On-Prem Active Directory (Lokal AD) Mimarisinin Azure’a Genişletilmesi ve Hybrid Yapı – Azure AD Connect ile Directory Senkronizasyonu – Bölüm 2. On-Premise ortamını Azure’a genişletmiş olan organizasyonlar kullanıcıların aynı password ile ya da SSO ile Azure kaynaklarına erişmesini isteyebilirler. Bu sebeple bu iki yöntem için de Azure AD Connect uygulamasının kullanılması gerekir. Directory senkronizasyon işlemi oldukça kritik bir işlem olduğundan uygun yönetim ve izleme işlemlerinin de entegre edilmesi gerekir. Bu sebeple ortama Azure AD Connect Health Tool‘un entegre edilmesi gerekir.
Bu konunun ilk yazısına aşağıdaki linkten ulaşabilirsiniz.
On-Prem Active Directory (Lokal AD) Mimarisinin Azure’a Genişletilmesi ve Hybrid Yapı – Bölüm 1
Directory Senkronizasyonu
Resim-1
Directory senkronizasyonu ile Azure AD ile On-Premise AD arasında kullanıcı, grup, kontak ve Windows 10 işletim sistemine ait bilgisayar bileşenleri senktonize edilir.
Directory sync işleminin yapılması için gerekli işlem directory sync işlemi yapan bileşenin On-Premise üzerinde bir Server’a kurulup, AD DS için Enterprise Admin hesabı, Azure için ise Azure AD’de yetkili bir accountun sağlanmasıdır. Ardından directory sync işlemi kolaylıkla başlatılabilir. Bu işlemin ardından On-Premise üzerinde bulunan Built-in olmayan kullanıcı hesapları, gruplar, kontaklar ve opsiyonel olarak Windows 10 yüklü bilgisayar hesapları Azure AD’ye replike edilir.
Buradaki önemli nokta senkronize edilen bu hesaplara ait kimlik doğrulaması yapıldıktan sonra Azure üzerindeki kaynaklara erişilebilir. Eğer password senkronizasyonu etkinleştirilmişse kullanıcı Azure kaynaklarına ilk erişmek istediği zaman kimlik doğrulama penceresi ile karşılaşır.(Domain’a üye bir bilgisayardan bağlanmış olsa bile) Buradaki önemli nokta password sync işlemi kullanıldığı takdirde kullanıcılar Azure Resource’ları için On-Premise kaynaklara erişirken kullandıkları şifreyi kullanırlar. Parolalarını kaydettikleri zaman bir daha kimlik doğrulama penceresi ile karşılaşmazlar.
Azure AD Connect:
AD Connect organizasyonların On-Premise üzerinde kullandıkları kimlik doğrulama sistemini Azure AD ile entegre etmeyi sağlayan bir tool’dur. Azure AD Connect kendisinden önce yayınlanmış olan DirSync ve Azure ADSync araçlarının sahip olduğu özellikleri kapsar.
Azure AD Connect yazılımına ait bazı ana bileşenler aşağıdaki gibidir:
MIM Sync özelliğinin gelişmişidir.
Çok Forest’lı senaryoyu destekler.
Belirli Microsoft Online servisleri için gerekli olan account seviyesinde ve attribute seviyesinde senkronizasyon için filtrelemeler yapabilir.
Password Hash’lerinin Azure AD üzerine senkronize edilmesini destekler.
Resim-2
Azure AD Connect sahip olduğu basit Wizard arayüzü ile On-Premise kimlik altyapısı ve Azure arasındaki bağlantı modelinin kolaylıkla seçilmesini sağlar. Bu basit wizard yardımıyla topoloji ve gereksinimleri (tek yada çok directory’li yapı, password sync,federation vb) kolaylıkla seçilebilir. Seçilen gereksinimlere göre Azure AD Sync, Exchange Hybrid Deployment, Password Change Write-back, Device Write-back yada ADFS ve Proxy Server seçenekleri etkinleştirilebilir.
Azure AD Connect 3 önemli bileşenden meydana gelir:
Synchronization : Azure AD Connect’in en önemli bileşenidir. Kullanıcı ve grupların Azure AD üzerinde oluşturulmasını sağlar. Senkronizasyon konusundaki temel özelliğini Fım’den almıştır.
ADFS : Organizasyonların federe edilmesindeki en temel bileşendir. SSO entegrasyonu ADFS ile sağlanır. ADFS ile kimlik doğrulama üzerindeki full kontrol On-Premise ortamına aittir.
Health Monitoring : Azure AD Connect Health ile On-Premise kimlik doğrulama altyapısı ve senkronizasyon servisleri monitor edilir.
On-Premise ADDS ve Azure AD arasında Sync işlemi üç şekilde yapılır.
Directory Synchronization
On-Premise üzerindeki objeler Azure’a Replicate edilir. On-Premise’te varolan objeler ile Azure AD’ye sync ettiklerini birbirine mapler.
Eğer Azure AD üzerinde custom domain tanımı yapılmışsa On-Premise üzerindeki ve Azure’daki objelerin isimleri Suffix’leri ile birlikte birebir eşleşir. Bu işlem directory senkronizasyonu için bir gereklilik değildir. SSO ve Same Sign-on bileşenleri için gereklidir.
Directory sync işlemi ile objenin herhangi bir Attribute’unda olan değişiklik Azure AD’ye senkronize edilecektir.
Böyle bir mimaride iki sistem de (On-Premise ve Azure) ayrı ayrı Password yönetimi yapacaktır.
Directory Synchronization with Password Synchronization
Password Sync özelliğinin etkinleştirilmesi ile birlikte kullanıcılar On-Premise üzerinde kullandıkları parolalar ile Azure kaynaklarına erişirler.
