.NET<\/em> d\u00fcnyas\u0131nda bu tarz ihtiya\u00e7lar i\u00e7in genellikle Identity Server<\/em>\u00a0configure edilerek kullan\u0131lmaktad\u0131r. Elbette di\u011fer servis’lerde de oldu\u011fu gibi identity servis’inin de g\u00fcvenli\u011fini, \u00f6l\u00e7eklenebilirli\u011fini ve hosting’ini y\u00f6netiyor olmam\u0131z gerekmektedir. \u00d6te yandan alternatif olarak Azure AD B2C<\/em> kullanarak bu servis’in g\u00fcvenli\u011fini<\/strong>, \u00f6l\u00e7eklenebilirli\u011fini<\/strong>, GDPR<\/em> gibi veri koruma<\/strong> y\u00f6netmeliklerine uyumlulu\u011funu ve benzeri karma\u015f\u0131kl\u0131klar\u0131 bizim yerimize Azure<\/em>‘un \u00fcstlenmesini sa\u011flayabilir ve do\u011frudan kendi core business’\u0131m\u0131za odaklana da biliriz.<\/p>\n Azure<\/em>‘un sunmu\u015f oldu\u011fu bu servis, consumer identity ve access management konusunda bizlere bir \u00e7ok fonksiyonalite ve esneklikler<\/strong> sunmaktad\u0131r.<\/p>\n \u015eimdi daha konuyu iyi anlayabilmek ad\u0131na, Azure AD B2C<\/em> ile basit bir \u00f6rnek ger\u00e7ekle\u015ftirelim.<\/p>\n Azure AD B2C<\/em> kullanabilmemiz i\u00e7in \u00f6ncelikle bir tenant olu\u015fturmam\u0131z gerekmektedir. Tenant’\u0131 bir organization’a ait olan t\u00fcm kullan\u0131c\u0131 bilgilerini, uygulama ve API<\/em> kay\u0131tlar\u0131n\u0131 ve policy gibi \u00e7e\u015fitli resource’lar\u0131n\u0131 bar\u0131nd\u0131ran isolated bir container olarak d\u00fc\u015f\u00fcnebiliriz.<\/p>\n \u00d6ncelikle bir tenant olu\u015fturabilmek i\u00e7in buradaki<\/em><\/a> ad\u0131mlar\u0131 takip edelim. Ben “MyTodo<\/em>” ad\u0131nda bir organization olu\u015fturdum. Tenant’\u0131 olu\u015fturduktan sonra ise kullanmaya ba\u015flayabilmek i\u00e7in ilgili tenant’\u0131 i\u00e7eren directory’e ge\u00e7i\u015f yapmam\u0131z gerekmektedir. Bunun i\u00e7in Azure<\/em> portal \u00fczerinden “Directories + subscriptions<\/em>” b\u00f6l\u00fcm\u00fcne gidelim ve olu\u015fturmu\u015f oldu\u011fumuz directory’e ge\u00e7i\u015f i\u015flemini ger\u00e7ekle\u015ftirelim.<\/p>\n Ge\u00e7i\u015f i\u015flemini ger\u00e7ekle\u015ftirdikten sonra art\u0131k identity access i\u015flemleri i\u00e7in Azure AD B2C<\/em>‘yi configure etmeye ba\u015flayabiliriz.<\/p>\n Azure AD B2C<\/em> i\u00e7erisinde consumer identity ve access management i\u015flemleri i\u00e7in kullan\u0131c\u0131lar\u0131n takip etmeleri gereken \u00e7e\u015fitli business logic’ler tan\u0131mlayabilmekteyiz. Bu i\u015flemleri ise iki farkl\u0131 \u015fekilde ger\u00e7ekle\u015ftirebilmekteyiz. E\u011fer kompleks bir s\u00fcrecimiz yoksa, \u00f6rne\u011fin REST<\/em> \u00e7a\u011fr\u0131lar\u0131 yapmay\u0131 gerektiren i\u015flemler gibi, hali haz\u0131rda sunulmu\u015f olan user flow’lar\u0131 h\u0131zl\u0131ca kullanmaya ba\u015flayabiliriz. E\u011fer kompleks bir s\u00fcrece sahipsek ve policy-driven bir yakla\u015f\u0131ma ihtiyac\u0131m\u0131z varsa, ozaman kendi custom XML<\/em>-based policy’lerimizi tan\u0131mlamam\u0131z gerekmektedir.<\/p>\n Bu makale kapsam\u0131nda ise predefined sunulan user flow’lar\u0131 nas\u0131l kullanabilece\u011fimize bir bakaca\u011f\u0131z. Predefined sunulan user flow’lar ile consumer identity ve access management ad\u0131na ihtiyac\u0131m\u0131z olacak olan bir \u00e7ok i\u015femleri kolayl\u0131kla ve h\u0131zl\u0131 bir \u015fekilde ger\u00e7ekle\u015ftirebilmekteyiz.