Tek ormanlı karma ortamlarda kimlikleri şirket içi kimlik doğrulamasıyla yönetme

Bu kılavuz size nasıl yardımcı olabilir?

Şirket kullanıcıları buluttaki uygulamaları diledikleri yerden ve herhangi bir aygıttan kullanabilmek ister, ancak bir kimlik doğrulama yöntemleri olmadığı için bunu yapamazlar. Şirketin BT departmanı, kullanıcılara bu bulut uygulamalarında kimlik doğrulama becerisi sağlamak ve ayrıca bu uygulamalara kimlerin erişebileceğini gerçek zamanlı olarak denetleyebilmek ister.

Bu kılavuzda, kullanıcıların buluttaki uygulamalara diledikleri yerden ve herhangi bir aygıttan kolayca erişebilmesi için şirket içi bir dizinin bulut diziniyle nasıl tümleştirileceğine ilişkin kural niteliğinde ilkeler verilmektedir. Bunun için şirket içi kimlik doğrulamasının kullanılması gerekir. Bulut kimlik doğrulamasını kullanmaya ilişkin bir örnek için bkz. Bulut kimlik doğrulaması kullanarak tek ormanlı karma ortamlar için kimlikleri yönetme.

Bu çözüm kılavuzunda:

• Senaryo, sorun bildirimi ve hedefler

• Bu çözüm için önerilen planlama ve tasarım yaklaşımı nedir?

• Neden bu tasarımı öneriyoruz?

• Bu çözümü uygulamak için gereken yüksek düzeyli adımlar nelerdir?

Senaryo, sorun bildirimi ve hedefler

Bu bölümde örnek bir kuruluş için senaryo, sorun bildirimi ve hedefler açıklanmaktadır.

Senaryo

Kuruluşunuz Kuzey ve Güney Amerika, Avrupa ve Asya dahil olmak üzere dünyanın dört bir yanında ofisleri bulunan büyük ölçekli bir şirkettir. Araştırma ve geliştirme (Ar-Ge) ekipleri birincil olarak Kuzey Amerika ve Avrupa'da çalışmaktadır. Birincil olarak Asya'da bulunan üretim merkezleri tarafından kullanılacak formüller geliştirirler.

Ar-Ge ekipleri yeni formüller geliştirirken veya var olanları iyileştirirken yakın işbirliği içinde çalışır. Bu yakın işbirliği Kuzey Amerika ve Avrupa'daki tesislerde benzer ve standart testler gerçekleştirilip, ardından sonuçların paylaşılması yoluyla yapılır. Sonuçlar daha sonra kesinleştirilir ve yeni formüller geliştirilir. Bu formüller ticari sır olarak kabul edilir ve patentlenir. Bu işlem tamamlandıktan sonra üretime başlamak üzere formüller üretim tesislerine gönderilir.

Şu anda Ar-Ge ekibinin bir üyesi şirketin başka bir kısmındaki meslektaşlarıyla sonuçları paylaşmak isterse, ekip dosyaları şifrelemek ve e-posta ile göndermek için Şifreleme Dosya Sistemi'ni (EFS) kullanır. Daha sonra diğer uçtaki kişi dosyaların şifresini çözer.

Kuruluşunuzun bu süreçle ilgili birkaç sorunu vardır:

• Gizlilik: Veriler e-posta ile aktarılır ve şifrelenmesine rağmen Internet üzerinden saldırılara açıktır. Ayrıca, çok sayıda çalışan e-postalara kendi aygıtlarından erişir ve bu aygıtların güvenli olduğu kesin değildir.

• Bütünlük: Dosyaları şifrelemek için kullanılan EFS Sertifikası dışarı aktarılmalı ve hedefe gönderilmelidir. Kullanıcılar bu sertifikaları göndermek için e-posta kullanır ve sertifikanın bütünlüğünü ihlal edebilir.

• Gizlilik: Aynı sertifika çoğunlukla test sonuçlarını ve formülleri şifrelemek için kullanılır. Üretim tesislerindeki çalışanlar bu sonuçların bir kopyasını yanlışlıkla ele geçirirse şifresini çözebilir.

Bu sorunları çözmek için kuruluşunuz bulutta Office 365 SharePoint ayarlamak ve bunu test sonuçlarını ve formülleri paylaşma portalı olarak kullanmak istediğine karar vermiştir. Ancak, kuruluşunuz kimlik doğrulama sağlayıcısı olarak şirket içi Active Directory kullanmak istemekte ve bulut kimlik doğrulamasını kullanmak istememektedir.

