Azure Active Directory pass-through authentication ve Single Sign On (SSO)

By | 27 Mayıs 2017

Merhabalar;

Bu yazımızda, Microsoft bulut çözümlerinde olmazsa olmaz ihtiyaçlarımızdan biri olan kimlik doğrulama özellikleri üzerinde duracağız. Bildiğiniz gibi artık günümüzde hemen her uygulamanın bir kimlik doğrulama ihtiyacı bulunmaktadır. Kurumsal anlamda ise mail sunucumuza bağlanmak için, şirketimize vpn yapmak için veya custom bir uygulamaya erişmek için bir kimlik doğrulama gerçekleştirmemiz gerekmektedir. Tabi bi artık günümüzde kurumlar sadece kendi veri merkezlerini kullanmak yerine, artık cloud platformlarını da kullanıyorlar. Dolayısı ile kurumlar, gerek kendi veri merkezlerindeki bir uygulamaya ve gerekse cloud tarafındaki bir uygulamaya erişirken,kullanıcılarının tek bir kullanıcı adı parola ile giriş yapmalarını istiyorlar.

Böylelikle bu, kurumlar için kolaylık, güvenlik ve yönetilebilirlik açısından oldukça avantajlar sağlamış oluyor. Diğer taraftan ise kullanıcılar, her iki ayrı platformlarındaki kurumsal uygulamalara, tek bir kimlik bilgisi ile giriş yapmak istiyorlar. İnsanların sosyal yaşamlarında kullandıkları özel uygulamaları ve bunlar için farklı kimlik bilgileri girmeleri gerektiğini düşünürsek, bu gayet normal bir durum.

Peki bu durumda hem OnPremise, hem de Office 365 kullanan bir kurum ne yapmalı, kimlik bilgilerini nasıl korumalı ve nasıl yönetmeli. Aslında bunu en başından beri Azure Active Directory Connect aracı ile gerçekleştiriyoruz. Azure AD Conenct ile, OnPremise Active Directory ortamımızda bulunan tüm objeler veya istediğimiz objeler (user, group, contact etc.) Office 365 platformuna sync olabiliyor. Böylelikle, örneğin mailbox ‘ı Exchange Online ‘da olan bir kullanıcı Local Active Directory üzerindeki erişim bilgilerini kullanarak, Exchange Online’daki mailboxına erişebiliyor. Bu aynı zamanda sadece kullanıcının mailbox ‘ına ulaşması değil, Skype, OneDrive, Office uygulamaları gibi tüm bulut uygulamalarına ulaşmalarınıda sağlıyor. Azure AD Connect ise belli periyotlarda sync oluyor ve Local Active Directory üzerindeki tüm değişiklikleri veya yenilikleri buluta sync ediyor.

Fakat burada kurumlar için şöyle bir sıkıntı söz konusu oluyor. Objeler Local AD üzerinden, buluta sync olurken, örneğin kullanıcının parolası da sync oluyor, dolayısı ile kullanıcının parolası aynı zamanda bulutta da barındırılıyor.  Böyle olunca da, BT yöneticileri daha fazla güvenlik istiyor.

Bu gibi durumlarda kullanıcak yöntem ise, ADFS mimarisi konumlandırmak olacaktır. ADFS mimarisinde kullanıcı parolaları Azure AD Connect ile buluta sync olmuyor. Kullanıcı uygulamasına giriş yaptığında, ilk önce OnPremise ortamda bulunan ADFS sunuculara erişiyor ve buradaki kimlik dorulamasını ADFS sunucular, Active Directory üzerinden gerçekleştirmiş oluyor. Böylelikle kullanıcı uygulamasına login olabiliyor ve aynı zamanda yine ADFS mimarisinin bir özelliği olan, Single Sign On (SSO) özelliğinden yararlanarak tek bir kimlik doğrulama ile bir çok uygulamya erişebiliyor. Fakat burada ADFS mimarisinin çok dikkatli tasarlanması gerekmektedir ve ADFS mimarisi mutlaka çok sunuculu, yedekli bir şekilde çalışmalıdır. Tabi ki herhangi bir durumda ADFS mimarisinde bir kesinti yaşandığında, kullanıcılar hiçbir şekilde kimlik doğrulaması gerçekleştiremeyecekler ve uygulamalarına erişemeyeceklerdir.

Evet, kimlik doğrulama olayı oldukça kritik olduğundan bu konuda biraz çok konuştuk. Şimdi sadede gelelim.

