Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Geliştirici olarak, Microsoft Entra ID ile birincil etkileşiminiz kullanıcıyı tanımlamak için bir belirteç istemektir. Ayrıca, bir web API'sini çağırmak için yetkilendirme almak için bir belirteç de isteyebilirsiniz. Web API belirteci, belirli bir isteği karşıladığında bu API'nin neler yapabileceğini belirler. Bu makalede, belirteçlerde alabileceğiniz bilgiler ve belirteçleri nasıl özelleştirebileceğiniz hakkında bilgi ediniyorsunuz. Bu Sıfır Güven geliştirici en iyi uygulamaları, en az ayrıcalıkla uygulama güvenliğini artırırken esnekliği ve denetimi geliştirir.
Uygulama belirteçlerinizi özelleştirme nedenleriniz, uygulamalarınızda ve API'lerinizde daha ayrıntılı yetkilendirme sağlamak için kullandığınız işleme bağlıdır. Örneğin, uygulamanızda belirteçlerden alınan bilgilere dayanan farklı kullanıcı rolleri, erişim düzeyleri ve işlevleriniz olabilir.
Microsoft Graph API'sinde Microsoft 365 genelinde sağlam bir dizi dizin bilgisi ve veri sağlanır. Microsoft Graph'taki verileri kullanarak ayrıntılı ve zengin bir yetkilendirme sistemi geliştirebilirsiniz. Örneğin, yetkilendirme kararlarınızda kullanmak için kullanıcının grup üyeliğinden, ayrıntılı profil verilerinden, SharePoint'ten ve Outlook'tan bilgilere erişebilirsiniz. Microsoft Entra ID'den jetona yetkilendirme bilgileri ekleyebilirsiniz.
Uygulama düzeyinde yetkilendirme
BT Uzmanlarının belirteç özelleştirmesi veya kod eklemesi olmadan uygulama düzeyinde yetkilendirme eklemesi mümkündür.
BT Uzmanları, kullanıcı ataması gerekli bayrağıyla kiracıdaki herhangi bir uygulamaya belirteç verilmesini engelleyebilir. Bu yaklaşım, uygulamada yalnızca bir kullanıcı kümesinin oturum açabilmesini sağlar. Bu bayrak olmadan, kiracıdaki tüm kullanıcılar uygulamaya erişebilir. Bu bayrakla, uygulamaya yalnızca atanan kullanıcılar ve gruplar erişebilir. Atanan bir kullanıcı uygulamaya eriştiğinde, uygulama bir belirteç alır. Kullanıcının ataması yoksa uygulama belirteç almaz. Belirteç almayan belirteç isteklerini her zaman düzgün bir şekilde işlemeyi unutmayın.
Belirteç özelleştirme yöntemleri
Belirteçleri özelleştirmenin iki yolu vardır: isteğe bağlı talepler ve talep eşlemesi.
İsteğe bağlı talepler
İsteğe bağlı talepler , Microsoft Entra Id'nin belirteçler halinde uygulamanıza hangi talepleri göndermesini istediğinizi belirtir. İsteğe bağlı beyanları kullanarak:
- Uygulama belirteçlerinize eklenecek diğer talepleri seçin.
- Microsoft kimlik platformunun belirteçlerde döndürdüğü taleplerin davranışını değiştirin.
- Uygulamanız için özel beyanlar ekleyebilir ve bunlara erişebilirsiniz.
İsteğe bağlı talepler, tanımlı bir şemayla uygulama kayıt nesnesine bağlı olarak çalışır. Uygulama nerede çalışıyor olursa olsun, geçerlidir. Çok kiracılı bir uygulama yazarken, isteğe bağlı talepler Microsoft Entra ID'deki her kiracıda tutarlı olduğundan iyi çalışır. Örneğin, bir IP adresi kiracıya özgü değildir, ancak bir uygulamanın IP adresi vardır.
Varsayılan olarak, kiracıdaki konuk kullanıcılar da uygulamanızda oturum açabilir. Konuk kullanıcıları engellemek istiyorsanız isteğe bağlı talebi (acct) kabul edin. Eğer 1 ise, kullanıcının konuk sınıflandırması vardır. Konukları engellemek istiyorsanız, acct==1 belirteçlerini engelleyin.
Talep eşleme ilkeleri
Microsoft Entra Id'de ilke nesneleri, tek tek uygulamalarda veya bir kuruluştaki tüm uygulamalarda kural kümelerini temsil eder. Talep eşleme ilkesi, Microsoft Entra Id'nin belirli uygulamalar için belirteçlerde sorun çıkardığını belirten talepleri değiştirir.
Kiracıya özgü, şeması olmayan bilgiler (örneğin, EmployeeID, DivisionName) için talep eşlemesi kullanırsınız. Talep eşlemesi, kiracı yöneticisinin kontrolünde olan hizmet ilkesi düzeyinde uygulanır. Talep eşlemesi, bu uygulamanın kurumsal uygulamasına veya hizmet sorumlusuna karşılık gelir. Her kiracı kendi talep eşlemesini yapabilir.
