İçindekiler

012026'da Microsoft Graph OAuth'un pazarlık edilemez olmasının nedenleri 02Microsoft'un Desteklediği 3 OAuth Akışı 03Microsoft Entra uygulama kaydı (7 adım) 04Doğru yetkilendirme uç noktasını seçme

05E-posta kapsamları derinlemesine inceleme 06Delegated vs Uygulama izinleri 07Yönetici onayı akışı 08Auth kodu + PKCE adım adım anlatım

09Yenileme jetonu yönetimi 10Yaygın AADSTS Hataları Çözümleniyor 11Unipile alternatifi 12SSS

Microsoft Graph OAuth 2026

Microsoft Graph OAuthOutlook ve Microsoft 365 Posta Kutularını Kimlik Doğrulama

Q: Microsoft Graph OAuth, hem Outlook.com hem de Microsoft 365 hesapları için çalışır mı?

Evet. /common yetki uç noktasını kullanarak, tek bir Microsoft Entra uygulama kaydı hem kişisel Outlook.com hesapları hem de Microsoft 365 iş/okul hesapları için kimlik doğrulaması sağlar. Anahtar, uygulamanızı kaydederken 'Herhangi bir kuruluş dizinindeki hesaplar ve kişisel Microsoft hesapları' seçmektir.

Q: Microsoft Graph OAuth aracılığıyla Outlook e-postalarını okumak için yönetici onayı gerekiyor mu?

Hayır, standart Delegated izinler için. Mail.Read, Mail.ReadWrite ve Mail.Send kullanıcı onayı kapsamlarıdır - bireysel kullanıcılar BT yöneticisi müdahalesi olmadan OAuth akışı sırasında bunları onaylayabilir. Yönetici onayı yalnızca Uygulama izinleri veya User.Read.All gibi yüksek ayrıcalıklı kapsamlar için gereklidir.

Q: Microsoft Graph yenileme belirteçleri ne kadar süreyle geçerlidir?

Microsoft Graph yenileme belirteçleri 90 günlük etkinlik sonrasında süresi dolar. Kullanıcı uygulamanızı aktif olarak kullandığı sürece ve erişim belirtecini süresi dolmadan yenilediğiniz sürece, yenileme belirteci kullanıldığında yenilenir. Koşullu Erişim ilkesi değişiklikleri, yönetici tarafından geri alma veya parola değişiklikleri de 90 günlük süreden önce yenileme belirteçlerini geçersiz kılabilir.

Q: AADSTS65001 ve AADSTS90099 arasındaki fark nedir?

AADSTS65001, kullanıcının uygulamanızın istediği belirli kapsamları henüz onaylamadığı anlamına gelir. Düzeltme: Yetkilendirme URL'nize prompt=consent ekleyin. AADSTS90099, tüm uygulamanın o kullanıcı kiracısında yetkilendirilmediği anlamına gelir. Düzeltme: Yönetici onayı URL'sini kiracı yöneticisine gönderin.

Q: Her iki e-posta okuma ve gönderme işlemi için aynı Entra uygulama kaydını kullanabilir miyim?

Evet. Aynı kapsam dizesinde hem Mail.ReadWrite hem de Mail.Send'i isteyin. Mail.ReadWrite ve Mail.Send'in ayrı kapsamlar olduğunu unutmayın - okuma/yazma erişimine sahip olmak otomatik olarak gönderme izni vermez. Yenileme belirteci aldığınızdan emin olmak için her zaman offline_access'ı ekleyin.

Q: Unipile Microsoft ile bağlantılı mı?

Hayır. Unipile, Microsoft ile bağlantılı değildir, onaylanmamıştır veya sponsorluğunda değildir. Unipile, kimliği doğrulanmış son kullanıcılar adına genel Microsoft Graph API'sini kullanan bağımsız bir teknik aracıdır. Her entegrasyon, o kullanıcının kendi kimliği ve kuruluşlarının Koşullu Erişim ilkeleri kapsamında Microsoft tarafından verilen OAuth jetonları aracılığıyla çalışır.

Microsoft Graph OAuth'a 2026 yönelik eksiksiz bir kılavuz için SaaS geliştiricileri. Microsoft Entra uygulama kaydı, yetkilendirme uç noktaları, Posta kapsamları, vekalet edilen vs. uygulama izinleri, yönetici onayı, kimlik doğrulama kodu + PKCE, yenileme belirteci döndürme, AADSTS hata kodları ve Unipile'ın 5 haftalık OAuth tesisatını 5 dakikada nasıl ortadan kaldırdığını kapsar.

Unipile ile oluşturun MS Graph Rehberi

link_outlook_hesabı.py

İthalat istekleri

# 1. Adım: Barındırılan kimlik doğrulama bağlantısı oluştur
response = requests.POST(
    "https://apiXXX.unipile.com:XXX
     /api/v1/hosted/accounts/link",
    başlıklar="X-API-ANAHTAR": api_anahtar},
    json={
        "tip": "oluştur",
        "sağlayıcılar": ["MİKROSOFT"],
        "api_urlsi": veritabanı_bağlantı_tanımlayıcınız,
        "geçerlilikSüresi": "31-12-2026T23:59:59Z"
    }
)

# 2. Adım: Kullanıcıyı URL'ye yönlendirin
auth_url = response.json()["url"]
# Unipile, OAuth akışının tamamını yönetir
# (Entra, kapsamlar, jetonlar ve yenileme dahil)

Microsoft OAuth işlendi. Posta kutusu hazır.

2026 Bağlam

2026'da Microsoft Graph OAuth Neden Pazarlıksız Bir Hale Geliyor

Eğer SaaS uygulamanız Outlook veya Microsoft 365 e-postalarını okuyor, gönderiyor veya senkronize ediyorsa, Microsoft Graph OAuth artık isteğe bağlı değil. Üç büyük kullanımdan kaldırma, Temel Kimlik Doğrulamayı, eski protokolleri ve uygulama parolalarını geçersiz kılmıştır. Microsoft Graph API aracılığıyla OAuth 2.0, tek desteklenen yoldur.

Exchange Online'da Temel Kimlik Doğrulama Ekim 2022'de tamamen devre dışı bırakıldı. Federasyon hesapları için uygulama parolaları kaldırıldı. SMTP AUTH yeni kiracılarda varsayılan olarak devre dışıdır. Microsoft, üretim uygulamaları için desteklenen tek kimlik doğrulama yöntemi olarak OAuth 2.0'ı belirledi. Exchange'e karşı hala kullanıcı adı/parola kimlik bilgilerini kullanan herhangi bir kod tabanı sessizce başarısız olacak veya 401 hatası döndürecektir.

Temel Kimlik Doğrulama - Tamamen Kullanımdan Kaldırıldı

Microsoft, Ekim 2022'de Exchange Online için Temel Kimlik Doğrulamayı devre dışı bıraktı. Bu durum IMAP, POP3, SMTP, EWS, MAPI, OAB, Outlook Anywhere ve RPC over HTTP'yi etkiler. Hiçbir istisna, uzatılan ek süre yoktur.

Ekim 2022'de devre dışı bırakıldı

EWS - Gün Batımı Zamanlaması

Exchange Web Services (EWS) bakım modunda. Microsoft yeni özellik duyurmadı ve Microsoft Graph'a geçişi öneriyor. Henüz tamamen kapatılmamış olsa da, 2026'da EWS üzerine yeni entegrasyonlar oluşturmak pişman olacağınız bir teknik borç kararı olacaktır.

Bakım Modu

OAuth 2.0 - Gerekli Standart

Microsoft Entra ID (eski adıyla Azure AD) aracılığıyla Microsoft Graph OAuth, 2026'da Outlook ve Microsoft 365 posta kutularına erişen üretim SaaS uygulamaları için resmi olarak desteklenen tek kimlik doğrulama yöntemidir. Bu kılavuz, tam uygulamayı kapsar.

Gerekli Standart

Microsoft Graph OAuth'ın açtığı şeyler

Kimliği doğrulanmış kullanıcılar adına Outlook posta kutularını oku, gönder ve eşitle

Tek bir uygulama kaydı ile Microsoft 365 ve kişisel Outlook.com posta kutularına erişin

Uzun ömürlü yenileme jetonları ve otomatik döndürme (aktif kullanıcılar için yeniden kimlik doğrulama yok)

Granüler kapsam kontrolü: uygulamanızın gerçekten ihtiyaç duyduğu izinleri isteyin

Çok kiracılı destek: tek uygulama kaydı tüm müşteri kiracılarına hizmet eder

Kurumsal Koşullu Erişim ve MFA politikalarına uyum

OAuth Akışları

Microsoft'un Desteklediği 3 OAuth Akışı (ve SaaS'ın İhtiyacı Olan)

Microsoft'un kimlik platformu birkaç OAuth 2.0 yetkilendirme türünü destekler. Yanlış olanı seçmek, boşa harcanan mühendislik zamanının yaygın bir nedenidir. İşte kullanıcılar adına e-postaya erişen SaaS uygulamaları için ayrıntılı açıklama.

