İlginizi Çekebilir
  1. Ana Sayfa
  2. Microsoft Azure
  3. Azure Active Directory Pass-Through Authentication ve SSO

Azure Active Directory Pass-Through Authentication ve SSO

Azure Active Directory Pass-Through Authentication ve SSO

Bu yazımızda, Microsoft bulut çözümlerinde olmazsa olmaz ihtiyaçlarımızdan biri olan kimlik doğrulama özellikleri üzerinde duracağız. Bildiğiniz gibi artık günümüzde hemen her uygulamanın bir kimlik doğrulama ihtiyacı bulunmaktadır. Kurumsal anlamda ise mail sunucumuza bağlanmak için, şirketimize vpn yapmak için veya custom bir uygulamaya erişmek için bir kimlik doğrulama gerçekleştirmemiz gerekmektedir. Tabi bi artık günümüzde kurumlar sadece kendi veri merkezlerini kullanmak yerine, artık cloud platformlarını da kullanıyorlar. Dolayısı ile kurumlar, gerek kendi veri merkezlerindeki bir uygulamaya ve gerekse cloud tarafındaki bir uygulamaya erişirken,kullanıcılarının tek bir kullanıcı adı parola ile giriş yapmalarını istiyorlar.

Böylelikle bu, kurumlar için kolaylık, güvenlik ve yönetilebilirlik açısından oldukça avantajlar sağlamış oluyor. Diğer taraftan ise kullanıcılar, her iki ayrı platformlarındaki kurumsal uygulamalara, tek bir kimlik bilgisi ile giriş yapmak istiyorlar. İnsanların sosyal yaşamlarında kullandıkları özel uygulamaları ve bunlar için farklı kimlik bilgileri girmeleri gerektiğini düşünürsek, bu gayet normal bir durum.

Peki bu durumda hem OnPremise, hem de Office 365 kullanan bir kurum ne yapmalı, kimlik bilgilerini nasıl korumalı ve nasıl yönetmeli. Aslında bunu en başından beri Azure Connect aracı ile gerçekleştiriyoruz. Azure AD Conenct ile, OnPremise ortamımızda bulunan tüm objeler veya istediğimiz objeler (user, group, contact etc.) Office 365 platformuna sync olabiliyor. Böylelikle, örneğin mailbox ‘ı Exchange Online ‘da olan bir kullanıcı Local üzerindeki erişim bilgilerini kullanarak, Exchange Online’daki mailboxına erişebiliyor. Bu aynı zamanda sadece kullanıcının mailbox ‘ına ulaşması değil, , , gibi tüm bulut uygulamalarına ulaşmalarınıda sağlıyor. ise belli periyotlarda sync oluyor ve Local Active Directory üzerindeki tüm değişiklikleri veya yenilikleri buluta sync ediyor.


Resim-1

Fakat burada kurumlar için şöyle bir sıkıntı söz konusu oluyor. Objeler üzerinden, buluta sync olurken, örneğin kullanıcının parolası da sync oluyor, dolayısı ile kullanıcının parolası aynı zamanda bulutta da barındırılıyor.  Böyle olunca da, BT yöneticileri daha fazla güvenlik istiyor.

Bu gibi durumlarda kullanıcak yöntem ise, mimarisi konumlandırmak olacaktır. mimarisinde kullanıcı parolaları Azure AD Connect ile buluta sync olmuyor. Kullanıcı uygulamasına giriş yaptığında, ilk önce OnPremise ortamda bulunan sunuculara erişiyor ve buradaki kimlik dorulamasını sunucular, Active Directory üzerinden gerçekleştirmiş oluyor. Böylelikle kullanıcı uygulamasına login olabiliyor ve aynı zamanda yine mimarisinin bir özelliği olan, () özelliğinden yararlanarak tek bir kimlik doğrulama ile bir çok uygulamya erişebiliyor. Fakat burada ADFS mimarisinin çok dikkatli tasarlanması gerekmektedir ve ADFS mimarisi mutlaka çok sunuculu, yedekli bir şekilde çalışmalıdır. Tabi ki herhangi bir durumda ADFS mimarisinde bir kesinti yaşandığında, kullanıcılar hiçbir şekilde kimlik doğrulaması gerçekleştiremeyecekler ve uygulamalarına erişemeyeceklerdir.


Resim-2

Evet, kimlik doğrulama olayı oldukça kritik olduğundan bu konuda biraz çok konuştuk. Şimdi sadede gelelim.

yöntemi ile hem kullanıcı parolaları buluta sync olmuyor, hem de ADFS mimarisi gibi davranan bir yapı ile güvenli bir kimlik doğrulama işlemi gerçekleştirilmiş oluyor. Bununla birlikte Single Sign On (SSO) özelliği ile de, tek bir kimlik doğrulama ile bir çok uygulamaya erişim sağlanıyor.


