Aracılığıyla paylaş

Microsoft Entra uygulama galerisinden OpenID Bağlan OAuth uygulaması yapılandırma

  • Makale

  1. Microsoft Entra yönetim merkezinde en az Bulut Uygulaması Yönetici istrator olarak oturum açın.

  2. Kimlik>Uygulamaları>Kurumsal uygulamaları'na göz atın.

    Kurumsal uygulamalar dikey penceresi

  3. İletişim kutusunun üst kısmındaki Yeni uygulama'ya tıklayın.

    Yeni uygulama düğmesi

  4. Arama kutusuna uygulama adını yazın. Sonuç panelinden istediğiniz uygulamayı seçin ve uygulamaya kaydolun.

    Sonuç listesinde Openid

  5. Uygulama adı sayfasında Kaydol düğmesine tıklayın.

    Ekle düğmesi

    Not

    Burada kiracı yöneticisi kaydolma düğmesini seçmeli ve uygulamaya onay vermelidir. Uygulama daha sonra yapılandırmaları yapabileceğiniz dış kiracıya eklenir. Uygulamayı açıkça eklemenize gerek yoktur.

  6. Oturum açma kimlik bilgileri için Uygulama Oturum Açma sayfasına veya Microsoft Entra Id sayfasına yönlendirilirsiniz.

  7. Kimlik doğrulaması başarılı olduktan sonra onay sayfasından onayı kabul etmiş olacaksınız. Bundan sonra, uygulama giriş sayfası görüntülenir.

    Not

    Uygulamanın yalnızca bir örneğini ekleyebilirsiniz. Zaten bir tane eklediyseniz ve onayı yeniden sağlamaya çalıştıysanız, kiracıya yeniden eklenmez. Bu nedenle mantıksal olarak kiracıda yalnızca bir uygulama örneği kullanabilirsiniz.

  8. Galeriden bir OpenID uygulaması eklemek için aşağıdaki videoyu izleyin.

OpenID Bağlan kullanarak kimlik doğrulama akışı

En temel oturum açma akışı aşağıdaki adımları içerir:

OpenID Bağlan kullanarak kimlik doğrulama akışı

Çok kiracılı uygulama

Çok kiracılı bir uygulama, yalnızca bir kuruluşta değil, birçok kuruluşta kullanılmak üzere tasarlanmıştır. Bunlar genellikle bağımsız bir yazılım satıcısı (ISV) tarafından yazılan hizmet olarak yazılım (SaaS) uygulamalarıdır.

Çok kiracılı uygulamaların kullanılacakları her dizinde sağlanması gerekir. Bunları kaydetmek için kullanıcı veya yönetici onayı gerekir. Bu onay işlemi, bir uygulama dizine kaydedildiğinde ve Graph API'sine veya başka bir web API'sine erişim verildiğinde başlar. Farklı bir kuruluştan bir kullanıcı veya yönetici uygulamayı kullanmak için kaydolduğunda, uygulamanın ihtiyaç duyduğu izinleri bir iletişim kutusu görüntüler.

Kullanıcı veya yönetici daha sonra uygulamaya onay verebilir. Onay, uygulamaya belirtilen verilere erişim verir ve son olarak uygulamayı dizine kaydeder.

Not

Uygulamanızı birden çok dizindeki kullanıcıların kullanımına sağlıyorsanız, hangi kiracıda olduklarını belirlemek için bir mekanizmaya ihtiyacınız vardır. Tek kiracılı bir uygulamanın yalnızca bir kullanıcı için kendi dizinine bakması gerekir. Çok kiracılı bir uygulamanın, Microsoft Entra Id'deki tüm dizinlerden belirli bir kullanıcıyı tanımlaması gerekir.

Bu görevi gerçekleştirmek için Microsoft Entra ID, çok kiracılı uygulamaların kiracıya özgü uç nokta yerine oturum açma isteklerini yönlendirebileceği ortak bir kimlik doğrulama uç noktası sağlar. Bu uç nokta, Microsoft Entra Id içindeki tüm dizinlere yöneliktir https://login.microsoftonline.com/common . Kiracıya özgü uç nokta olabilir https://login.microsoftonline.com/contoso.onmicrosoft.com.