SaaS için Önerilen

Yetkilendirme Kodu + PKCE

RFC 6749 Bölüm 4.1 + RFC 7636

Kullanıcı Microsoft'un oturum açma sayfasına yönlendirilir, kimliğini doğrular ve onay verir. Uygulamanız, iade edilen yetkilendirme kodunu erişim ve yenileme belirteçleriyle takas eder. PKCE (Proof Key for Code Exchange), kod durdurma saldırılarını önler ve genel istemciler için zorunlu, 2026'da tüm istemciler için önerilir.

Bunu SaaS uygulamalarının kullanıcı posta kutularına erişmesi için kullanın

İstemci Kimlik Bilgileri

OAuth 2.0 Bölüm 4.4 (yalnızca uygulama)

Kullanıcı etkileşimi yok. Uygulamanız kendisini bir istemci kimliği ve gizli anahtar (veya sertifika) kullanarak kimlik doğrular. Uygulama izinleri (Devredilmiş değil) gerektirir, bu da bir kiracı yöneticisinin tüm kuruluştaki tüm posta kutularına erişim izni vermesi gerektiği anlamına gelir. Kullanıcı izin ekranı yok.

Yalnızca yöneticinin verdiği erişimle dahili araçlar için

Cihaz Kodu Akışı

OAuth 2.0 Cihaz Yetkilendirme Akışı

Tarayıcısı olmayan cihazlar için tasarlanmıştır (CLI'ler, IoT, akıllı TV'ler). Kullanıcı, kimlik doğrulaması için başka bir cihazdaki bir URL'yi ziyaret eder. Yeniden yönlendirmenin mümkün olduğu SaaS web uygulamaları için geçerli değildir.

Standart SaaS web uygulamaları için geçerli değildir

Microsoft OAuth akışınızı oluşturmaya başlayın

Unipile - Microsoft Entra Uygulama Kaydı

.trp-language-switcher>div{--wpr-bg-e1beaafa-f86f-4ef0-b93f-cd3f13ad5e2b: url('https://cache.unipile.com/wp-content/plugins/translatepress-multilingual/assets/images/arrow-down-3101.svg');}#et-boc .area-outer-wrap[data-da-loader=yes] [data-da-area]{--wpr-bg-051e6a9a-2362-4e59-ad19-6ca8e85052f1: url('https://cache.unipile.com/wp-content/plugins/popups-for-divi/images/spin.gif');}.et_pb_preload:before{--wpr-bg-9040899c-b19d-4f68-8d5b-649cb0a7f96d: url('https://cache.unipile.com/wp-content/themes/Divi/includes/builder/styles/images/preloader.gif');}.et_subscribe_loader{--wpr-bg-063071e5-51b7-44fd-b56d-c7325b522844: url('https://cache.unipile.com/wp-content/themes/Divi/includes/builder/styles/images/subscribe-loader.gif');}

Adım Adım Kurulum

Microsoft Entra Uygulama Kaydı: 7 Adım

Uygulamanızın OAuth belirteçleri isteyebilmesinden önce, Microsoft Entra Kimliği'nde (eski adıyla Azure Active Directory) kayıtlı bir uygulamanız olması gerekir. İşte alan değerlerinin hangilerinin önemli olduğu ve hangilerinin kozmetik olduğu da dahil olmak üzere tam adımlar.

1

Azure Portal'da bir Uygulama Kaydı Oluşturun

Git portal.azure.com, git Microsoft Entra ID (üst çubukta ara), sonra Uygulama kayıtları, sonra tıklayın + Yeni kayıt. Görün Tam Microsoft OAuth belgelendirmesi ek bağlam için.

İsim

Uygulama adınız. Kullanıcıların Microsoft onay ekranında gördüğü budur. Teknik bir tanımlayıcı yerine ürün adınızı kullanın.

Desteklenen hesap türleri

Çok kiracılı, hem kurumsal hem de kişisel kullanıcılara hizmet veren bir SaaS için,

Herhangi bir organizasyon dizinindeki hesaplar (Herhangi bir Microsoft Entra ID kiracısı - Çok kiracılı) ve kişisel Microsoft hesapları

. Bu, şuna karşılık gelir: /yaygın yetkilendirme uç noktası.

İpucu: Yalnızca Microsoft 365 işletme hesaplarına (kişisel Outlook.com değil) hizmet veriyorsanız, yalnızca "Çok kiracılı" seçeneğini işaretleyin. Bu, şunu kullanır /organizasyonlar yetkiyi azaltır ve onay alanınızı daraltır. Yetki uç noktaları hakkında daha fazlası sayfa 4'te.

2

Yönlendirme URI'lerini Yapılandır

Kayıttan sonra gidin Kimlik Doğrulama sol panelde. Bir platform ekle: seç Web. Yönlendirme URI'lerinizi ekleyin, Microsoft'un kullanıcıyı yetkilendirme kodu ile geri yönlendireceği URL.

Platform türü

Web sunucu tarafı uygulamalar için. Kullan Tek Sayfa Uygulaması (SPA) istemci taraflı akışlar için (PKCE'yi otomatik olarak etkinleştirir).

Yönlendirme URI'si

Üretimde HTTPS olmalı. Örnek: https://app.yourproduct.com/auth/microsoft/callback. Tam eşleşme gerekli, herhangi bir sapma AADSTS50011'e neden olur.

Çıkış URL'si (isteğe bağlı)

Microsoft, kullanıcının kiracısı içindeki herhangi bir uygulamadan çıkış yapması durumunda bu URL'yi çağıracaktır. Yalnızca e-posta entegrasyonları için isteğe bağlıdır.

Yaygın hata: Geliştirme sırasında localhost URI'lerine izin verilirhttp://localhost:3000/callback) ancak üretim URI'leri HTTPS kullanmalıdır. İkisini ayrı ayrı kaydedin.

3

Microsoft Graph API İzinleri Ekle

Git API izinleri. Tıkla + İzin ekle, seçin Microsoft Graph, ardından Devredilmiş izinler. Uygulamanızın ihtiyaç duyduğu kapsamları ekleyin.

Okumak için minimum

Mail.Read, çevrimdışı_erişim, açık kimlik, profil

Oku + gönder

Mail.ReadWrite, Mail.Gönder, çevrimdışı_erişim, açık kimlik, profil

çevrimdışı_erişim

Kritik. Bu kapsam olmadan Microsoft, yenileme belirteci vermez. Kullanıcılarınızın her 60-90 dakikada bir kimlik doğrulaması yapması gerekecektir.

Not: Buraya izin eklemek bunları vermez, niyetinizi beyan eder. Kullanıcı OAuth akışını tamamladığında onay verir. Bazı daha yüksek ayrıcalıklı kapsamlar için yönetici onayı gereklidir (bkz. bölüm 7).

4

İstemci Gizli Anahtarı Oluştur

Git Sertifikalar ve gizli anahtarlar. Tıkla + Yeni istemci gizli anahtarı. Açıklama ve son kullanma tarihi ayarla.

Son kullanma önerisi

730 gün (24 ay) maksimumdur. Süresi dolmadan 60 gün önce bir takvim hatırlatıcısı ayarlayın, süresi dolmuş bir gizli anahtarı döndürmek tüm kullanıcılarda anında kimlik doğrulama hatalarına neden olur.

Değeri hemen kopyala

Gizli değer yalnızca bir kez gösterilir. Bunu gizli anahtar yöneticinize kaydedin (örneğin, AWS Secrets Manager, HashiCorp Vault, Azure Key Vault). Bu sayfadan ayrıldıktan sonra bir daha asla gösterilmeyecektir.

Önerilen alternatif: Üretim için istemci gizli anahtarı yerine sertifika kullanın. Sertifikalar daha güvenlidir (asimetrik anahtar), kazara asla süresi dolmaz ve kurumsal düzeydeki uygulamalar için Microsoft tarafından tercih edilir.

5

İstemci Kimliğinizi ve Kiracı Kimliğinizi Kopyalayın

'den Genel Bakış Uygulama kayıt sayfanızdan, her OAuth isteğinde ihtiyaç duyacağınız iki değeri kopyalayın:

Uygulama (istemci) kimliği

Uygulama kaydınızı benzersiz şekilde tanımlayan bir UUID. Aşağıdaki amaçlarla kullanılır: client_id tüm kimlik doğrulama isteklerinde parametre.