İşin arka planında Password senkronizasyonu ile kullanıcı parolalarının Hash formu On-Premise Active Directory’den alınıp şifrelenerek String olarak Azure üzerine aktarılır. Azure şifrelenmiş bu Hash’lerin şifrelerini çözerek Password Hash’ini kullanıcı Attribute’u olarak saklar. Kullanıcı Azure kaynaklarına Login olacağı zaman Sign-in challenge kimlik doğrulama penceresi kullanıcı Password’unun Hash’ini oluşturur. Bu Hash’i Azure döner. Azure User Account’u için On-Premise üzerinden Sync ettiği Hash ile karşılaştırma yapar. Eğer iki Hash birbiriyle eşleşirse ve sonrasında iki parola da birbiriyle eşleşirse, kullanıcı Azure kaynaklarına erişebilir. Kullanıcı bir sonraki bağlantı için parolasını kimlik doğrulama penceresinde kayıt ederse, bir sonraki login işleminde password girmesine gerek kalmaz. Burada dikkat edilecek nokta bu işlemin Same sign-in işlemi olmasıdır. (SSO değildir.) Yani kullanıcılar aynı kullanıcı adı ve parolalar ile farklı directory servislerinde kimlik doğrulaması yaparlar. Fakat bazı organizasyonlar SSO sürecini karmaşık bulup daha basit olduğunu düşündükleri için bu konfigürasyon çeşidini tercih edebilirler.
Directory Synchronization with SSO
Azure AD Connect kullanarak basit bir wizard yardımı ile ADFS konfigürasyonu kolaylıkla yapılabilir. Bu işlem arka planda obje replikasyonu için directory sync kullanır. SSO ile Directory Sync işlemi ile kullanıcı, grup ve kontak bilgileri On-Premise AD üzerinden Azure AD’ye senkronize edilir. Bu objeler Azure AD üzerinde service object olarak görünür.
SSO ile Azure AD ile On-Premise AD arasında Federation Trust ilişkisi kurulur. Böylece bir önceki directory synchronization modelinden farklı olarak kullanıcılar kimlik doğrulaması için tek bir directory’e gidip kimlik doğrulaması işlemi yaparlar. Bunun sonucunda kullanıcılar On-Premise üzerindeki domain Account’unu kullanarak Azure üzerindeki kaynaklara erişirler. Bu kullanıcılar aynı zamanda kullanıcı olarak Azure AD üzerinde de görünürler. Fakat SSO kullanarak On-Premise AD de kimlik doğrulayacak şekilde konfigüre edilmişlerdir.
Directory Synchronization tipi ve desteklediği özelliklerin karşılaştırılmasına ilişkin tablo aşağıdaki gibidir.
| Feature | Directory synchronization only | Directory synchronization with password synchronization | Directory synchronization with SSO |
| Sync users, groups, and contacts with Azure | Yes | Yes | Yes |
| Sync incremental updates with Azure | Yes | Yes | Yes |
| Enable hybrid Microsoft Office 365 scenarios | Yes, limited support | Yes, limited support | Yes, full support |
| Users can sign in with on premises credentials | No | Yes | Yes |
| Reduce password administration costs | No | Yes | Yes |
| Control password policies from an On-Premises directory | No | Yes | Yes |
| Enable cloud-based multifactor authentication (MFA) | Yes | Yes | Yes |
| Enable On-Premises MFA | No | No | Yes |
| Authenticate against an on premises directory | No | No | Yes |
| Implement SSO with organizational credentials | No | No | Yes |
| Customize the sign-in page | No | No | Yes |
| Limit access to services based on location or client type | No | No | Yes |
Aşağıdaki tablo ise directory synchronization tipleri için gerekli bileşenleri göstermektedir.
| Requirement | Directory synchronization only | Directory synchronization with password synchronization | Directory synchronization with SSO |
| On-Premises DirSync Server | Yes | Yes | Yes |
| AD FS Server infrastructure | No | No | Yes |
| AD FS proxy or Web Application Proxy infrastructure | No | No | Yes |
Burada dikkat edilecek bir diğer nokta da şu, SSO entegre edilmiş bir ortamda ADFS erişilemez duruma geldiğinde kullanıcılar kimlik doğrulaması yapamayacakları için aynı zamanda Azure kaynaklarına da erişemeyecekler.
Eğer directory sync işlemi yapan AD Connect sunucusu erişilemez olursa, objelerin attribute’larında yapılan son değişiklikler Azure ortamına yansımayacaktır. Eğer password sync özelliği etkinleştirilmiş ise On-Premise AD ve Azure AD üzerindeki parolalar bir biri ile uyumsuz olacaktır.
Bu sınırlılıklardan dolayı SSO’ları yüksek erişilebilir olarak kurmak önerilen yöntemdir.
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
TAGs : Azure, Microsoft, Azure Active Directory, on prem datacenter in Azure a genisletilmesi, datacenter i Azure koyma, on prem AD yi Azure genisletme, local Active Directory Azure a genisletme, yerel ad Azure a koyma, Sync Azure AD to a local AD Server, sync local ad to Azure ad, Azure ad Connect kullanimi, Azure datacenter genisletmesi, Integrating Your On-Premises Active Directory with Azure Active Directory, Active Directory – Azure On-Premises local AD, datancenter i Azure a koyma, datacenter i Azure a buyutme, Azure nasil kullanilir, Active Directory yi Azure koyma, Active Directory yi Azure dan kullandirma, Active Directory Azure da calistirma, Azure Active Directory nedir, yerel Active Directory nedir, yerel bir Active Directory, Active Directory nedir ne ise yarar, Azure Active Directory kurulumu, Azure ad uygulamasi, Active Directory kullanimi, Active Directory yonetimi
Yorumlar (1)