Belirteçleri özelleştirme
Geliştirici olarak, Microsoft Entra ID ile birincil etkileşiminiz kullanıcıyı tanımlamak için bir belirteç istemektir. Ayrıca, bir web API'sini çağırmak için yetkilendirme almak için bir belirteç de isteyebilirsiniz. Web API belirteci, belirli bir isteği karşıladığında bu API'nin neler yapabileceğini belirler. Bu makalede, belirteçlerde alabileceğiniz bilgiler ve belirteçleri nasıl özelleştirebileceğiniz hakkında bilgi ediniyorsunuz. Bu Sıfır Güven geliştirici en iyi uygulamaları esnekliği ve denetimi geliştirirken uygulama güvenliğini en az ayrıcalıkla artırır.
Uygulama belirteçlerinizi özelleştirme nedenleriniz, uygulamalarınızda ve API'lerinizde daha ayrıntılı yetkilendirme sağlamak için kullandığınız işleme bağlıdır. Örneğin, uygulamanızda belirteçlerden alınan bilgilere dayanan farklı kullanıcı rolleri, erişim düzeyleri ve işlevleriniz olabilir.
Microsoft Graph API'sinde Microsoft 365 genelinde sağlam bir dizi dizin bilgisi ve veri sağlanır. Microsoft Graph'taki verileri kullanarak ayrıntılı ve zengin bir yetkilendirme sistemi geliştirebilirsiniz. Örneğin, yetkilendirme kararlarınızda kullanmak için kullanıcının grup üyeliğinden, ayrıntılı profil verilerinden, SharePoint'ten ve Outlook'tan bilgilere erişebilirsiniz. Ayrıca, Microsoft Entra Id'den belirteçe yetkilendirme verilerini de ekleyebilirsiniz.
Uygulama düzeyinde yetkilendirme
BT Uzmanlarının belirteci özelleştirmeden veya geliştiricinin herhangi bir kod eklemesine gerek kalmadan uygulama düzeyinde yetkilendirme eklemesi mümkündür.
BT Uzmanları, yalnızca bir kullanıcı kümesinin uygulamada oturum açabilmesini sağlamak için gerekli kullanıcı atama bayrağını kullanarak kiracıdaki herhangi bir uygulamaya belirteç verilmesini engelleyebilir. Bu bayrak olmadan, kiracıdaki tüm kullanıcılar uygulamaya erişebilir. Bu bayrakla, uygulamaya yalnızca atanan kullanıcılar ve gruplar erişebilir. Atanan bir kullanıcı uygulamaya eriştiğinde, uygulama bir belirteç alır. Kullanıcının ataması yoksa uygulama belirteç almaz. Belirteç almayan belirteç isteklerini her zaman düzgün bir şekilde işlemeyi unutmayın.
Belirteç özelleştirme yöntemleri
Belirteçleri özelleştirmenin iki yolu vardır: isteğe bağlı talepler ve talep eşlemesi.
İsteğe bağlı talepler
İsteğe bağlı talepler , Microsoft Entra Id'nin belirteçler halinde uygulamanıza hangi talepleri göndermesini istediğinizi belirtir. İsteğe bağlı beyanları kullanarak:
- Uygulama belirteçlerinize eklenecek diğer talepleri seçin.
- Microsoft kimlik platformu belirteçlerde döndürdüğü taleplerin davranışını değiştirin.
- Uygulamanız için özel beyanlar ekleyebilir ve bunlara erişebilirsiniz.
İsteğe bağlı talepler, tanımlı bir şemayla uygulama kayıt nesnesinde yanıt vermemeye başlar. Nerede çalıştığı fark etmez, uygulamaya uygulanır. Çok kiracılı bir uygulama yazarken, isteğe bağlı talepler Microsoft Entra Id'deki her kiracıda tutarlı olduğundan düzgün çalışır. Örneğin, bir IP adresi kiracıya özgü değildir, ancak bir uygulamanın IP adresi vardır.
Varsayılan olarak, kiracıdaki konuk kullanıcılar da uygulamanızda oturum açabilir. Konuk kullanıcıları engellemek istiyorsanız isteğe bağlı talebi (acct) kabul edin. 1 ise kullanıcının bir konuk sınıflandırması vardır. Konukları engellemek istiyorsanız acct==1 ile belirteçleri engelleyin.
Talep eşleme ilkeleri
Microsoft Entra Id'de ilke nesneleri, tek tek uygulamalarda veya bir kuruluştaki tüm uygulamalarda kural kümelerini temsil eder. Talep eşleme ilkesi , Microsoft Entra Id'nin belirli uygulamalar için belirteçlerde sorun çıkardığını belirten talepleri değiştirir.