Dizin (kiracı) kimliği

Kuruluşunuzun kiracı kimliği. Tek kiracılı yetkilendirme URL'lerinde kullanılır. Çok kiracılı uygulamalar için şunu kullanırsınız: /yaygın bunun yerine, ancak bu değeri yönetici onay URL'leri için saklayın.

6

Kimlik Token'larını Etkinleştir (İsteğe Bağlı Ama Önerilir)

Geri dönmüş Kimlik Doğrulama, altında Örtük onay ve hibrit akışlar, etkinleştirebilirsiniz Kimlik belirteçleri. Bu, kullanıcı kimliği talepleriyle (isim, e-posta, kiracı kimliği) birlikte erişim belirtecinin yanı sıra bir JWT almanızı sağlar; bu, kullanıcı profili verilerini önceden doldurmak istediğiniz kayıt akışları için kullanışlıdır.

2026 Yönlendirmesi: Saf yetkilendirme kodu + PKCE akışları için kimlik belirteçleri, örtük yetki yerine belirteç uç noktası aracılığıyla döndürülür. Örtük yetkiyi etkinleştirmeniz gerekmez. Yalnızca PKCE kullanamayan eski bir tek sayfalık uygulama (SPA) varsa etkinleştirin.

7

İsteğe bağlı: Yayıncı Alanınızı Doğrulayın

İçinde Markalaşma ve gayrimenkuller, yayıncı alan adınızı ürününüzün alan adına ayarlayın. Bu, izin ekranındaki "doğrulanmamış" etiketini alan adınızla değiştirir. Kurumsal müşterileri hedefleyen çok kiracılı uygulamalar için Microsoft İş Ortağı Ağı doğrulaması ve "doğrulanmış yayıncı" olma, "Bu uygulama yaygın olarak kullanılmıyor" uyarısını kaldırır.

Yayıncı alanı

TXT kaydı aracılığıyla veya Uygulama Hizmeti etki alanı doğrulama akışı aracılığıyla doğruladığınız ve sahip olduğunuz bir etki alanı.

Doğrulanmış yayıncı

Doğrulanmış bir işletme kimliğine bağlı Microsoft İş Ortağı Ağı (MPN) Kimliği gerektirir. 1-5 iş günü sürer. Onay ekranlarında kurumsal müşteri dönüşümünü önemli ölçüde iyileştirir.

Kurulumu atlayın: Bunun yerine Unipile ile oluşturun

Yetki Uç Noktaları

Doğru Microsoft Yetkilendirme Uç Noktasını Seçmek

OAuth isteklerinizde kullandığınız yetki URL'si, hangi tür Microsoft hesaplarının kimlik doğrulaması yapabileceğini ve hangi belirteçleri alacağınızı belirler. Bunu yanlış yapmak, bazı kullanıcıların hiç kimlik doğrulaması yapamaması gibi sessiz başarısızlıklara neden olur.

Yetki URL'si	Kabul eder	Kullanım Örneği	Uyarılar
/yaygınEn Çok SaaS	Microsoft Entra (iş/okul) ve kişisel Microsoft hesapları (Outlook.com, Hotmail, Live)	Tüm Microsoft kullanıcılarına hizmet veren çok kiracılı SaaS. Tek bir uç nokta tüm kullanıcı tabanınıza hizmet verir.	Tokenler kendi kiracınız tarafından değil, her kullanıcının ev sahibi kiracısı tarafından verilir. Jeton doğrulaması, kiracıya özgü yayıncıyı kullanmalı veya birden çok yayıncıyı kabul etmelidir. Koşullu Erişim ilkeleri zorlanamaz.
/organizasyonlar	Yalnızca Microsoft Entra ID hesapları (iş/okul). Kişisel Microsoft hesapları yok.	Yalnızca kurumsal müşterilere yönelik, asla tüketici Outlook.com kullanıcılarını hedeflemeyen B2B SaaS.	Bireysel Microsoft hesaplarına sahip kullanıcılar bir hata alacaktır. Daha basit belirteç doğrulama (tek veren deseni kabul edilebilir).
tüketiciler	Yalnızca kişisel Microsoft hesapları (Outlook.com, Hotmail, Live).	Kişisel gelen kutularını hedefleyen tüketici uygulamaları. B2B SaaS için nadir.	Kurumsal Microsoft 365 hesapları reddediliyor. SaaS iş kullanıcılarına hizmet vermek için kullanışlı değil.
/{kiracı-kimliği}	Yalnızca belirli bir Microsoft Entra kiracısındaki hesaplar.	Tek kiracılı dahili araçlar (kendi şirketinizin uygulaması). Belirli bir kiracıyı hedefleyen yönetici onay akışları. Yönlendirme URL desenindeki yönetici onayı için de kullanılır.	Diğer kiracıların kullanıcıları reddediliyor. Yalnızca dahili uygulamalar veya kasıtlı olarak tek bir müşterinin kiracısına kilitlendiğinde uygundur.

/yaygın En Çok SaaS

Kabul eder Microsoft Entra (iş/okul) ve kişisel Microsoft hesapları (Outlook.com, Hotmail, Live)

Kullanım örneği Tüm Microsoft kullanıcılarına hizmet veren çok kiracılı SaaS. Tek bir uç nokta tüm kullanıcı tabanınıza hizmet verir.

Uyarılar Tokenler kendi kiracınız tarafından değil, her kullanıcının ev sahibi kiracısı tarafından verilir. Jeton doğrulaması, kiracıya özgü yayıncıyı kullanmalı veya birden çok yayıncıyı kabul etmelidir. Koşullu Erişim ilkeleri zorlanamaz.

/organizasyonlar

Kabul eder Yalnızca Microsoft Entra ID hesapları (iş/okul). Kişisel Microsoft hesapları yok.

Kullanım örneği Yalnızca kurumsal müşterilere yönelik, asla tüketici Outlook.com kullanıcılarını hedeflemeyen B2B SaaS.

Uyarılar Bireysel Microsoft hesaplarına sahip kullanıcılar bir hata alacaktır. Daha basit belirteç doğrulama (tek veren deseni kabul edilebilir).

tüketiciler

Kabul eder Yalnızca kişisel Microsoft hesapları (Outlook.com, Hotmail, Live).

Kullanım örneği Kişisel gelen kutularını hedefleyen tüketici uygulamaları. B2B SaaS için nadir.

Uyarılar Kurumsal Microsoft 365 hesapları reddediliyor. SaaS iş kullanıcılarına hizmet vermek için kullanışlı değil.

/{kiracı-kimliği}

Kabul eder Yalnızca belirli bir Microsoft Entra kiracısındaki hesaplar.

Kullanım örneği Tek kiracılı dahili araçlar (kendi şirketinizin uygulaması). Belirli bir kiracıyı hedefleyen yönetici onay akışları. Yönlendirme URL desenindeki yönetici onayı için de kullanılır.

Uyarılar Diğer kiracıların kullanıcıları reddediliyor. Yalnızca dahili uygulamalar veya kasıtlı olarak tek bir müşterinin kiracısına kilitlendiğinde uygundur.

/common için jeton doğrulama notu: Kullanırken /yaygın uç nokta, the issu JWT'deki (verenin) iddiası ise https://login.microsoftonline.com/{tenantId}/v2.0 nerede {tenantId} kullanıcıya göre değişir. JWT doğrulama kütüphanenizi, eşleşen herhangi bir yayıncıyı kabul edecek şekilde yapılandırın https://login.microsoftonline.com/{tenantId}/v2.0 sabit bir yayıncı dizgisi yerine.

Posta Kapsamları

Microsoft Graph Posta Kapsamları: Ayrıntılı Döküm

Microsoft Graph, uygulamanızın neler yapabileceğini denetlemek için izin kapsamlarını kullanır. Çok fazla kapsam istemek, onay ekranındaki sürtünmeyi artırır ve dönüşüm oranını düşürür. Çok az istemek ise çalışma zamanı hatalarına neden olur. İşte bilmeniz gereken tüm Posta kapsamları.

Kapsam	Tip	Ne sağlar	Yönetici onayı?
Mail.Read	Devredilen	Kimliği doğrulanmış kullanıcının gelen kutusundaki tüm mesajları okuyun. Üstbilgileri, gövdeyi, ekleri içerir. Salt okunur - değiştiremez veya gönderemez.	Kullanıcı
Mail.TemelOkuma	Devredilen	Sınırlı mesaj özellikleri okunabilir: konu, gönderen, alıcılar, tarih. Mesaj gövdesi veya ekleri okunamıyor. Tam içerik erişimi olmadan hafif gelen kutusu listeleme için kullanışlıdır.	Kullanıcı
Mail.ReadWrite	Devredilen	Tüm iletileri oku ve değiştir. İleti ve klasör oluşturma, güncelleme, silme işlemleri dahildir. Mail.Read süpersetidir - ikisini birden istemeyin.	Kullanıcı
Mail.Gönder	Devredilen	Kimliği doğrulanmış kullanıcı olarak e-posta gönderin. Mail.ReadWrite izniniz olsa bile gereklidir - gönderme, Microsoft Graph'ta ayrı bir izindir.	Kullanıcı
Mail.Okunan.Paylaşılan	Devredilen	Paylaşılan posta kutularındaki veya kimliği doğrulanmış kullanıcının erişim izni aldığı diğer kullanıcıların posta kutularındaki e-postaları okuyun. Kullanıcının kendi posta kutusunu okumak için değildir.	Kullanıcı
Mail.ReadWrite.Shared	Devredilen	Erişimi olan paylaşılan posta kutularındaki e-postaları oku ve değiştir.	Kullanıcı
Mail.Gönder.Paylaşılan	Devredilen	Ortak posta kutularından e-posta gönderin veya başka bir kullanıcı adına gönderin (eğer kullanıcı erişim izni verdiyse).	Kullanıcı
çevrimdışı_erişim	Devredilen	Microsoft'u bir yenileme belirteci (refresh token) çıkarması için yönlendirir. Bunun olmadan yalnızca yenilenmesi mümkün olmayan, kısa ömürlü bir erişim belirteci alırsınız. SaaS uygulamaları için her zaman gereklidir.	Kullanıcı
açık kimlik	Devredilen	Temel kullanıcı kimliğiyle bir kimlik belirteci döndürür. Ayrı bir /me API çağrısı yapmadan kimin kimliğini doğrulamak istediğinizi bilmeniz gerekiyorsa gereklidir.	Kullanıcı
profil	Devredilen	ID belirtecine isim ve tercih edilen kullanıcı adı talepleri ekler. Genellikle openid ile birlikte dahil edilir.	Kullanıcı
Mail.Read (Uygulama)	Uygulama	Kullanıcı etkileşimi olmadan kiracıdaki tüm posta kutularındaki tüm postaları okur. Arka plan hizmetleri tarafından kullanılır. Kiracı yöneticisi onayı gerektirir.	Yönetici gerekli
Posta.OkumaYazma (Uygulama)	Uygulama	Tüm kiracı posta kutularındaki tüm e-postaları oku ve yaz. Çok geniş izin. Yalnızca açık kiracı yöneticisi onayı ile güvenilir dahili araçlar için.	Yönetici gerekli

Mail.Read Devredilen

Kimliği doğrulanmış kullanıcının gelen kutusundaki tüm mesajları okuyun. Üstbilgileri, gövdeyi, ekleri içerir. Salt okunur - değiştiremez veya gönderemez.

Kullanıcı rızası

Mail.TemelOkuma Devredilen

Sınırlı mesaj özellikleri okunabilir: konu, gönderen, alıcılar, tarih. Mesaj gövdesi veya ekleri okunamıyor. Tam içerik erişimi olmadan hafif gelen kutusu listeleme için kullanışlıdır.

Kullanıcı rızası

Mail.ReadWrite Devredilen

Tüm iletileri oku ve değiştir. İleti ve klasör oluşturma, güncelleme, silme işlemleri dahildir. Mail.Read süpersetidir - ikisini birden istemeyin.

Kullanıcı rızası

Mail.Gönder Devredilen

Kimliği doğrulanmış kullanıcı olarak e-posta gönderin. Mail.ReadWrite izniniz olsa bile gereklidir - gönderme, Microsoft Graph'ta ayrı bir izindir.

Kullanıcı rızası

Mail.Okunan.Paylaşılan Devredilen

Paylaşılan posta kutularındaki veya kimliği doğrulanmış kullanıcının erişim izni aldığı diğer kullanıcıların posta kutularındaki e-postaları okuyun. Kullanıcının kendi posta kutusunu okumak için değildir.

Kullanıcı rızası

Mail.ReadWrite.Shared Devredilen

Erişimi olan paylaşılan posta kutularındaki e-postaları oku ve değiştir.

Kullanıcı rızası

Mail.Gönder.Paylaşılan Devredilen

Ortak posta kutularından e-posta gönderin veya başka bir kullanıcı adına gönderin (eğer kullanıcı erişim izni verdiyse).

Kullanıcı rızası

çevrimdışı_erişim Devredilen

Microsoft'u bir yenileme belirteci (refresh token) çıkarması için yönlendirir. Bunun olmadan yalnızca yenilenmesi mümkün olmayan, kısa ömürlü bir erişim belirteci alırsınız. SaaS uygulamaları için her zaman gereklidir.

Kullanıcı rızası

açık kimlik Devredilen

Temel kullanıcı kimliğiyle bir kimlik belirteci döndürür. Ayrı bir /me API çağrısı yapmadan kimin kimliğini doğrulamak istediğinizi bilmeniz gerekiyorsa gereklidir.

Kullanıcı rızası

profil Devredilen

ID belirtecine isim ve tercih edilen kullanıcı adı talepleri ekler. Genellikle openid ile birlikte dahil edilir.

Kullanıcı rızası

Mail.Read (Uygulama) Uygulama

Kullanıcı etkileşimi olmadan kiracıdaki tüm posta kutularındaki tüm postaları okur. Arka plan hizmetleri tarafından kullanılır. Kiracı yöneticisi onayı gerektirir.

Yönetici gerekli

Posta.OkumaYazma (Uygulama) Uygulama

Tüm kiracı posta kutularındaki tüm e-postaları oku ve yaz. Çok geniş izin. Yalnızca açık kiracı yöneticisi onayı ile güvenilir dahili araçlar için.

Yönetici gerekli

Minimum kapsam kümesi: gelen kutusu okuyucu

kapsam=Mail.Readçevrimdışı_erişimopenidprofil

Mesajları oku, jetonları yenile, kullanıcı kimliği. Yazma veya gönderme yeteneği yok.

Standart kapsam ayarı: tam e-posta entegrasyonu

kapsam=Mail.ReadWriteMail.Sendçevrimdışı_erişimopenidprofil

Oku, yaz, gönder. CRM ve satış araçları entegrasyonları için en yaygın set.

Tam E-posta API kılavuzunu görüntüleyin

İzin Modeli

Yetkiler Devredildi vs. Uygulama Yetkileri: Ne Zaman Hangisi Uygulanmalı

Microsoft Graph iki temel olarak farklı izin modeli kullanır. Çoğu SaaS geliştiricisi yanlış olanı varsayılan olarak kullanır, bu da gereksiz yönetici onayı gereksinimlerine ve bozuk bir kullanıcı deneyimine yol açar. Her birinin ne zaman kullanılacağı tam olarak burada açıklanmıştır.

Devredilen Yetkiler

Giriş yapmış kullanıcı adına hareket et

Uygulama, kimliği doğrulanmış kullanıcının kimliğini kullanarak Microsoft Graph'a erişir. Uygulama, yalnızca kullanıcının kendisinin yapabileceği işlemleri yapabilir. Kullanıcı bir klasörü okuyamıyorsa, uygulamanız da okuyamaz.

OAuth akışı sırasında kullanıcı onayı - standart kapsamlar için yönetici gerekmez

Erişim, her bir kullanıcının posta kutusuna göre kapsamlıdır

Kullanıcılar Microsoft hesap ayarlarından istedikleri zaman erişimi iptal edebilirler.

Kullanıcı düzeyinde izinlere, rol atamalarına ve posta kutusu erişim politikalarına saygı duyar

Her kullanıcının ayrı ayrı kimlik doğrulaması yaptığı SaaS uygulamaları için bunu kullanın

Uygulama İzinleri

Kendini uygulama olarak tanıt

Uygulama, herhangi bir kullanıcı mevcut değilken Microsoft Graph'a erişir. Arka plan hizmetleri, daemons ve otomatik iş akışları için kullanılır. Uygulama kendi kimlik bilgilerini kullanarak kimlik doğrulaması yapar (istemci kimlik bilgileri akışı).

