Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu makalede, bir geliştirici olarak uygulamanızın yalnızca Microsoft Entra kiracınızdaki kullanıcılara, herhangi bir Microsoft Entra kiracısından veya kişisel Microsoft hesapları olan kullanıcılara izin vermeyi nasıl seçebileceğiniz açıklanır. Uygulamanızı, Microsoft Entra'da uygulama kaydı sırasında tek kiracı veya çok kiracılı olacak şekilde yapılandırabilirsiniz. Uygulamanızın yalnızca ihtiyaç duyduğu izinleri istemesi için en az ayrıcalık erişim Sıfır Güven ilkesinden emin olun.
Microsoft kimlik platformu belirli kimlik türleri için destek sağlar:
- Varlığın Microsoft Entra kimliğinde bir hesabı olduğunda iş veya okul hesapları.
- Outlook.com, Hotmail, Live, Skype, Xbox gibi hesaplara sahip herkes için Microsoft kişisel hesapları (MSA).
- İş ortakları (kuruluşunuzun dışındaki kullanıcılar) için Microsoft Entra Id'deki dış kimlikler.
Microsoft Entra Id'de uygulama kaydının gerekli bir parçası, desteklenen hesap türlerinin seçimidir. Yönetici rollerindeki BT Uzmanları kiracılarındaki uygulamalara kimlerin onay verebileceğine karar verirken, geliştirici olarak hesap türüne göre uygulamanızı kimlerin kullanabileceğini belirtirsiniz. Kiracı uygulamanızı Microsoft Entra ID'ye kaydetmenize izin vermediğinde, yöneticiler size bu ayrıntıları başka bir mekanizma aracılığıyla onlara iletmeniz için bir yol sağlar.
Uygulamanızı kaydederken aşağıdaki desteklenen hesap türü seçeneklerinden birini seçersiniz.
Accounts in this organizational directory only (O365 only - Single tenant)Accounts in any organizational directory (Any Azure AD directory - Multitenant)Accounts in any organizational directory (Any Azure AD directory - Multitenant) and personal Microsoft accounts (e.g. Skype, Xbox)Personal Microsoft accounts only
Yalnızca bu kuruluş dizinindeki hesaplar - tek kiracı
Yalnızca bu kuruluş dizininde Hesaplar'ı seçtiğinizde (yalnızca O365 - Tek kiracı) yalnızca geliştiricinin uygulamalarını kaydettiği kiracıdaki kullanıcılara ve konuklara izin verirsiniz. Bu seçenek, İş Kolu (LOB) uygulamaları için en yaygın seçenektir.
Yalnızca herhangi bir kuruluş dizinindeki hesaplar - çok kiracılı
Herhangi bir kuruluş dizininde (Herhangi bir Microsoft Entra dizini - Çok Kiracılı) Hesaplar'ı seçtiğinizde, herhangi bir Microsoft Entra dizinindeki tüm kullanıcıların çok kiracılı uygulamanızda oturum açmasına izin verirsiniz. Yalnızca belirli kiracılardaki kullanıcılara izin vermek istiyorsanız, id_token içindeki tid talebin izin verilen kiracılar listenizde olup olmadığını denetleyerek kodunuzda bu kullanıcıları filtreleyebilirsiniz. Uygulamanız, kullanıcıların giriş kiracısında oturum açmak için kuruluş uç noktasını veya ortak uç noktayı kullanabilir. Çok kiracılı uygulamanızda oturum açmış konuk kullanıcıları desteklemek için, kullanıcının oturum açmak üzere konuk olduğu kiracı için belirli kiracı uç noktasını kullanırsınız.
Herhangi bir kuruluş hesabındaki hesaplar ve kişisel Microsoft hesapları
Herhangi bir kuruluş hesabında ve kişisel Microsoft hesaplarında (Herhangi bir Microsoft Entra dizini - Çok Kiracılı) ve kişisel Microsoft hesaplarında (örneğin Skype, Xbox) Hesaplar'ı seçtiğinizde, kullanıcının herhangi bir Microsoft Entra kiracısından veya tüketici hesabından yerel kimliğiyle uygulamanızda oturum açmasına izin verirsiniz. Aynı kiracı filtreleme ve uç nokta kullanımı, daha önce açıklandığı gibi çok kiracılı uygulamalarda olduğu gibi bu uygulamalar için de geçerlidir.
Yalnızca kişisel Microsoft hesapları
Yalnızca Kişisel Microsoft hesapları'nı seçtiğinizde yalnızca tüketici hesabı olan kullanıcıların uygulamanızı kullanmasına izin verirsiniz.
