Uygulama modeliApplication model

Uygulamalar, kullanıcıların kendilerine oturum açmasını veya bir kimlik sağlayıcısı için oturum açma yetkisini devredebilir.Applications can sign in users themselves or delegate sign-in to an identity provider. Bu konuda, bir uygulamayı Microsoft Identity platformu ile kaydetmek için gereken adımlar ele alınmaktadır.This topic discusses the steps that are required to register an application with Microsoft identity platform.

Uygulamayı kaydetmeRegistering an application

Bir kimlik sağlayıcısının bir kullanıcının belirli bir uygulamaya erişimi olduğunu bilmesini sağlamak için, hem Kullanıcı hem de uygulamanın kimlik sağlayıcısına kayıtlı olması gerekir.For an identity provider to know that a user has access to a particular app, both the user and the application must be registered with the identity provider. Uygulamanızı Azure AD 'ye kaydettiğinizde, uygulamanız için Microsoft Identity platform ile tümleşmesini sağlayan bir kimlik yapılandırması sağladığınızda.When you register your application with Azure AD, you are providing an identity configuration for your application that allows it to integrate with Microsoft identity platform. Uygulamayı kaydetmek şunları da sağlar:Registering the app also allows you to:

  • Oturum açma iletişim kutusunda uygulamanızın markasını özelleştirin.Customize the branding of your application in the sign-in dialog. Bu, bir kullanıcının uygulamanız için sahip olacağı ilk deneyim olduğu için önemlidir.This is important because this is the first experience a user will have with your app.
  • Kullanıcıların yalnızca kuruluşunuza ait olmaları durumunda oturum açmalarına izin vermek istediğinize karar verin.Decide if you want to let users sign in only if they belong to your organization. Bu tek kiracılı bir uygulamadır.This is a single tenant application. Ya da kullanıcıların herhangi bir iş veya okul hesabını kullanarak oturum açmalarına izin verin.Or allow users to sign in using any work or school account. Bu, çok kiracılı bir uygulamadır.This is a multi-tenant application. Ayrıca, kişisel Microsoft hesaplarına veya bir sosyal hesaba LinkedIn, Google, vb. izin verebilirsiniz.You can also allow personal Microsoft accounts, or a social account from LinkedIn, Google, and so on.
  • Kapsam izinleri iste.Request scope permissions. Örneğin, oturum açmış kullanıcının profilini okuma izni veren "User. Read" kapsamını isteyebilirsiniz.For example, you can request the "user.read" scope, which grants permission to read the profile of the signed-in user.
  • Web API 'nize erişimi tanımlayan kapsamları tanımlayın.Define scopes that define access to your web API. Genellikle, bir uygulama API 'nize erişmek istediğinde tanımladığınız kapsamlar için izin istemesi gerekecektir.Typically, when an app wants to access your API, it will need to request permissions to the scopes you define.
  • Uygulamanın kimliğini kanıtlayan Microsoft Identity platformu ile bir gizli dizi paylaşma.Share a secret with Microsoft identity platform that proves the app's identity. Bu, uygulamanın gizli bir istemci uygulaması olduğu durum ile ilgilidir.This is relevant in the case where the app is a confidential client application. Gizli bir istemci uygulaması, kimlik bilgilerini güvenli bir şekilde tutan bir uygulamadır.A confidential client application is an application that can hold credentials securely. Kimlik bilgilerini depolamak için güvenilir bir arka uç sunucusu gerekir.They require a trusted backend server to store the credentials.

Kaydolduktan sonra uygulamaya, belirteç istediğinde uygulamanın Microsoft Identity platform ile paylaştığı benzersiz bir tanımlayıcı verilir.Once registered, the application will be given a unique identifier that the app shares with Microsoft identity platform when it requests tokens. Uygulama gizli bir istemci uygulamasıise, sertifikaların veya gizli anahtarların kullanılıp kullanıldığına bağlı olarak gizli anahtar veya ortak anahtarı da paylaşır.If the app is a confidential client application, it will also share the secret or the public key-depending on whether certificates or secrets were used.

Microsoft Identity platform iki ana işlevi yerine getiren bir modeli kullanarak uygulamaları temsil eder:Microsoft identity platform represents applications using a model that fulfills two main functions:

  • Uygulamayı desteklediği kimlik doğrulama protokollerine göre tanımlaIdentify the app by the authentication protocols it supports
  • Kimlik doğrulaması için gereken tüm tanımlayıcıları, URL 'Leri, gizli dizileri ve ilgili bilgileri sağlayınProvide all the identifiers, URLs, secrets, and related information that are needed to authenticate

Microsoft Identity Platform:Microsoft identity platform:

  • Çalışma zamanında kimlik doğrulamasını desteklemek için gereken tüm verileri tutarHolds all the data required to support authentication at runtime
  • Bir uygulamanın erişmesi gerekebilecek kaynakları ve belirli bir isteğin yerine getirilmesi gereken koşulları belirlemek için tüm verileri tutarHolds all the data for deciding what resources an app might need to access, and under what circumstances a given request should be fulfilled
  • Uygulama geliştiricisinin kiracısında ve diğer Azure AD kiracılarında uygulama sağlamayı uygulamak için altyapı sağlarProvides infrastructure for implementing app provisioning within the app developer's tenant, and to any other Azure AD tenant
  • Belirteç istek süresi boyunca Kullanıcı onayını işler ve kiracılar genelinde uygulamaların dinamik sağlamasını kolaylaştırırHandles user consent during token request time and facilitate the dynamic provisioning of apps across tenants