Azure Active Directory pass-through authentication yöntemi ile hem kullanıcı parolaları buluta sync olmuyor, hem de ADFS mimarisi gibi davranan bir yapı ile güvenli bir kimlik doğrulama işlemi gerçekleştirilmiş oluyor. Bununla birlikte Single Sign On (SSO) özelliği ile de, tek bir kimlik doğrulama ile bir çok uygulamaya erişim sağlanıyor.

Şimdi gelelim bu özelliği nasıl aktif hale getiriyoruz. Azure Active Directory Connect kurulu olan sunucumuza bağlanıyoruz ve Azure Ad Connect Tool ‘unu çalıştırıyoruz. Configure ile devam ediyoruz.

Change user sign-in seçeneğini seçip devam ediyoruz.

Office 365 portalına bağlanmamız için Office 365 global admin erişim bilgilerimizi giriyoruz ve devam ediyoruz.

Sonrasında aşağıdaki gibi Pass-through authentication seçeneğini işaretliyoruz. Gördüğümüz gibi artık Password Synchronization seçeneği işaretli değil, dolayısı ile kullanıcı password leri buluta sync olmayacak. Bunun la birlikte birde Enable single sign-on  seçeneğini işaretliyoruz. Bu da bize tek bir kimlik doğrulaması ile birçok uygulamaya erişim imkanı verecektir. Next ile devam ediyoruz

Ardından OnPremise Active Directory erişim bilgileri otomatik gelecektir. Fakat isterek değiştirebiliriz veya farklı bir admin user girebiliriz. Next ile devam ediyoruz.

Burada ise konfigurayon sonunda, hali hazırda sync olan objeler, sync edilsin mi diye soruyor. Dilersek seçeneği işaretleyerek sync edilmesini sağlarız, gerekirse de sonradan manuel sync edebiliriz. Configure ile tamamlıyoruz.

Konfigurayonun başarılı şekilde tamamlandığını görebiliyor ve Exit ile çıkış yapıyoruz.

Evet buraya kadar ki bölümde Azure Active Directory pass-through authentication ve Single Sign On yapılandırmamız tamamlanmış oldu. Peki bu konfigurasyonlardan hangi kullanıcılarımız yararlanacak, nasıl kullanacak,  SSO özelliği ne şekilde kullanıcılara atanacak. Tabi ki Group Policy ile. Group Policy Object ile belirleyeceğimiz iki policy sayesinde Active Directory kullanıcılarımıza bu konfigurasyonlar atanacak.

Herhanbi bir Domain Controller üzerinden Group Policy Management konsolunu açıyoruz. Sonrasında Default Domain Policy üzerine sağ click yapıp Edit diyoruz. Ben burada tüm domaine uygulayacağım için Default Domain Policy seçtim. Siz dilerseniz farklı OU lara bu işlemi gerçekleştirebilirsiniz.

Daha sonra açılan ekranda policy için bilgileri gireceğimiz alana gidiyoruz. User Configuration\Policies\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Security Page menüsüne gidip Site to Zone Assignment List alanını bulup çift tıklıyoruz.

Açılan ekranda  Enable seçeneğini seçip Show  butonunu tıklıyoruz ve  aşağıdaki gibi ilgili değerleri giriyoruz ve sornasında OK ve OK ile sayfadan ayrılıyoruz. Bu işlem sonrası gpupdate ile işlemleri force edebiliriz.

Value: https://autologon.microsoftazuread-sso.com
Data: 1
Value: https://aadg.windows.net.nsatc.net
Data: 1

Sonrasında artık kullanıcımız login olurken aşağıda ki gibi bir yonlendirme uyarısı alacak ve sonrasında login olacaktır. Ayrıca bilgisayarı domainde olan tüm kullanıcılar Single Sign On SSO özelliğinden faydalanarak, farklı bir Office 365 uygulaması için yeniden kullanıcı adı ve parola bilgisi germeyeceklerdir.

Bu yazımızı da burada tamamladık. Umarım faydalı olmuştur.

Teşekkürler

Cüneyt E. ORHUN

Senior Microsoft Solutions Consultant

3 thoughts on “Azure Active Directory pass-through authentication ve Single Sign On (SSO)

  1. Abdullah Dursun

    Teşekkürler. Grup policy ayarlarını tüm domaine uygulamak gerekli mi ?

    Reply
    1. cuneytorhun Post author

      Merhabalar, tüm domaine uygulamanıza gerek yok. Sadece pass-through authentication’ı aktif etmek istediğiniz kullanıcıların bulunduğu OU üzerine de uygulayabilirsiniz.

      Reply

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir