyde erişilebileceğini denetlemenizi sağlar. Güvenlik nedeniyle, hizmet sorumlularının kullanıcı kimliğiyle oturum açmalarına izin vermek yerine otomatik araçlarla kullanılması her zaman önerilir.

Bu örnek, tek bir kuruluşta kullanılan iş kolu uygulamaları için geçerlidir. Hizmet sorumlusu oluşturmak için Azure PowerShell'i veya Azure CLI'yi de kullanabilirsiniz.

Önemli

Hizmet sorumlusu oluşturmak yerine, uygulama kimliğiniz için Azure kaynakları için yönetilen kimlikleri kullanmayı göz önünde bulundurun. Kodunuz yönetilen kimlikleri destekleyen ve Microsoft Entra kimlik doğrulamasını destekleyen kaynaklara erişen bir hizmette çalışıyorsa, yönetilen kimlikler sizin için daha iyi bir seçenektir. Şu anda hangi hizmetlerin desteklediği de dahil olmak üzere Azure kaynakları için yönetilen kimlikler hakkında daha fazla bilgi edinmek için bkz. Azure kaynakları için yönetilen kimlikler nedir?.

Uygulama kaydı, uygulama nesneleri ve hizmet sorumluları arasındaki ilişki hakkında daha fazla bilgi için Bkz. Microsoft Entra Id'de uygulama ve hizmet sorumlusu nesneleri.

Önkoşullar

Bir uygulamayı Microsoft Entra kiracınıza kaydetmek için şunları yapmanız gerekir:

• Microsoft Entra kullanıcı hesabı. Henüz bir hesabınız yoksa ücretsiz olarak bir hesap oluşturabilirsiniz.
• Bir uygulamayı Microsoft Entra kiracınıza kaydetmek ve uygulamaya Azure aboneliğinizde bir rol atamak için yeterli izinler. Bu görevleri tamamlamak için izne Application.ReadWrite.All ihtiyacınız vardır.

Bir uygulamayı Microsoft Entra Id ile kaydetme ve hizmet sorumlusu oluşturma

1. Microsoft Entra yönetim merkezinde en az Bir Bulut Uygulaması Yöneticisi olarak oturum açın.

2. Entra ID>Uygulama kayıtları'na gidin ve Yeni kayıt'ı seçin.

3. Uygulamaya example-app gibi bir ad verin.

4. Desteklenen hesap türleri'nin altında Yalnızca bu kuruluş dizinindeki Hesaplar'ı seçin.

5. Yeniden Yönlendirme URI'sinin altında, oluşturmak istediğiniz uygulama türü için Web'i seçin. Erişim belirtecinin gönderildiği URI'yi girin.

6. Kayıt Ol'u seçin.

   

Uygulamaya rol atama

Aboneliğinizdeki kaynaklara erişmek için uygulamaya bir rol atamanız gerekir. Bunun Azure portalı üzerinden yapılması gerekir. Hangi rolün uygulama için doğru izinleri sunduğuna karar verin. Kullanılabilir roller hakkında bilgi edinmek için bkz. Azure yerleşik rolleri.

Kapsamı abonelik, kaynak grubu veya kaynak düzeyinde ayarlayabilirsiniz. İzinler daha düşük kapsam düzeylerine devralınır.

1. Azure portalında oturum açın.

2. Ekranın üst kısmındaki arama çubuğunda Abonelikler'i arayın ve seçin.

3. Yeni pencerede, değiştirmek istediğiniz aboneliği seçin. Aradığınız aboneliği görmüyorsanız genel abonelikler filtresi'ni seçin. Kiracı için istediğiniz aboneliğin seçildiğinden emin olun.

4. Sol bölmede Erişim denetimi (IAM) öğesini seçin.

5. Ekle'yi seçin ve ardından rol ataması ekle seçin.

6. Rol sekmesinde, listeden uygulamaya atamak istediğiniz rolü seçin ve ardından İleri'yi seçin.

7. Üyeler sekmesinde, Erişim ata için Kullanıcı, grup veya hizmet sorumlusu'na tıklayın.

