Uygulamaların Microsoft Entra Id'ye nasıl ve neden eklendiği

  • Makale

Microsoft Entra Id'de uygulamaların iki gösterimi vardır:

  • Uygulama nesneleri - Özel durumlar olsa da, uygulama nesneleri bir uygulamanın tanımı olarak kabul edilebilir.
  • Hizmet sorumluları - Bir uygulamanın örneği olarak kabul edilebilir. Hizmet sorumluları genellikle bir uygulama nesnesine başvurur ve bir uygulama nesnesine dizinler arasında birden çok hizmet sorumlusu tarafından başvurulabilir.

Uygulama nesneleri nedir ve nereden gelirler?

Microsoft Entra yönetim merkezinde uygulama nesnelerini Uygulama kayıtları deneyimi aracılığıyla yönetebilirsiniz. Uygulama nesneleri, uygulamayı Microsoft Entra Id olarak tanımlar ve uygulamanın tanımı olarak kabul edilebilir ve hizmetin, ayarlarına göre uygulamaya nasıl belirteç verebileceğini bilmesini sağlar. Uygulama nesnesi, diğer dizinlerdeki hizmet sorumlularını destekleyen çok kiracılı bir uygulama olsa bile yalnızca giriş dizininde bulunur. Uygulama nesnesi aşağıdakilerden herhangi birini içerebilir (ancak bunlarla sınırlı değildir):

  • Ad, logo ve yayımcı
  • Yeniden Yönlendirme URI'leri
  • Gizli diziler (uygulamanın kimliğini doğrulamak için kullanılan simetrik ve/veya asimetrik anahtarlar)
  • API bağımlılıkları (OAuth)
  • Yayımlanan API'ler/kaynaklar/kapsamlar (OAuth)
  • Uygulama rolleri
  • Çoklu oturum açma (SSO) meta verileri ve yapılandırması
  • Kullanıcı sağlama meta verileri ve yapılandırması
  • Ara sunucu meta verileri ve yapılandırması

Uygulama nesneleri, aşağıdakileri içeren birden çok yol aracılığıyla oluşturulabilir:

  • Microsoft Entra yönetim merkezinde uygulama kayıtları
  • Visual Studio kullanarak yeni uygulama oluşturma ve Microsoft Entra kimlik doğrulamasını kullanacak şekilde yapılandırma
  • Yönetici uygulama galerisinden bir uygulama eklediğinde (hizmet sorumlusu da oluşturulur)
  • Yeni uygulama oluşturmak için Microsoft Graph API'sini veya PowerShell'i kullanma
  • Azure'daki çeşitli geliştirici deneyimleri ve geliştirici merkezleri genelindeKI API gezgini deneyimleri dahil olmak üzere birçoğu

Hizmet sorumluları nedir ve nereden gelirler?

Microsoft Entra yönetim merkezinde hizmet sorumlularını Kurumsal Uygulamalar deneyimi aracılığıyla yönetebilirsiniz. Hizmet sorumluları, Microsoft Entra Id'ye bağlanan bir uygulamayı yönetir ve dizininizdeki uygulamanın örneği olarak kabul edilebilir. Belirli bir uygulama için en fazla bir uygulama nesnesine (bir "giriş" dizinine kaydedilmiştir) ve uygulamanın davrandığı her dizindeki örneklerini temsil eden bir veya daha fazla hizmet sorumlusu nesnesine sahip olabilir.

Hizmet sorumlusu şunları içerebilir:

  • Uygulama kimliği özelliği aracılığıyla bir uygulama nesnesine başvuru
  • Yerel kullanıcı ve grup uygulama rolü atamalarının kayıtları
  • Uygulamaya verilen yerel kullanıcı ve yönetici izinlerinin kayıtları
    • Örneğin: Uygulamanın belirli bir kullanıcının e-postasına erişme izni
  • Koşullu Erişim ilkesi dahil olmak üzere yerel ilkelerin kayıtları
  • Bir uygulama için alternatif yerel ayarların kayıtları
    • Talep dönüştürme kuralları
    • Öznitelik eşlemeleri (Kullanıcı sağlama)
    • Dizine özgü uygulama rolleri (uygulama özel rolleri destekliyorsa)
    • Dizine özgü ad veya logo

Uygulama nesneleri gibi hizmet sorumluları da aşağıdakileri içeren birden çok yol aracılığıyla oluşturulabilir:

