Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Aracı Kimliği için Microsoft Entra SDK'sı, belirteç alma, doğrulama ve aşağı akış API çağrılarının güvenliğini sağlayan kapsayıcılı bir web hizmetidir. Uygulamanızın yanında yardımcı kapsayıcı olarak çalışır ve kimlik mantığını ayrılmış bir hizmete boşaltmanıza olanak sağlar. Aracı Kimliği için Microsoft Entra SDK'sında kimlik işlemlerini merkezileştirerek, her hizmete karmaşık belirteç yönetim mantığı ekleme gereksinimini ortadan kaldırarak kod yinelemesini ve olası güvenlik açıklarını azaltırsınız.
Kubernetes, Docker ile kapsayıcılı hizmetler veya Azure üzerinde modern mikro hizmetlerle derleme yapıyorsanız, Aracı Kimliği için Microsoft Entra SDK'sı buluta özel uygulamalarda kimlik doğrulama ve yetkilendirmeyi işlemek için standartlaştırılmış bir yol sağlar.
Aracı Kimliği için Microsoft Entra SDK nedir?
Aracı Kimliği için Microsoft Entra SDK'sı, teknoloji yığınınızdan bağımsız olarak tutarlı tümleştirme desenleri sağlayarak kimlik doğrulaması ve yetkilendirme için bir HTTP API'si aracılığıyla uygulamanızla iletişim kurar. Kimlik mantığını doğrudan uygulama kodunuz içine eklemek yerine, Aracı Kimliği için Microsoft Entra SDK'sı belirteç yönetimini, doğrulamayı ve API çağrılarını standart HTTP istekleri aracılığıyla işler.
Bu yaklaşım, Python, Node.js, Go, Java ve diğer hizmetlerde tutarlı kimlik doğrulama desenleri korunurken farklı hizmetlerin yazılabilmesini sağlayan çok teknolojili mikro hizmet mimarilerini etkinleştirir.
Tipik mimari aşağıdaki gibidir:
İstemci Uygulaması → Web API'niz → Microsoft Entra SDK'sı → Aracı Kimliği için Microsoft Entra ID
En son kapsayıcı görüntüsü ve sürüm etiketleri için başlamak için bkz. Kapsayıcı Görüntüsü .
Security
Aracı Kimliği dağıtımı için Microsoft Entra SDK'nızın güvenli işlem için en iyi yöntemlere uydığından emin olun. Yetkisiz erişimi önlemek için SDK'nın kısıtlı ağ erişimine sahip kapsayıcılı bir ortamda çalışması gerekir. SDK API'sini genel kullanıma açmak, yetkisiz belirteç alımı gibi güvenlik açıklarına yol açabilir.
Ağ, kimlik bilgileri ve çalışma zamanı güvenlik önerileri için en iyi yöntemleri sağlamak için En İyi Güvenlik Yöntemleri'ne başvurun.
Dikkat
SDK API'sinin genel olarak erişilebilir olmaması gerekir. Yetkisiz belirteç alımını önlemek amacıyla, yalnızca aynı güven sınırındaki (örneğin, aynı pod veya sanal ağ) uygulamalar tarafından erişilebilir olmalıdır.
Hızlı başlangıç
Aracı Kimliği için Microsoft Entra SDK'sını kullanmaya başlamak için aşağıdaki adımlar önerilir:
- Dağıtımınızı seçin - Kubernetes, Docker veya AKS'yi seçin
- Ayarları yapılandırma - Ortam değişkenlerini ayarlama
- Senaryo seçme - Kılavuzlu örneği izleme
- Üretime dağıtma - Güvenlikle ilgili en iyi yöntemleri gözden geçirme
Ana faydalar
Mimari, kimlik sorunlarını iş mantığından ayırarak aşağıdaki avantajları sağlar:
| Fayda | Description |
|---|---|
| Birden Çok Dil Desteği | Python, Node.js, Go, Java ve diğerleri üzerinden HTTP araması yapın |
| Merkezi Güvenlik yapılandırması | Kimlik yapılandırması, belirteç yönetimi ve kimlik bilgisi yönetimi için tek bir yer |
| Kapsayıcı Yerel | Kubernetes, Docker, AKS ve diğer modern dağıtımlar için oluşturulmuş |
| Sıfır Güven Ready | Yönetilen kimlik ve sahiplik kanıtı belirteçleriyle tümleştirilir ve hassas verileri uygulama kodunuz dışında tutar |
Aracı Kimliği veya Microsoft.Identity.Web için Microsoft Entra SDK'sı ne zaman kullanılır?
