Uygulama yapılandırma seçenekleri

Kimlik doğrulaması yapmak ve belirteçleri almak için kodunuzda yeni bir genel veya gizli istemci uygulaması başlatırsınız. İstemci uygulamasını Microsoft Kimlik Doğrulama Kitaplığı'nda (MSAL) başlatırken çeşitli yapılandırma seçenekleri ayarlayabilirsiniz. Bu seçenekler iki gruba ayrılır:

• Kayıt seçenekleri:
  • Yetki (uygulama için kimlik sağlayıcı örneği ve oturum açma hedef kitlesi ve muhtemelen kiracı kimliği)
  • İstemci Kimliği
  • Yeniden yönlendirme URI'si
  • istemci sırrı (gizli istemci uygulamaları için)
  • Sertifika (gizli istemci uygulamaları için)
  • Federasyon kimliği kimlik bilgileri (gizli istemci uygulamaları için)
• Günlük düzeyi, kişisel verilerin denetimi ve kitaplığı kullanan bileşenin adı dahil olmak üzere günlük seçenekleri

Yetkili

Yetkili, MSAL'nin belirteç isteyebileceği bir dizini gösteren bir URL'dir.

Ortak makamlar şunlardır:

Ortak yetkili URL'leri	ne zaman kullanılmalı
https://login.microsoftonline.com/<tenant>/	Yalnızca belirli bir kuruluşun kullanıcılarını oturum açın. <tenant> URL'deki, Microsoft Entra kiracısının kiracı kimliği (GUID) veya kiracı etki alanıdır.
https://login.microsoftonline.com/common/	İş ve okul hesaplarıyla veya kişisel Microsoft hesaplarıyla kullanıcılarda oturum açın.
https://login.microsoftonline.com/organizations/	İş ve okul hesaplarıyla kullanıcılarda oturum açın.
https://login.microsoftonline.com/consumers/	Yalnızca kişisel Microsoft hesapları (MSA) olan kullanıcılarla oturum açın.

Kodunuzda belirttiğiniz yetkilinin, Azure portalındaki Uygulama kayıtlarında uygulama için belirttiğiniz Desteklenen hesap türleriyle tutarlı olması gerekir.

Yetkili şu olabilir:

• Microsoft Entra bulut yetkilisi.
• Azure AD B2C yetkilisi. Bkz B2C özellikleri.
• bir Active Directory Federasyon Hizmetleri (AD FS) (AD FS) yetkilisi. Bkz. AD FS desteği.

Microsoft Entra bulut yetkililerinin iki bölümü vardır:

• Kimlik sağlayıcısı örneği
• Uygulamanın oturum açma hedef kitlesi

Örnek ve hedef kitle birleştirilebilir ve yetkili URL'si olarak sağlanabilir. Bu diyagramda, yetkili URL'sinin nasıl oluşturulmuş olduğu gösterilir:

Bulut örneği

Örnek, uygulamanızın Kullanıcıları Azure genel bulutundan mı yoksa ulusal bulutlardan mı imzalacağını belirtmek için kullanılır. Kodunuzda MSAL kullanarak, bir numaralandırma kullanarak veya URL'yi üye olarak ulusal bulut örneğine Instance ayarlayabilirsiniz.

MSAL.NET hem hem de InstanceAzureCloudInstance belirtilirse açık bir özel durum oluşturur.

Bir örnek belirtmezseniz, uygulamanız Azure genel bulut örneğini (URL https://login.onmicrosoftonline.comörneği) hedefler.

Uygulama hedef kitlesi

Oturum açma hedef kitlesi, uygulamanızın iş gereksinimlerine bağlıdır:

• İş kolu (LOB) geliştiricisiyseniz, büyük olasılıkla yalnızca kuruluşunuzda kullanılan tek kiracılı bir uygulama oluşturacaksınız. Bu durumda, kuruluşu kiracı kimliğine (Microsoft Entra örneğinizin kimliği) veya Microsoft Entra örneğiyle ilişkilendirilmiş bir etki alanı adına göre belirtin.
• ISV'yseniz, kullanıcıların iş ve okul hesaplarıyla herhangi bir kuruluşta veya bazı kuruluşlarda (çok kiracılı uygulama) oturum açmasını isteyebilirsiniz. Ancak kullanıcıların kişisel Microsoft hesaplarıyla oturum açmasını da isteyebilirsiniz.

Kodunuzda/yapılandırmanızda hedef kitleyi belirtme

Kodunuzda MSAL kullanarak aşağıdaki değerlerden birini kullanarak hedef kitleyi belirtirsiniz:

• Microsoft Entra authority audience sabit listesi
• Kiracı kimliği:
  • Tek kiracılı uygulamalar için BIR GUID (Microsoft Entra örneğinizin kimliği)
  • Microsoft Entra örneğinizle ilişkilendirilmiş bir etki alanı adı (tek kiracılı uygulamalar için de)
• Microsoft Entra authority audience sabit listesi yerine kiracı kimliği olarak bu yer tutuculardan biri:
  • organizations çok kiracılı bir uygulama için
  • consumers kullanıcıları yalnızca kişisel hesaplarıyla oturum açmak için
  • common kullanıcıları iş ve okul hesaplarıyla veya kişisel Microsoft hesaplarıyla oturum açmak için

Hem Microsoft Entra yetkilisi hedef kitlesini hem de kiracı kimliğini belirtirseniz MSAL anlamlı bir özel durum oluşturur.

Bir hedef kitle belirtmeniz önerilir, çünkü bunlara dağıtılan birçok kiracı ve uygulama konuk kullanıcılara sahip olur. Uygulamanız dış kullanıcılara yönelikse ve common uç noktalarını kullanmaktan kaçınınorganization. Hedef kitle belirtmezseniz, uygulamanız Microsoft Entra Id ve kişisel Microsoft hesaplarını hedef kitle olarak hedefler ve belirtilmiş gibi common davranır.

Etkin hedef kitle

Uygulamanız için geçerli hedef kitle, uygulamanızda ayarladığınız hedef kitlenin ve uygulama kaydında belirtilen hedef kitlenin en düşük (kesişim noktası varsa) olacaktır. Aslında Uygulama kayıtları deneyimi, uygulama için hedef kitleyi (desteklenen hesap türleri) belirtmenize olanak tanır. Daha fazla bilgi için bkz . Hızlı Başlangıç: Microsoft kimlik platformuna uygulama kaydetme.

Şu anda, bir uygulamanın yalnızca kişisel Microsoft hesapları olan kullanıcılarla oturum açmasını sağlamak için şu ayarların her ikisini de yapılandırmaktır:

• Uygulama kaydı hedef kitlesini olarak Work and school accounts and personal accountsayarlayın.
• Kodunuzda/yapılandırmanızda hedef kitleyi AadAuthorityAudience.PersonalMicrosoftAccount (veya TenantID ="tüketiciler") olarak ayarlayın.

Müşteri Kimliği

İstemci kimliği, uygulama kaydedildiğinde Microsoft Entra Id tarafından uygulamanıza atanan benzersiz Uygulama (istemci) kimliğidir . Uygulama (İstemci) Kimliğini Uygulamanın Genel Bakış sayfasında Entra Id>Enterprise uygulamalarında bulabilirsiniz.

Yeniden yönlendirme URI'si

Yeniden yönlendirme URI'si, kimlik sağlayıcısının güvenlik belirteçlerini geri gönderdiği URI'dir.

Genel istemci uygulamaları için yeniden yönlendirme URI'si

MSAL kullanan bir genel istemci uygulaması geliştiricisiyseniz:

• Masaüstü uygulamalarında (MSAL.NET 4.1+) kullanmak .WithDefaultRedirectUri() istersiniz. yöntemi, .WithDefaultRedirectUri() genel istemci uygulamasının yeniden yönlendirme URI özelliğini genel istemci uygulamaları için varsayılan önerilen yeniden yönlendirme URI'sine ayarlar.

  Platforma	Yeniden yönlendirme URI'si
  Masaüstü uygulaması (.NET Framework)	https://login.microsoftonline.com/common/oauth2/nativeclient
  Evrensel Windows Platformu (UWP)	değeridir WebAuthenticationBroker.GetCurrentApplicationCallbackUri(). Bu, değeri kaydetmeniz gereken WebAuthenticationBroker.GetCurrentApplicationCallbackUri() sonucuna ayarlayarak tarayıcıyla çoklu oturum açmayı (SSO) etkinleştirir
  .NET	https://localhost kullanıcının etkileşimli kimlik doğrulaması için sistem tarayıcısını kullanmasını sağlar çünkü .NET şu anda eklenmiş web görünümü için bir kullanıcı arabirimine sahip değildir.

