Microsoft Entra Id'deki uygulamalar için onay deneyimi
Bu makalede, Microsoft Entra uygulama onayı kullanıcı deneyimi hakkında bilgi edinin. Kuruluşunuz için uygulamaları akıllı bir şekilde yönetebilir ve/veya daha sorunsuz bir onay deneyimiyle uygulama geliştirebilirsiniz.
Onay, kullanıcının bir uygulamaya kendi adına korunan kaynaklara erişmesi için yetkilendirme verme işlemidir. Bir yönetici veya kullanıcıdan kuruluşuna/tek tek verilere erişim izni vermek için onay istenebilir.
İzin vermenin gerçek kullanıcı deneyimi, kullanıcının kiracısı üzerinde ayarlanan ilkelere, kullanıcının yetki kapsamına (veya rolüne) ve istemci uygulaması tarafından istenen izinlerin türüne bağlı olarak farklılık gösterir. Bu, uygulama geliştiricilerinin ve kiracı yöneticilerinin onay deneyimi üzerinde biraz denetimi olduğu anlamına gelir. Yöneticiler, kiracılarındaki onay deneyimini denetlemek için bir kiracıda veya uygulamada ilkeleri ayarlama ve devre dışı bırakma esnekliğine sahiptir. Uygulama geliştiricileri, hangi tür izinlerin istendiğini ve kullanıcılara kullanıcı onay akışı veya yönetici onay akışında yol göstermek isteyip istemediklerini belirtebilir.
- Kullanıcı onayı akışı , bir uygulama geliştiricisinin yalnızca geçerli kullanıcı için onay kaydetme amacıyla kullanıcıları yetkilendirme uç noktasına yönlendirmesidir.
- Yönetici onay akışı, bir uygulama geliştiricisinin kullanıcıları kiracının tamamı için onayı kaydetme amacıyla yönetici onay uç noktasına yönlendirmesidir. Yönetici onayı akışının düzgün çalıştığından emin olmak için uygulama geliştiricilerinin uygulama bildirimindeki özellikteki
RequiredResourceAccesstüm izinleri listelemesi gerekir. Daha fazla bilgi için bkz . Uygulama bildirimi.
Onay isteminin yapı taşları
Onay istemi, kullanıcıların kendi adlarına korunan kaynaklara erişmek için istemci uygulamasına güvenip güvenmediklerini belirlemek için yeterli bilgiye sahip olduğundan emin olmak için tasarlanmıştır. Yapı taşları anlaşılması, onay veren kullanıcıların daha bilinçli kararlar almalarına ve geliştiricilerin daha iyi kullanıcı deneyimleri oluşturmasına yardımcı olur.
Aşağıdaki diyagram ve tablo, onay isteminin yapı taşları hakkında bilgi sağlar.
| # | Bileşen | Purpose |
|---|---|---|
| 1 | Kullanıcı tanımlayıcısı | Bu tanımlayıcı, istemci uygulamasının korumalı kaynaklara erişmek için istediği kullanıcıyı temsil eder. |
| 2 | Başlık | Başlık, kullanıcıların kullanıcı veya yönetici onayı akışından geçip geçmediğine bağlı olarak değişir. Kullanıcı onayı akışında başlık "İzinler istendi" olurken yönetici onayı akışında başlığın başka bir satırı "Kuruluşunuz için kabul et" olur. |
| 3 | Uygulama logosu | Bu görüntü, kullanıcıların bu uygulamanın erişmeyi hedefledikleri uygulama olup olmadığına dair görsel bir ipucuna sahip olmasına yardımcı olmalıdır. Bu görüntü uygulama geliştiricileri tarafından sağlanır ve bu görüntünün sahipliği doğrulanmaz. |
| 4 | Uygulama adı | Bu değer, kullanıcılara hangi uygulamanın verilerine erişim isteğinde bulunduğu konusunda bilgi vermelidir. Bu adın geliştiriciler tarafından sağlandığını ve bu uygulama adının sahipliğinin doğrulanmamış olduğunu unutmayın. |