Uygulamanızı geliştirirken ortak uç noktanın dikkate alınması önemlidir. Oturum açma, oturum kapatma ve belirteç doğrulama sırasında birden çok kiracıyı işlemek için gerekli mantığa ihtiyacınız olacaktır.

Varsayılan olarak, Microsoft Entra ID çok kiracılı uygulamaları yükseltmektedir. Kuruluşlar genelinde bunlara kolayca erişilir ve siz onayı kabul ettikten sonra kolayca kullanılabilirler.

Çok kiracılı web ve yerel istemci uygulamaları geliştirmek için Microsoft Entra onay çerçevesini kullanabilirsiniz. Bu uygulamalar, uygulamanın kaydedildiği kiracıdan farklı bir Microsoft Entra kiracısından kullanıcı hesaplarıyla oturum açmaya izin verir. Ayrıca aşağıdakiler gibi web API'lerine de erişmeleri gerekebilir:

  • Microsoft 365'teki Microsoft Entra Id, Intune ve hizmetlerine erişmek için Microsoft Graph API'si.
  • Diğer Microsoft hizmetleri API'leri.
  • Kendi web API'leriniz.

Çerçeve, bir kullanıcının veya yöneticinin dizine kayıt isteğinde bulunan uygulamaya onay vermesi temeline dayanır. Kayıt kapsamında dizin verilerine de erişim sağlanabilir. Onay verildikten sonra, istemci uygulaması kullanıcı adına Microsoft Graph API'sini çağırabilir ve gerekli bilgileri kullanabilir.

Microsoft Graph API'si, Microsoft 365'teki verilere erişim sağlar, örneğin:

  • Exchange'den takvimler ve iletiler.
  • SharePoint'ten siteler ve listeler.
  • OneDrive'dan belgeler.
  • OneNote'tan not defterleri.
  • Planner'dan görevler.
  • Excel'den çalışma kitapları.

Graph API'si ayrıca Microsoft Entra Id'den kullanıcılara ve gruplara ve daha fazla Microsoft bulut hizmetindeki diğer veri nesnelerine erişim sağlar.

Aşağıdaki adımlar, uygulama geliştiricisi ve kullanıcı için onay deneyiminin nasıl çalıştığını gösterir:

  1. Bir kaynağa veya API'ye erişmek için belirli izinler istemesi gereken bir web istemci uygulamanız olduğunu varsayalım. Azure portalı, yapılandırma zamanında izin isteklerini bildirmek için kullanılır. Diğer yapılandırma ayarları gibi bunlar da uygulamanın Microsoft Entra kayıtlarının bir parçası haline gelir. İzin isteği yolu için aşağıdaki adımları izleyin:

    a. Menünün sol tarafındaki Uygulama kayıtları tıklayın ve arama kutusuna uygulama adını yazarak uygulamanızı açın.

    Sol taraftaki menüden

    b. API İzinlerini Görüntüle'ye tıklayın.

    c. İzin ekle'ye tıklayın.

    d. Microsoft Graph'a tıklayın.

    e. Temsilci izinleri ve Uygulama İzinleri'nden gerekli seçenekleri belirleyin.

    Graph API

  2. Uygulamanızın izinlerinin güncelleştirildiğini düşünün. Uygulama çalışıyor ve bir kullanıcı bunu ilk kez kullanmak üzere. İlk olarak uygulamanın Microsoft Entra Id /authorize uç noktasından bir yetkilendirme kodu alması gerekir. Yetkilendirme kodu daha sonra yeni bir erişim ve yenileme belirteci almak için kullanılabilir.

  3. Kullanıcının kimliği henüz doğrulanmamışsa, Microsoft Entra Id /authorize uç noktası oturum açmayı ister.

    Hesap için oturum açma isteminin ekran görüntüsü

  4. Kullanıcı oturum açtıktan sonra, Microsoft Entra Id kullanıcıya bir onay sayfası gösterilmesi gerekip gerekmediğini belirler. Bu belirleme, kullanıcının (veya kuruluş yöneticisinin) uygulama onayı verip vermediğine bağlıdır.

    Onay verilmediyse, Microsoft Entra kullanıcıdan onay ister ve çalışması için gereken izinleri görüntüler. Onay iletişim kutusunda görüntülenen izinler, temsilci izinlerinde seçilen izinlerle eşleşmektedir.

    Onay sayfası

Normal bir kullanıcı bazı izinlere onay verebilir. Diğer izinler için kiracı yöneticisinin onayı gerekir.

Yönetici olarak, kiracınızdaki tüm kullanıcılar adına bir uygulamanın temsilci izinlerine de onay verebilirsiniz. Yönetici kesin onay, kiracıdaki her kullanıcı için onay iletişim kutusunun görünmesini engeller. Yönetici rolüne sahip kullanıcılar onay verebilir. Uygulamanızın Ayarlar sayfasında Gerekli İzinler>Yönetici onayı ver'i seçin.

İzin Ver düğmesi

Not

Yönetici onayı ver düğmesini kullanarak açık onay verme artık MSAL.js kullanan tek sayfalı uygulamalar (SPA' lar) için gereklidir. Aksi takdirde, erişim belirteci istendiğinde uygulama başarısız olur.

Yalnızca uygulama izinleri her zaman bir kiracı yöneticisinin iznini gerektirir. Uygulamanız yalnızca uygulama izni isterse ve bir kullanıcı uygulamada oturum açmaya çalışırsa bir hata iletisi görüntülenir. İletide kullanıcının onay veremediği yazıyor.

Uygulamanız yönetici onayı gerektiren izinler kullanıyorsa, yöneticinin eylemi başlatabileceği düğme veya bağlantı gibi bir hareketinizin olması gerekir. Uygulamanızın bu eylem için gönderdiği istek, her zamanki OAuth2/OpenID Bağlan yetkilendirme isteğidir. Bu istek prompt=admin_consent sorgu dizesi parametresini içerir.

Yönetici onay verdikten ve hizmet sorumlusu müşterinin kiracısında oluşturulduktan sonra, daha sonra oturum açma istekleri için prompt=admin_consent parametresi gerekmez. Yönetici, istenen izinlerin kabul edilebilir olduğuna karar verdiğinden, kiracıdaki diğer kullanıcılardan bu noktadan sonra onay istenmez.

Kiracı yöneticisi, normal kullanıcıların uygulamalara onay verme özelliğini devre dışı bırakabilir. Bu özellik devre dışı bırakılırsa, uygulamanın kiracıda kullanılması için her zaman yönetici onayı gerekir. Uygulamanızı son kullanıcı onayı devre dışı bırakılmış olarak test etmek istiyorsanız yapılandırma anahtarını Azure portalında bulabilirsiniz. Kurumsal uygulamalar altındaki Kullanıcı ayarları bölümünde yer alır.

prompt=admin_consent parametresi, yönetici onayı gerektirmeyen izinler isteyen uygulamalar tarafından da kullanılabilir. Örnek olarak, kiracı yöneticisinin bir kez "kaydolduğu" ve bu noktadan sonra başka hiçbir kullanıcıdan onay istendiği bir deneyim gerektiren bir uygulama örnektir.

Bir uygulamanın yönetici onayı gerektirdiğini ve bir yöneticinin prompt=admin_consent parametresi gönderilmeden oturum açtığını düşünün. Yönetici uygulamayı başarıyla onayladığında, yalnızca kullanıcı hesabı için geçerlidir. Normal kullanıcılar yine de uygulamada oturum açamaz veya uygulamayı onaylayamaz. Kiracı yöneticisine diğer kullanıcıların erişimine izin vermeden önce uygulamanızı keşfetme olanağı vermek istiyorsanız bu özellik kullanışlıdır.

Sonraki adımlar

Microsoft Entra kiracınızdaki bir uygulama için OIDC tabanlı çoklu oturum açma (SSO) ayarlama