Office 365 ortamında en fazla talepte bulunulan özellik on-premise Windows AD ile Windows Azure AD’si arasında parolalarının senkronize edilmesini sağlamaktı.
Hatta bir çok kurulumda istenen en büyük özellik on-premise AD’lerindeki domain kullanıcılarının aynı kullanıcı adı ve parolası ile Office 365 de oturum açmalarının sağlanması idi. Bu yapı için SSO yapmamız gerekmekte, bu yapının kurulması için ADFS kurulumu ve konfigurasyonu , bunun bir Windows Server’a kurulumunun yapılması bunun lisanslanması vb. bir çok ekstra adım ve iş yükü getirmekteydi. Veya tabi ki bu 3.party araçlar ile yapılabilir, fakat bu ekstra maliyet çıkarmaktaydı.
Resim-1
Artık Windows Azure Active Directory Sync Agent (a.k.a. DirSync) güncellenmesi ile on-premise AD parolaları artık Windows Azure AD’sine senkronize edilebilmekte, bu da Domain kullanıcı adı ve parolalarınız ile Office 365 (InTune, CRM Online, vb hizmetlere erişim) de aynı kullanıcı adı ve parolasını girerek oturum açabilmenizi sağlamakta.
Bu diğer 3.party araçlara göre bazı avantajları getirmekte:
- Parolalar plaintext olarak senkronize edilmemekte
- DC üzerine herhangi bir araç yüklenmemekte
- Azure AD sine parolaların senkronize edilebilmesi için kullanıcıların araçların ilk yüklenmesinden sonra parolalarını değiştirmesi gerekmemekte
Yeni DirSync, mevcut DirSync’in üzerine kurulabilir (6382.0000 veya üstü versiyonda olmalı) ve sadece “Enable Password Sync” kutucuğu işaretlenerek çalışmaya başlayabilir. En güncel araç Office 365 Admin Panelinden indirilebilir.
- Ekstra donanım veya yazılım gerektirmez
Resim-2
Bu aşamada göz önünde bulundurulması gereken ADFS ve Password Sync’in arasındaki farkları bilmek ve müşterinizin taleplerini hangi araç ile yapılabileceğini iyi planlamaktan geçmektedir.
Password Sync “Same Sign-on” yapar “Single Sign-On” yapmaz.
ADFS “Single Sign-on” yapar.
Aynı zamanda ADFS ek olarak :
- 2 aşamalı kimlik doğrulaması sağlar
- Policy temelli erişim kontrolü yapabilir
- Tüm dış erişimlerin engellenmesi
- Kurum networkü dışında tüm bağlantıların engellenmesi
- Ip temelli engelleme
- Browser temelli engelleme
gibi ekstra kısıtlamalar
Bazı özellikleri :
- Password Sync sadece password hashlerini senkronize eder.
- Password hashleri ile on-premise yapınıza oturum açamazsınız
- Passwordler DirSync’in kullanıcıları güncellemesinden daha sık yapılır(on-premise güncellemesi yapıldıktan dakikalar içerisinde).
- Parola güncellemesinde bir hata olduğunda, otomatik olarak tekrar dener.
- Kullanıcının oturumu Office 365 de açık iken, on-premise parolasi değiştirildiğinde oturumu düşmeden Office 365’i kullanmaya devam eder.
- On-premise parola kuralları (Password Complexity Policy, Password Expiration Policy) buluttakinden daha baskındır. Bulut tarafındaki kullanıcılar için halen Office 365’deki policyler geçerli olacaktır.
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
