Bu makalemizde Active Directory Federation Service (ADFS) ile Office 365 entegrasyonunun nasıl yapıldığından bahsedeceğiz.
Kurumumuzdaki yapımızı Office 365 ortamına taşımak istediğimizde bu yapıyı kullanmamız gerekecektir. Ne zaman? Exchange Online kullanmaya karar verdik ve mailboxlarımı Exchange Online’a taşımadan önce ya da Lync Online ya da Sharepoint Online, kısacası Office 365 hizmetlerinden kurumumuz içerisindeki (AD yapımızdaki) kullanıcıların direkt olarak yararlanmasını istiyorsak, oturum açtıkları domain kullanıcıları ile Office 365’ı kullanmalarını istiyorsak, Office 365 ile AD FS kurmamız gerekmektedir(SSO için).
İlk başta yapmamız gereken işlem Sol taraftaki admin paneli üzerinden “Management” kısmında yer alan “Domains” linkine tıkladıktan sonra açılan “Domains” sayfasında “Add a domain” diyerek sahip olduğumuz domaini verify etmemiz gerekmekte. Bu sayfa sahip olduğumuz ve bunun yanında Active ettiğimiz veya durumu “Verify” işlemi için beklemekte olan domainlerimizi göstermekte.
Resim-1
“Add a domain” diyerek bu sayfayı geçiyoruz. “Specify domain” sayfasında domain ismimizi aşşağıdaki alana yazıyor ve ilerliyoruz.
Resim-2
“Verify domain” sayfasında ön tanımlı DNS servisleri çıkmakta. Bunlardan birini seçebilir veya “General instructions” seçerek Hizmet aldığımız firmayı belirtmeden geçebiliriz. Bir aşşağıdaki ön tanımlı alanda ise TXT veya MX kayıtlarından hangisini girmek istediğimizi belirtiyoruz. AD ile ilgili işlem yapıcağımız için ben TXT kaydını seçiyorum. Bunu seçtikten sonra sayfa karşımıza DNS kayıtlarımıza nasıl bir adres girmemiz gerektiğini göstermekte. Bu kaydı Hizmet aldığımız DNS servisine kayıt etmemiz gerekmekte. Kaydın DNS’ler arasında senkronize olması 72 saate kadar sürebilir.
Resim-3
Resim-4
Bu hata ile karşılaştıktan sonra Cancel diyerek “Domains” ekranımıza dönüyoruz.
Bu hata DNS kayıtlarımıza ulaşılamadığını belirtmekte.
Resim-5
Admin konsolunda “Management” altında Domains altındaki domain isimlerimizin yanında yazan “Click to verify domain”‘e bastığımızda Domain adımız onaylanırsa,
Resim-6
Karşımıza bu şekilde bir ekran çıkmakta. Bu ekranda 3 Seçenek görüyoruz. Domain adımızı hangi servisler için kullanacağımızı buradan belirtiyoruz.
Resim-7
Şuandaki durumumuza baktığımızda sahip olduğumuz 2 domaini ve en aşağıda Microsoft üzerindeki domainimizi (O365 ile sahip olduğumuz domain ismini) görüyoruz. Bunlardan ilki “Verified” durumda diğer domainimiz ise hala verified olmadı. Biz ilk domainimiz üzerinden devam edelim.
Kurulum için ADFS 2.0′ı indirdim ve kuruluma başlıyorum.
Resim-8
Federation Server ı seçiyoruz.
Resim-9
Gerekli yazılımları ADFS Wizard kendisi yüklemesini yapıyor.
Resim-10
IIS üzerinden kendimize bir sertifika üretmek için gerekli bilgileri dolduracağız.
Resim-11
Ekranın Sağ tarafındaki Actions bölümünden “Create Certificate Request” diyerek sertifika talep işlemimize başlıyoruz.
Resim-12
Gerekli bilgilerimizi dolduralım. Burada en önemli nokta Common Name kısmıdır. Çünkü Common Name kısmı sizin external tarafa bakan domain isminizi belirtmesi gereklidir. Biz aşşağıdaki ekranda yaptığımız ayarlarda * (wildcard) bir sertifika talebinde bulunmuş oluyoruz. Fakat isterseniz siz adfs.msfilter.net gibi direkt olarak server adına sertifika talebinde de bulunabilirsiniz.
Resim-13
Diğer ekranda sertifika bit uzunluğunu değiştirebilme olanağımız mevcut. Default olarak bıraktım ve sertifika için bilgilerin çıktısını txt olarak kaydediyorum, bu dosya bize 3.party CA’den sertifika talebimiz için gerekli olan bilgileri içerir. CA bu bilgilere göre bize bir sertifika üreticek. Bizde ilerideki işlemlerimizde gerekli olan yerlerde bu sertifikadan yararlanacağız. Fakat bu aşamada biz kendi kurduğumuz CA üzerinden sertifika talebinde bulunacağız.
Resim-14
Sertifikamızın elimize ulaşmasından sonra yapmamız gerekenlerin başında bu sertifikanın import edilmesi gelmekte. Bu işlem için yeniden IIS konsolunu açıyoruz.
Resim-15
Bu örneğimizde biz *.msfilter.net olarak sertifikamızı talep ettiğimiz için (yani wildcard olarak) bunu Friendly Name kısmına giriyoruz. Eğer siz farklı isim olarak (adfs.msfilter.net gibi) talep ettiyseniz bunu girmeniz gerekmekte.
Resim-16
Bulunduğumuz sayfadan sertifikamızın eklendiğini görebiliriz. Gördüğümüz üzere biz kendi Local CA’imizden talep ettik ve bunun için “Issued By” kısmında kendi CA’imizin ismi geçmekte.
Artık bu sertifikamızı Default Web sayfamıza ekleyebiliriz.
Resim-17
Sertifikamızı Default Web sayfamıza eklemek için IIS konsolunda sağ panelde “Bindings” kısmına bastığımız zaman açılan pencerede “Add” butonuna basarak “Add Site Bindings” ekranına ulaşıyoruz ve bu ekranda “SSL certificate” kısmından eklediğimiz (import ettiğimiz) sertifikamızı seçiyoruz.
Resim-18
Artık ADFS ayarlarını yapabiliriz. Bunun için ADFS konsolunu açıyoruz.
Resim-19
AD FS konsolunda “AD FS 2.0 Fedaration Server Configuration Wizard” kısmına basarak ayarlarımızı yapmaya başlıyoruz.
Resim-20
Next dediğimizde açılan yeni ekranda “Stand-alone” ‘ı seçersek bu ortamımıza başka ek federation server eklemeyeceğimiz anlamına gelir. Aslında Server farm seçmek bu aşamada daha esnek çalışabilme imkanı verir. Ama entegrasyon anlamında 2 seçenekte gerekli adımları yapmamızda bir sıkıntı çıkarmaz.
Resim-21
Federation service name kısmında bizden adfs hizmeti verecek serverımızın ismini belirtmemiz isteniyor. Daha önce biz wildcard bir sertifika talebinde bulunduğumuz için burası karşımıza ilk aşamada *.msfilter.net olarak çıkmakta. Servis ismini internal ve external kullanıcıların çözümlemesi sağlanmalıdır. Kısacası DNS’de ADFS serverın ismi bulunmalıdır.
Resim-22
Daha sonraki ekranda ADFS tarafından kullanılacak Servis hesabının bilgilerinin girilmesi istenmekte. Bunuda geçtikten sonra karşımıza şuana kadar yaptığımız ayarlar çıkıyor, bu raporu inceledikten sonra kurulumu başlatabiliriz.
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
