Uygulamaları kaydetme

Microsoft kimlik platformu uygulama kayıt portalı, kimlik doğrulaması ve ilişkili gereksinimler için platformu kullanan uygulamaların birincil giriş noktasıdır. Geliştirici olarak, uygulamalarınızı kaydederken ve yapılandırırken yaptığınız seçimler, uygulamanızın Sıfır Güven ilkelerine ne kadar uyduğundan emin olur ve bunu etkiler. Etkili uygulama kaydı özellikle en az ayrıcalıklı erişim kullanma ve ihlal varsayma ilkelerini dikkate alır. Bu makale, uygulama kayıt işlemi hakkında bilgi edinmenize ve uygulamalarınızın güvenlikle ilgili Sıfır Güven bir yaklaşım izlemesini sağlamaya yönelik gereksinimleri hakkında bilgi edinmenize yardımcı olur.

Microsoft Entra ID'de (Microsoft Entra ID) uygulama yönetimi, bulutta güvenli bir şekilde uygulama oluşturma, yapılandırma, yönetme ve izleme işlemidir. Uygulamanızı bir Microsoft Entra kiracısında kaydettiğinizde, güvenli kullanıcı erişimini yapılandırmış olursunuz.

Microsoft Entra Id, uygulamaları uygulama nesnelerine ve hizmet sorumlularına göre temsil eder. Bazı özel durumlar için uygulamalar uygulama nesneleridir. Hizmet sorumlusunu, uygulama nesnesine başvuran bir uygulamanın örneği olarak düşünün. Dizinler arasında birden çok hizmet sorumlusu tek bir uygulama nesnesine başvurabilir.

Uygulamanızı üç yöntemle Microsoft Entra Id kullanacak şekilde yapılandırabilirsiniz: Visual Studio'da, Microsoft Graph API'sini veya PowerShell'i kullanarak. Azure'da ve geliştirici merkezleri arasında API Gezgini'nde geliştirici deneyimleri vardır. Microsoft kimlik platformu güvenli uygulamalar oluşturmak ve dağıtmak için geliştirici ve BT Uzmanı rolleri için gerekli kararlara ve görevlere başvurun.

Uygulamaları kim ekleyebilir ve kaydedebilir?

Yöneticiler ve kiracı tarafından izin verilirse, kullanıcılar ve geliştiriciler Uygulamaları Azure portalına kaydederek uygulama nesneleri oluşturabilir. Varsayılan olarak, bir dizindeki tüm kullanıcılar geliştirdikleri uygulama nesnelerini kaydedebilir. Hangi uygulamaların paylaşıldığına uygulama nesnesi geliştiricileri karar verir ve onay yoluyla kuruluş verilerine erişim verir.

Dizindeki ilk kullanıcı bir uygulamada oturum açtığında ve onay verdiğinizde, sistem kiracıda tüm kullanıcı onay bilgilerini depolayan bir hizmet sorumlusu oluşturur. Microsoft Entra Id, kullanıcı kimlik doğrulamasından önce kiracıda yeni kaydedilen bir uygulama için otomatik olarak bir hizmet sorumlusu oluşturur.

En azından Uygulama Yöneticisi veya Bulut Uygulaması Yöneticisi rolüne atananlar belirli uygulama görevlerini gerçekleştirebilir (uygulama galerisinden uygulama ekleme ve uygulamaları uygulama ara sunucusunu kullanacak şekilde yapılandırma gibi).

Uygulama nesnelerini kaydetme

Geliştirici olarak, Microsoft kimlik platformu kullanan uygulamalarınızı kaydedersiniz. Uygulamalarınızı Azure portalına veya Microsoft Graph uygulama API'lerini çağırarak kaydedin. Uygulamanızı kaydettikten sonra uç noktaya istek göndererek Microsoft kimlik platformu ile iletişim kurar.

Uygulama kaydı oluşturma veya değiştirme izniniz olmayabilir. Yöneticiler uygulamalarınızı kaydetmeniz için size izin vermediğinde, onlara gerekli uygulama kayıt bilgilerini nasıl iletebileceğinizi sorun.

Uygulama kayıt özellikleri aşağıdaki bileşenleri içerebilir.

• Ad, logo ve yayımcı
• Tekdüzen Kaynak Tanımlayıcılarını Yeniden Yönlendirme (URI)
• Gizli diziler (uygulamanın kimliğini doğrulamak için kullanılan simetrik ve/veya asimetrik anahtarlar)
• API bağımlılıkları (OAuth)
• Yayımlanan API'ler/kaynaklar/kapsamlar (OAuth)
• Rol tabanlı erişim denetimi için uygulama rolleri
• Çoklu oturum açma (SSO), kullanıcı sağlama ve ara sunucu için meta veriler ve yapılandırma

Uygulama kaydının gerekli bir parçası, kullanıcının hesap türüne göre uygulamanızı kimlerin kullanabileceğini tanımlamak için desteklenen hesap türleri seçiminizdir. Microsoft Entra yöneticileri, Uygulama kayıtları deneyimi aracılığıyla Azure portalındaki uygulama nesnelerini yönetmek için uygulama modelini izler ve hizmete uygulamaya belirteçlerin nasıl verileceğini belirten uygulama ayarlarını tanımlar.

