Şirket içinde barındırılan .NET uygulamalarından Azure kaynaklarına kimlik doğrulaması yapın.

Makale
03/21/2025

Şirket içi veya üçüncü taraf veri merkezi gibi Azure dışında barındırılan uygulamalar, Azure hizmetlerinde kimlik doğrulaması yapmak için Microsoft Entra ID aracılığıyla bir uygulama hizmet sorumlusu kullanmalıdır. İlerideki bölümlerde şunları öğrenirsiniz:

Hizmet sorumlusu oluşturmak için bir uygulamayı Microsoft Entra'ya kaydetme
Kapsam İzinlerine Rol Nasıl Atanır
Uygulama kodunuzdan bir hizmet sorumlusu kullanarak kimliği nasıl doğrularsınız?

Ayrılmış uygulama hizmet sorumlularını kullanmak, Azure kaynaklarına erişirken en az ayrıcalık ilkesine uymanızı sağlar. İzinler, geliştirme sırasında uygulamanın belirli gereksinimleriyle sınırlıdır ve diğer uygulamalar veya hizmetler için amaçlanan Azure kaynaklarına yanlışlıkla erişimi önler. Bu yaklaşım, uygulama geliştirme ortamında aşırı ayrıcalıklı olmadığından emin olarak üretime taşındığında karşılaşılan sorunları önlemeye de yardımcı olur.

Uygulamanın barındırılacağı her ortam için farklı bir uygulama kaydı oluşturulmalıdır. Bu, her hizmet sorumlusu için ortama özgü kaynak izinlerinin yapılandırılmasına olanak tanır ve bir ortama dağıtılan bir uygulamanın başka bir ortamın parçası olan Azure kaynaklarıyla konuşmadığından emin olun.

Uygulamayı Azure'a kaydetme

Uygulama hizmet sorumlusu nesneleri, Azure portalı veya Azure CLI kullanılarak Azure'da bir uygulama kaydı aracılığıyla oluşturulur.

Azure portalı
Azure CLI

Azure portalında arama çubuğunu kullanarak Uygulama kayıtları sayfasına gidin.
Uygulama kayıtları sayfasında "+ Yeni kayıt" seçeneğine tıklayın.
Bir uygulamayı kaydetme sayfasında:
- Adı alanı için uygulama adını ve hedef ortamı içeren açıklayıcı bir değer girin.
- Desteklenen hesap türleriiçin, yalnızca bu kuruluş dizinindeki hesaplar (Yalnızca Microsoft Müşteri Liderliğinde - Tek kiracı) veya gereksinimlerinize en uygun seçeneğiseçin.
Uygulamanızı kaydetmek ve hizmet sorumlusunu oluşturmak için kaydet'i seçin.
Uygulamanızın Uygulama kaydı sayfasında Uygulama (istemci) kimliği ve Dizin (kiracı) kimliği kopyalayın ve bunları uygulama kodu yapılandırmalarınızda daha sonra kullanmak üzere geçici bir konuma yapıştırın.
Uygulamanızın kimlik bilgilerini ayarlamak için Sertifika veya gizli dizi ekle'yi seçin.
Sertifikalar ve sırlar sayfasında + Yeni istemci sırrı'nı seçin.
Açılan İstemci gizli anahtarı ekle panelinde:
- Açıklamaiçin Geçerli bir değer girin.
- Süresi Doluyor değeri için varsayılan önerilen 180 gün değerini bırakın.
- Sırrı eklemek için Ekle'yi seçin.
Sertifikaları & gizli anahtarları sayfasında, istemci gizli anahtarının Değer özelliğini gelecek adımda kullanmak üzere kopyalayın.

Not

İstemci gizli anahtarı değeri, uygulama kaydı oluşturulduktan sonra yalnızca bir kez görüntülenir. Bu istemci sırrını geçersiz kılmadan daha fazla istemci sırrı ekleyebilirsiniz, ancak bu değeri tekrar görüntülemenin bir yolu yoktur.

Azure CLI komutları Azure Cloud Shell veya Azure CLI yüklü bir iş istasyonunda çalıştırılabilir.

Uygulama için yeni bir uygulama kaydı ve hizmet sorumlusu oluşturmak için az ad sp create-for-rbac komutunu kullanın.

az ad sp create-for-rbac --name <service-principal-name>

Bu komutun çıktısı aşağıdaki JSON'a benzer:

{
  "appId": "00000000-0000-0000-0000-000000000000",
  "displayName": "<service-principal-name>",
  "password": "abcdefghijklmnopqrstuvwxyz",
  "tenant": "11111111-1111-1111-1111-111111111111"
}

Bu değerlere gelecekteki bir adımda ihtiyaç duyacağınız için bu çıkışı metin düzenleyicisindeki geçici bir dosyaya kopyalayın.

Not

İstemci gizli anahtarı değeri, uygulama kaydı oluşturulduktan sonra yalnızca bir kez görüntülenir. İstemci sırrını geçersiz kılmadan daha fazla istemci sırrı ekleyebilirsiniz, ancak bu değeri yeniden görüntüleme imkânı yoktur.

Uygulama hizmet sorumlusuna rol atama

Ardından, uygulamanızın hangi kaynaklar üzerinde hangi rollere (izinlere) ihtiyacı olduğunu belirleyin ve bu rolleri oluşturduğunuz hizmet sorumlusuna atayın. Roller kaynak, kaynak grubu veya abonelik kapsamında atanabilir. Bu örnekte, çoğu uygulama tüm Azure kaynaklarını tek bir kaynak grubunda gruplandırdığından kaynak grubu kapsamında rollerin nasıl atandığı gösterilmektedir.

Azure portalı
Azure CLI

Azure portalında uygulamanızı içeren kaynak grubunun Genel Bakış sayfasına gidin.
Sol gezinti bölmesinden Erişim denetimi (IAM) seçin.
Erişim denetimi (IAM) sayfasında + ekle'yi seçin ve ardından açılan menüden Rol ataması ekle seçin. Rol ataması ekle sayfasında rolleri yapılandırmak ve atamak için çeşitli sekmeler sağlanır.
Rol sekmesinde, atamak istediğiniz rolü bulmak için arama kutusunu kullanın. Rolü seçin ve ardından İleriseçin.
Üyeler sekmesinde:
- değere erişimi atamak için, Kullanıcı, grup veya hizmet sorumlusunu seçin.
- Üyeler değeri için + Üyeleri seç seçeneğini seçerek Üyeleri Seç açılır panelini açın.
- Daha önce oluşturduğunuz hizmet sorumlusunu arayın ve filtrelenen sonuçlardan seçin. Grubu seçmek ve açılır menü panelini kapatmak için seç'i seçin.
- Üyeler sekmesinin alt kısmında Gözden geçir ve ata'yi seçin.
Gözden geçir + ata sekmesinde, sayfanın alt kısmında Gözden geçir + ata seçin.

Hizmet sorumlusunun atanabileceği rollerin adlarını almak için az role definition list komutunu kullanın:

az role definition list \
    --query "sort_by([].{roleName:roleName, description:description}, &roleName)" \
    --output table

az role assignment create komutunu kullanarak bir rolü uygulama hizmeti prensipeline atayın.
```
az role assignment create \
    --assignee "<app-Id>" \
    --role "<role-name>" \
    --resource-group "<resource-group-name>"
```
Azure CLI kullanarak kaynak veya abonelik düzeyinde izin atama hakkında bilgi için bkz Azure CLI kullanarak Azure rolleri atama.

Uygulama ortamı değişkenlerini ayarlama

Çalışma zamanında, Azure Identity kitaplığındakiDefaultAzureCredential, EnvironmentCredentialve ClientSecretCredentialgibi bazı kimlik bilgileri, ortam değişkenlerinde kurala göre hizmet sorumlusu bilgilerini arar. Araçlarınıza ve ortamınıza bağlı olarak .NET ile çalışırken ortam değişkenlerini yapılandırmanın birden çok yolu vardır.

Seçtiğiniz yaklaşımdan bağımsız olarak, hizmet sorumlusu için aşağıdaki ortam değişkenlerini yapılandırın:

AZURE_CLIENT_ID: Azure'da kayıtlı uygulamayı tanımlamak için kullanılır.
AZURE_TENANT_ID: Microsoft Entra kiracısının kimliği.
AZURE_CLIENT_SECRET: Uygulama için oluşturulan gizli kimlik bilgisi.

Visual Studio'da ortam değişkenleri projenizin Properties klasöründeki launchsettings.json dosyasında ayarlanabilir. Bu değerler uygulama başlatıldığında otomatik olarak çekilir. Ancak bu yapılandırmalar dağıtım sırasında uygulamanızla birlikte hareket etmediğinden, hedef barındırma ortamınızda ortam değişkenleri ayarlamanız gerekir.

"profiles": {
    "SampleProject": {
      "commandName": "Project",
      "dotnetRunMessages": true,
      "launchBrowser": true,
      "applicationUrl": "https://localhost:7177;http://localhost:5177",
      "environmentVariables": {
        "ASPNETCORE_ENVIRONMENT": "Development",
        "AZURE_CLIENT_ID": "<your-client-id>",
        "AZURE_TENANT_ID":"<your-tenant-id>",
        "AZURE_CLIENT_SECRET": "<your-client-secret>"
      }
    },
    "IIS Express": {
      "commandName": "IISExpress",
      "launchBrowser": true,
      "environmentVariables": {
        "ASPNETCORE_ENVIRONMENT": "Development",
        "AZURE_CLIENT_ID": "<your-client-id>",
        "AZURE_TENANT_ID":"<your-tenant-id>",
        "AZURE_CLIENT_SECRET": "<your-client-secret>"
      }
    }
  }

Visual Studio Code'da ortam değişkenleri projenizin launch.json dosyasında ayarlanabilir. Bu değerler uygulama başlatıldığında otomatik olarak çekilir. Ancak bu yapılandırmalar dağıtım sırasında uygulamanızla birlikte hareket etmediğinden, hedef barındırma ortamınızda ortam değişkenleri ayarlamanız gerekir.