Resim-3

Şimdi gelelim bu özelliği nasıl aktif hale getiriyoruz. Azure Active Directory Connect kurulu olan sunucumuza bağlanıyoruz ve Azure Ad Connect Tool ‘unu çalıştırıyoruz. Configure ile devam ediyoruz.


Resim-4

Change user sign-in seçeneğini seçip devam ediyoruz.


Resim-5

Office 365 portalına bağlanmamız için Office 365 global admin erişim bilgilerimizi giriyoruz ve devam ediyoruz.


Resim-6

Sonrasında aşağıdaki gibi Pass-through authentication seçeneğini işaretliyoruz. Gördüğümüz gibi artık Password Synchronization seçeneği işaretli değil, dolayısı ile kullanıcı password leri buluta sync olmayacak. Bunun la birlikte birde Enable single sign-on  seçeneğini işaretliyoruz. Bu da bize tek bir kimlik doğrulaması ile birçok uygulamaya erişim imkanı verecektir. Next ile devam ediyoruz


Resim-7

Ardından OnPremise Active Directory erişim bilgileri otomatik gelecektir. Fakat isterek değiştirebiliriz veya farklı bir admin user girebiliriz. Next ile devam ediyoruz.


Resim-8

Burada ise konfigurayon sonunda, hali hazırda sync olan objeler, sync edilsin mi diye soruyor. Dilersek seçeneği işaretleyerek sync edilmesini sağlarız, gerekirse de sonradan manuel sync edebiliriz. Configure ile tamamlıyoruz.


Resim-9

Konfigurayonun başarılı şekilde tamamlandığını görebiliyor ve Exit ile çıkış yapıyoruz.


Resim-10

Evet buraya kadar ki bölümde Azure Active Directory pass-through authentication ve Single Sign On yapılandırmamız tamamlanmış oldu. Peki bu konfigurasyonlardan hangi kullanıcılarımız yararlanacak, nasıl kullanacak,  SSO özelliği ne şekilde kullanıcılara atanacak. Tabi ki Group Policy ile. Group Policy Object ile belirleyeceğimiz iki policy sayesinde Active Directory kullanıcılarımıza bu konfigurasyonlar atanacak.

Herhanbi bir Domain Controller üzerinden Group Policy Management konsolunu açıyoruz. Sonrasında Default Domain Policy üzerine sağ click yapıp Edit diyoruz. Ben burada tüm domaine uygulayacağım için Default Domain Policy seçtim. Siz dilerseniz farklı OU lara bu işlemi gerçekleştirebilirsiniz.


Resim-11

Daha sonra açılan ekranda policy için bilgileri gireceğimiz alana gidiyoruz. User Configuration\Policies\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Security Page menüsüne gidip Site to Zone Assignment List alanını bulup çift tıklıyoruz.


Resim-12

Açılan ekranda  Enable seçeneğini seçip Show  butonunu tıklıyoruz ve  aşağıdaki gibi ilgili değerleri giriyoruz ve sornasında OK ve OK ile sayfadan ayrılıyoruz. Bu işlem sonrası gpupdate ile işlemleri force edebiliriz.

Value: https://autologon.microsoftazuread-sso.com
Data: 1
Value: https://aadg.windows.net.nsatc.net
Data: 1


Resim-13

Sonrasında artık kullanıcımız login olurken aşağıda ki gibi bir yonlendirme uyarısı alacak ve sonrasında login olacaktır. Ayrıca bilgisayarı domainde olan tüm kullanıcılar Single Sign On SSO özelliğinden faydalanarak, farklı bir Office 365 uygulaması için yeniden kullanıcı adı ve parola bilgisi germeyeceklerdir.


Resim-14

Bu konuyla ilgili sorularınızı https://forum.mshowto.org linkini kullanarak ulaşacağınız forum sayfamızda sorabilirsiniz.

Referanslar

www.mshowto.org

TAGs : Local AD,,Azure AD Connect,SSO,Single Sign On,Skype,OneDrive,Office uygulamaları,ADFS, Azure Active Directory pass-through authentication,Active Directory

Yorum Yap

Yazar Hakkında

İstanbul doğumluyum. Yaklaşık olarak 14 yıldır bilişim sektöründe yer almaktayım. Çeşitli firmalarda sistem yöneticiliği ve BT danışmanlığı görevlerinde bulundum. Anadolu Üniversitesi İşletme Bölümü mezunuyum. Şu an Comparex TURKEY firmasında Kıdemli Çözüm Danışmanı olarak çalışmaktayım.

Yorum Yap