Kiracı yönetici onayı gerektirir - dış kullanıcılar için önemli bir engel

Erişim kiracı genelindedir - yönetici onay verdiğinde TÜM posta kutularını okuyabilir

Boyut (headless) otomasyonu için etkileşimli kullanıcı oturumu gerekmez

Kuruluşunuzun yöneticisinin dağıtımı kontrol ettiği dahili BT araçları için uygundur

Yalnızca kuruluşunuzun yöneticisinin tam kiracı erişimi verdiği iç araçlar için

SaaS Karar Kuralı

Eğer bir dış müşteriler tarafından kullanılan ürün tek tek oturum açanlar, şunu kullanın Devredilmiş izinler. Her müşteri kendi Microsoft hesabıyla kimlik doğrulaması yapar, uygulamanızın kapsamlarına onay verir ve uygulamanız çalışır adına o kimliği doğrulanmış kullanıcı. Uygulama izinleri, bir kiracı yöneticisinin uygulamanızı tüm kuruluşları için önceden onaylamasını gerektirir - bu, kendi kendine hizmet veren bir SaaS işlem hattındaki dönüşüm öldürücü bir adımdır. Tek istisna, kendi BT ekibiniz tarafından kendi kiracınıza dağıtılan dahili bir kurumsal araç oluşturuyorsanız geçerlidir.

Yönetici Onayı

Yönetici Onayı: Ne Zaman Devreye Girer ve Nasıl Talep Edilir?

Bazı Microsoft Graph senaryoları, kuruluşunuzdaki herhangi bir kullanıcının kimlik doğrulaması yapabilmesi için kiracı yöneticisinin uygulamanızı önceden onaylamasını gerektirir. Yönetici onayının ne zaman gerekli olduğunu ve programlı olarak nasıl isteneceğini anlamak, kurumsal müşterilerle yaşanan sürpriz kimlik doğrulama hatalarını önler.

Yönetici onayı gerektiğinde

Aşağıdaki durumlarda yönetici onayı gereklidir:

- Uygulama izinlerini talep ediyorsunuz (yetki devri değil)
- Kiracı, bazı veya tüm izinler için "Yönetici onayı gerekli" seçeneğini ayarlamıştır
- Şu türden yüksek ayrıcalıklı Yetki Devri kapsamları talep ediyorsunuz: Kullanıcı.Tümünü.Oku veya Dizin.Tümünü.Oku
- Kiracının Koşullu Erişim ilkeleri, kullanıcı onayı konusunda kısıtlamalar getirir

Standart e-posta kapsamları (Mail.Read, Mail.ReadWrite, Mail.Send) varsayılan olarak yönetici onayı gerektirmez. Bireysel kullanıcılar OAuth akışı sırasında onay verebilirler.

/.default kapsam hilesi

Uygulamanızın önceden yapılandırılmış tüm izinleri için aynı anda yönetici onayı isterken /.varsayılan kapsam

https://graph.microsoft.com/.default

Bu ayar, Microsoft'a uygulama kaydınızda şu anda yapılandırılmış olan tüm izinler için ayrı ayrı listelemek yerine toplu olarak onay talep etmesini söyler. Yönetici onay akışları ve istemci kimlik bilgileri kimlik doğrulaması için kullanışlıdır.

admin_consent_url.py

# Yönetici onayı URL şablonu
# Bu URL'yi kiracı yöneticisine gönder (e-posta veya uygulama içi bildirim yoluyla)

KİRACI_KODU = "kiracınızın-kimliği"  # veya çoklu kiracılar için "genel"
MÜŞTERİ_KODU = "istemci-kimliğiniz"
YÖNLENDİRME_URI = "https://app.yourproduct.com/auth/microsoft/admincallback"

admin_onayı_url = (
    https://login.microsoftonline.com/{TENANT_ID}/adminconsent"
    f"?client_id={CLIENT_ID}"
    &yönlendirme_urisi={YÖNLENDİRME_URİSİ}"
    &durum=senin_durum_değerin"
)

# İşlem başarılı olduğunda Microsoft, aşağıdakileri içeren bir istekle redirect_uri adresine yönlendirir:
# ?admin_consent=True&tenant;=tenant-id&state;=your_state_value

# Hata durumunda (yönetici tarafından reddedildi): ?error=access_denied&...

Kurumsal işe alım sürecinde en iyi uygulamalar

Yönetici onayı gereken kurumsal müşteriler için, kayıt sürecinde BT yöneticisine, kullanıcıların kullandığı OAuth akışından ayrı olarak özel bir yönetici onayı URL’si gönderin. Hangi izinlerin neden talep edildiğine dair net bir açıklama ekleyin. Birçok kurumsal BT ekibinin 1-5 iş günü süren bir inceleme süreci vardır. Bu gecikmeyi, son kullanıcıları engellemek yerine kayıt akışınıza dahil edin.

Microsoft OAuth akışınızı Unipile ile oluşturun

Tam Kılavuz

Doğrulama Kodu + PKCE: Adım Adım Curl Örnekleri

İşte PKCE ile birlikte eksiksiz Microsoft Graph OAuth 2.0 Yetkilendirme Kodu akışı, kod doğrulayıcısının oluşturulmasından belirteçlerin değiştirilmesine kadar. Bunlar, yığınınıza doğrudan uyarlayabileceğiniz üretim düzeyinde örneklerdir.

1. Adım 4 adımı - PKCE Parametreleri Oluşturma

code_verifier ve code_challenge oluştur

PKCE, rastgele bir anahtar (code_verifier) oluşturarak ve ardından bunun bir SHA-256 karmasını (code_challenge) alarak çalışır. Karmayı 2. adımda, anahtarı ise 4. adımda gönderirsiniz. Microsoft, ikisinin eşleştiğini doğrulayarak kodun ele geçirilmesini önler.

pkce_üret.py

İthalat os, base64, hashlib

# 1. code_verifier oluştur (43-128 karakter, URL uyumlu base64)
kod_doğrulayıcı = base64.urlsafe_b64encode(
    işletim sistemi.rastgele sayı(32)
).çöz('utf-8').sağdan sil('=')

# 2. code_challenge = BASE64URL(SHA256(code_verifier))
kod_yarışması = base64.urlsafe_b64encode(
    hashlib.sha256kod_doğrulayıcı.kodlamak('utf-8')).sindirim()
).çöz('utf-8').sağdan sil('=')

# code_verifier değerini oturumda saklayın – 4. adımda buna ihtiyacınız olacak
# Yetkilendirme URL'sinde code_challenge değerini gönder

Adım 2/4 - Yetkilendirme Talebi

Kullanıcıyı /authorize URL'sine yönlendirin

Kullanıcının tarayıcısını Microsoft'un yetkilendirme uç noktasına yönlendirin. Kullanıcı Microsoft'un oturum açma sayfasını görür, kimliğini doğrular ve uygulamanızın kapsamlarını onaylar. Ardından Microsoft, bir yetkilendirme kodu ile geri `redirect_uri`'nize yönlendirir.

client_id

Entra uygulama kaydınızdan Uygulama (istemci) Kimliğiniz

yanıt_türü

kod - yetkilendirme kodu istiyor

yönlendirme_url'si

Entra uygulamanızda kayıtlı bir URI ile tam olarak eşleşmelidir. URL kodlu.

kapsam

Ayrılmış kelime listesi. Her zaman dahil et çevrimdışı_erişim yenileme belirteçleri için.

eyalet

Oluşturduğunuz opak değer. Geri çağırmada (callback) değişmeden döndürülür. CSRF'yi önlemek ve kullanıcı arayüzü durumunu geri yüklemek için kullanın.

kod_yarışması

1. adımdaki BASE64URL(SHA256(code_verifier)) değeri.

kod_yarışması_yöntemi

S256 - her zaman SHA-256 kullan, asla düz metin kullanma

authorize_url.sh

# Yetki URL'sini oluştur (okunabilirlik için biçimlendirilmiş)
AUTH_URL="https://login.microsoftonline.com/common/oauth2/v2.0/authorize
  ?istemci_kimliği=SENİN_İSTEMCİ_KİMLİĞİN
  &yanıt_türü=kod
  &redirect;_uri=https://app.com/auth/ms/cb
  &scope;=Mail.ReadWriteMail.Sendoffline_access
  &durum=RANDOM_STATE_VALUE
  &code_challenge=SENİN_KOD_MEYDAN_OKUMAN
  &kod_sorgusu_yöntemi=S256"

# Kullanıcıyı $AUTH_URL adresine yönlendir
# Microsoft, oturum açma, çok faktörlü kimlik doğrulama ve onay ekranını yönetir
# Başarılı olduğunda: redirect_uri?code=AUTH_CODE&state;=...

Adım 3 / 4 - Geri Çağrıyı İşle

Yönlendirme URI'nizde yetkilendirme kodunu alın

Microsoft, yönlendirme_uri'nize yönlendirir bir kod sorgu parametresi. Doğrulayın eyalet Parametre gönderdiğinizle eşleşiyor. Kod 10 dakika içinde geçerliliğini yitirecektir - hemen 4. adımda değiştirin.

4/4 Adım - Belirteç Değişimi

Yetkilendirme kodunu erişim + yenileme jetonlarıyla değiştir

Token uç noktasına kod ve code_verifier ile POST yapın. Microsoft bir erişim belirteci (yaklaşık 60-90 dakika geçerli) ve bir yenileme belirteci (uzun ömürlü) döndürür. Her ikisini de güvenli bir şekilde saklayın.

token_exchange.sh

# Jetonlar için değişim yetkilendirme kodu
curl -X POSTA "https://login.microsoftonline.com/common/oauth2/v2.0/token" \
  -H "İçerik-Türü: uygulama/x-www-form-urlencoded" \
  -d "client_id=SENIN_CLIENT_ID" \
  -d "client_secret=GİZLİ_KODUNUZ" \
  -d "grant_type=yetkilendirme_kodu" \
  -d "kod=AUTH_CODE_FROM_CALLBACK" \
  -d "yönlendirme_uygulaması=https://app.com/auth/ms/cb" \
  -d "code_verifier=SENİN_KOD_DOĞRULAYICIN" \
  -d "scope=Posta.OkuYaz Posta.Gönder çevrimdışı_erişim"

Döndürür: access_token, refresh_token, expires_in, scope

token_response.json

{
  "token_türü": "Taşıyıcı",
  "kapsam": "Mail.ReadWrite Mail.Send offline_access",
  "geçerlilik_süresi": 3600,
  "erişim_belirteci": "eyJ0eXAiOiJKV1Qi...",
  "yenileme_jetonu": "0.ArOaı7W...",
  "kimlik_jetonu": "eyJ0eXAi..."
}

Jeton Yaşam Döngüsü

Yenileme Jetonu Yönetimi: Rotasyon, Süre Sonu ve Koşullu Erişim

Microsoft Graph yenileme belirteçleri uzun ömürlüdür ancak kalıcı değildir. Çeşitli koşullar onları sessizce geçersiz kılabilir. Bu uç durumları anlamak, üretim düzeyinde bir Microsoft OAuth entegrasyonunu, kurumsal kullanıcılar için rastgele bozulan bir entegrasyondan ayıran şeydir.

90 günlük hareketsizlik süresi doldu

Microsoft yenileme belirteçleri 90 günlük işlem yapılmadığında sona erer. Bir kullanıcı uygulamanızı 90 gün boyunca kullanmazsa, yenileme belirteci geçersiz hale gelir ve yeniden kimlik doğrulaması yapması gerekir. Kullanıcı etkileşimi olmadan bunu uzatmanın bir yolu yoktur. Her zaman ele alın geçersiz_hibe Hataları zarifçe ele al ve yeniden kimlik doğrulaması iste.

Koşullu Erişim ilke değişiklikleri

Kurumsal kiracılar Koşullu Erişim ilkelerini (Çok Faktörlü Kimlik Doğrulama gereksinimleri, cihaz uyumluluğu, konum kısıtlamaları) kullanır. Bir ilke bir kullanıcı kimlik doğrulaması yaptıktan sonra değişirse, yenileme belirteci bir sonraki kullanımda geçersiz kılınabilir. Bu, müşteri tarafında verilen bir karardır - bunu kontrol edemez veya tahmin edemezsiniz. Kimlik doğrulama hatalarını her zaman net bir yeniden kimlik doğrulama istemiyle kullanıcılara iletin.

Yenileme belirteci rotasyonu

Yenileme belirtecini yeni bir erişim belirteci almak için kullandığınızda, Microsoft yeni bir yenileme belirteci verebilir. Yanıttan gelen yeni yenileme belirtecini her zaman kaydedin ve eskisiyle değiştirin. Döndürüldükten sonra eski yenileme belirtecini kullanmaya devam ederseniz, sonunda bir hataya ulaşırsınız geçersiz_hibe hata.

Yönetici yetkisinin geri alınması

Bir kiracı yöneticisi, bir çalışanın ayrılması veya bir güvenlik olayı sırasında olduğu gibi, herhangi bir zamanda bir kullanıcı veya tüm kuruluş için tüm yenileme belirteçlerini iptal edebilir. Uygulamanız şunları alır: geçersiz_hibe. Bu beklenen bir davranıştır - bunu bağlantılı hesabı yeniden yetkilendirme gerektiren olarak işaretleyerek ele alın.

yenileme_belirteci.sh

# Kaydedilmiş yenileme jetonunu kullanarak erişim jetonunu yenile
curl -X POSTA "https://login.microsoftonline.com/common/oauth2/v2.0/token" \
  -H "İçerik-Türü: uygulama/x-www-form-urlencoded" \
  -d "client_id=SENIN_CLIENT_ID" \
  -d "client_secret=GİZLİ_KODUNUZ" \
  -d "grant_type=refresh_token" \
  -d "yenileme_tokeni=SAKLANAN_YENILEME_TOKENI" \
  -d "scope=Posta.OkuYaz Posta.Gönder çevrimdışı_erişim"

# Yanıtta her zaman yeni bir refresh_token olup olmadığını kontrol edin.
# Varsa, depolanan parçayı derhal değiştirin.
# "invalid_grant" hatası alırsanız, kullanıcıdan yeniden kimlik doğrulaması yapmasını isteyin.

Sorun giderme

Yaygın AADSTS Hataları Açıklamaları

Microsoft Graph OAuth hataları tutarlı bir AADSTS hata kodu desenini izler. İşte geliştirme ve üretim sırasında karşılaşacağınız en yaygın olanlar, kesin kök nedenleri ve düzeltmeleri.

Hata Kodu	Bu ne anlama geliyor	Ana neden ve düzeltme
AADSTS65001 hatası, kimlik doğrulama isteğinin zaman aşımına uğradığı veya iptal edildiği anlamına gelir.	İstenen kapsamların bir veya birkaçı için onay verilmedi	Kullanıcı, uygulamanızın kapsamlarına onay vermedi veya bir kiracı yöneticisi, uygulamanız için kullanıcı onayını engelledi. Düzeltme: Dahil et `rıza` Yetkilendirme URL'nizde taze bir onay ekranı zorlamak için veya kiracı yöneticisine yönetici onayı URL'sini gönderin. İzin iste=izin ver veya yönetici onayı iste
AADSTS50011	Yönlendirme URI'sı uyuşmuyor	Bu `yönlendirme_url'si` İsteğinizdeki yönlendirme URI'si, Entra uygulama kaydınızda kayıtlı olanlardan hiçbiriyle tam olarak eşleşmiyor. Sonundaki eğik çizgi farkı bile buna neden olur. Düzeltme: Yönlendirme URI'sini Entra uygulama kaydınızdan tam olarak kopyalayın ve olduğu gibi kullanın. Düzeltme: Entra uygulama kaydında tam URI eşleşmesi
AADSTS700016	Kiracıda uygulama bulunamadı	Bu `client_id` kimlik doğrulama yapılan kiracıda mevcut değil. Kiracıya özgü bir yetki kullanıldığında yaygındır (`/{kiracı-kimliği}`) çok kiracılı bir uygulama için. Düzeltme: Kullan `/yaygın` veya `/organizasyonlar` Çok kiracılı uygulamalar için yetki. Düzeltme: /common veya /organizations yetkisine geçin
AADSTS90099	Bu kiracıda uygulama yetkilendirilmemiş (consent_required)	Uygulama mevcut ancak kullanıcının kiracısında onaylanmamış. Uygulamanın tamamının engellenmesi, yalnızca belirli kapsamların engellenmesiyle AADSTS65001'den farklıdır. Düzeltme: Yönetici onay URL'sini müşterinin BT yöneticisine gönderin. Düzeltme: Müşteri kiracısı yöneticisine yönetici onayı URL'si
AADSTS70011	Sağlanan hibe geçersiz veya süresi dolmuş	Yenileme belirteci veya yetkilendirme kodu süresi dolmuş veya iptal edilmiş. Yetkilendirme kodlarının süresi 10 dakika içinde dolar. Yenileme belirteçlerinin süresi, 90 günlük hareketsizlikten sonra veya yönetici tarafından iptal edildiğinde dolar. Düzeltme: Kullanıcıyı OAuth akışının başlangıcından yeniden kimlik doğrulaması yapmaya teşvik edin. Düzelt: tam kimlik doğrulama isteği
AADSTS50076	Koşullu Erişim ilkesi tarafından MFA gereklidir	Kullanıcının kiracısı, uygulamanız için çok faktörlü kimlik doğrulaması gerektiriyor. Bu, kiracı yöneticisi tarafından zorunlu tutulan, müşterinin aldığı bir karardır. Uygulamanız bunu aşamaz. Kullanıcının MFA'yı tamamlaması gerekiyor. Yetkilendirme kodu akışını kullanıyorsanız, Microsoft tarayıcıda otomatik olarak MFA istemini gösterecektir. MFA'yı tamamlayamayan otomatik akışlarda (istemci kimlik bilgileri) sorunlar ortaya çıkar. Beklenen: Kullanıcı MFA'yı tamamlamalıdır
AADSTS50020	Dış kimlik sağlayıcısından gelen kullanıcı hesabı kiracıda mevcut değil	Kullanıcı, yalnızca kurumsal hesaplara izin veren bir kiracıya şahsi bir Microsoft hesabıyla (veya tam tersi) kimlik doğrulamaya çalışıyor. Düzeltme: Yetki uç noktanızı kontrol edin - kullanıyorsanız `/organizasyonlar`, kişisel hesaplar kimlik doğrulaması yapamaz. Geçiş yap `/yaygın` ikisine de ihtiyacın varsa. Düzelt: otoriteyi /common olarak değiştir
AADSTS53003	Koşullu Erişim ilkesi tarafından erişim engellendi	Kiracının Koşullu Erişim ilkesi bu kimlik doğrulama girişimini tamamen engellemiştir (örneğin, engellenen ülke, yönetilmeyen cihaz, engellenen uygulama). Bu, müşteriye ait bir karardır. Bunu geçersiz kılamazsınız. Hatayı kullanıcıya gösterin ve BT yöneticileriyle iletişime geçmelerini tavsiye edin. Müşteri tarafı: kullanıcıya BT yöneticisiyle iletişime geçmesini söyleyin