8. Seç Üyeleri seç. Varsayılan olarak, Microsoft Entra uygulamaları kullanılabilir seçeneklerde görüntülenmez. Uygulamanızı bulmak için ada göre arayın.

9. Seç düğmesine tıklayın, sonra Gözden geçir ve ata öğesini seçin.

   

Hizmet sorumlunuz ayarlandı. Betiklerinizi veya uygulamalarınızı çalıştırmak için kullanmaya başlayabilirsiniz. Hizmet sorumlunuzu yönetmek için (izinler, kullanıcı tarafından onaylanan izinler, hangi kullanıcıların onayladığına bakın, izinleri gözden geçirin, oturum açma bilgilerine bakın ve daha fazlası), Kurumsal uygulamalar'a gidin.

Sonraki bölümde, program aracılığıyla oturum açarken gereken değerlerin nasıl alındığını gösterir.

Uygulamada oturum açma

Program aracılığıyla oturum açarken, kimlik doğrulama isteğinizde dizin (kiracı) kimliğini ve uygulama (istemci) kimliğini geçirirsiniz. Ayrıca bir sertifikaya veya kimlik doğrulama anahtarına da ihtiyacınız vardır. Dizin kimliğini ve uygulama kimliğini almak için:

1. Microsoft Entra yönetim merkeziGiriş sayfasını açın.
2. Entra ID>Uygulama kayıtları'na göz atın ve uygulamanızı seçin.
3. Uygulamanın genel bakış sayfasında Dizin (kiracı) kimliği değerini kopyalayın ve uygulama kodunuzda depolayın.
4. Uygulama (istemci) Kimliği değerini kopyalayın ve uygulama kodunuzda depolayın.

Kimlik doğrulaması kurulumu

Hizmet sorumluları için iki tür kimlik doğrulaması kullanılabilir: parola tabanlı kimlik doğrulaması (uygulama gizli dizisi) ve sertifika tabanlı kimlik doğrulaması. Sertifika yetkilisi tarafından verilen güvenilir bir sertifika kullanmanızı öneririz, ancak test için bir uygulama gizli dizisi veya otomatik olarak imzalanan bir sertifika da oluşturabilirsiniz.

Seçenek 1 (önerilir): Sertifika yetkilisi tarafından verilen güvenilen bir sertifikayı karşıya yükleme

Sertifika dosyasını karşıya yüklemek için:

1. Entra ID>Uygulama kayıtları'na göz atın ve uygulamanızı seçin.
2. Sertifikalar & gizlilikler'i seçin.
3. Sertifikalar'ı seçin, sonra Sertifikayı karşıya yükle'yi seçin ve karşıya yüklenecek sertifika dosyasını seçin.
4. Ekle'yi seçin. Sertifika karşıya yüklendikten sonra parmak izi, başlangıç tarihi ve süre sonu değerleri görüntülenir.

Sertifikayı uygulama kayıt portalında uygulamanıza kaydettikten sonra , gizli istemci uygulama kodunun sertifikayı kullanmasını etkinleştirin.

Seçenek 2: Yalnızca test etme: Otomatik olarak imzalanan sertifika oluşturma ve karşıya yükleme

İsteğe bağlı olarak, yalnızca test amacıyla otomatik olarak imzalanan bir sertifika oluşturabilirsiniz. Otomatik olarak imzalanan bir sertifika oluşturmak için Windows PowerShell'i açın ve aşağıdaki parametrelerle New-SelfSignedCertificate komutunu çalıştırarak sertifikayı bilgisayarınızdaki kullanıcı sertifika deposunda oluşturun:

$cert=New-SelfSignedCertificate -Subject "CN=DaemonConsoleCert" -CertStoreLocation "Cert:\CurrentUser\My"  -KeyExportPolicy Exportable -KeySpec Signature

Windows Denetim Masası'dan erişilebilen Kullanıcı Sertifikasını Yönet MMC ek bileşenini kullanarak bu sertifikayı bir dosyaya aktarın.