<\/p>\n Bu i\u015flemlerin baz\u0131lar\u0131<\/strong>;<\/p>\n G\u00f6rd\u00fc\u011f\u00fcm\u00fcz gibi ihtiyac\u0131m\u0131z olabilecek standart bir \u00e7ok \u00f6zellik user flow’lar ile esnek bir \u015fekilde bizlere sa\u011flanmaktad\u0131r.<\/p>\n \u015eimdi h\u0131zl\u0131ca ilk user flow’u tan\u0131mlayal\u0131m. Bunun i\u00e7in olu\u015fturmu\u015f oldu\u011fumuz Azure AD B2C<\/em> instance’\u0131na gidelim ve “Policies<\/em>” men\u00fcs\u00fc alt\u0131nda bulunan “User flows<\/em>” a t\u0131klayal\u0131m. Ard\u0131ndan “New user flow<\/em>” a t\u0131klayarak “Sign up and sign in<\/em>” se\u00e7ene\u011fini se\u00e7elim. \u0130sminden de anla\u015f\u0131labilece\u011fi \u00fczere kullan\u0131c\u0131lar\u0131n sistemimize \u00fcye olup, giri\u015f yapabilecekleri flow’u configure edece\u011fiz. “Version<\/em>” olarak ise recommended olan\u0131 se\u00e7elim ve flow’u a\u015fa\u011f\u0131daki gibi configure edelim. Ard\u0131ndan olu\u015fturacak oldu\u011fumuz flow’un ismini, daha sonra kullanmak \u00fczere not alal\u0131m.<\/p>\n Burada g\u00f6rd\u00fc\u011f\u00fcm\u00fcz gibi MFA<\/em>‘\u0131 etkinle\u015ftirebilmekte ve kullan\u0131c\u0131dan almak istedi\u011fimiz bilgileri ve token i\u00e7erisinde claim olarak saklamak istedi\u011fimiz bilgileri configure edebilmekteyiz. Ayr\u0131ca flow olu\u015fturulduktan sonra da farkl\u0131 configuration’lar ger\u00e7ekle\u015ftirebilmekteyiz.<\/p>\n Customer-facing bir Web App <\/em>geli\u015ftirece\u011fimizi d\u00fc\u015f\u00fcnelim ve geli\u015ftirme s\u00fcrecini basitle\u015ftirebilmek ve h\u0131zland\u0131rabilmek ad\u0131na identity access ve management i\u015flemlerini Azure AD B2C<\/em>‘ye delege etmek istedi\u011fimizi varsayal\u0131m. Ayr\u0131ca bu Web App<\/em>‘in arka planda bir Web API<\/em>‘\u0131 da g\u00fcvenli bir \u015fekilde consume etmesini istedi\u011fimizi d\u00fc\u015f\u00fcnelim.<\/p>\n \u0130lk olarak a\u015fa\u011f\u0131daki komut sat\u0131r\u0131 ile MyTodoOrgWeb<\/em> ad\u0131nda bir .NET 7<\/em> Web App<\/em> projesi olu\u015ftural\u0131m.<\/p>\n Burada “auth<\/em>” opsiyonunu “IndividualB2C<\/em>” olarak belirtti\u011fimiz i\u00e7in, .NET CLI<\/em> Azure AD B2C<\/em>‘yi kullanabilmemiz i\u00e7in gerekli olan template’i “OpenID Connect<\/em>” configuration’\u0131 ile birlikte bizim i\u00e7in otomatik olarak olu\u015fturmaktad\u0131r.<\/p>\n \u015eimdi bu projeyi configure etmeden \u00f6nce, ilk olarak onu olu\u015fturmu\u015f oldu\u011fumuz tenant i\u00e7erisinde tan\u0131mlamam\u0131z gerekmektedir. B\u00f6ylece authentication i\u015flemlerini Azure AD B2C<\/em> ile ger\u00e7ekle\u015ftirebilece\u011fiz. Bunun i\u00e7in Azure AD B2C<\/em> instance’\u0131na gidelim ve sol men\u00fcden “App registration<\/em>” sekmesini se\u00e7elim. Ard\u0131ndan “New registration<\/em>” a t\u0131klayarak a\u015fa\u011f\u0131daki gibi tan\u0131mlama i\u015flemini yapal\u0131m.