Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Merkezi kimlik sağlayıcısı, özellikle kuruluş ağından oturum açması gerekmeyecek dünya çapında kullanıcıları olan uygulamalar için kullanışlıdır. Microsoft kimlik platformu kullanıcıların kimliğini doğrular ve erişim belirteçleri, yenileme belirteçleri ve kimlik belirteçleri gibi güvenlik belirteçleri sağlar. Güvenlik belirteçleri, istemci uygulamasının bir kaynak sunucusundaki korumalı kaynaklara erişmesine olanak sağlar.
- Erişim belirteci - Erişim belirteci, OAuth 2.0 akışının bir parçası olarak yetkilendirme sunucusu tarafından verilen bir güvenlik belirtecidir. Kullanıcı ve belirtecin hedeflendiği kaynak hakkında bilgiler içerir. Bilgiler web API'lerine ve diğer korumalı kaynaklara erişmek için kullanılabilir. Kaynaklar, bir istemci uygulamasına erişim vermek için erişim belirteçlerini doğrular. Daha fazla bilgi için Microsoft kimlik platformunda erişim belirteçleri bölümüne bakın.
- Yenileme belirteci - Erişim belirteçleri yalnızca kısa bir süre için geçerli olduğundan, yetkilendirme sunucuları bazen erişim belirteci verilirken aynı anda bir yenileme belirteci verir. daha sonra istemci uygulaması gerektiğinde bu yenileme belirtecini yeni bir erişim belirteci ile değiştirebilir. Daha fazla bilgi için Microsoft kimlik platformunda belirteçleri yenileme konusuna bakın.
- Kimlik belirteci - Kimlik belirteçleri, OpenID Connect akışının bir parçası olarak istemci uygulamasına gönderilir. Bunlar bir erişim belirteci yerine veya yanında gönderilebilir. Kimlik belirteçleri, istemci tarafından kullanıcının kimliğini doğrulamak için kullanılır. Microsoft kimlik platformunun kimlik belirteçlerini nasıl verdiği hakkında daha fazla bilgi edinmek için Microsoft kimlik platformunda kimlik belirteçleri bölümüne bakın.
Birçok kurumsal uygulama, kullanıcıların kimliğini doğrulamak için SAML kullanır. SAML onayları hakkında bilgi için SAML belirteci referansı bölümüne bakın.
Belirteçleri doğrulama
Belirtecin oluşturulduğu uygulamaya, kullanıcıda oturum açan web uygulamasına veya belirteci doğrulamak için çağrılan web API'sine aittir. Yetkilendirme sunucusu belirteci özel bir anahtarla imzalar. Yetkilendirme sunucusu ilgili ortak anahtarı yayımlar. Bir belirteci doğrulamak için uygulama, imzanın özel anahtar kullanılarak oluşturulduğunu doğrulamak için yetkilendirme sunucusu ortak anahtarını kullanarak imzayı doğrular. Daha fazla bilgi için Talepleri doğrulayarak uygulamaların ve API'lerin güvenliğini sağlama makalesine bakın.
Mümkün olduğunda desteklenen Microsoft Kimlik Doğrulama Kitaplıklarını (MSAL) kullanmanızı öneririz. Bu, sizin için belirteçleri alma, yenileme ve doğrulamayı uygular. Ayrıca, kiracının OpenID tanınmış keşif belgesini kullanarak kiracı ayarları ve anahtarları için standartlara uyumlu keşfi uygulamaktadır. MSAL, .NET, JavaScript, Java, Python, Android ve iOS gibi birçok farklı uygulama mimarisini ve platformu destekler.
Belirteçler yalnızca sınırlı bir süre için geçerlidir, bu nedenle yetkilendirme sunucusu sık sık bir belirteç çifti sağlar. Uygulamaya veya korumalı kaynağa erişen bir erişim belirteci sağlanır. Erişim belirtecinin süresi dolmak üzereyken erişim belirtecini yenilemek için kullanılan bir yenileme belirteci sağlanır.
Erişim belirteçleri, Authorization üst bilgisinde taşıyıcı belirteç olarak bir web API'sine iletilir. Bir uygulama yetkilendirme sunucusuna yenileme belirteci sağlayabilir. Uygulamaya kullanıcı erişimi iptal edilmemişse, yeni bir erişim belirteci ve yeni bir yenileme belirteci alır. Yetkilendirme sunucusu yenileme belirtecini aldığında, yalnızca kullanıcı hala yetkilendirilmişse başka bir erişim belirteci gönderir.
JSON Web Belirteçleri ve talepleri
Microsoft kimlik platformu, talepleri içeren JSON Web Belirteçleri (JWT) şeklinde güvenlik belirteçlerini uygular. JWT'ler güvenlik belirteçleri olarak kullanıldığından, bu kimlik doğrulama biçimi bazen JWT kimlik doğrulaması olarak adlandırılır.