| 5 | Yayımcı adı ve doğrulama | Mavi "doğrulanmış" rozeti, uygulama yayımcısının kimliğini bir Microsoft İş Ortağı Ağı hesabı kullanarak doğrulamış ve doğrulama işlemini tamamlamış olduğu anlamına gelir. Uygulama yayımcı doğrulanmışsa, yayımcı adı görüntülenir. Uygulama yayımcı tarafından doğrulanmamışsa, yayımcı adı yerine "Doğrulanmamış" görüntülenir. Daha fazla bilgi için Yayımcı Doğrulaması hakkında bilgi edinin. Yayımcı adını seçtiğinizde yayımcı adı, yayımcı etki alanı, oluşturulma tarihi, sertifika ayrıntıları ve yanıt URL'leri gibi daha fazla uygulama bilgisi görüntülenir. |
| 6 | Microsoft 365 Sertifikası | Microsoft 365 Sertifikasyon logosu, bir uygulamanın önde gelen endüstri standardı çerçevelerden türetilen denetimlere karşı denetlendiği ve müşteri verilerini korumak için güçlü güvenlik ve uyumluluk uygulamalarının uygulandığı anlamına gelir. Daha fazla bilgi için Microsoft 365 Sertifikası hakkında bilgi edinin. |
| 7 | Yayımcı bilgileri | Uygulamanın Microsoft tarafından yayımlanıp yayımlanmadığını görüntüler. |
| 8 | İzinler | Bu liste, istemci uygulaması tarafından istenen izinleri içerir. Kullanıcılar her zaman istemci uygulamasının kabul etmeleri durumunda kendi adına erişim yetkisine sahip olacak verileri anlamak için istenen izin türlerini değerlendirmelidir. Uygulama geliştiricisi olarak, izinlere en az ayrıcalıkla erişim istemek en iyisidir. |
| 9 | İzin açıklaması | Bu değer, izinleri ortaya çıkarmak için hizmet tarafından sağlanır. İzin açıklamalarını görmek için, iznin yanındaki köşeli çift ayracı değiştirmelisiniz. |
| 10 | https://myapps.microsoft.com |
Bu bağlantı, kullanıcıların şu anda verilerine erişimi olan Microsoft dışı uygulamaları gözden geçirebileceği ve kaldırabileceği bağlantıdır. |
| 11 | Buraya bildirin | Bu bağlantı, uygulamaya güvenmiyorsanız, uygulamanın başka bir uygulamanın kimliğine bürüneceğine inanıyorsanız, uygulamanın verilerinizi kötüye kullanacağına inanıyorsanız veya başka bir nedenden dolayı şüpheli bir uygulamayı bildirmek için kullanılır. |
Yaygın senaryolar ve onay deneyimleri
Aşağıdaki bölümde ortak senaryolar ve her biri için beklenen onay deneyimi açıklanmaktadır.
Uygulama, kullanıcının verme hakkına sahip olduğu bir izin gerektirir
Bu onay senaryosunda kullanıcı, kullanıcının yetki kapsamındaki bir izin kümesi gerektiren bir uygulamaya erişir. Kullanıcı, kullanıcı onayı akışına yönlendirilir.
Yönetici, geleneksel onay isteminde kiracının tamamı adına onay vermeyi sağlayacak başka bir denetim görür. Denetim varsayılan olarak kapalı olarak ayarlanır, bu nedenle yalnızca yöneticiler açıkça onayladığında tüm kiracı adına onay verilir. Onay kutusu yalnızca Genel Yönetici istrator rolü için gösterilir, bu nedenle Cloud Yönetici ve App Yönetici bu onay kutusunu görmez.
Kullanıcılar geleneksel onay istemini görür.
Uygulama, kullanıcının verme hakkı olmayan bir izin gerektirir
Bu onay senaryosunda kullanıcı, kullanıcının yetki kapsamı dışında en az bir izin gerektiren bir uygulamaya erişir.