<\/p>\n \u0130sim olarak buraya “MyTodoOrgWeb<\/em>” verelim ve “Supported account types<\/em>” se\u00e7ene\u011fini de sonuncu olan se\u00e7ene\u011fi se\u00e7elim. “Redirect URI<\/em>” olarak ise .NET CLI<\/em> ile olu\u015fturmu\u015f oldu\u011fumuz \u00f6rnek proje template’i i\u00e7erisinde de default olarak gelen, “signin-oidc<\/em>” callback adresini belirtelim.<\/p>\n App registration i\u015flemini tamamlad\u0131ktan sonra ise “Authentication<\/em>” tab’\u0131na gidelim ve OpenID Connect <\/em>ile sign in i\u015flemini h\u0131zl\u0131 bir \u015fekilde ger\u00e7ekle\u015ftirebilmek i\u00e7in \u015fimdilik implicit grant flow’u “Access tokens<\/em>” ve “ID tokens<\/em>” se\u00e7eneklerini se\u00e7erek etkinle\u015ftirelim. Daha sonra bir Web API<\/em> \u00e7a\u011f\u0131rma a\u015famas\u0131na ge\u00e7ti\u011fimizde ise implicit grant flow’u kapatarak, daha secure olabilmesi a\u00e7\u0131s\u0131ndan authorization code flow<\/strong>‘u etkinle\u015ftiriyor olaca\u011f\u0131z. \u00c7\u00fcnk\u00fc implicit grant flow’da ilgili token’lar redirect’ler s\u0131ras\u0131nda URL <\/em>‘lerin query parametreleri i\u00e7erisinde iletildi\u011fi i\u00e7in, kolayl\u0131kla intercept edilebilme riskleri bulunmaktad\u0131r.<\/p>\n Ard\u0131ndan “Certificates & secrets<\/em>” tab’\u0131na giderek \u015fimdiden\u00a0bir client secret tan\u0131mlayal\u0131m. Bu secret “MyTodoOrgWeb<\/em>” ‘in bir sonraki a\u015famada olu\u015fturacak oldu\u011fumuz Web API <\/em>‘\u0131 g\u00fcvenli bir \u015fekilde consume edebilmesi i\u00e7in kullan\u0131lacak.<\/p>\n \u015eimdi ufak bir test yapabiliriz.<\/p>\n \u00d6ncelikle “MyTodoOrgWeb<\/em>” uygulamas\u0131n\u0131n “appsettings.json<\/em>” dosyas\u0131n\u0131 a\u015fa\u011f\u0131daki gibi olu\u015fturmu\u015f oldu\u011fumuz bilgiler do\u011frultusunda g\u00fcncelleyelim.<\/p>\n Ard\u0131ndan “MyTodoOrgWeb<\/em>” uygulamas\u0131n\u0131 \u00e7al\u0131\u015ft\u0131ral\u0131m ve “Sign in<\/em>” butonuna basal\u0131m.<\/p>\n Bu noktada bizi y\u00f6nlendirmi\u015f oldu\u011fu “Sign up and sign in<\/em>” user flow <\/em>unun\u00a0URL<\/em> ‘i i\u00e7erisine bakarsak, “response_type=id_token<\/em>” query parametresinin set edildi\u011fini g\u00f6rebiliriz. Yani burada sign in i\u015flemi sonucunda bir “id_token<\/em>” elde ediyor olaca\u011f\u0131z.<\/p>\n G\u00f6rd\u00fc\u011f\u00fcm\u00fcz .NET CLI<\/em> ile olu\u015fturmu\u015f oldu\u011fumuz Web App<\/em> template’i\u00a0ve Azure AD B2C <\/em>user flow’lar\u0131 sayesinde kolay ve h\u0131zl\u0131 bir \u015fekilde sign up ve sign in i\u015flemlerini ger\u00e7ekle\u015ftirebilen bir yap\u0131ya sahip olduk.<\/p>\n \u015eimdi ise bu Web App<\/em> \u00fczerinden Azure AD B2C<\/em> ile g\u00fcvenli bir hale getirilmi\u015f (getirece\u011fimiz) bir Web API <\/em>‘a nas\u0131l eri\u015fim sa\u011flayabiliriz bir ona bakal\u0131m.<\/p>\n Yine .NET CLI <\/em>‘\u0131 kullanarak “MyTodoOrgAPI<\/em>” ad\u0131nda \u00f6rnek bir .NET 7<\/em> Web API <\/em>projesi\u00a0olu\u015ftural\u0131m.<\/p>\n .NET CLI<\/em> bize yine authentication ve authorization i\u015flemleri i\u00e7in Azure AD B2C <\/em>kullanan bir API<\/em> template’i olu\u015fturacakt\u0131r.<\/p>\n Ard\u0131ndan daha \u00f6nce yapt\u0131\u011f\u0131m\u0131z gibi projenin configuration i\u015flemine ba\u015flamadan \u00f6nce tenant i\u00e7erisinde tan\u0131mlama i\u015flemini ger\u00e7ekle\u015ftirelim.