Bir iddia, istemci uygulaması veya kaynak sahibi gibi bir varlığa ilişkin iddialar hakkında, kaynak sunucusu gibi başka bir varlığa iddialar sağlar. Talep, JWT talebi veya JSON Web Belirteci talebi olarak da adlandırılır.
Talepler, belirteç konusuyla ilgili olguları aktaran ad veya değer çiftleridir. Örneğin, bir talep, yetkilendirme sunucusunun kimliğini doğrulayan güvenlik sorumlusuyla ilgili olgular içerebilir. Belirli bir belirteçte bulunan talepler, belirteç türü, konunun kimliğini doğrulamak için kullanılan kimlik bilgisi türü ve uygulama yapılandırması gibi birçok şeye bağlıdır.
Uygulamalar aşağıdaki çeşitli görevler için talepleri kullanabilir:
- Belirteci doğrula
- Belirteç konusunun kiracısını belirleme
- Kullanıcı bilgilerini görüntüleme
- Öznenin yetkilendirme durumunu belirleme
Talep, aşağıdaki bilgi türlerini sağlayan anahtar-değer çiftlerinden oluşur:
- Belirteci oluşturan güvenlik belirteci sunucusu
- Belirtecin oluşturulduğu tarih
- Konu (kullanıcı gibi, ancak daemon'lar değil)
- Hedef kitle, belirtecin oluşturulduğu uygulamadır
- Belirteci isteyen uygulama (istemci)
Belirteç uç noktaları ve verenler
Microsoft Entra ID iki kiracı yapılandırmasını destekler: şirket içi kullanıma yönelik ve çalışanları ve işletme konuklarını yöneten bir iş gücü yapılandırması ve tüketicileri ve iş ortaklarını kısıtlanmış bir dış dizinde yalıtma için iyileştirilmiş bir müşteri yapılandırması . Altta yatan kimlik hizmeti, her iki kiracı yapılandırması için de aynı olsa da, dış kiracılar için oturum açma etki alanları ve belirteç çıkarma yetkilisi farklıdır. Bu, uygulamaların gerekirse iş gücü ve dış kimlik iş akışlarını ayrı tutmasına olanak tanır.
Microsoft Entra iş gücü kiracıları, sts.windows.net tarafından verilen belirteçlerle login.microsoftonline.com kimlik doğrulaması yapar. Temel güven ilişkileri bu birlikte çalışabilirliğe izin verdikçe, iş gücü kiracı belirteçleri kiracılar ve çok kiracılı uygulamalar arasında değiştirilebilir. Microsoft Entra dış kiracıları formunun {tenantname}.ciamlogin.comuç noktalarını kullanır. Dış kiracılara kayıtlı uygulamaların belirteçleri doğru bir şekilde almak ve doğrulamak için bu ayrımı bilmesi gerekir.
Her Microsoft Entra kiracısı standartlara uyumlu iyi bilinen bir meta veriler yayımlar. Bu belge, verenin adı, kimlik doğrulaması ve yetkilendirme uç noktaları, desteklenen kapsamlar ve talepler hakkında bilgi içerir. Dış kiracılar için, belge şu konumda genel kullanıma açıktır: https://{tenantname}.ciamlogin.com/{tenantid}/v2.0/.well-known/openid-configuration. Bu uç nokta bir veren değeri https://{tenantid}.ciamlogin.com/{tenantid}/v2.0 döndürür.
Yetkilendirme akışları ve kimlik doğrulama kodları
İstemcinizin nasıl oluşturulduğuna bağlı olarak, Microsoft kimlik platformu tarafından desteklenen kimlik doğrulama akışlarından birini veya birkaçını kullanabilir. Desteklenen akışlar çeşitli belirteçler ve yetkilendirme kodları üretebilir ve bunların çalışması için farklı belirteçler gerektirir. Aşağıdaki tabloda genel bir bakış sunulmaktadır.
| Akış | Şunları gerektirir | Kimlik belirteci | Erişim belirteci | Yenileme belirteci | Yetki kodu |
|---|---|---|---|---|---|
| Yetkilendirme kodu akışı | x | x | x | x | |
| Örtük akış | x | x | |||
| Hibrit OIDC akışı | x | x | |||
| Yenileme belirteci çözme | Yenileme belirteci | x | x | x | |
| Adına yapılan akış | Erişim belirteci | x | x | x | |
| İstemci kimlik bilgileri | x (Yalnızca uygulama) |
İlgili içerik
- Kimlik doğrulaması ve yetkilendirmeyle ilgili temel kavramlar hakkında bilgi edinmek için bkz . Kimlik doğrulaması ve yetkilendirme.
- OAuth 2.0
- OpenID Bağlan