Kayıt sırasında uygulamanızın kimliğini alırsınız: uygulama (istemci) kimliği. Uygulamanız, Microsoft kimlik platformu üzerinden her işlem gerçekleştirişinde istemci kimliğini kullanır.

Uygulama kaydı en iyi yöntemleri

Uygulamanızı iş kullanımının kritik bir parçası olarak Microsoft Entra ID'ye kaydederken uygulama özellikleri için en iyi güvenlik uygulamalarını izleyin. Kuruluşun tamamını etkileyebilecek kapalı kalma süresini veya güvenliği aşmayı önlemeyi hedefleyin. Aşağıdaki öneriler, güvenli uygulamanızı Sıfır Güven ilkelerine göre geliştirmenize yardımcı olur.

• Yüksek kaliteli ve güvenli tümleştirme sağlamak için Microsoft kimlik platformu tümleştirme denetim listesini kullanın. Uygulamanızın kalitesini ve güvenliğini koruyun.
• Yeniden yönlendirme URL'lerinizi düzgün bir şekilde tanımlayın. Uyumluluk ve güvenlik sorunlarını önlemek için Yeniden Yönlendirme URI'si (yanıt URL'si) kısıtlamalarına ve sınırlamalarına başvurun.
• Etki alanı devralmalarını önlemek için uygulama kaydınızdaki yeniden yönlendirme URI'lerini sahip olup olmadığını denetleyin. Yeniden yönlendirme URL'leri, bildiğiniz ve sahip olduğunuz etki alanlarında olmalıdır. Gereksiz ve kullanılmayan URI'leri düzenli olarak gözden geçirin ve kaldırın. Üretim uygulamalarında https olmayan URI'leri kullanmayın.
• Kiracınızdaki kayıtlı uygulamalarınız için uygulama ve hizmet sorumlusu sahiplerini her zaman tanımlayın ve koruyun. Yalnız bırakılmış uygulamalardan (atanmış sahipler olmadan uygulamalar ve hizmet sorumluları ) kaçının. BT yöneticilerinin acil bir durum sırasında uygulama sahiplerini kolayca ve hızlı bir şekilde tanımlayabilmesini sağlayın. Uygulama sahibi sayısını küçük tutun. Güvenliği aşılmış bir kullanıcı hesabının birden çok uygulamayı etkilemesini zorlaştırma.
• Birden çok uygulama için aynı uygulama kaydını kullanmaktan kaçının. Uygulama kayıtlarını ayırmak, en az ayrıcalıklı erişimi etkinleştirmenize ve ihlal sırasında etkiyi azaltmanıza yardımcı olur.
  • Api aracılığıyla verileri ve işlemleri kullanıma sunan kullanıcılar ve uygulamalar için ayrı uygulama kayıtları kullanın (sıkı bir şekilde bağlı olmadığı sürece). Bu yaklaşım, Microsoft Graph ve kimlik bilgileri (gizli diziler ve sertifikalar gibi) gibi daha yüksek ayrıcalıklı bir API için oturum açıp kullanıcılarla etkileşim kuran uygulamalardan uzakta izinlere izin verir.
  • Web uygulamaları ve API'ler için ayrı uygulama kayıtları kullanın. Bu yaklaşım, web API'si daha yüksek bir izin kümesine sahipse istemci uygulamasının bunları devralmamasını sağlamaya yardımcı olur.
• Uygulamanızı yalnızca gerektiğinde çok kiracılı bir uygulama olarak tanımlayın. Çok kiracılı uygulamalar , sizinki dışındaki kiracılarda sağlama sağlar. İstenmeyen erişimi filtrelemek için daha fazla yönetim yükü gerektirir. Uygulamanızı çok kiracılı bir uygulama olarak geliştirmeyi düşünmüyorsanız AzureADMyOrg SignInAudience değeriyle başlayın.

Sonraki adımlar

• Uygulama türlerini kaydetmeyi öğrenmek için Microsoft kimlik platformu belgelerine başvurun. Tek sayfalı uygulamalar (SPA), web uygulamaları, web API'leri, masaüstü uygulamaları, mobil uygulamalar ve arka plan hizmetleri, daemon'lar ve betikler örnek uygulama türleridir.
• Azure Active Directory B2C için Yeni Uygulama kayıtları deneyimi makalesi, eski deneyimin yerini alan yeni deneyimi tanımanıza yardımcı olur.
• Uygulamaları Microsoft Entra ID ile tümleştirme ve Microsoft kimlik platformu, geliştiricilerin BT uzmanlarının kuruluşta güvenliğini sağlayabildiği uygulamalar oluşturmasına ve tümleştirmesine yardımcı olur.
• Kaynaklara erişmek için yetkilendirme alma, uygulamanız için kaynak erişim izinleri alırken Sıfır Güven en iyi şekilde nasıl sağlayacağınızı anlamanıza yardımcı olur.
• Yetkilendirme en iyi yöntemleri , uygulamalarınız için en iyi yetkilendirme, izin ve onay modellerini uygulamanıza yardımcı olur.