Bir iş kolu uygulaması geliştirirken, belirtecinizde kullanabileceğiniz belirli hak talepleri gibi, kiracınızın ne yaptığına özel olarak bakın. Örneğin, bir kuruluşun şirket içi Active Directory'sinde kullanıcının bölüm adı özelliği (Microsoft Entra Id'de standart bir alan değil) varsa, Microsoft Entra Connect'i kullanarak bunu Microsoft Entra Id ile eşitleyin.
Bu bilgileri içermek için standart uzantı özniteliklerinden birini kullanın. Belirtecinizi ilgili uzantıdan oluşturabileceğiniz bir bölüm adı talebiyle tanımlayın (her kiracı için geçerli olmasa bile). Örneğin, bir kuruluş bölüm adını uzantı özniteliği 13'e yerleştirir.
Talep eşleme ile, bölüm adını yedinci özniteliğe koyan başka bir kiracının sistemde düzgün çalışmasını sağlayabilirsiniz.
Jeton özelleştirmesini planlamak
Özelleştirdiğiniz belirteç, uygulamanızın türüne bağlıdır: istemci uygulaması veya API. Belirtecinizi özelleştirmek için yapabilecekleriniz farklı değildir. Jetona koyabileceğiniz şey her biri için aynıdır. Özelleştirmeyi seçtiğiniz belirteç, uygulamanızın hangi belirteci tükettiğine bağlıdır.
Kimlik belirteçlerini özelleştirme
bir istemci uygulaması geliştiriyorsanız, kimlik belirtecini özelleştirebilirsiniz çünkü bu, kullanıcıyı tanımlamak için istediğiniz belirteçtir. Belirteçteki hedef kitle talebi (aud) uygulamanızın istemci kimliğiyle eşleştiğinde belirteç uygulamanıza aittir. API'leri çağıran ancak uygulamayan bir istemci uygulaması için yalnızca uygulamanızın kimlik belirtecini özelleştirdiğinizden emin olun.
Azure portalı ve Microsoft Graph API'si, uygulamanız için erişim belirtecini de özelleştirmenize olanak sağlar, ancak bu özelleştirmelerin hiçbir etkisi yoktur. Sahip olmadığınız bir API için erişim belirtecini özelleştiremezsiniz. Uygulamanızın api çağırmak için yetkilendirme olarak aldığı erişim belirtecinin kodunu çözmeyi veya incelemeyi denememesi gerektiğini unutmayın.
Erişim belirteçlerini özelleştirme
API geliştirirken, API'niz istemcinin API'nize yönelik çağrısının bir parçası olarak erişim belirteçleri aldığından erişim belirtecini özelleştirirsiniz.
İstemci uygulamaları her zaman kullanıcı kimliğini doğrulamak için aldıkları kimlik belirtecini özelleştirir. API'ler, API çağrısının bir parçası olarak API'nin aldığı erişim belirteçlerini özelleştirir.
Gruplar ve uygulama rolleri
En yaygın yetkilendirme tekniklerinden biri, erişimi kullanıcının grup üyeliğine veya atanan rollere dayandırmaktır. Belirteçlerde grup taleplerini ve uygulama rollerini yapılandırma , uygulama rol tanımlarıyla uygulamalarınızı yapılandırmayı ve uygulama rollerine güvenlik grupları atamayı gösterir. Bu yöntemler, en az ayrıcalıkla uygulama Sıfır Güven güvenliğini artırırken esnekliği ve denetimi geliştirmeye yardımcı olur.
Sonraki Adımlar
- B2B işbirliği kullanıcı talepleri eşlemesi, B2B işbirliği kullanıcıları için Güvenlik Onaylama İşaretleme Dili (SAML) belirtecinde verilen talepleri özelleştirmeye yönelik Microsoft Entra ID desteğini açıklar.
- Bir kullanıcı SAML 2.0 protokolunu kullanarak Microsoft kimlik platformu aracılığıyla bir uygulamada kimlik doğrulaması yaparken uygulama SAML belirteci taleplerini özelleştirin.
- API Koruması, api'nizi kayıt, izin ve onay tanımlama ve Sıfır Güven hedeflerinize ulaşmak için erişimi zorlama yoluyla korumaya yönelik en iyi yöntemleri açıklar.
- Yetkilendirme en iyi yöntemleri , uygulamalarınız için en iyi yetkilendirme, izin ve onay modellerini uygulamanıza yardımcı olur.
- Güvenli uygulamalar oluşturmak için uygulama geliştirme yaşam döngünüzde Sıfır Güven kimlik ve erişim yönetimi geliştirme en iyi yöntemlerini kullanın.