özelliğini kullanarak yeniden yönlendirme URI'sini RedirectUri geçersiz kılabilirsiniz (örneğin, aracı kullanıyorsanız). Bu senaryo için yeniden yönlendirme URI'lerine bazı örnekler aşağıda verilmiştir:

• RedirectUriOnAndroid = "msauth-00001111-aaaa-2222-bbbb-3333cccc4444://com.microsoft.identity.client.sample";
• RedirectUriOnIos = $"msauth.{Bundle.ID}://auth";

Diğer Android ayrıntıları için bkz. Android'de aracılı kimlik doğrulaması.

• MSAL Android kullanarak uygulama oluştururken, ilk redirect_uri adımı sırasında uygulamasını yapılandırabilir veya daha sonra ekleyebilirsiniz.

  • Yeniden yönlendirme URI'sinin biçimi: msauth://<yourpackagename>/<base64urlencodedsignature>
  • Örnek: redirect_uri = msauth://com.azuresamples.myapp/6/aB1cD2eF3gH4iJ5kL6-mN7oP8qR=

• MSAL Android uygulama yapılandırması hakkında daha fazla bilgi edinmek için bkz. MSAL Android yapılandırması.

• Uygulama kayıtlarında yeniden yönlendirme URI'sini yapılandırın:

  

Gizli istemci uygulamaları için yeniden yönlendirme URI'si

Web uygulamaları için yeniden yönlendirme URI'si (veya yanıt URL'si), Microsoft Entra Id'nin belirteci uygulamaya geri göndermek için kullanacağı URI'dir. Gizli uygulama bunlardan biriyse URI, web uygulamasının/web API'sinin URL'si olabilir. Yeniden yönlendirme URI'sinin uygulama kaydına kaydedilmesi gerekir. Kayıt, özellikle başlangıçta yerel olarak test ettiğiniz bir uygulamayı dağıttığınızda önemlidir. Ardından, dağıtılan uygulamanın yanıt URL'sini uygulama kayıt portalına eklemeniz gerekir.

Daemon uygulamaları için yeniden yönlendirme URI'sini belirtmeniz gerekmez.

Uygulama kimlik bilgileri

Gizli istemci uygulamaları için kimlik bilgilerinin etkili bir şekilde yönetilmesi önemlidir. Kimlik bilgileri federasyon kimlik bilgileri (önerilen), sertifika veya istemci gizli dizisi olabilir.

Federe kimlik bilgileri

Federasyon kimlik bilgileri, GitHub Actions gibi iş yüklerine, Kubernetes üzerinde çalışan iş yüklerine veya Azure dışındaki işlem platformlarında çalışan iş yüklerinin iş yükü kimlik federasyonu kullanarak gizli dizileri yönetmeye gerek kalmadan Microsoft Entra korumalı kaynaklara erişmesine olanak tanıyan bir kimlik bilgisi türüdür.

Sertifika

Bu seçenek, gizli istemci uygulamasının sertifikasını belirtir. Bazen ortak anahtar olarak da adlandırılan sertifika, istemci gizli dizilerinden daha güvenli olarak kabul edildiğinden önerilen kimlik bilgisi türüdür.

İstemci gizli anahtarı

Bu seçenek gizli istemci uygulaması için istemci gizli dizisini belirtir. İstemci gizli dizisi (uygulama parolası) uygulama kayıt portalı tarafından sağlanır veya PowerShell Microsoft Entra Id, PowerShell AzureRM veya Azure CLI ile uygulama kaydı sırasında Microsoft Entra ID'ye sağlanır.

Günlük Kaydı

MSAL, hata ayıklama ve kimlik doğrulaması hatası sorunlarını giderme senaryolarında yardımcı olmak için yerleşik günlük desteği sağlar. Her kitaplıkta günlüğe kaydetme işlemi aşağıdaki makalelerde ele alınmıştır:

• MSAL.NET oturum açma
• Android için MSAL'de oturum açma
• MSAL.jsoturum açma

• iOS/macOS için MSAL'de oturum açma
• Java için MSAL'de günlüğe kaydetme
• Python için MSAL'de oturum açma

Sonraki adımlar

MSAL.NET kullanarak istemci uygulamalarının örneğini oluşturma ve MSAL.jskullanarak istemci uygulamalarının örneğini oluşturma hakkında bilgi edinin.