Bu yalnızca geliştiriciye bağlı değildir
Uygulama kaydınızda uygulamanızda kimlerin oturum açabileceğini tanımlarken, son söz tek tek kullanıcıdan veya kullanıcının ev kiracısının yöneticilerinden gelir. Kiracı yöneticileri genellikle bir uygulama üzerinde yalnızca kimin oturum açabileceğine göre daha fazla denetim sahibi olmak ister. Örneğin, uygulamaya koşullu erişim ilkesi uygulamak veya uygulamayı kullanmak için izin verdikleri grubu denetlemek isteyebilirler. Kiracı yöneticilerinin bu denetime sahip olmasını sağlamak için, Microsoft kimlik platformu ikinci bir nesne vardır: Kurumsal uygulama. Kurumsal uygulamalar Hizmet Sorumluları olarak da bilinir.
Diğer kiracılardaki veya diğer tüketici hesaplarındaki kullanıcılarla uygulamalar
Desteklenen hesap türleri, kuruluş dizini kullanıcılarına izin verebilmeniz için çok kiracılı bir uygulama için herhangi bir kuruluş dizinindeki hesaplar seçeneğini içerir. Başka bir deyişle, bir kullanıcının herhangi bir Microsoft Entra kimliğinden yerel kimliğiyle uygulamanızda oturum açmasına izin verirsiniz. Bir kiracıdaki ilk kullanıcı uygulamada kimlik doğrulaması yaparken kiracıda otomatik olarak bir Hizmet Sorumlusu oluşturulur.
Yalnızca bir uygulama kaydı veya uygulama nesnesi vardır. Ancak, her kiracıda kullanıcıların uygulamada oturum açmasına olanak tanıyan bir Kurumsal uygulama veya Hizmet Sorumlusu (SP) vardır. Kiracı yöneticisi, uygulamanın kiracısında nasıl çalıştığını denetleyebiliyor.
Çok kiracılı uygulamayla ilgili dikkat edilmesi gerekenler
Çok kiracılı uygulamalar, uygulama ortak veya kuruluş uç noktasını kullandığında kullanıcının giriş kiracısından kullanıcılarla oturum açar. Uygulamanın aşağıdaki diyagramda gösterildiği gibi bir uygulama kaydı vardır. Bu örnekte uygulama Adatum kiracısında kayıtlıdır. Adatum'dan A kullanıcısı ve Contoso'dan B Kullanıcısı, Adatum kullanıcısının Adatum verilerine erişmesi ve Contoso'dan B kullanıcısının Contoso verilerine erişmesi beklentisiyle uygulamada oturum açabilir.
Geliştirici olarak, kiracı bilgilerini ayrı tutmak sizin sorumluluğunuzdadır. Örneğin, Contoso verileri Microsoft Graph'tan geliyorsa Contoso'nun B kullanıcısı yalnızca Contoso'nun Microsoft Graph verilerini görür. Microsoft 365'te gerçek veri ayrımı olduğundan Contoso'dan B kullanıcısının Adatum kiracısında Microsoft Graph verilerine erişmesi mümkün değildir.
Diyagramda Contoso'daki B kullanıcısı uygulamada oturum açabilir ve uygulamanızdaki Contoso verilerine erişebilir. Uygulamanız ortak (veya kuruluş) uç noktalarını kullanarak kullanıcının kiracısında yerel olarak oturum açıp davet işlemi gerektirmemesi için kullanabilir. Bir kullanıcı uygulamanızda çalıştırılabilir ve oturum açabilir ve kullanıcı veya kiracı yöneticisi onay verdikten sonra çalışır.
Sonraki adımlar
- Uygulamaların Microsoft Entra Id'ye nasıl ve neden eklendiği , uygulama nesnelerinin bir uygulamayı Microsoft Entra Id'ye nasıl tanımladığı açıklanmaktadır.
- Microsoft Entra ID'deki uygulama özellikleri için en iyi güvenlik yöntemleri , yeniden yönlendirme URI'si, erişim belirteçleri, sertifikalar ve gizli diziler, uygulama kimliği URI'si ve uygulama sahipliği gibi özellikleri kapsar.
- Kimlik için Sıfır Güven yaklaşımıyla uygulama derlemek , izinlere ve erişime yönelik en iyi yöntemlere genel bir bakış sağlar.
- Kaynaklara erişim yetkisi almak , uygulamanız için kaynak erişim izinleri alırken Sıfır Güven'i en iyi şekilde nasıl sağlayacağınızı anlamanıza yardımcı olur.
- Temsilcili izinler stratejisi geliştirme , uygulamanızdaki izinleri yönetmek ve Sıfır Güven ilkelerini kullanarak geliştirmek için en iyi yaklaşımı uygulamanıza yardımcı olur.
- Uygulama izinleri stratejisi geliştirme , kimlik bilgileri yönetimine yönelik uygulama izinleri yaklaşımınıza karar vermenize yardımcı olur.