Yönetici, geleneksel onay isteminde kiracının tamamı adına onay vermelerini sağlayacak başka bir denetim görür.
Yönetici olmayan kullanıcıların uygulamaya onay vermesi engellenir ve yöneticilerinden uygulamaya erişim istemeleri istenir. Kullanıcının kiracısında yönetici onayı iş akışı etkinleştirildiyse, kullanıcılar onay isteminden yönetici onayı isteği gönderebilir. Yönetici onayı iş akışı hakkında daha fazla bilgi için bkz. Yönetici onay iş akışı.
Kullanıcı yönetici onayı akışına yönlendirilir
Bu onay senaryosunda kullanıcı yönetici onayı akışına gider veya bu akışa yönlendirilir.
Yönetici kullanıcılar yönetici onayı istemini görür. Bu istemde başlık ve izin açıklamaları değişti, değişiklikler bu istem kabul edilerek uygulamanın kiracının tamamı adına istenen verilere erişim izni verileceği gerçeğini vurgular.
Kullanıcıların uygulamaya onay vermesi engellenir ve yöneticilerinden uygulamaya erişim istemeleri istenir.
Microsoft Entra yönetim merkezi aracılığıyla onay Yönetici
Bu senaryoda, yönetici bir uygulamanın istediği tüm izinleri onaylar ve bu izinler kiracıdaki tüm kullanıcılar adına temsilci izinleri içerebilir. Yönetici, Microsoft Entra yönetim merkezindeki uygulama kaydının API izinleri sayfasından onay verir.
Bu kiracıdaki tüm kullanıcılar, uygulama yeni izinler gerektirmediği sürece onay iletişim kutusunu görmez. Temsilci izinlerine hangi yönetici rollerinin onay verebileceğini öğrenmek için bkz. Microsoft Entra Id'de Yönetici istrator rol izinleri.
Önemli
İzin ver düğmesini kullanarak açık onay verme şu anda MSAL.js kullanan tek sayfalı uygulamalar (SPA) için gereklidir. Aksi takdirde, erişim belirteci istendiğinde uygulama başarısız olur.
Genel Sorunlar
Bu bölümde, onay deneyimiyle ilgili yaygın sorunlar ve olası sorun giderme ipuçları açıklanmıştır.
403 hatası
- Bu bir temsilci senaryosu mu? Kullanıcı hangi izinlere sahip?
- Uç noktayı kullanmak için gerekli izinler eklendi mi?
- Uç noktayı çağırmak için gerekli taleplere sahip olup olmadığını görmek için belirteci denetleyin.
- Hangi izinlere onay verildi? Kim onay verdi?
Kullanıcı onay veremiyor
- Kiracı yöneticisinin kuruluşunuz için kullanıcı onayını devre dışı bırakılıp bırakılmadığını denetleyin
- İstediğiniz izinlerin yönetici tarafından kısıtlanmış izinler olup olmadığını onaylayın.
Yönetici onay vermiş olsa bile kullanıcı engellenmeye devam ediyor
- Statik izinlerin dinamik olarak istenen izinlerin üst kümesi olarak yapılandırılıp yapılandırılmamış olduğunu denetleyin.
- Uygulama için kullanıcı ataması gerekip gerekmediğini denetleyin.
Bilinen hataları giderme
Sorun giderme adımları için bkz . Uygulamaya onay yapılırken beklenmeyen hata.
Ayrıca bkz.
- Microsoft Entra onay çerçevesinin onayı nasıl uyguladığına ilişkin adım adım bir genel bakış edinin.
- Daha ayrıntılı bilgi için, çok kiracılı bir uygulamanın daha gelişmiş çok katmanlı uygulama desenlerini destekleyen "kullanıcı" ve "yönetici" onayı uygulamak için onay çerçevesini nasıl kullanabileceğini öğrenin.
- Uygulamanın yayımcı etki alanını yapılandırmayı öğrenin.