Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu makalede, geliştirici olarak yönetici onayı gerektiren uygulama izinleri istemek için uygulama kodunuzu yazdığınız bir senaryo için izin ve onay deneyimini açıklayacağız. İzin ve onay iletişim kutularının ve Microsoft Entra yönetim merkezinin örnek ekran görüntüleri, kullanıcılarınızın ve kiracı yöneticilerinizin neler yaşadığı hakkında size bir fikir verir. Uygulamalarınızda Sıfır Güven en az ayrıcalık ilkesini uygulamak için yöneticilerle işbirliğini geliştirin.
Uygulamanızı geliştirirken, belirli bir kapsam (veya izin) ile bir erişim belirteci isteyerek bir kaynağa erişim talep eden kod yazarsınız. Kapsam parametresini, bazı kişilerin izin olarak tanımladığı OAuth 2.0 standardında açıklandığı gibi kullanırsınız. Kaynak sahipleri izin istekleri verir veya reddeder. Microsoft Entra Id'de kaynak sahibi, uygulamanın kullanıcısı veya tüm kullanıcılar adına bu kaynağa onay verme haklarına sahip bir yöneticidir.
Kullanıcı onayı deneyimi
Uygulamanız bir kaynağa erişim izni istediğinde, kullanıcınız bu örneğe benzer bir İstenen İzinler iletişim kutusu görebilir.
Örnek iletişim kutusunda kullanıcı, Kabul Et'i seçerek uygulamanın verileri kendi adına okumasına izin vermek için onay verir veya İptal'i seçerek isteği reddeder. Uygulama bir erişim belirteci alır ve kullanıcı onay verdikten sonra işlemlerine devam edebilir. Uygulamanızın belirteç almadığında düzgün bir şekilde işlemeye hazır olduğundan emin olun.
Yönetici onayı deneyimi
Bazı erişim istekleri için yalnızca bir yönetici onay verebilir. İstenen erişim güçlüyse veya sahipleri geçerli kullanıcılar olmayan kaynakları içeriyorsa, yalnızca bir yöneticinin istek verebilmesini sağlayan kod.
Ancak, Microsoft Entra yönetim merkezindeki kullanıcı onayı ayarlarının aşağıdaki örnek ekran görüntüsünde gösterildiği gibi kiracı yöneticileri kullanıcı onayına izin verme (tüm izinler yönetici onayı gerektirir) ile kiracısını yapılandırabildiğinden, hangi izinlerin yönetici onayı gerektirdiğini ve normal bir kullanıcının onay vermesine izin veren izinleri asla bilemezsiniz.
Yöneticiler, Microsoft Entra yönetim merkezindeki Kullanıcı onayı ayarlarının aşağıdaki örnek ekran görüntüsünde gösterildiği gibi, seçili izinler için doğrulanmış yayımcıların uygulamaları için kullanıcı onayına da izin verebilir.
Yöneticiler daha sonra, Microsoft Entra yönetim merkezindeki İzin sınıflandırmalarının aşağıdaki örnek ekran görüntüsünde gösterildiği gibi kullanıcıların onay verebileceği izinler ekleyebilir.
Uygulamanız yönetici onayı gerektiren bir izin istediğinde (tasarım veya yönetici yapılandırmasına göre), kullanıcınız bu örneğe benzer bir Yönetici onayı gerekiyor iletişim kutusunu görebilir.
Örnek iletişim kutusu, yönetici onayı gerektiren izinler için varsayılan (kullanıma hazır) deneyimi gösterir. Kullanıcıların çoğu bu senaryoda ne yapacağını bilmez. Yöneticilerinin kim olduğunu, onay için kime gideceklerini bilmiyorlar. Bu belirsizlik kullanıcının istenen sonuçları elde etme becerisini sınırlayabilir.
İzinleri ve onay deneyimini geliştirme
kiracı yöneticisi, izinleri ve onay deneyimini geliştirmek için, Microsoft Entra yönetim merkezindeki Kullanıcı ayarlarının aşağıdaki örnek ekran görüntüsünde gösterildiği gibi yönetici onayı iş akışını yapılandırabilir.
Yönetici onayı isteklerinde kiracı yöneticisi, Kullanıcılar onaylayamadıkları uygulamalar için yönetici onayı isteyebilir ve diğer Yönetici onayı istekleri ayarlarını yapılandırarak Evet'i seçerek kullanıcının iznini ve onay deneyimini geliştirebilir.
Kiracı yöneticisi Evet'i seçtikten sonra Kullanıcılar onay veremediği uygulamalar için yönetici onayı isteyebilir ve bir uygulama yönetici onayı gerektiren bir izin istediğinde, kullanıcı daha iyi bir kullanıcı deneyimi sağlayan aşağıdaki Onay gerekli iletişim kutusuna benzer bir şey görür.
