ADFS bildiğimiz gibi; Kullanıcıların tek bir oturum üzerinden, birden fazla web uygulaması üzerinde kimlik doğrulma işlemlerini gerçekleştirmesini sağlayan bir servistir.
Bu servisi dış Dünyada da kullanabilmemiz için, dışarıya Publish etmemiz gerekiyor. Hatta bu işlemi yapmamız için ADFS Proxy diye bir rolümüz var. Buraya kadar sanırım bilgilere hakimizdir.
Ancak bazı yapılarda, ADFS ve ADFS Proxy aynı sunucu üzerinde çalışmadığından dolayı, ADFS görevini yerine getirmek için 2 ayrı sunucuya ihtiyaç duyuyor. Bu da bazen bizim için sorun olabilir.
Resim-1
Eğer ortamda TMG kullanılıyorsa, ADFS’i TMG ile de Publish etmek mümkün. Bizde bu yazıda, bu işlemi nasıl gerçekleştireceğimizi inceleyeceğiz.
ADFS Proxy ile ADFS in Publish edilmesi desteklenen ve önerilen yöntemdir. TMG ile Publishing işlemi de desteklenmektedir.
ADFS’i farklı şekillerde de Publish ediyor olabilirsiniz. Ancak bu desteklenen bir işlem olmayacaktır.
Bu Publishing işleminden sonraki yapımız aşağıdaki gibi olacak.
Resim-2
TM Management Console’u açarak işlemlerimize başlayalım.
Firewall Policy üzerinde sağ tıklayarak, New > Web Site Publishing Rule diyoruz.
Resim-3
Oluşturacağımız Publishing Rule’a isim vererek sihirbazımızı başlatalım.
Resim-4
Oluşturacağımız kuralın aksiyonunu seçiyoruz. Bu bir izin kuralı olacak. Allow’u seçerek devam ediyorum.
Resim-5
Bu adımda Internal site name’i girmemizi istiyor. Burada sts.domainadi.com gibi FQDN’i girmemiz gerekiyor. Buna ek olarak Computer name ya da IP adresi istenen yere ise, ADFS in IP adresini girmelisiniz. Eğer isim ile erişemezse bu IP’yi kullanacaktır.
Eğer ortamda birden fazla ADFS varsa muhtemelen önünde bir NLB duruyordur. Bu durumda burada kullanılması gereken IP NLB IP adresi olacaktır.
Resim-6
Sonraki adımda ise; Publish edilecek hizmetin Path’ini soruyor. Burada aşağıdaki gibi /ADFS/* şeklinde bir string giriyoruz. Ve devam ediyoruz.
Resim-7
Hatırlarsanız biraz önce FQDN girdiğimiz bir ekran vardı. Orada Internal site name diyordu. Şimdide dışarıdan gelen adresi belirleyeceğiz. Public Name kısmına sertifikada yer aldığı gibi adresimizi yazıyoruz. Path kısmına da aynı şekilde giriyoruz.
Resim-8
Bu adımda ise WebListener seçmem gerekiyor. Ancak ben bu iş için bir Listener oluşturmadım. New diyerek WebListener tarafını da halletmemiz gerekiyor.
Resim-9
New dedim, Listener’a bir isim verdim ve ikinci adımda aşağıdaki şekilde bana bağlantı şeklini soruyor. SSL bağlantısını seçerek devam ediyorum.
Resim-10
Dışarıdan gelecek istekleri dinleyeceğim için External’ı seçiyorum.
Resim-11
Kullanılacak sertifikamı soruyor. Burada da ADFS için satın aldığım Public sertifikayı Trusted Root’a eklemiş olmalıydım. Bu şekilde aşağıdaki adımda bu sertifikayı doğrulanmış olarak görebileceğim ve sertifikamı seçerek devam edeceğim.
Resim-12
Bu adımda ise Authentication tipimi soruyor. Burada HTML Form’u seçerek devam ediyorum.
Resim-13
SSO sorusuna aşağıdaki gibi cevap vermeden Next diyerek devam edin.
Resim-14
Listener’ım tamamdır. Finish diyorum ve Publishing kuralıma devam ediyorum.
Resim-15
Listener’ımı seçtim ve Publishing kuralımda ileri dedikten sonra aşağıdaki gibi “ADFS” için nasıl bir Authentication kullanmak istediğimi soruyor. (Biraz önce TMG Listener da söylediğim Auth. Metodu, TMG üzerindeki doğrulama içindi. Şimdiki ADFS için. Yani kullanıcı Listener’dan (External’dan) içeriye gelirken TMG ile auth. Oldu. Şimdide TMG ADFS sunucusu ile nasıl bir Auth. Metodu kullanayım diye soruyor.)
NTLM Auth.’ı seçerek devam ediyorum.
Resim-16
Ve son olarak TMG nin meşhur Users adımı J bu kuralı hangi kullanıcı grubu kullanabilsin diye soruyor. Tabi ki All Users diyerek sihirbazımızı tamamlıyoruz.
Resim-17
Özet ekranını gördükten sonra Finish diyerek tamamladım. Ancak işim bitmedi.
Oluşturduğunuz Policy üzerinde bazı modifikasyonlar yapmalıyım.
Oluşturduğum Policy üzerine sağ tıklayarak Configure http diyorum.
Resim-18
Genel Tab’ın da; “Verify normalization” ve “Block high bit characters” kutucuklarını temizliyorum.
Resim-19
Tamam diyerek işlemlerimi bitirebilirim.
Burada bir detay daha vermek istiyorum. TMG üzerinde kullanıcının şifresini değiştirebilmesi ya da Expire bilgilendirme mesajını görmesi için bir düzenleme yapmanız gerekiyor. Bu durum sizin için önemli ise yapmalısınız. Ancak Publishing in çalışmasını engelleyen bir durum değil.
ADFS kuralınız üzerine sağ tıklayarak, Properties diyelim.
Açılan pencere üzerinde Listener tabına gelelim.
Ve bu tabın içeriğinden de Properties diyerek devam ediyoruz.
Listener ın özelliklerinin penceresinde Forms tabına gelin ve aşağıdaki şekilde düzenleyin.
“Allow users to change their passwords” ve “Remind users that their passwords will expire in this number of days:” kutucuklarını işaretleyerek OK diyelim ve tüm pencereleri OK diyerek kapatalım.
Resim-20
Artık yaptığım işlemleri Apply edebilirim.
Resim-21
Artık ADFS görevini TMG üzerinden yapabiliyor.
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
Merhaba,
Yazınız gerçekten bilgi verici ve bununla ilişkisi olacağını düşündüğüm bir konuda görüşlerinizi merak ediyorum. Windows 8.1’de magazadan “Dynamics AX” ‘a ait bir sürü uygulama var. Oradan “Approvals” ‘adında ki uygulamayı kurup başlatmak istediğimde benden ;
– USER ID
– Password
– Service Connection Name
alanlarını doldurmamı istiyorum. Axaptaya bağlanmak için kullandığım server bilgilerini bu kısıma giriyorum fakat hata mesajı alıyorum. Bu durumla ilgili araştırma yaptım ve ADFS ve SSL ayarlarının yapılması gerektiği söyleniyor bu konu hakkında bilginiz varsa yardımınızı rica ediyorum.
Teşekkür ederim.