1. Ana Sayfa
  2. Microsoft Azure
  3. On-Prem Active Directory (Lokal AD) Mimarisinin Azure’a Genişletilmesi ve Hybrid Yapı – Azure AD Connect ile Directory Senkronizasyonu – Bölüm 2

On-Prem Active Directory (Lokal AD) Mimarisinin Azure’a Genişletilmesi ve Hybrid Yapı – Azure AD Connect ile Directory Senkronizasyonu – Bölüm 2

On-Prem Active Directory (Lokal AD) Mimarisinin ’a Genişletilmesi ve Hybrid Yapı – AD Connect ile Directory Senkronizasyonu – Bölüm 2. On-Premise ortamını ’a genişletmiş olan organizasyonlar kullanıcıların aynı password ile ya da SSO ile kaynaklarına erişmesini isteyebilirler. Bu sebeple bu iki yöntem için de AD Connect uygulamasının kullanılması gerekir. Directory senkronizasyon işlemi oldukça kritik bir işlem olduğundan uygun yönetim ve izleme işlemlerinin de entegre edilmesi gerekir. Bu sebeple ortama Azure AD Connect Health Tool‘un entegre edilmesi gerekir.

Bu konunun ilk yazısına aşağıdaki linkten ulaşabilirsiniz.

On-Prem Active Directory (Lokal AD) Mimarisinin Azure’a Genişletilmesi ve Hybrid Yapı – Bölüm 1

Directory Senkronizasyonu


Resim-1

Directory senkronizasyonu ile Azure AD ile On-Premise AD arasında kullanıcı, grup, kontak ve Windows 10 işletim sistemine ait bilgisayar bileşenleri senktonize edilir.

Directory sync işleminin yapılması için gerekli işlem directory sync işlemi yapan bileşenin On-Premise üzerinde bir Server’a kurulup, AD DS için Enterprise Admin hesabı, Azure için ise Azure AD’de yetkili bir accountun sağlanmasıdır. Ardından directory sync işlemi kolaylıkla başlatılabilir. Bu işlemin ardından On-Premise üzerinde bulunan Built-in olmayan kullanıcı hesapları, gruplar, kontaklar ve opsiyonel olarak Windows 10 yüklü bilgisayar hesapları Azure AD’ye replike edilir.

Buradaki önemli nokta senkronize edilen bu hesaplara ait kimlik doğrulaması yapıldıktan sonra Azure üzerindeki kaynaklara erişilebilir. Eğer password senkronizasyonu etkinleştirilmişse kullanıcı Azure kaynaklarına ilk erişmek istediği zaman kimlik doğrulama penceresi ile karşılaşır.(Domain’a üye bir bilgisayardan bağlanmış olsa bile) Buradaki önemli nokta password sync işlemi kullanıldığı takdirde kullanıcılar Azure Resource’ları için On-Premise kaynaklara erişirken kullandıkları şifreyi kullanırlar. Parolalarını kaydettikleri zaman bir daha kimlik doğrulama penceresi ile karşılaşmazlar.

Azure AD Connect:

AD Connect organizasyonların On-Premise üzerinde kullandıkları kimlik doğrulama sistemini Azure AD ile entegre etmeyi sağlayan bir tool’dur. Azure AD Connect kendisinden önce yayınlanmış olan DirSync ve Azure ADSync araçlarının sahip olduğu özellikleri kapsar.

Azure AD Connect yazılımına ait bazı ana bileşenler aşağıdaki gibidir:

MIM Sync özelliğinin gelişmişidir.

Çok Forest’lı senaryoyu destekler.

Belirli Online servisleri için gerekli olan account seviyesinde ve attribute seviyesinde senkronizasyon için filtrelemeler yapabilir.

Password Hash’lerinin Azure AD üzerine senkronize edilmesini destekler.


Resim-2

Azure AD Connect sahip olduğu basit Wizard arayüzü ile On-Premise kimlik altyapısı ve Azure arasındaki bağlantı modelinin kolaylıkla seçilmesini sağlar. Bu basit wizard yardımıyla topoloji ve gereksinimleri (tek yada çok directory’li yapı, password sync,federation vb) kolaylıkla seçilebilir. Seçilen gereksinimlere göre Azure AD Sync, Exchange Hybrid Deployment, Password Change Write-back, Device Write-back yada ADFS ve Proxy Server seçenekleri etkinleştirilebilir.