"configurations": [
{
    "env": {
        "ASPNETCORE_ENVIRONMENT": "Development",
        "AZURE_CLIENT_ID": "<your-client-id>",
        "AZURE_TENANT_ID":"<your-tenant-id>",
        "AZURE_CLIENT_SECRET": "<your-client-secret>"
    }
}

Windows için ortam değişkenlerini komut satırından ayarlayabilirsiniz. Ancak, değerler o işletim sisteminde çalışan tüm uygulamalar tarafından erişilebilir ve çakışmalara neden olabilir, bu nedenle bu yaklaşımda dikkatli olun. Ortam değişkenleri kullanıcı veya sistem düzeyinde ayarlanabilir.

# Set user environment variables
setx ASPNETCORE_ENVIRONMENT "Development"
setx AZURE_CLIENT_ID "<your-client-id>"
setx AZURE_TENANT_ID "<your-tenant-id>"
setx AZURE_CLIENT_SECRET "<your-client-secret>"

# Set system environment variables - requires running as admin
setx ASPNETCORE_ENVIRONMENT "Development" /m
setx AZURE_CLIENT_ID "<your-client-id>" /m
setx AZURE_TENANT_ID "<your-tenant-id>" /m
setx AZURE_CLIENT_SECRET "<your-client-secret>" /m

PowerShell, ortam değişkenlerini kullanıcı veya sistem düzeyinde ayarlamak için de kullanılabilir:

# Set user environment variables
[Environment]::SetEnvironmentVariable("ASPNETCORE_ENVIRONMENT", "Development", "User")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_ID", "<your-client-id>", "User")
[Environment]::SetEnvironmentVariable("AZURE_TENANT_ID", "<your-tenant-id>", "User")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_SECRET", "<your-client-secret>", "User")

# Set system environment variables - requires running as admin
[Environment]::SetEnvironmentVariable("ASPNETCORE_ENVIRONMENT", "Development", "Machine")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_ID", "<your-client-id>", "Machine")
[Environment]::SetEnvironmentVariable("AZURE_TENANT_ID", "<your-tenant-id>", "Machine")
[Environment]::SetEnvironmentVariable("AZURE_CLIENT_SECRET", "<your-client-secret>", "Machine")

Uygulamanızdan Azure hizmetlerinde kimlik doğrulaması

Azure Kimlik kitaplığı, farklı senaryoları ve Microsoft Entra kimlik doğrulama akışlarını desteklemeye uyarlanmış TokenCredential uygulamaları çeşitlikimlik bilgileri sağlar. İlerideki adımlarda, yerel olarak ve üretimde hizmet sorumlularıyla çalışırken ClientSecretCredential nasıl kullanılacağı gösterilmektedir.

Kodu uygulama

Azure.Identity paketini ekleyin. ASP.NET Core projesinde Microsoft.Extensions.Azure paketini de yükleyin:

Komut Satırı
NuGet Paket Yöneticisi

Seçtiğiniz bir terminalde uygulama projesi dizinine gidin ve aşağıdaki komutları çalıştırın:

dotnet add package Azure.Identity
dotnet add package Microsoft.Extensions.Azure

Azure hizmetlerine çeşitli Azure SDK istemci kitaplıklarından özel istemci sınıfları kullanılarak erişilir. Bu sınıflar ve kendi özel hizmetleriniz, uygulamanızda kullanılabilmesi için bağımlılık ekleme için kayıtlı olmalıdır. Program.cs'de, bağımlılık ekleme ve belirteç tabanlı kimlik doğrulaması için bir istemci sınıfı yapılandırmak üzere aşağıdaki adımları tamamlayın:

ve ad alanlarını yönergeleri aracılığıyla ekleyin.
İlgili Add ön ekli uzantı yöntemini kullanarak Azure hizmet istemcisini kaydedin.
tenantId, clientIdve clientSecretile ClientSecretCredential yapılandırın.
ClientSecretCredential örneğini UseCredential yöntemine geçirin.

builder.Services.AddAzureClients(clientBuilder =>
{
    var tenantId = Environment.GetEnvironmentVariable("AZURE_TENANT_ID");
    var clientId = Environment.GetEnvironmentVariable("AZURE_CLIENT_ID");
    var clientSecret = Environment.GetEnvironmentVariable("AZURE_CLIENT_SECRET");

    clientBuilder.AddBlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"));

    clientBuilder.UseCredential(new ClientSecretCredential(tenantId, clientId, clientSecret));
});

UseCredential yönteminin alternatifi, kimlik bilgilerini doğrudan hizmet istemcisine sağlamaktır:

var tenantId = Environment.GetEnvironmentVariable("AZURE_TENANT_ID");
var clientId = Environment.GetEnvironmentVariable("AZURE_CLIENT_ID");
var clientSecret = Environment.GetEnvironmentVariable("AZURE_CLIENT_SECRET");

builder.Services.AddSingleton<BlobServiceClient>(_ =>
    new BlobServiceClient(
        new Uri("https://<account-name>.blob.core.windows.net"),
        new ClientSecretCredential(tenantId, clientId, clientSecret)));

Aracılığıyla paylaş