| Scenario | Microsoft Entra SDK'yi Aracı Kimliği için kullanma | Microsoft.Identity.Web kullanın |
|---|---|---|
| Dil Desteği | Birden çok dil (Python, Node.js, Git, Java vb.) | Yalnızca .NET |
| Dağıtım Modeli | Kapsayıcılar (Kubernetes, Docker, AKS) | Herhangi bir dağıtım modeli |
| Kimlik Desenleri | Tüm hizmetler genelinde tutarlı desenler | Derin .NET çerçevesi tümleştirmesi |
| Aracı Kimliği | Desteklenen tüm dillerde kullanılabilir | Yalnızca .NET |
| Belirteç Doğrulama | Desteklenen tüm dillerde kullanılabilir | Yalnızca .NET |
| Güvenlik Modeli | Uygulama kodundan yalıtılmış gizli diziler ve belirteçler | Uygulamayla tümleştirilmiş |
| Performans | Ek bir ağ geçişi gerekli | Doğrudan işlem içi çağrılar |
| Çerçeve Tümleştirmesi | HTTP API tümleştirmesi | Yerel .NET tümleştirmesi |
| Konteynerleşme | Kapsayıcılı ortamlar için tasarlanmıştır | Kapsayıcılarla veya kapsayıcılar olmadan çalışır |
Microsoft.Identity.Web ile karşılaştırma'ya bkz. İki yaklaşım arasında seçim yapmanıza yardımcı olacak detaylı kılavuz için.
Jeton doğrulama
Aracı Kimliği için Microsoft Entra SDK'sı, Microsoft Entra ID tarafından verilen hem erişim belirteçlerini hem de kimlik belirteçlerini doğrular, Microsoft Entra ID ortak anahtarlarında imzalarını doğrular, süre sonu sürelerini denetler ve belirteçlerin uygulamanız için tasarlandığından emin olur. Doğrulandıktan sonra, uygulama mantığınız içinde bilinçli yetkilendirme kararları almak için kullanıcı taleplerini, rolleri ve kapsamları ayıklayabilirsiniz.
Jeton edinme / yetkilendirme başlığı oluşturma
- On-Behalf-Of OAuth 2.0 akışı - Kullanıcı bağlamını aşağı akış API'lerine devretme
- İstemci Kimlik Bilgileri - Uygulamadan uygulamaya kimlik doğrulaması
- Yönetilen Kimlik - Yerel Azure hizmet kimlik doğrulaması
- Aracı Kimliği - Otonom veya temsilci aracı desenleri
Aşağı akış API çağrıları
- Belirteçleri otomatik olarak alma ve ekleme
- İsteğe bağlı istek geçersiz kılmaları (kapsamlar, yöntem, üst bilgiler)
- İmzalı HTTP İstekleri (PoP/SHR) desteği
Senaryolar ve öğreticiler
Aşağıdaki kılavuzlar, Aracı Kimliği için Microsoft Entra SDK'sını uygulamalarınızla tümleştirmeyi gösteren pratik kod örnekleri içeren kapsamlı adım adım öğreticilerdir. Her senaryo, farklı programlama dilleri ve çerçeveleri için uyarlanmış eksiksiz istek/yanıt örnekleri, kod parçacıkları ve uygulama desenleri sağlar.
| Scenario | Description |
|---|---|
| Yetkilendirme Üst Bilgisini Doğrulama | Taşıyıcı belirteçlerden talepleri ayıklayarak erişim denetimi ve özel yetkilendirme ara yazılımı oluşturma. |
| Yetkilendirme Üst Bilgisini Alma | Aşağı akış API'lerini güvenli bir şekilde çağırmak için belirteçleri alma |
| Aşağı Akış API'lerini çağırma | Çok dilli mikro hizmetler için otomatik belirteç eki ile korumalı API'lere HTTP çağrıları yapma |
| Yönetilen Kimliği Kullanma | Microsoft Graph veya diğer Azure hizmetlerini çağırmak için Azure hizmeti olarak kimlik doğrulaması |
| Long-Running OBO Akışını Uygulama | Genişletilmiş işlemler sırasında belirteç yenileme ve adına yetkilendirme yoluyla kullanıcı bağlamını yönetme |
| İmzalı HTTP İsteklerini Kullanma | Sahiplik kanıtı güvenliğini PoP belirteçleriyle uygulayın |
| Aracı Otonom Toplu İşlem | Otonom ajan kimliğiyle toplu işleri işleme |
| TypeScript'ten tümleştirme | Node.js/Express/NestJS uygulamalarından Aracı Kimliği için Microsoft Entra SDK'sını kullanma |
| Python'dan Entegre Et | Flask/FastAPI/Django uygulamalarından Aracı Kimliği için Microsoft Entra SDK'sını kullanma |
Mimari desenleri
İstemcinizin Web API'sini çağırdığı tipik bir akış olan API, KIMLIK işlemlerini HTTP uç noktaları aracılığıyla Aracı Kimliği için Microsoft Entra SDK'sına devreder. SDK, /Validate uç noktasını kullanarak gelen belirteçleri doğrular, /AuthorizationHeader ve /AuthorizationHeaderUnauthenticated kullanarak belirteçleri alır ve /DownstreamApi ile /DownstreamApiUnauthenticated kullanarak aşağı akış API'lerini doğrudan çağırabilir.
Belirteç verme ve Open ID Connect meta veri alımı için Microsoft Entra ID ile etkileşim kurar ve mimari aşağıdaki kod parçacığında gösterilmiştir:
%%{init: {
"theme": "base",
"themeVariables": {
"background": "#121212",
"primaryColor": "#1E1E1E",
"primaryBorderColor": "#FFFFFF",
"primaryTextColor": "#FFFFFF",
"textColor": "#FFFFFF",
"lineColor": "#FFFFFF",
"labelBackground": "#000000"
}
}}%%
flowchart LR
classDef dnode fill:#1E1E1E,stroke:#FFFFFF,stroke-width:2px,color:#FFFFFF
linkStyle default stroke:#FFFFFF,stroke-width:2px,color:#FFFFFF
client[Client Application]:::dnode -->| Bearer over HTTP | webapi[Web API]:::dnode
subgraph Pod / Host
webapi -->|"/Validate<br/>/AuthorizationHeader/{name}<br/>/DownstreamApi/{name}"| sidecar[Microsoft Entra SDK for Agent ID]:::dnode
end
sidecar -->|Token validation & acquisition| entra[Microsoft Entra ID]:::dnode
Destek ve kaynaklar
Aşağıdaki kaynaklar kapsamlı rehberlik sağlar ve sorunları giderme konusunda yardımcı olur ve sık sorulan soruların yanıtlarını verir.
| Resource | Description |
|---|---|
| Aracı Kimlikleri | Gelişmiş senaryolar için otonom ve temsilci aracı desenleri hakkında bilgi edinin |
| API Başvurusu | İstek/yanıt biçimleri, sorgu parametreleri ve hata kodlarıyla uç nokta belgelerini tamamlayın |
| Sorun giderme | Yaygın sorunlar ve dağıtım ve çalışma zamanı sorunları için adım adım çözümler |
| SSS | Yapılandırma, güvenlik ve tümleştirme konularını kapsayan sık sorulan sorular |
Ek yardım için:
- Microsoft-identity-web deposundaki sorunları bildirin
- Microsoft Entra ID sorun giderme kılavuzlarını denetleyin