Unipile hepsini sizin için halletsin.

Unipile Alternatifi

Unipile ile OAuth Altyapısıyla Uğraşmaya 5 Hafta Ayırmaktan Kurtulun

Bu kılavuzdaki her şey - Entra uygulama kaydı, yetkilendirme uç noktaları, kapsam seçimi, PKCE, belirteç döndürme, AADSTS hata işleme - ürününüzü ileriye taşımayan mühendislik süresidir. Unipile, Microsoft Graph OAuth yığınının tamamını yönetilen bir hizmet olarak ele alır, böylece ekibiniz 500 satır OAuth boru tesisatı yazmak yerine tek bir API çağrısı yazar.

Kendin inşa etmek

Entra uygulama kaydı ve yapılandırması

PKCE uygulaması ve kod talep üretimi

Yenileme belirteci depolama, döndürme ve süresi dolma işlemleri

Kurumsal müşteriler için yönetici onay akışı

AADSTS hatası işleme ve yeniden kimlik doğrulama istemleri

Süresi dolmadan istemci gizli anahtarının rotasyonu

Kiracı başına Koşullu Erişim dikkat hususlarının işlenmesi

Gmail ve IMAP sağlayıcıları için ayrı OAuth yığınları

Unipile Kullanarak

Tek bir POST ile barındırılan bir kimlik doğrulama bağlantısı oluştur

Unipile PKCE, belirteçleri ve yenilemeleri otomatik olarak yönetir

Tokenlar veritabanınızda asla saklanmaz - Unipile halleder

Microsoft, Gmail ve IMAP hesapları için aynı API

Hesapların yeniden kimlik doğrulamasına ihtiyaç duyduğunda webhook bildirimleri

Kendi Entra uygulama kimlik bilgilerinizle markalı onay ekranı

E-posta entegrasyonunuzu haftalar değil, saatler içinde gönderin

Unipile Microsoft OAuth Nasıl Çalışır

Arka uç, barındırılan bir kimlik doğrulama bağlantısı oluşturmak için tek bir uç noktayı çağırır. Kullanıcınız buna tıklar, Microsoft ile kimlik doğrulaması yapar ve Unipile, tam OAuth akışını yönetir: Entra yönlendirmesi, kapsam işleme, belirteç değişimi ve yenileme. Bağlı hesap daha sonra Unipile'ın birleşik e-posta API'si aracılığıyla kullanılabilir hale gelir.

unipile_microsoft_oauth.py

İthalat istekleri

UNIPILE_API_URL = "https://apiXXX.unipile.com:XXX"
UNIPILE_API_KEY = "your-api-key"

# 1. Adım: Microsoft için barındırılan bir kimlik doğrulama bağlantısı oluşturun
response = requests.POST(
    f"{UNIPILE_API_URL}/api/v1/hosted/accounts/link",
    başlıklar=
        "X-API-ANAHTAR"UNIPILE_API_ANAHTARI,
        "İçerik-Türü": "application/json"
    },
    json={
        "tip": "oluştur",
        "sağlayıcılar": ["MİKROSOFT"],
        "api_urlsi"UNIPILE_API_URL,
        "geçerlilikSüresi": "31-12-2026T23:59:59Z",
        # İsteğe bağlı: Bu bağlantıyı belirli bir kullanıcıyla ilişkilendirin
        "isim": "kullanıcı_id_123",
        # İsteğe bağlı: Hesap bağlandığında bildirim al
        "bildirim_url": "https://app.yourproduct.com/webhooks/hesap-bağlandı"
    }
)

# 2. Adım: Kullanıcıyı bu URL'ye yönlendirin
barındırılan_kimlik_doğrulama_url = cevap.json()["url"]
# Örneği: https://account.unipile.com/[encoded-token]

# Unipile işlevleri: Entra yönlendirmesi, onay ekranı, PKCE,
# jeton değişimi, yenileme jetonu depolama, kapsam yönetimi

# 3. Adım: Kimlik doğrulamasından sonra, Unipile’ın e-posta API’sini kullanarak e-postaları okuyun/gönderin
e-postalar = istekler.olsun(
    "{UNIPILE_API_URL}/api/v1/e-postalar",
    başlıklar="X-API-ANAHTAR"UNIPILE_API_ANAHTARI,
    parametresi={"hesap_kimliği": "bağlı-hesap-kimliği"}
)

Microsoft OAuth tamamlandı. Posta kutusu birleşik API üzerinden erişilebilir.

Barındırılan kimlik doğrulama akışı

Unipile, OAuth onay ekranını barındırır. Kullanıcılarınız temiz, markalı bir akış görür. Yönlendirme URI bakımı yok, CORS sorunları yok, localhost/üretim URL'si karmaşası yok.

D token yönetimi

Unipile, sizin adınıza Microsoft OAuth belirteçlerini depolar ve döndürür. Yenileme belirteci döndürme, 90 günlük hareketsizlik izleme ve yeniden kimlik doğrulama bildirimleri otomatik olarak halledilir.

Birleşik e-posta API'si

Bağlandıktan sonra Microsoft, Gmail ve IMAP posta kutuları aynı Unipile e-posta uç noktalarına yanıt verir. Tek bir entegrasyon üç sağlayıcıya da hizmet eder.

Kendi Entra kimlik bilgileriniz

Microsoft Entra uygulama kimlik bilgilerinizi Unipile kontrol panelinde yapılandırın. Kullanıcılarınız, Microsoft'un onay ekranında Unipile'ınkini değil, sizin uygulama adınızı görür.

Webhook bildirimleri

Yeniden kimlik doğrulama gerektiren (yenileme jetonu süresi dolmuş, yönetici tarafından iptal edilmiş, Koşullu Erişim değişikliği) bağlantılı bir hesap olduğunda bir webhook alın. Yeniden kimlik doğrulama istemini ürününüzde hemen görüntüleyin.

Oku, gönder ve senkronize et

Unipile aracılığıyla Microsoft OAuth sonrasında, Unipile'ın birleşik e-posta API'si üzerinden e-postaları okuyabilir, e-posta gönderebilir, ileti dizilerini senkronize edebilir, klasörleri yönetebilir ve ekleri işleyebilirsiniz. Ayrı bir Microsoft Graph istemcisine gerek yok.

Unipile nasıl çalışır

Unipile, Microsoft tarafından verilen OAuth jetonları aracılığıyla kimliği doğrulanmış her kullanıcı adına hareket eden bağımsız bir teknik aracıdır. Bir kullanıcı Outlook veya Microsoft 365 gelen kutusunu bağladığında, Unipile yalnızca o kullanıcının yetkilendirilmiş izinlerini kullanarak çalışır. Unipile, Microsoft ile ilişkili değildir, Microsoft tarafından onaylanmamıştır veya Microsoft tarafından desteklenmemektedir. Kimliği doğrulanmış son kullanıcılar adına genel Microsoft Graph API'sini kullanıyoruz. Her hesap, o kullanıcının kendi Microsoft Entra kimliği ve kuruluşlarının Koşullu Erişim ilkeleri dahilinde çalışır.

Microsoft OAuth akışınızı oluşturmaya başlayın MS Graph E-posta Kılavuzu

SSS

Sıkça Sorulan Sorular

E-posta entegrasyonu için Microsoft Graph OAuth ile ilgili en sık sorulan sorular, kapsam seçiminden belirteç yaşam döngüsüne ve kurumsal onay akışlarına kadar.