Onay , bir istemci uygulamanın, kaynak sahibi adına belirli izinler altında korumalı kaynaklara erişmesi için bir kaynak sahibi verme yetkilendirmesi işlemidir.Consent is the process of a resource owner granting authorization for a client application to access protected resources, under specific permissions, on behalf of the resource owner. Microsoft Identity Platform:Microsoft identity platform:

  • Kullanıcıların ve yöneticilerin uygulamanın kendileri adına kaynaklara erişmesine dinamik olarak onay vermesini veya reddetmesini sağlar.Enables users and administrators to dynamically grant or deny consent for the app to access resources on their behalf.
  • Yöneticilerin uygulamaların gerçekleştirebilecekleri işlemler, belirli uygulamalara erişebilecek kullanıcılar ve erişilen dizin kaynakları hakkında son kararı vermesini sağlar.Enables administrators to ultimately decide what apps are allowed to do and which users can use specific apps, and how the directory resources are accessed.

Çok kiracılı uygulamalarMulti-tenant apps

Microsoft Identity platformunda bir uygulama nesnesi bir uygulamayı açıklar.In Microsoft identity platform, an application object describes an application. Dağıtım zamanında, Microsoft Identity platform bir dizin veya kiracı içindeki bir uygulamanın somut örneğini temsil eden bir hizmet sorumlusuoluşturmak için uygulama nesnesini bir şema olarak kullanır.At deployment time, Microsoft identity platform uses the application object as a blueprint to create a service principal, which represents a concrete instance of an application within a directory or tenant. Hizmet sorumlusu, uygulamanın belirli bir hedef dizinde gerçekten ne yapabileceğini, bunu kullanabilecek kaynakları, hangi kaynakların erişebileceğini ve bu şekilde olduğunu tanımlar.The service principal defines what the app can actually do in a specific target directory, who can use it, what resources it has access to, and so on. Microsoft Identity platform bir uygulama nesnesinden onayaracılığıyla bir hizmet sorumlusu oluşturur.Microsoft identity platform creates a service principal from an application object through consent.

Aşağıdaki diyagramda, izin tarafından yönetilen basitleştirilmiş bir Microsoft Identity platformu sağlama akışı gösterilmektedir.The following diagram shows a simplified Microsoft identity platform provisioning flow driven by consent. İki kiracı gösterir: A ve B.It shows two tenants: A and B.

  • Kiracı , uygulamanın sahibi.Tenant A owns the application.
  • B kiracısı , bir hizmet sorumlusu aracılığıyla uygulamayı örnekleniyor.Tenant B is instantiating the application via a service principal.

Onay temelli basitleştirilmiş sağlama akışı

Bu sağlama akışında:In this provisioning flow:

  1. B kiracısından bir kullanıcı uygulamayla oturum açmaya çalışır, yetkilendirme uç noktası uygulama için bir belirteç ister.A user from tenant B attempts to sign in with the app, the authorization endpoint requests a token for the application.
  2. Kimlik doğrulaması için Kullanıcı kimlik bilgileri alındı ve doğrulanır.The user credentials are acquired and verified for authentication.
  3. Kullanıcıdan, B kiracısına erişim kazanmak için uygulamanın onayını sağlaması istenir.The user is prompted to provide consent for the app to gain access to tenant B.
  4. Microsoft Identity platformu, B kiracısında bir hizmet sorumlusu oluşturmak için bir şema olarak kiracı 'daki uygulama nesnesini kullanır.Microsoft identity platform uses the application object in tenant A as a blueprint for creating a service principal in tenant B.
  5. Kullanıcı istenen belirteci alır.The user receives the requested token.

Bu işlemi, ek kiracılar için yineleyebilirsiniz.You can repeat this process for additional tenants. Kiracı A, uygulama için şemayı saklar (uygulama nesnesi).Tenant A retains the blueprint for the app (application object). Uygulamanın izin verdiği tüm diğer kiracıların kullanıcıları ve yöneticileri, uygulamanın her Kiracıdaki ilgili hizmet sorumlusu nesnesi aracılığıyla ne yapmasına izin verileceğini kontrol edin.Users and admins of all the other tenants where the app is given consent keep control over what the application is allowed to do via the corresponding service principal object in each tenant. Daha fazla bilgi için bkz. Microsoft Identity platformunda uygulama ve hizmet sorumlusu nesneleri.For more information, see Application and service principal objects in Microsoft identity platform.

Sonraki adımlarNext steps

Kimlik doğrulama ve yetkilendirme temellerini kapsayan diğer konular için:For other topics covering authentication and authorization basics:

  • Microsoft Identity platform 'da kimlik doğrulaması ve yetkilendirmenin temel kavramları hakkında bilgi edinmek için bkz . kimlik doğrulaması ve yetkilendirme karşılaştırması .See Authentication vs. authorization to learn about the basic concepts of authentication and authorization in Microsoft identity platform.
  • Kimlik doğrulama ve yetkilendirme için erişim belirteçlerinin, yenileme belirteçlerinin ve KIMLIK belirteçlerinin nasıl kullanıldığını öğrenmek için güvenlik belirteçlerine bakın.See Security tokens to learn how access tokens, refresh tokens, and ID tokens are used in authentication and authorization.
  • Microsoft Identity platformunda Web, masaüstü ve mobil uygulamaların oturum açma akışı hakkında bilgi edinmek için bkz. uygulama oturum açma akışı .See App sign-in flow to learn about the sign-in flow of web, desktop, and mobile apps in Microsoft identity platform.

Uygulama modeli hakkında daha fazla bilgi edinmek için:To learn more about the application model: