Azure AD Password Hash Sync, Pass-through Authentication ve ADFS (Active Directory Federation Services) Nedir?
Bu makalemde sizlere Azure Active Directory üzerinde bulunan kimlik doğrulama yöntemlerinden bahsedeceğim.
Yoğun iş temposu sürecinde kullanıcılar her logon olduğu uygulamalar üzerinde veya web tabanlı herhangi bir ortamda, her biri için ayrı ayrı kimlik doğrulama işlemi yapıyor. Bu işlemler hem kullanıcıların işlerinin aksamasına hem de acil yapılması gereken işlerin gecikmesine sebep oluyor. Kullanıcı tek bir tuş ile bir işini bitirebilecekken, kimlik doğrulamaları yüzünden gecikmelere sebep olabiliyor.
Bu aksaklıkların nasıl daha fazla iyileştirilebileceğini görelim.
Password Hash Synchronization (PHS): Azure AD üzerinde varsayılan olarak gelen bu özellik kullanımı en kolay doğrulama yöntemidir. Kuruluş içerisinde bir parola değişikliği veya parola sıfırlanması gibi işlemlerden hemen sonra Local AD ile Azure AD arasında eşitleme durumudur.
Yapılan her parola değişikliği bulutta depolanır ve bulut ortamında kimlik doğrulama sağlanır.
Azure AD’ de depolanan parola verileri, Local AD’ de depolanan verilerden daha güvenlidir.
PHS hizmeti konfigürasyon sırasında SSO (Single Sign-on) hizmetini de beraberinde getirerek, ortamınızda bu iki hizmetin çalışmasını sağlayabilirsiniz.
Pass-through Authentication: Bu özellik hem kuruluş içerisinde hem de bulut tabanlı uygulamalar üzerinde tek bir şifre ile kullanıcıların oturum açmalarını sağlayan servistir. Bu özellik sayesinde kullanıcı gireceği her ortam için (Local veya bulut) giriş yapacağı tek şifre olacaktır. Bu sayede şirket içerisinde BT helpdesk maliyetleri azalacak ve şifrelerin unutulması gibi sorunlar en aza indirilecektir. Pass-through authentication servisinin getirdiği bir özellikte SSO. Bu özellik ile kullanıcılar tek bir doğrulama ile uygulamalara erişim sağlıyor olabilecekler.
Bu özellik ile belirlenen parolalar bulut üzerine Senkronizasyonu olmuyor ve ADFS servisine benzeyen yapısı ile güvenli kimlik doğrulama hizmeti sağlıyor.
ADFS (Active Directory Federation Services), Kuruluşların içerisinde bulundurduğu uygulamalara ve belirli ortamlara güvenli bir şekilde SSO ile oturum açmasını sağlayan yazılım hizmetidir.
Bu ortamda farklı lokasyonda bulunan kullanıcı X ortamına oturum açmaya çalışırken kimlik doğrulama işlemiyle oturum açabilecektir.
Active Directory ile kimlik doğrulama protokolleri web üzerinden çalıştırmak mümkün değildir. Active Directory Kerberos ile Authentication sağlar. Kerberos AD domaindeki istemcinin üyeliğini gerektirdiği için tam anlamıyla çalışmayacaktır.
Resim-1
Bu doğrulama işlemlerinin hepsi Azure AD Connect aracı üzerinden yapılmaktadır. Bu işlemlerin nasıl yapılacağını mevcut Azure AD ortamımızda sağlayalım.
Azure AD Connect aracını açıyoruz ve Configure butonu ile ilerliyoruz.
Resim-2
Gelen ekranda ise Kullanıcı logon türlerini değiştirmek için Change user sign-in seçeneğini seçip Next ile devam ediyoruz.
Resim-3
Connect to Azure AD ekranından Office 365 Global Admin yetkisine sahip User bilgisini giriyoruz ve Next ile devam ediyoruz.
Resim-4
Bu kurulumda Pass-through authentication seçeneğini ekleyerek devam edeceğiz. Bu seçenek ile kullanıcı şifre bilgileri bulut ortamına sync olmayacaktır. Bu özellik ile gelen SSO (Single Sign-in) kutucuğunu da işaretliyoruz. Bu kutucuğu işaretlememizin sebebi, kullanıcılar uygulamalara tek bir doğrulama ile erişim sağlayabilecekler.
Resim-5
Gelen ekranda AD Domain Admin bilgileri otomatik gelecektir. Domain Admin bilgilerimizi doğrulayıp devam ediyoruz.
Resim-6
Konfigürasyon işlemi hazırlanıyor.
Resim-7
Konfigürasyon işlemi tamamlandıktan sonra gelen ekranda Sync işlemi otomatik olarak yapılması için seçenek işaretli geliyor. Sync işleminin otomatik yapılmasını istiyorsanız, kutucuk işaretli kalabilir.
Resim-8
Ortamımda daha önceden Hybrid join ve Password hash Sync yapılandırmaları yaptığım için, bu işlemlerin gerekli olup olmadığını ve ortamımdan kaldırabileceğimi söylüyor. Şimdilik herhangi bir değişiklik yapmadan Exit butonu ile aracıdan çıkış yapacağım.
Resim-9
Kurulum işlemleri tamamlandı. Sırada SSO özelliğinden hangi kullanıcılar yararlanacak bunları belirlemek için Group Policy tarafında işlemlerimizi yapacağız.
GPO ekranında Default Domain Policy üzerine sağ tıklayıp Edit sekmesini açıyoruz. Burada tercihe bağlı işlem yapılabilir. Ben tüm Domaine ekleyeceğim için Default Domain Policy üzerinden yapıyorum.
Resim-10
Gelen ekranda özelliği uygulayacağımız ekrana gitmek için,
User Configuration\Policies\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Security Page yolunu takip ediyoruz ve gelen ekranda Site to Zone Assignment List alanını açıyoruz.
Resim-11
Gelen ekranda bu özelliğin çalışması için Enable kutucuğunu işaretliyoruz ve Show alanına aşağıdaki değerleri giriyoruz.
https://autologon.microsoftazuread-sso.com – Value: 1
https://aadg.windows.net.nsatc.net – Value: 1
Resim-12
Bu işlemler tamamlandıktan sonra kullanıcı Office 365 hesabına SSO ile logon olacak ve bu sayede hesapların korunması ve yönetilmesi sağlanabilecektir.