Sorun bildirimi

Kuruluşunuz şu anda kimlik doğrulama sağlayıcısı olarak şirket içi Active Directory'e sahiptir, ancak bu sağlayıcı Azure'da barındırılacak yeni Office 365 SharePoint sitelerinde çalışanların kimliğini doğrulayamamaktadır.

Kuruluşunuz çözmek istediği genel sorun şudur:

Sistem mimarı veya BT yöneticisi olarak kullanıcılara şirket içi ve bulut tabanlı kaynaklara erişirken ortak bir kimliği nasıl sağlayabilirsiniz? Gereğinden fazla BT kaynağı kullanmadan birkaç ortamda bu kimlikleri nasıl yönetebilir ve bilgileri nasıl eşitlenmiş halde tutabilirsiniz?

Kuruluşunuzun SharePoint sitelerine erişim sağlamak için kimlik doğrulama sağlayıcısı olarak Active Directory'nin şirket içi örneğiyle çalışanların kimliğinin doğrulanması gerekir. Ayrıca, kuruluşunuz erişimi bu sitelere erişmesi gereken Ar-Ge ve üretim çalışanlarıyla sınırlandırmak istemektedir. Şu anda sitelere yalnızca bu çalışanların erişmesi gerekmektedir.

Seçeneklere baktıktan sonra Azure ile şirket içi kimlik doğrulamayı kullanmak için var olan Active Directory Federasyon Hizmetleri (AD FS) örneğinizden yararlanabileceğinizi belirlediniz. Kuruluşunuz birkaç yıl önce AD FS kurdu. BT personeli AD FS kullanmaya zaten alışkın olduğu için bu seçenek zaman ve para kazandırır.

Yönetim, Office 365 ve Azure aboneliklerinin satın alınmasına izin verdi. Bu durumda kendi Azure AD kurulumu örneğini almak ve şirket içi Active Directory ile birleştirmek Active Directory yöneticilerine bağlıdır.

Active Directory yöneticileri Azure AD örneğini doldurmak için şirket içi Active Directory örneğinden yararlanabilmelidir. Active Directory yöneticileri bunu hızlıca yapabilmelidir. Daha sonra, Active Directory yöneticileri şirketi içi Active Directory örneğini Azure AD ile birleştirmelidir. Ayrıca, kuruluşunuz SharePoint sitelerine erişecek çalışanların gerçek bir tekli oturum açma deneyimine sahip olmasını ve sitelere yalnızca şirket ağında oturum açtığında erişebilmesini istemektedir. Kuruluşunuz bu sitelere dış bilgisayarlardan veya aygıtlardan erişilmesini istememektedir. Kuruluşunuz bir ayrılma durumunda kullanıcıyı hızlıca devre dışı bırakmak istemektedir, böylece kullanıcı devre dışı bırakıldıktan sonra SharePoint sitesine erişemeyecektir. Son olarak, kuruluşunuz kullanıcıların bir kurumsal sitede oturum açtıklarını bilmesi için oturum açma sayfasını özelleştirebilmek istemektedir.

Kuruluş hedefleri

Kuruluşunuzun karma kimlik çözümüne yönelik hedefleri şunlardır:

• Şirket içi Active Directory örneğiyle eşitlemeyi hızlıca ayarlayabilme.

• Azure AD'ye kimin ve neyin eşitlendiğini denetleyebilme.

• Tekli oturum açma (SSO) sunabilme. Eşitleme veya SSO arıza yaptığında uyarılar alınır

• Erişimi yalnızca güvenli, şirket içi bir konumdan oturum açan Ar-Ge ve üretim kullanıcılarıyla sınırlandırma.

• Bir ayrılma durumunda bulut kaynaklarına gerçek zamanlı kullanıcı erişimini önleyebilme.

• Şirket içi kimlik sistemlerinin Azure AD kaynağı olabilmesi için hızlıca temizlenmesini ve iyi yönetilmesini sağlayabilme.

• Oturum açma sayfasını kurumsal bir kimlik sunacak şekilde özelleştirebilme.

Bu çözüm için önerilen planlama ve tasarım yaklaşımı nedir?

Bu bölümde önceki bölümde açıklanan soruna yönelik çözüm tasarımı açıklanmakta ve bu tasarım için yüksek düzeyli planlama konuları verilmektedir.

Kuruluşunuz Azure AD kullanarak şirket içi Active Directory örneğini Azure AD örneğiyle tümleştirebilir. Bu örnek daha sonra kullanıcıları Azure AD'ye sunulan ve kimlik doğrulaması verilen bir belirteç alacakları AD FS oturum açma sayfasına yeniden yönlendirmek için kullanılır.

Aşağıdaki tabloda bu çözüm tasarımının parçası olan unsurlar listelenmekte ve tasarım seçiminin nedeni açıklanmaktadır.

AD FS, şirket içi Active Directory ve Azure AD arasında federasyona imkan tanıyan bir Windows Server 2012 R2 özelliğidir. Bu özellik kullanıcıların bir SSO deneyimi kullanarak Azure AD hizmetlerinde (Office 365, Intune ve CRM Online gibi) oturum açmasına imkan tanır. Bu özellik sayesinde kullanıcılar kimlik doğrulama sağlayıcısı olarak şirket içi Active Directory örneğini kullanan SSO deneyimine sahip olur.

IdFix DirSync Hata Düzeltme Aracı, geçiş için hazırlanmakta olan şirket içi Active Directory ortamındaki kimlik nesnelerinin ve özniteliklerinin keşif ve tanımlama işlemleri için kullanılabilir. Bunun yapılması, eşitlemeye başlamadan önce eşitleme sırasında oluşabilecek tüm sorunları hızlıca tanımlamanıza imkan tanır. Bu bilgileri kullanarak, bu hataları önlemek için ortamınızda değişiklikler yapabilirsiniz.

Neden bu tasarımı öneriyoruz?

Bu tasarım, kuruluşunuzun tasarım hedeflerini çözdüğü için önerilir. Diğer bir deyişle, Azure tabanlı kaynaklarda kimlik doğrulaması iki şekilde sağlanır: bulut kimlik doğrulaması veya STS ile şirket içi kimlik doğrulaması.

Kuruluşunuzun başlıca endişelerinden biri, şirketten ayrılmış bir kullanıcının bulut tabanlı kaynaklara erişmesini gerçek zamanlı olarak durdurabilmektir. Azure Active Directory Eşitleme Aracı ve bulut kimlik doğrulamasını kullanmayla ilişkili en fazla üç saatlik bir gecikme vardır. Diğer bir deyişle, şirket içinde bir kullanıcı hesabını devre dışı bırakırsanız bu değişikliğin Azure'da görünmesi en fazla üç saat sürebilir. Kullanıcının şirket içi ortamına geri dönüp kimlik doğrulaması yapması gerekirse bu durum geçerli olmaz. Bir kullanıcı hesabı şirket içinde devre dışı bırakılırsa ilgili kullanıcı bir belirteç alamaz ve bulut kaynaklarına erişmesine izin verilmez.

Kuruluşunuz SSO sağlayabilmek istemektedir. Bu özellik yalnızca şirket içi Active Directory örneğinizi Azure AD ile birleştirerek gerçekleştirilebilir.

Oturum açma sayfası yalnızca AD FS ve AD FS özelleştirmesi kullanılarak özelleştirilebilir.

Bu çözümü uygulamak için gereken yüksek düzeyli adımlar nelerdir?

Çözümü uygulamak için bu bölümdeki adımları kullanabilirsiniz. Sonraki adıma geçmeden önce her adımı doğru şekilde dağıttığınızdan emin olun.

1. Tekli oturum açmaya (SSO) hazırlanma

   Hazırlanmak için ortamınızın SSO gereksinimlerini karşıladığından emin olmanız ve Active Directory ve Azure AD kiracınızın SSO gereksinimlerine uygun şekilde ayarlandığını doğrulamanız gerekir. Daha fazla bilgi için bkz. Tekli oturum açmaya hazırlanma.

2. Şirket içi güvenlik belirteci hizmetinizi ayarlama—AD FS

   Ortamınızı SSO'ya hazırladıktan sonra yerel ve uzak Active Directory kullanıcılarınıza bulut hizmeti için SSO erişimi vermek üzere yeni bir şirket içi AD FS altyapısı ayarlamanız gerekir. Şu anda üretim ortamınızda AD FS varsa Azure AD tarafından desteklendiği sürece yeni bir altyapı ayarlamak yerine SSO dağıtımı için kullanabilirsiniz. AD FS STS ayarlamaya nasıl başlayacağınız hakkında daha fazla bilgi için bkz. Denetim Listesi: Tekli oturum açmayı uygulamak ve yönetmek için AD FS kullanma.

3. AD FS ile tekli oturum açma için Windows PowerShell yükleme

   Windows PowerShell için Azure AD Modülü kuruluşunuzun Azure AD'deki verilerini yönetmeye yönelik bir yüklemedir. Bu modül Azure AD'ye ve dolayısıyla abone olduğunuz tüm bulut hizmetlerine SSO erişimini ayarlamak için çalıştırdığınız bir dizi cmdlet'i Windows PowerShell'e yükler. Daha fazla bilgi için bkz. AD FS ile tekli oturum açma için Windows PowerShell yükleme.

4. AD FS ile Azure AD arasında güven oluşturma

   Azure AD ile şirket içi Active Directory arasında bir güven oluşturmanız gerekir. Birleştirmek istediğiniz her etki alanı tekli oturum açma etki olarak eklenmeli veya standart bir etki alanından tekli oturum açma etki alanına dönüştürülmelidir. Etki alanı eklemek veya dönüştürmek AD FS ile Azure AD arasında güven oluşturur. Daha fazla bilgi için bkz. AD FS ile Azure AD arasında güven oluşturma.

5. Dizin eşitlemeye hazırlanma

   Sistem gereksinimlerini doğrulayın, doğru izinleri oluşturun ve performans konularına izin verin. Daha fazla bilgi için bkz. Dizin eşitlemeye hazırlanma. Bu adımı tamamladıktan sonra seçtiğiniz tasarım seçeneklerini gösteren çalışma sayfasını tamamladığınızı doğrulayın.

6. Dizin eşitlemeyi etkinleştirme

   Şirketiniz için dizin eşitlemeyi etkinleştirin. Daha fazla bilgi için bkz. Dizin eşitlemeyi etkinleştirme. Bu adımı tamamladıktan sonra özellikleri yapılandırdığınızı doğrulayın.

7. Dizin eşitleme bilgisayarınızı ayarlama

   Azure AD Eşitleme Aracı'nı yükleyin. Zaten yüklediyseniz nasıl yükselteceğinizi, kaldıracağınızı veya başka bir bilgisayara taşıyacağınızı öğrenin. Daha fazla bilgi için bkz. Dizin eşitleme bilgisayarınızı ayarlama. Bu adımı tamamladıktan sonra özellikleri yapılandırdığınızı doğrulayın.

8. Dizinlerinizi eşitleme

   Bir başlangıç eşitlemesi gerçekleştirin ve verilerin başarılı bir şekilde eşitlendiğini doğrulayın. Yinelenen eşitlemeyi ayarlamak için Azure AD Eşitleme Aracı'nı nasıl yapılandıracağınızı ve dizin eşitlemesini nasıl zorlayacağınızı da öğreneceksiniz. Daha fazla bilgi için bkz. Dizinlerinizi eşitlemek için Yapılandırma Sihirbazı'nı kullanma. Bu adımı tamamladıktan sonra özellikleri yapılandırdığınızı doğrulayın.

9. Eşitlenmiş kullanıcıları etkinleştirme

   Abone olduğunuz hizmetleri kullanabilmeleri için Office 365 portalındaki kullanıcıları etkinleştirin. Bu işlem Office 365 kullanmak için bu kullanıcılara lisans atanmasını gerektirir. Bunu tek tek veya toplu olarak yapabilirsiniz. Daha fazla bilgi için bkz. Eşitlenmiş kullanıcıları etkinleştirme. Bu adımı tamamladıktan sonra özellikleri yapılandırdığınızı doğrulayın. Bu isteğe bağlı bir adımdır ve yalnızca Office 365 kullanıyorsanız gereklidir.

10. Çözümü doğrulayın.

    Kullanıcılar eşitlendikten sonra https://myapps.microsoft.com adresinde oturum açmayı sınayın. AD FS oturum açma sayfasına yeniden yönlendirilmeniz gerekir. Oturum açmanızdan ve AD FS'nin kullanıcı kimliğini doğrulamasından sonra kullanıcı https://myapps.microsoft.com sayfasına yeniden yönlendirilir. Office 365 uygulamalarına sahipseniz burada görürsünüz. Normal bir kullanıcı Azure aboneliği olmadan buradan oturum açabilir.

Ayrıca bkz.