  • Kullanıcılar Microsoft Entra Id ile tümleştirilmiş bir üçüncü taraf uygulamada oturum açarken
    • Oturum açma sırasında kullanıcılardan uygulamaya profillerine ve diğer izinlerine erişme izni vermeleri istenir. onay veren ilk kişi, uygulamayı temsil eden bir hizmet sorumlusunun dizine eklenmesine neden olur.
  • Kullanıcılar Microsoft 365 gibi Microsoft çevrimiçi hizmetler oturum açarken.
    • Microsoft 365'e abone olduğunuzda veya deneme sürümüne başladığınızda, microsoft 365 ile ilişkili tüm işlevleri sunmak için kullanılan çeşitli hizmetleri temsil eden dizinde bir veya daha fazla hizmet sorumlusu oluşturulur.
    • SharePoint gibi bazı Microsoft 365 hizmetleri, iş akışları da dahil olmak üzere bileşenler arasında güvenli iletişim sağlamak için sürekli olarak hizmet sorumluları oluşturur.
  • Yönetici uygulama galerisinden bir uygulama eklediğinde (bu, temel alınan bir uygulama nesnesi de oluşturur)
  • Microsoft Entra uygulama ara sunucusunu kullanmak için uygulama ekleme
  • SAML veya parola SSO kullanarak SSO için bir uygulama Bağlan
  • Microsoft Graph API veya PowerShell aracılığıyla program aracılığıyla

Bir uygulamanın giriş dizininde, çalıştığı dizinlerin her birinde (uygulamanın giriş dizini dahil) bir veya daha fazla hizmet sorumlusu tarafından başvuruda bulunan bir uygulama nesnesi vardır.

Uygulama nesneleri ve hizmet sorumluları arasındaki ilişkiyi gösterir

Yukarıdaki diyagramda Microsoft, uygulamaları yayımlamak için kullandığı iki dizini dahili olarak (solda gösterilir) tutar:

  • Microsoft Apps için bir tane (Microsoft hizmetleri dizini)
  • Önceden tümleştirilmiş üçüncü taraf uygulamaları için bir tane (Uygulama galerisi dizini)

Microsoft Entra Id ile tümleşen uygulama yayımcılarının/satıcılarının yayımlama dizinine (sağ tarafta "Hizmet olarak yazılım (SaaS) Dizini" olarak gösterilir) sahip olması gerekir.

Kendinize eklediğiniz uygulamalar (diyagramda Uygulama (sizinki) olarak gösterilir) şunları içerir:

  • Geliştirdiğiniz uygulamalar (Microsoft Entra ID ile tümleşik)
  • SSO için bağladığınız uygulamalar
  • Microsoft Entra uygulama ara sunucusunu kullanarak yayımladığınız uygulamalar

Notlar ve özel durumlar

  • Tüm hizmet sorumluları bir uygulama nesnesine işaret etmemektedir. Microsoft Entra Id ilk kez oluşturulduğunda uygulamalara sağlanan hizmetler daha sınırlıydı ve hizmet sorumlusu bir uygulama kimliği oluşturmak için yeterliydi. Özgün hizmet sorumlusu, Windows Server Active Directory hizmet hesabına daha yakın şekildeydi. Bu nedenle, önce bir uygulama nesnesi oluşturmadan Microsoft Graph PowerShell kullanma gibi farklı yollardan hizmet sorumluları oluşturmak mümkündür. Microsoft Graph API'sinde hizmet sorumlusu oluşturmadan önce bir uygulama nesnesi gerekir.
  • Yukarıda açıklanan bilgilerin tümü şu anda program aracılığıyla kullanıma sunulmaz. Aşağıdakiler yalnızca kullanıcı arabiriminde kullanılabilir:
    • Talep dönüştürme kuralları
    • Öznitelik eşlemeleri (Kullanıcı sağlama)
  • Hizmet sorumlusu ve uygulama nesneleri hakkında daha ayrıntılı bilgi için Microsoft Graph API başvuru belgelerine bakın:

Uygulamalar neden Microsoft Entra ID ile tümleştirnsin?

Uygulamalar, aşağıdakiler dahil olmak üzere sağladığı hizmetlerden birini veya daha fazlasını kullanmak için Microsoft Entra Id'ye eklenir:

  • Uygulama kimlik doğrulaması ve yetkilendirme
  • Kullanıcı kimlik doğrulaması ve yetkilendirme
  • Federasyon veya parola kullanarak SSO
  • Kullanıcı sağlama ve eşitleme
  • Rol tabanlı erişim denetimi (RBAC) - Bir uygulamada rol tabanlı yetkilendirme denetimleri gerçekleştirmek üzere uygulama rollerini tanımlamak için dizini kullanın
  • OAuth yetkilendirme hizmetleri - API'lere/kaynaklara erişimi yetkilendirmek için Microsoft 365 ve diğer Microsoft uygulamaları tarafından kullanılır
  • Uygulama yayımlama ve ara sunucu - Özel bir ağdan İnternet'e uygulama yayımlama
  • Dizin şeması uzantısı öznitelikleri - Microsoft Entra Id'de ek verileri depolamak için hizmet sorumlusu ve kullanıcı nesnelerinin şemasını genişletin

Microsoft Entra örneğime uygulama ekleme izni olan var mı?