<\/p>\n Bu sefer “Supported account types<\/em>” olarak “Accounts in this organizational directory only…<\/em>” se\u00e7ene\u011fini se\u00e7elim.<\/p>\n App registration i\u015flemini tamamlad\u0131ktan sonra ise \u015fimdi bu API<\/em> \u00fczerinde fine-grained bir access kontrole sahip olabilmemiz i\u00e7in, scope’lardan yararlanaca\u011f\u0131z. Scope’lar sayesinde bir\u00a0API <\/em>‘\u0131n farkl\u0131 endpoint’lerine veya fonksiyonalitelerini olan eri\u015fimi, client’lar<\/strong> baz\u0131nda s\u0131n\u0131rlayabilmekteyiz.<\/p>\n Bunun i\u00e7in \u00f6ncelikle “Expose an API<\/em>” tab’\u0131na ge\u00e7elim ve scope’lar i\u00e7in prefix olarak kullan\u0131lacak olan “Application ID URI<\/em>” bilgisini d\u00fczenleyelim. Ben “mytodoorgapi<\/em>” de\u011ferini verdim. Ard\u0131ndan “Add a scope<\/em>” butonuna basal\u0131m ve a\u015fa\u011f\u0131daki gibi “read<\/em>” ad\u0131nda \u00f6rnek bir scope ekleyelim.<\/p>\n K\u0131saca bu API<\/em> ‘\u0131\u00a0kullan\u0131c\u0131 ad\u0131na \u00e7a\u011f\u0131racak olan client’\u0131n, “read<\/em>” scope’una sahip olmas\u0131 beklenecektir.<\/p>\n Dolay\u0131s\u0131yla “MyTodoOrgWeb<\/em>” ‘in “MyTodoOrgAPI<\/em>” ‘\u0131na eri\u015fim sa\u011flayabilmesi i\u00e7in, tan\u0131mlam\u0131\u015f oldu\u011fumuz bu scope’a eri\u015fim iznini vermemiz gerekmektedir. Bunun i\u00e7in Azure AD B2C<\/em> \u00fczerinden “MyTodoOrgWeb<\/em>” uygulamas\u0131na gidelim ve “API permissions<\/em>” tab’\u0131na ge\u00e7elim. Ard\u0131ndan “Add permission<\/em>” butonuna t\u0131klayal\u0131m ve “APIs my organization uses<\/em>” sekmesi alt\u0131ndan tan\u0131mlam\u0131\u015f oldu\u011fumuz API<\/em> ‘\u0131 bularak “read<\/em>” scope’unu se\u00e7elim.<\/p>\nAzure AD B2C<\/h2>\n
![\"\"](\"\/wp-content\/uploads\/2023\/05\/azureadb2c-overview.png\")
<\/a><\/p>\n\n
Bir Azure AD B2C Tenant’\u0131 Olu\u015ftural\u0131m<\/h2>\n
<\/a><\/p>\n<\/a>\n
User Flow Olu\u015ftural\u0131m<\/h3>\n
<\/a><\/p>\n<\/a>\u00d6rne\u011fin attribute’leri de\u011fi\u015ftirebilir, \u00e7e\u015fitli a\u015famalarda \u00e7a\u011fr\u0131lmak \u00fczere API<\/em> connector’leri ekleyebilir veya UI<\/em> layout’unu de\u011fi\u015ftirebiliriz.<\/p>\n\u00d6rnek Bir Proje Olu\u015ftural\u0131m<\/h3>\n
Web App \u0130le Ba\u015flayal\u0131m<\/strong><\/h4>\n
dotnet new webapp -n MyTodoOrgWeb<\/em> --auth IndividualB2C<\/span><\/pre>\n<\/a><\/p>\n<\/a><\/p>\n{\n \"AzureAdB2C\": {\n \"Instance\": \"https:\/\/YOUR_ORGANIZATION.b2clogin.com\/\",\n \"ClientId\": \"CLIENT_ID\",\n \"CallbackPath\": \"\/signin-oidc\",\n \"Domain\": \"YOUR_ORGANIZATION.onmicrosoft.com\",\n \"SignedOutCallbackPath\": \"\/signout\/B2C_1_CreateUserFlow\",\n \"SignUpSignInPolicyId\": \"B2C_1_CreateUserFlow\",\n \"ClientSecret\": \"YOUR_CLIENT_SECRET\"\n },\n \"Logging\": {\n \"LogLevel\": {\n \"Default\": \"Information\",\n \"Microsoft.AspNetCore\": \"Warning\"\n }\n },\n \"AllowedHosts\": \"*\"\n}<\/pre>\n<\/a><\/p>\nWeb API Olu\u015ftural\u0131m<\/strong><\/h4>\n
dotnet new webapi -n MyTodoOrgAPI<\/em> --auth IndividualB2C<\/span><\/pre>\n<\/a><\/p>\n<\/a><\/p>\n
![](\"\/wp-content\/uploads\/2023\/11\/auth_code_flow.jpg\"){kind=link}