Örnek iletişim kutusunda kullanıcı, Onay iste'yi seçmeden önce bu uygulamayı istemek için gerekçe girebilir. Onay isteği daha sonra yöneticilerin kuruluşlarındaki uygulamaları risk profiline göre gözden geçirme, kabul etme veya yasaklama seçeneklerine sahip olduğu bir Yönetici onayı istekleri kuyruğu girer.
Yönetici, Microsoft Entra yönetim merkezinde onay yapılandırmadan yönetici onayı gerektiren bir uygulama çalıştırdığında, yönetici kullanıcı aşağıdaki örneğe benzer bir İstenen İzinler iletişim kutusunu görür.
Örnekte yönetici, uygulamanın istediği izinlerin açıklamasını görür. Yönetici, uygulamayı tek tek çalıştırmak için Kabul Et'i seçebilir veya Kabul Et'i seçmeden önce kuruluşunuz adına Onay'ı seçebilir. Yönetici kuruluş için onay verdikten sonra, yönetici kiracı Yönetici onayı isteği yapılandırmasından onay kaldırmadığı sürece gelecekteki hiçbir kuruluş kullanıcısının bu uygulama için izin vermesi gerekmez.
Kiracı yöneticisi onayının bir diğer yöntemi de, yöneticilerin daha önce istenen uygulama izinlerinin ayrıntılarını gözden geçirebileceği Microsoft Entra yönetim merkezi İzinleri'dir.
Kullanıcı onayı örneğinde yönetici, talepler, izin türü ve kimlerin onay verdiğiyle ilgili bilgilerle birlikte uygulama için verilen izinleri gözden geçirebilir. Yönetici, yönetici onayı gerektiren verilen izinleri gözden geçirmek için Yönetici onayı'nı seçebilir.
Önceden yönetici onayı isteme
En iyi uygulama izinleri stratejiniz , uygulamanızı kaydederken uygulamanızın ihtiyaç duyabileceği veya isteyebileceği tüm izinleri önceden bildirmektir. Tüm izinleri aynı anda istemeniz gerekmez, ancak uygulamanızın ihtiyaç duyabileceği tüm izinleri bildirdikten sonra, yöneticiler bu örneğe benzer bir iletişim kutusu görüntülemek için kiracıdaki uygulamanızın yapılandırmasında Yönetici onayı ver'i seçebilir.
Bu örnekte, yöneticinin bildirdiğiniz izinlere nasıl önceden sahip olabileceği ve kullanıcılarınız ve kiracı yöneticileriniz için en iyi deneyimi nasıl sağlayabilecekleri gösterilmektedir.
Önceden yönetici onayı istemek, özellikle kuruluşunuzun geliştirdiği uygulamalar olmak üzere iş kolu (LOB) uygulamaları için mükemmel bir seçimdir. Bu uygulamaları önceden dengeleyerek şirketinizin verilerine erişip erişemediğini kullanıcınıza sormak zorunda olmak daha kolaydır. Uygulama kayıt işleminizin bir parçası olarak yönetici onayı isteğinde bulunursunuz.
Sonraki adımlar
- Kaynaklara erişim yetkisi almak , uygulamanız için kaynak erişim izinleri alırken Sıfır Güven'i en iyi şekilde nasıl sağlayacağınızı anlamanıza yardımcı olur.
- API Koruması , KAYıT, izin ve onay tanımlama ve Sıfır Güven hedeflerinize ulaşmak için erişimi zorlama yoluyla API'nizi korumaya yönelik en iyi yöntemleri açıklar.
- Yetkilendirme en iyi yöntemleri , uygulamalarınız için en iyi yetkilendirme, izin ve onay modellerini uygulamanıza yardımcı olur.
- Belirteçleri Özelleştirin Microsoft Entra belirteçlerinde alabileceğiniz bilgileri açıklar. Uygulama Sıfır Güven güvenliğini en az ayrıcalıkla artırırken esnekliği ve denetimi geliştirmek için belirteçlerin nasıl özelleştirileceği açıklanır.
- Microsoft kimlik platformundaki izinlere ve onaylara genel bakış , temel erişim ve yetkilendirme kavramlarını anlamanıza yardımcı olur.
- Onay ve izinlere genel bakış , Microsoft Entra Id'de onay ve izinlerle ilgili temel kavramları ve senaryoları öğrenmenize yardımcı olur.
- Learn modülü: İzinler ve onay çerçevesi , izinleri ve onay çerçevesi modellerini öğrenmenize yardımcı olur.
- Learn Live: Microsoft Identity: Permissions and Consent Framework. Jetonlar, hesap türleri ve topolojiler dahil olmak üzere Microsoft kimliğinin temellerini öğrenmenize yardımcı olur.