01

Microsoft Graph OAuth, hem Outlook.com hem de Microsoft 365 hesapları için çalışır mı?

Evet. Kullanarak /yaygın Yetkilendirme uç noktası, tek bir Microsoft Entra uygulama kaydı hem kişisel Outlook.com hesapları hem de Microsoft 365 iş/okul hesapları için kimlik doğrulamayı yönetir. Anahtar nokta, uygulamanızı Azure portalında kaydederken "Herhangi bir dizindeki hesaplar ve kişisel Microsoft hesapları" seçeneğini işaretlemektir.

02

Microsoft 365 kullanıcısı şirketinden ayrıldığında OAuth belirteçleri ne olur?

Bir BT yöneticisi Microsoft Entra ID'de bir kullanıcı hesabını devre dışı bıraktığında veya sildiğinde, kullanıcının tüm yenileme belirteçleri hemen iptal edilir. Bir sonraki belirteç yenileme denemeniz bir geçersiz_hibe hata. Bunu zarifçe ele alın: bağlı hesabı yeniden kimlik doğrulaması gerektirecek şekilde işaretleyin ve ürününüzde net bir yeniden kimlik doğrulama istemi görüntüleyin. Bu beklenen bir davranıştır - sizin kontrolünüz dışındaki bir müşteri tarafı kararı.

03

Microsoft Graph OAuth aracılığıyla Outlook e-postalarını okumak için yönetici onayı gerekiyor mu?

Hayır, standart Devredilen izinler için. Mail.Read, Mail.ReadWriteve Mail.Gönder kullanıcı-onay kapsamlarıdır - bireysel kullanıcılar OAuth akışı sırasında bunları onaylayabilir. Uygulama izinleri veya üst düzey ayrıcalık kapsamları için yalnızca yönetici onayı gerekir Kullanıcı.Tümünü.Oku. Bazı kurumsal kiracılar, üçüncü taraf tüm uygulama onaylarını engelleyen politikalar yapılandırır - bu bir müşteri tarafı kararıdır.

04

Microsoft Graph yenileme belirteçleri ne kadar süreyle geçerlidir?

Yenileme belirteçleri 90 günlük hareketsizlikten sonra süresi dolar. Uygulamanız yenileme belirtecini düzenli olarak kullandığı sürece (bu, erişim belirteçlerini 60-90 dakikada bir yenilemeden önce otomatik olarak gerçekleşir), yenileme belirteci geçerli kalır. Koşullu Erişim ilkesi değişiklikleri, parola sıfırlamaları veya yönetici tarafından iptal etme bunları erken geçersiz kılabilir. Her zaman ele alın geçersiz_hibe hataları ve eski yenileme jetonlarını her jeton yanıtında döndürülen yenisiyle değiştirin.

05

AADSTS65001 ve AADSTS90099 arasındaki fark nedir?

AADSTS65001 hatası, kimlik doğrulama isteğinin zaman aşımına uğradığı veya iptal edildiği anlamına gelir.Kullanıcı henüz bir veya daha fazla belirli kapsam için onay vermedi. Düzeltme: ekle rıza yeniden bir onay ekranı göstermeye zorlamak için yetkilendirme URL'nize. AADSTS90099: Tüm uygulama o kiracıda yetkilendirilmedi - kiracı yöneticisinin uygulamanızı önceden onaylaması gerekiyor. Yönetici onay URL'sini müşterinin BT yöneticisine gönderin. Her iki hata da, kiracıların kullanıcı onayını kısıtladığı kurumsal senaryolarda yaygındır.

06

Her iki e-posta okuma ve gönderme işlemi için aynı Entra uygulama kaydını kullanabilir miyim?

Evet. İkisini de iste Mail.ReadWrite ve Mail.Gönder aynı kapsamdaki dize. Unutmayın ki Mail.ReadWrite ve Mail.Gönder ayrı kapsamlar - okuma/yazma erişimine sahip olmak otomatik olarak gönderme izni vermez. Her zaman dahil et çevrimdışı_erişim yenileme jetonu aldığınızdan emin olmak için. Bkz. E-posta API sayfası uygulama ayrıntıları için.

07

Unipile Microsoft OAuth belirteçlerini veritabanımda saklar mı?

Hayır. Unipile'ın barındırılan Microsoft kimlik doğrulama akışını kullandığınızda, Unipile tüm OAuth jetonlarını sizin adınıza yönetir. Uygulamanız hiçbir zaman Microsoft erişim jetonları veya yenileme jetonlarıyla doğrudan ilgilenmez. Bağlı hesaplarla yalnızca Unipile API anahtarınızı kullanarak Unipile'ın birleşik e-posta API'si aracılığıyla etkileşimde bulunursunuz. Bu, kendi altyapınızdan jeton depolama, döndürme ve güvenlik gereksinimlerini ortadan kaldırır.

08

Unipile Microsoft ile bağlantılı mı?

Hayır. Unipile, Microsoft ile bağlantılı, onaylanmış veya sponsorluğunda değildir. Unipile, kimliği doğrulanmış son kullanıcılar adına halka açık Microsoft Graph API'sini kullanan bağımsız bir teknik aracın hizmetidir. Her entegrasyon, o kullanıcının kendi kimliği ve kuruluşunun Koşullu Erişim ilkeleri kapsamında Microsoft tarafından yayınlanan OAuth belirteçleri aracılığıyla çalışır. Microsoft Graph ve Microsoft Entra, Microsoft Corporation'ın ticari markalarıdır.

Hala sorularınız mı var? Ekibimiz, Microsoft Graph OAuth konusunda size özel kullanım durumunuzla ilgili yardımcı olabilir.

Microsoft Graph OAuth: Outlook ve Microsoft 365 Posta Kutularını Kimlik Doğrulama (2026 Rehberi)

Microsoft Graph OAuthOutlook ve Microsoft 365 Posta Kutularını Kimlik Doğrulama

2026'da Microsoft Graph OAuth Neden Pazarlıksız Bir Hale Geliyor

Microsoft'un Desteklediği 3 OAuth Akışı (ve SaaS'ın İhtiyacı Olan)

Microsoft Entra Uygulama Kaydı: 7 Adım

Doğru Microsoft Yetkilendirme Uç Noktasını Seçmek

Microsoft Graph Posta Kapsamları: Ayrıntılı Döküm

Yetkiler Devredildi vs. Uygulama Yetkileri: Ne Zaman Hangisi Uygulanmalı

Doğrulama Kodu + PKCE: Adım Adım Curl Örnekleri

Yenileme Jetonu Yönetimi: Rotasyon, Süre Sonu ve Koşullu Erişim

Yaygın AADSTS Hataları Açıklamaları

Unipile ile OAuth Altyapısıyla Uğraşmaya 5 Hafta Ayırmaktan Kurtulun

Sıkça Sorulan Sorular

Hadi entegre edelim
2 gün içinde

Hızlı başlangıç videosu

Unipile Kılavuzları

Topluluğumuza Katılın

Şirket

Ürünler

Kullanım Örnekleri

Çözümler

Geliştiriciler

Kaynaklar

Microsoft Graph OAuth: Outlook ve Microsoft 365 Posta Kutularını Kimlik Doğrulama (2026 Rehberi)

Microsoft Graph OAuthOutlook ve Microsoft 365 Posta Kutularını Kimlik Doğrulama

2026'da Microsoft Graph OAuth Neden Pazarlıksız Bir Hale Geliyor

Microsoft'un Desteklediği 3 OAuth Akışı (ve SaaS'ın İhtiyacı Olan)

Microsoft Entra Uygulama Kaydı: 7 Adım

Doğru Microsoft Yetkilendirme Uç Noktasını Seçmek

Microsoft Graph Posta Kapsamları: Ayrıntılı Döküm

Yetkiler Devredildi vs. Uygulama Yetkileri: Ne Zaman Hangisi Uygulanmalı

Yönetici Onayı: Ne Zaman Devreye Girer ve Nasıl Talep Edilir?

Doğrulama Kodu + PKCE: Adım Adım Curl Örnekleri

Yenileme Jetonu Yönetimi: Rotasyon, Süre Sonu ve Koşullu Erişim

Yaygın AADSTS Hataları Açıklamaları

Unipile ile OAuth Altyapısıyla Uğraşmaya 5 Hafta Ayırmaktan Kurtulun

Sıkça Sorulan Sorular

Hadi entegre edelim2 gün içinde

Hızlı başlangıç videosu

Unipile Kılavuzları

Topluluğumuza Katılın

Şirket

Ürünler

Kullanım Örnekleri

Çözümler

Geliştiriciler

Kaynaklar

Hadi entegre edelim
2 gün içinde