Kiracıya özgü, şeması olmayan bilgiler (örneğin, EmployeeID, DivisionName) için talep eşlemesini kullanırsınız. Talep eşlemesi, kiracı yöneticisinin denetlediğini hizmet sorumlusu düzeyinde uygulanır. Talep eşlemesi, bu uygulamanın kurumsal uygulamasına veya hizmet sorumlusuna karşılık gelir. Her kiracının kendi talep eşlemesi olabilir.
bir iş kolu uygulaması geliştiriyorsanız, kiracınızın ne yaptığına (kiracınızda belirtecinizde kullanabileceğiniz belirli taleplere) özel olarak bakabilirsiniz. Örneğin, bir kuruluşun şirket içi Active Directory kullanıcının bölüm adı özelliği (Microsoft Entra Id'de standart bir alan değil) varsa, Microsoft Entra Bağlan kullanarak bunu Microsoft Entra Id ile eşitleyebilirsiniz.
Bu bilgileri içermek için standart uzantı özniteliklerinden birini kullanabilirsiniz. Belirtecinizi ilgili uzantıdan oluşturabileceğiniz bir bölüm adı talebiyle tanımlayabilirsiniz (her kiracı için geçerli olmasa bile). Örneğin, bir kuruluş bölüm adını uzantı özniteliği 13'e yerleştirir.
Talep eşlemesi ile, bölüm adını yedi özniteliğine koyan başka bir kiracıda çalışmasını sağlayabilirsiniz.
Belirteç özelleştirmeyi planlama
Özelleştirdiğiniz belirteç, uygulamanızın türüne bağlıdır: istemci uygulaması veya API. Belirtecinizi özelleştirmek için yapabilecekleriniz farklı değildir. Belirteci yerleştirebileceğiniz her biri için aynıdır. Özelleştirmeyi seçtiğiniz belirteç, uygulamanızın hangi belirteci tükettiğine bağlıdır.
Kimlik belirteçlerini özelleştirme
bir istemci uygulaması geliştiriyorsanız, kimlik belirtecini özelleştirebilirsiniz çünkü bu, kullanıcıyı tanımlamak için istediğiniz belirteçtir. Belirteçteki hedef kitle talebi (aud
) uygulamanızın istemci kimliğiyle eşleştiğinde belirteç uygulamanıza aittir. API'leri çağıran ancak uygulamayan bir istemci uygulaması için yalnızca uygulamanızın kimlik belirtecini özelleştirdiğinizden emin olun.
Azure portalı ve Microsoft Graph API'si, uygulamanız için erişim belirtecini de özelleştirmenize olanak sağlar, ancak bu özelleştirmelerin hiçbir etkisi yoktur. Sahip olmadığınız bir API için erişim belirtecini özelleştiremezsiniz. Uygulamanızın api çağırmak için yetkilendirme olarak aldığı erişim belirtecinin kodunu çözmeyi veya incelemeyi denememesi gerektiğini unutmayın.
Erişim belirteçlerini özelleştirme
API geliştiriyorsanız, API'niz istemcinin API'nize yönelik çağrısının bir parçası olarak erişim belirteçleri aldığından erişim belirtecini özelleştirebilirsiniz.
İstemci uygulamaları her zaman kullanıcı kimliğini doğrulamak için aldıkları kimlik belirtecini özelleştirir. API'ler, API çağrısının bir parçası olarak API'nin aldığı erişim belirteçlerini özelleştirir.
Gruplar ve uygulama rolleri
En yaygın yetkilendirme tekniklerinden biri, erişimi kullanıcının grup üyeliğine veya atanan rollere dayandırmaktır. Belirteçlerde grup taleplerini ve uygulama rollerini yapılandırma, uygulama rol tanımlarıyla uygulamalarınızı yapılandırmayı ve uygulama rollerine güvenlik grupları atamayı gösterir. Bu yöntemler, en az ayrıcalıkla uygulama sıfır güven güvenliğini artırırken esnekliği ve denetimi geliştirmeye yardımcı olur.
Sonraki adımlar
- B2B işbirliği kullanıcı talepleri eşlemesi , B2B işbirliği kullanıcıları için Güvenlik Onaylama İşaretleme Dili (SAML) belirtecinde verilen talepleri özelleştirmeye yönelik Microsoft Entra ID desteğini açıklar.
- Bir kullanıcı SAML 2.0 protokolunu kullanarak Microsoft kimlik platformu aracılığıyla bir uygulamada kimlik doğrulaması yaparken uygulama SAML belirteci taleplerini özelleştirin.
- API Koruması, api'nizi kayıt, izin ve onay tanımlama ve Sıfır Güven hedeflerinize ulaşmak için erişimi zorlama yoluyla korumaya yönelik en iyi yöntemleri açıklar.
- Yetkilendirme en iyi yöntemleri , uygulamalarınız için en iyi yetkilendirme, izin ve onay modellerini uygulamanıza yardımcı olur.
- Güvenli uygulamalar oluşturmak için uygulama geliştirme yaşam döngünüzde Sıfır Güven kimlik ve erişim yönetimi geliştirme en iyi yöntemlerini kullanın.