1. Anasayfa
  2. Microsoft Office 365

Office 365’te Single Sign On (SSO) Yapısı Same Sign On’a (Password Sync) Nasıl Çevrilir?

Olcay Erkan tarafından
14/08/2013 Okuma süresi: 5dk, 46sn
1

Office 365 Single Sign On (ADFS) yapısı kullanıcıların Active Directory’ den üretilen şifreleri ile Office 365 hizmetlerine bağlanabilmelerini sağlamakta idi. Bu sayede kullanıcılar kurum içerisindeki bilgisayarlarında kendilerine ait hesapları ile oturum açtıkları için, Office 365 portalına bağlanırlarken şifre kullanmadan bağlanabiliyordu. Kurum dışına çıktıklarında ise eğer Federation Server Proxy yapılandırması yapılmış ise Office 365′ e bağlanmak istediklerinde, kullanıcı adlarını yazdıktan sonra kuruma özel olan federasyon login ekranına yönlendiriliyor, burada da Active Directory bilgilerini kullanarak hizmetlere erişebiliyorlardı.


Resim-1

Aslında SSO’ nun olayı tamamen tek şifre ile hizmetlere erişimi sağlaması değildir. SSO kullanan firmalar yalnızca bu özellik için yapıyı kullanıyor olsa da SSO, bağlantılarda çeşitli policyler ve engellemeler uygulayabileceğiniz de bir araçtır. Ek olarak oldukça güvenli bir yapıdır. Bunun yanında yapılandırmasının oldukça fazla gereksinimi vardır. Sağlıklı bir SSO yapısı için iç networkte çalışacak 2 adet ADFS sunucu olmalıdır ve bu sunucular arasında NLB yapısı kurulmalıdır. Şirket networkü dışına çıkıldığı zaman Office 365 hizmetlerine bağlanılabilmesi için, istekleri içerideki ADFS sunuculara yönlendirme görevi görecek olan ve yine NLB yapısında çalışan 2 adet ADFS Proxy sunucusuna ihtiyaç vardır. Bu sunucular yapılandırılmaz ise kullanıcılar Office 365 hizmetlerine şirket dışına çıktıkları zaman bağlanamaz. Son olarak Active Directory ile senkronizasyonu sağlayacak olan DirSync sunucusu yapılandırılmalıdır. Görüldüğü gibi güvenli bir SSO yapısı için 5 adet sunucu gerekmektedir. Bunun yanında NLB konfigürasyonu yapılmayacak ise bu sayı 1 ADFS, 1 ADFS Proxy ve 1 DirSync olmak üzere 3′ e düşer. İyi haber bu yapının sanal mimari üzerinde kurulabiliyor olmasıdır.

Yeni DirSync aracı ile gelen Password Sync (Same Sign On) özelliği eğer SSO’yu sadece şifre replikasyonu yapmak için kullanıyorsanız, tüm bu işlemleri tek sunucu üzerinden yapmanızı sağlıyor. Bu araç ile On-premise Active Directory nizi Office 365 arka planında çalışan Windows Azure Active Directory ile senkronize ederek kullanıcı şifrelerinin de senkronize olmasını sağlayabilirsiniz. Bu sayede kullanıcılar kurum içi ve kurum dışı ayrımı olmaksızın Office 365 hizmetlerine lokalde kullandıkları kullanıcı adı ve şifreler ile bağlanabiliyor olacak ve ekstra sunucu yükünden de kurtulacaksınız. Önemle belirtmek istediğim nokta bu özelliği sadece şifre Replikasyonuna ihtiyacınız var ise kullanmalısınız. Ekstra uygulamalar veya Hybrid yapıların kurulması gibi durumlar yine SSO’ ya ihtiyaç duyacaksınız.

Bu kadar açıklamadan sonra senaryomuzdan bahsedelim. Var olan bir SSO yapım var ve bu yapıda 2 adet Federated domain mevcut. ADFS yapısının Multiple Domains desteklediği için birden fazla domaini Federated hale getirebiliyorum. Bu konu ile ilgili başka bir makaleyi daha sonra paylaşacağım.


Resim-2

Ben bu Federated domainlerden olcayerkan.info olanı password sync ile kullanacağım, olcyerkn.com olan Federated olarak devam edecek. Yani tek bir yapıda hem SSO hem de Password Sync özelliklerini kullanıyor olacağım.

İlk olarak “Federated” halde olan domaini “Standart” a çekmeliyim. Bunun için ADFS sunucum üzerinde bulunan “Microsoft Online Services Module for Windows Powershell” aracını kullanıyoruz.


Resim-3

Gireceğimiz komutlar;

$cred = Get-Credential (Office 365 tenant kullanıcı adı ve şifre bilgilerini giriyoruz)

Connect-MsolService –Credential $cred

Set-MsolADFSContext –Computer “adfs sunucu ismi”

Convert-MsolDomainToStandart –DomainName “domain adı” –SkipUserConversion $false –PasswordFile “path”


Resim-4

Son komut ile belirttiğimiz standart hale dönen domaine ait kullanıcılar için üretilen tek kullanımlık passwordlerin dosyası belirttiğimiz path e gelmiş görünüyor. Dikkat ederseniz ben olcayerkan.info domainini standart hale çevirdiğim için sadece o domaine ait kullanıcılar için şifre üretilmiş. Olcyerkn.com N/A durumda.