Varsayılan olarak, yalnızca Genel Yönetici istrator'ların gerçekleştirebileceği bazı görevler olsa da (uygulama galerisinden uygulama ekleme ve uygulamayı Uygulama Ara Sunucusu kullanmak üzere yapılandırma gibi) dizininizdeki tüm kullanıcılar, geliştirdikleri uygulama nesnelerini kaydetme haklarına ve onay yoluyla kuruluş verilerine hangi uygulamaları paylaştıkları/erişim verdiklerine ilişkin isteğe bağlı olarak sahip olur. Bir kişi dizininizde bir uygulamada oturum açıp onay veren ilk kullanıcıysa, bu kiracınızda bir hizmet sorumlusu oluşturur. Aksi takdirde, onay verme bilgileri mevcut hizmet sorumlusunda depolanır.

Kullanıcıların uygulamalara kaydolmasına ve onay vermesine izin vermek başlangıçta endişe duyulabilir, ancak aşağıdaki nedenleri göz önünde bulundurun:

  • Uygulamalar, uygulamanın dizine kaydedilmesine veya kaydedilmesine gerek kalmadan uzun yıllardır kullanıcı kimlik doğrulaması için Windows Server Active Directory'yi kullanabildi. Artık kuruluş, dizini tam olarak kaç uygulamanın kullandığına ve hangi amaçla kullanıldığına ilişkin görünürlüğü geliştirecektir.
  • Kullanıcılara bu sorumlulukların temsilci olarak ayarlanması, yönetici temelli uygulama kaydı ve yayımlama işlemi gereksinimini azaltır. Active Directory Federasyon Hizmetleri (AD FS) (ADFS) ile, bir yöneticinin geliştiricileri adına bir uygulamayı bağlı olan taraf olarak eklemesi gerekiyordu. Artık geliştiriciler self servis yapabilir.
  • İş amacıyla kuruluş hesaplarını kullanarak uygulamalarda oturum açmış olan kullanıcılar iyi bir şeydir. Daha sonra kuruluştan ayrılırlarsa, kullandıkları uygulamada hesaplarına erişimi otomatik olarak kaybederler.
  • Hangi verilerin hangi uygulamayla paylaşıldığının kaydının olması iyi bir şeydir. Veriler her zamankinden daha fazla taşınabilir ve hangi verileri hangi uygulamalarla paylaşan kişilerin net bir kaydına sahip olmak yararlı olur.
  • OAuth için Microsoft Entra Id kullanan API sahipleri, kullanıcıların uygulamalara hangi izinleri verebileceğine ve bir yöneticinin hangi izinleri kabul etmelerini gerektirdiğine tam olarak karar verir. Yalnızca yöneticiler daha büyük kapsamlara ve daha önemli izinlere onay verebilirken, kullanıcı onayının kapsamı kullanıcıların kendi verileri ve özellikleriyle belirlenmiştir.
  • Kullanıcı bir uygulamanın verilerine eklemesine veya verilerine erişmesine izin verdiğinde, uygulamanın dizine nasıl eklendiğini belirlemek için Microsoft Entra yönetim merkezinde Denetim Raporlarını görüntüleyebilmeniz için olay denetlenebilir.

Dizininizdeki kullanıcıların uygulamaları kaydetmesini ve yönetici onayı olmadan uygulamalarda oturum açmasını yine de engellemek istiyorsanız, bu özellikleri kapatmak için değiştirebileceğiniz iki ayar vardır:

  • Kuruluşunuzdaki kullanıcı onayı ayarlarını değiştirmek için bkz . Kullanıcıların uygulamalara nasıl onay vereceğini yapılandırma.

  • Kullanıcıların kendi uygulamalarını kaydetmesini önlemek için:

    1. Microsoft Entra yönetim merkezinde Kimlik>Kullanıcıları Kullanıcı>ayarları'na göz atın.
    2. Kullanıcılar uygulamaları Hayır olarak kaydedebilir.