Azure AD Connect 3 önemli bileşenden meydana gelir:

Synchronization : Azure AD Connect’in en önemli bileşenidir. Kullanıcı ve grupların Azure AD üzerinde oluşturulmasını sağlar. Senkronizasyon konusundaki temel özelliğini Fım’den almıştır.

ADFS : Organizasyonların federe edilmesindeki en temel bileşendir. SSO entegrasyonu ADFS ile sağlanır. ADFS ile kimlik doğrulama üzerindeki full kontrol On-Premise ortamına aittir.

Health Monitoring : Azure AD Connect Health ile On-Premise kimlik doğrulama altyapısı ve senkronizasyon servisleri monitor edilir.

On-Premise ADDS ve Azure AD arasında Sync işlemi üç şekilde yapılır.

Directory Synchronization

On-Premise üzerindeki objeler Azure’a Replicate edilir. On-Premise’te varolan objeler ile Azure AD’ye sync ettiklerini birbirine mapler.

Eğer Azure AD üzerinde custom domain tanımı yapılmışsa On-Premise üzerindeki ve Azure’daki objelerin isimleri Suffix’leri ile birlikte birebir eşleşir. Bu işlem directory senkronizasyonu için bir gereklilik değildir. SSO ve Same Sign-on bileşenleri için gereklidir.

Directory sync işlemi ile objenin herhangi bir Attribute’unda olan değişiklik Azure AD’ye senkronize edilecektir.

Böyle bir mimaride iki sistem de (On-Premise ve Azure) ayrı ayrı Password yönetimi yapacaktır.

Directory Synchronization with Password Synchronization

Password Sync özelliğinin etkinleştirilmesi ile birlikte kullanıcılar On-Premise üzerinde kullandıkları parolalar ile Azure kaynaklarına erişirler.

İşin arka planında Password senkronizasyonu ile kullanıcı parolalarının Hash formu On-Premise Active Directory’den alınıp şifrelenerek String olarak Azure üzerine aktarılır. Azure şifrelenmiş bu Hash’lerin şifrelerini çözerek Password Hash’ini kullanıcı Attribute’u olarak saklar. Kullanıcı Azure kaynaklarına Login olacağı zaman Sign-in challenge kimlik doğrulama penceresi kullanıcı Password’unun Hash’ini oluşturur. Bu Hash’i Azure döner. Azure User Account’u için On-Premise üzerinden Sync ettiği Hash ile karşılaştırma yapar. Eğer iki Hash birbiriyle eşleşirse ve sonrasında iki parola da birbiriyle eşleşirse, kullanıcı Azure kaynaklarına erişebilir. Kullanıcı bir sonraki bağlantı için parolasını kimlik doğrulama penceresinde kayıt ederse, bir sonraki login işleminde password girmesine gerek kalmaz. Burada dikkat edilecek nokta bu işlemin Same sign-in işlemi olmasıdır. (SSO değildir.) Yani kullanıcılar aynı kullanıcı adı ve parolalar ile farklı directory servislerinde kimlik doğrulaması yaparlar. Fakat bazı organizasyonlar SSO sürecini karmaşık bulup daha basit olduğunu düşündükleri için bu konfigürasyon çeşidini tercih edebilirler.

Directory Synchronization with SSO

Azure AD Connect kullanarak basit bir wizard yardımı ile ADFS konfigürasyonu kolaylıkla yapılabilir. Bu işlem arka planda obje replikasyonu için directory sync kullanır. SSO ile Directory Sync işlemi ile kullanıcı, grup ve kontak bilgileri On-Premise AD üzerinden Azure AD’ye senkronize edilir. Bu objeler Azure AD üzerinde service object olarak görünür.

SSO ile Azure AD ile On-Premise AD arasında Federation Trust ilişkisi kurulur. Böylece bir önceki directory synchronization modelinden farklı olarak kullanıcılar kimlik doğrulaması için tek bir directory’e gidip kimlik doğrulaması işlemi yaparlar. Bunun sonucunda kullanıcılar On-Premise üzerindeki domain Account’unu kullanarak Azure üzerindeki kaynaklara erişirler. Bu kullanıcılar aynı zamanda kullanıcı olarak Azure AD üzerinde de görünürler. Fakat SSO kullanarak On-Premise AD de kimlik doğrulayacak şekilde konfigüre edilmişlerdir.

Directory Synchronization tipi ve desteklediği özelliklerin karşılaştırılmasına ilişkin tablo aşağıdaki gibidir.

Feature Directory
synchronization only
Directory
synchronization with
password
synchronization
Directory
synchronization with
SSO
Sync users, groups, and
contacts with Azure
Yes Yes Yes
Sync incremental updates
with Azure
Yes Yes Yes
Enable hybrid Microsoft
Office 365 scenarios
Yes, limited support Yes, limited support Yes, full support
Users can sign in with on
premises credentials
No Yes Yes
Reduce password
administration costs
No Yes Yes
Control password policies
from an On-Premises
directory
No Yes Yes
Enable cloud-based
multifactor authentication
(MFA)
Yes Yes Yes
Enable On-Premises MFA No No Yes
Authenticate against an on
premises directory
No No Yes
Implement SSO with
organizational credentials
No No Yes
Customize the sign-in page No No Yes
Limit access to services
based on location or client
type
No No Yes

Aşağıdaki tablo ise directory synchronization tipleri için gerekli bileşenleri göstermektedir.

Requirement Directory
synchronization only
Directory
synchronization with
password
synchronization
Directory
synchronization with
SSO
On-Premises DirSync Server Yes Yes Yes
AD FS Server infrastructure No No Yes
AD FS proxy or Web
Application Proxy
infrastructure
No No Yes

Burada dikkat edilecek bir diğer nokta da şu, SSO entegre edilmiş bir ortamda ADFS erişilemez duruma geldiğinde kullanıcılar kimlik doğrulaması yapamayacakları için aynı zamanda Azure kaynaklarına da erişemeyecekler.

Eğer directory sync işlemi yapan AD Connect sunucusu erişilemez olursa, objelerin attribute’larında yapılan son değişiklikler Azure ortamına yansımayacaktır. Eğer password sync özelliği etkinleştirilmiş ise On-Premise AD ve Azure AD üzerindeki parolalar bir biri ile uyumsuz olacaktır.

Bu sınırlılıklardan dolayı SSO’ları yüksek erişilebilir olarak kurmak önerilen yöntemdir.

Bu konuyla ilgili sorularınızı https://forum.mshowto.org linkini kullanarak ulaşacağınız forum sayfamızda sorabilirsiniz.

Referanslar

www.mshowto.org

 

TAGs : Azure, Microsoft, Azure Active Directory, , datacenter i Azure koyma, on prem AD yi Azure genisletme, , , Sync Azure AD to a local AD Server, sync local ad to Azure ad, , , , Active Directory – Azure On-Premises local AD, datancenter i Azure a koyma, datacenter i Azure a buyutme, Azure nasil kullanilir, Active Directory yi Azure koyma, Active Directory yi Azure dan kullandirma, Active Directory Azure da calistirma, , yerel Active Directory nedir, yerel bir Active Directory, Active Directory nedir ne ise yarar, , , Active Directory kullanimi, Active Directory yonetimi

Yorum Yap

Yazar Hakkında

İstanbul doğumludur. Süleyman Demirel Üni. Bilgisayar Programcılığı Bölümünü bitirmiştir. Yaklaşık olarak 12 yıldır Bilgi Teknolojileri sektörünün içerisinde hizmet vermekte olup farklı firmalarda Sistem Yöneticisi, Eğitmen gibi görevlerde bulunmuştur. Ardından sektörün önde gelen entegratör firmalarında Danışman olarak çalışmış ve şuan da Netaş’da Kurumsal Sistemler Danışmanı olarak çalışmaktadır. Son yıllarda özellikle System Center ürünleri, Microsoft Cloud Çözümleri ile ilgilenmektedir.

Yorum Yap

Yorumlar (1)