1. Başlat menüsünde Çalıştır'ı seçin ve certmgr.msc girin. Geçerli kullanıcının Sertifika Yöneticisi aracı görüntülenir.
2. Sertifikalarınızı görüntülemek için sol bölmedeki Sertifikalar - Geçerli Kullanıcı'nın altında Kişisel dizinini genişletin.
3. Oluşturduğunuz sertifikaya sağ tıklayın, Tüm görevler - Dışarı> Aktar'ı seçin.
4. Sertifika Dışarı Aktarma sihirbazını izleyin.

Sertifikayı karşıya yüklemek için:

1. Entra ID>Uygulama kayıtları'na göz atın ve uygulamanızı seçin.
2. Sertifikalar & gizlilikler'i seçin.
3. Sertifikalar'ı, ardından Sertifikayı karşıya yükle'yi ve ardından sertifikayı (var olan bir sertifika veya dışarı aktardığınız otomatik olarak imzalanan sertifika) seçin.
4. Ekle'yi seçin.

Sertifikayı uygulama kayıt portalında uygulamanıza kaydettikten sonra , gizli istemci uygulama kodunun sertifikayı kullanmasını etkinleştirin.

3. Seçenek: Yeni bir istemci gizli dizisi oluşturma

Sertifika kullanmamayı seçerseniz yeni bir istemci gizli dizisi oluşturabilirsiniz.

1. Entra ID>Uygulama kayıtları'na göz atın ve uygulamanızı seçin.
2. Sertifikalar & gizlilikler'i seçin.
3. İstemci sırları'nı ve ardından Yeni istemci sırrı'nı seçin.
4. Anahtar için bir açıklama ve süre belirtin.
5. Ekle'yi seçin.

İstemci gizli dizisini kaydettikten sonra, istemci gizli dizisinin değeri görüntülenir. Bu yalnızca bir kez görüntülenir, bu nedenle bu değeri kopyalayın ve uygulamanızın bu değeri alabildiği bir yerde depolayın; genellikle uygulamanızın gibi clientIdauthority değerleri veya kaynak kodunda tuttuğu yerde depolayın. Uygulama olarak oturum açmak için gizli dizi değerini uygulamanın istemci kimliğiyle birlikte sağlayacaksınız.

Kaynaklarda erişim ilkelerini yapılandırma

Uygulamanızın erişmesi gereken kaynaklar üzerinde ek izinler yapılandırmanız gerekebilir. Örneğin, uygulamanızın anahtarlara, gizli dizilere veya sertifikalara erişmesini sağlamak için bir anahtar kasasının erişim ilkelerini de güncelleştirmeniz gerekir.

Erişim ilkelerini yapılandırmak için:

1. Azure portalında oturum açın.

2. Anahtar kasanızı seçin ve Erişim ilkeleri'ni seçin.

3. Erişim ilkesi ekle'yi ve ardından uygulamanıza vermek istediğiniz anahtar, gizli dizi ve sertifika izinlerini seçin. Daha önce oluşturduğunuz hizmet sorumlusunu seçin.

4. Erişim ilkesini eklemek için Ekle'yi ve ardından Kaydet'i seçin.

   

İlgili içerik

• Hizmet sorumlusu oluşturmak için Azure PowerShell veya Azure CLI kullanmayı öğrenin.
• Güvenlik ilkelerini belirtme hakkında bilgi edinmek için bkz. Azure rol tabanlı erişim denetimi (Azure RBAC).
• Kullanıcılara verilebilecek veya reddedilebilen kullanılabilir eylemlerin listesi için bkz. Azure Resource Manager Kaynak Sağlayıcısı işlemleri.
• Microsoft Graph kullanarak uygulama kayıtlarıyla çalışma hakkında bilgi için Bkz. Uygulamalar API başvurusu.