Artık içerisinde Password Sync güncellemesi olan yeni DirSync aracını çalıştırabiliriz. Bu araç .NET Framework 4.0 gerektirmektedir. Kuruluma geçmeden önce eğer yok ise .NET Framework 4.0 ı yapılandırınız.


Resim-5

Aracı çalıştırdığımda daha önceden yapılandırılmış olan bir DirSync aracı olduğuna dair hata ile karşılaşıyorum.


Resim-6

Belirtilen DirSync aracını Uninstall edip yeni DirSync aracını tekrar çalıştırıyorum.


Resim-7

Araç gerekli komponentleri yapılandırma işlemine geçiyor.


Resim-8

Yükleme tamamlandıktan sonra Configuration Wizard ı çalıştırıyorum.


Resim-9

Configuration Wizard adımları bu aşamaya kadar DirSync yapılandırması ile aynıdır. Bu kısımda “Enable Password Sync” kutucuğunu işaretleyerek devam ediyorum.


Resim-10


Resim-11

“Synchronize your directories now” diyerek yeni bir senkronizasyon çalıştırılmasını belirtip işlemi sonlandırıyorum.


Resim-12

Daha sonra test için Active Directory üzerinden “deneme1” isimli kullanıcımın şifresini resetleyip senkronizasyonu tekrar tetikliyorum.


Resim-13

Senkronizasyonu tetiklemek için C:\Program Files\Windows Azure Active Directory Sync yolunu izleyerek “DirSyncConfigShell” aracını açıp “Start-OnlineCoexistenceSync” komutunu çalıştırıyorum.


Resim-14

Office 365 login ekranına bağlanıp kullanıcı adımı ve belirlediğim yeni şifreyi giriyorum.


Resim-15

Sıkıntısız bir şekilde oluşturduğum yeni şifre ile Office 365 bağlantım gerçekleşti. Kullanıcı üzerinde atanmış bir lisans olmadığı için hizmetleri göremiyorum fakat lisans ataması yaptığınızda sıkıntısız bir şekilde hizmetleri de kullanabilirsiniz.

Federated kullanıcıları Password Sync özelliğini kullanabilir duruma getirme işlemimizi bitirdik. Şimdi Federated durumda olan diğer domainimizin aynı şekilde sıkıntısız bir şekilde çalışmaya devam etmesi için yapacağımız işlemlere geçelim.


Resim-16

Yapmamız gereken tek işlem yine ADFS sunucusu üzerinde bulunan MSOL Powershell aracını açarak “Update-MsolFederatedDomain –DomainName ‘domain adı’ “ komutunu çalıştırmak.


Resim-17

Ardından domaine dahil bir bilgisayarda hala Federated durumda olan kullanıcı ile oturum açıyorum.


Resim-18

Office 365 login ekranına bağlanarak kullanıcı adımı yazıyorum ve bağlantının redirect edildiğini görüyorum.


Resim-19

Belirttiğim kullanıcı ile oturum açma işlemi başarı ile gerçekleşti. Yine kullanıcı lisansını atamadığımız için hizmetler görünmüyor. Böylece federasyonun da sıkıntısız bir şekilde çalıştığını teyit etmiş oldum. Artık aynı Office 365 hesabı üzerinde hem Single Sign On hem de Same Sign On uygulamalarını kullanabilir durumdayız. Başka bir makalede görüşmek üzere.

Bu konuyla ilgili sorularınızı  alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.

Referanslar

www.mshowto.org

Bu İçeriğe Tepkin Ne Oldu?
  • 0
    harika_
    Harika!!
  • 0
    be_enmedim
    Beğenmedim
  • 0
    _ok_iyi
    Çok iyi
  • 0
    sevdim_
    Sevdim!
  • 0
    bilemedim_
    Bilemedim!
  • 0
    olmad_
    Olmadı!
  • 0
    k_zd_m_
    Kızdım!
Olcay Erkan

Edirne doğumluyum. Dokuz Eylül Üniversitesi lisans eğitimimi tamamlamamın ardından, Sistem ve Network teknolojileri ile ilgilenerek edindiğim tecrübeleri Sanallaştırma ve Bulut Bilişim alanında özelleştirdim. Sektör içerisinde bir eğitim firmasında sistem eğitmeni olarak görev aldım. Şu anda PeakUp Bilişim Danışmanlık bünyesinde, Bulut Bilişim Altyapı Danışmanı olarak çalışmalarımı sürdürmekteyim. Office 365 ve Azure Platformlarına ilişkin yapılandırma ve geçiş süreçlerini yönetmekteyim.

Yazarın Profili
İlginizi Çekebilir
Teams mobile
24/05/2020
Teams Mobil Uygulamasında Kullanılan 10 Özellik

Benzer Yazılar

Bültenimize Katılın

Tıklayın, üyemiz olun ve yeni güncellemelerden haberdar olan ilk kişi siz olun.

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Yorumlar (1)

  1. 15/08/2013

    Ellerine sağlık hocam :)

    Cevapla

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir