0212 217 4 217
Microsoft’un bulut tabanlı servisleri için kimlik ve erişim yönetim hizmeti olan Azure Active Directory, Microsoft Azure bulutunda hizmet veren Iaas, PaaS ve Saas yapılarındaki tüm servis ve hizmetlerin kullanıcı, kimlik yönetimi ve yetkilendirmesi için kullanılan uygulamasıdır.
Iaas (Infrastructure as a Service): Kuruluşların temel olarak depolama ve ağ kaynakları sunan bir hizmet türüdür. Her ürün ayrı bir hizmet olarak sunulur ve kullandıkça maliyetine göre ödeme gerçekleştirilir.
PaaS (Platform as a Service): Hizmet olarak aklınıza gelebilecek tüm bulut tabanlı uygulamaları dağıtmanıza yardımcı olacak, tamamıyla gelişime ve dağıtıma yarayacak olan bir bulut sistemidir. Iaas hizmeti gibi kullandıkça öde mantığıyla çalışmaktadır.
SaaS (Software as a Service): Bu hizmet kullanıcıların kullandıkları web tabanlı uygulamaları web üzerinden bağlanmayı ve kullanmayı sağlayan hizmettir. Örnek olarak, Teams, Outlook, Takvim (Microsoft Office 365). Bu uygulama web üzerinden kullanım sağlanmaktadır ve diğer iki hizmet gibi bu da kullandıkça öde şeklindedir.
| Strateji | Avantajlar | Dezavantajlar |
| Cloud identity | Küçük kuruluşlar için yönetimi daha kolay olabilir. | Bulut kimlikleri oluşturmak için ek çaba. |
| Şirket içinde kurulacak bir şey yok. | Buluttaki iş yüklerine erişirken kullanıcıların oturum açması gerekir. | |
| Ek donanım gerekmez. | Parolalar, bulut ve şirket içi kimlikler için aynı olabilir veya olmayabilir. | |
| Kullanıcı şirketten ayrılırsa kolayca devre dışı bırakılır. | Bulut kimliklerini senkronize edilmiş kimliklere geçirmek için ek çaba gerektirir | |
| Synchronized identity | Şirket içi parola, hem şirket içinde hem de bulutta kimlik doğrulaması yapar. | Bazı müşteriler, belirli şirket politikaları nedeniyle dizinlerini bulutla senkronize etme konusunda isteksiz olabilir. |
| Küçük, orta veya büyük kuruluşlar için yönetimi daha kolay olabilir. | ||
| Kullanıcılar, bazı kaynaklar için çoklu oturum açmaya (SSO) sahip olabilir. | ||
| Senkronizasyon için Microsoft’un tercih ettiği yöntem | ||
| Yönetmesi daha kolay. | ||
| Federated identity | Kullanıcılar çoklu oturum açmaya (SSO) sahip olabilir. | Kurulum ve yapılandırma için daha fazla adım. |
| Bir kullanıcı sonlandırılırsa veya ayrılırsa, hesap hemen devre dışı bırakılabilir ve erişim iptal edilebilir. | Daha yüksek kurulum ve bakım maliyetleri. | |
| Senkronize ile gerçekleştirilemeyen gelişmiş senaryoları destekler. | Ek donanım gerektirir. | |
| SSO için kapsamlı kurulum gerektirir. | ||
| Federasyon sunucusu kapalıysa kritik hata noktası, kullanıcılar kimlik doğrulaması yapamaz | ||
What is hybrid identity with Azure Active Directory?
Günümüzde işletmeler ve şirketler, kurum içi ve bulut uygulamalarının giderek daha fazla bir karışımı haline geliyor. Kullanıcılar, bu uygulamalara hem şirket içinde hem de bulutta erişmeli ancak, kullanıcıları hem şirket içinde hem de bulutta yönetmek zorlu senaryolar oluşturur.
Microsoft’un şirket içi ve bulut tabanlı olan kimlik çözümleri, konumdan bağımsız olarak tüm kaynaklar için kimlik doğrulama ve yetkilendirme için ortak bir kullanıcı kimliği oluşturur. Biz buna hibrit kimlik diyoruz.
Azure AD ile hibrit kimlik elde etmek için senaryolarınıza bağlı olarak üç kimlik doğrulama yönteminden biri kullanılabilir. Üç yöntem şunlardır:
- Password hash synchronization (PHS)– Parola Karması Senkronizasyonu
- Pass-through authentication (PTA)– Geçiş Kimlik Doğrulama
- Federation (AD FS)– Federasyon
Bu kimlik doğrulama yöntemleri ayrıca çoklu oturum açma yetenekleri sağlar. Çoklu oturum açma, kullanıcılarınız kurumsal cihazlarınızdayken ve kurumsal ağınıza bağlıyken otomatik olarak oturum açar.
Yaygın senaryolar ve öneriler
Aşağıda, her biri için hangi karma kimlik seçeneğinin (veya seçeneklerinin) uygun olabileceğine dair tavsiyelerle birlikte bazı yaygın karma kimlik ve erişim yönetimi senaryoları verilmiştir.
Parola karması eşitlemesi, hibrit kimliği gerçekleştirmek için kullanılan oturum açma yöntemlerinden biridir. Azure AD Connect, bir şirket içi Active Directory örneğinden bir kullanıcının parolasının karmasını bulut tabanlı bir Azure AD örneğine eşitler.
Parola karması eşitlemesi, Azure AD Connect eşitleme tarafından uygulanan dizin eşitleme özelliğinin bir uzantısıdır. Microsoft 365 gibi Azure AD hizmetlerinde oturum açmak için bu özelliği kullanabilirsiniz. Şirket içi Active Directory örneğinizde oturum açmak için kullandığınız parolayı kullanarak hizmette oturum açarsınız.
Şifre karma senkronizasyonu, kullanıcılarınızın tutması gereken şifre sayısını yalnızca bir taneye indirerek yardımcı olur. Parola karması senkronizasyonu şunları yapabilir:
Parola Karması senkronizasyonu ile, kullanıcılarınızın üretkenliği artarken, yardım masası maliyetleriniz azalır. Hibrit hesaplarınız için sızdırılmış kimlik bilgilerinin tespit edilmesini de sağlar. Microsoft, genel kullanıma açık kullanıcı adı/şifre çiftlerini bulmak için karanlık web araştırmacıları ve kolluk kuvvetleriyle birlikte çalışır. Bu çiftlerden herhangi biri kullanıcılarımızınkilerle eşleşirse, ilişkili hesap yüksek riskli konuma taşınır.
Not: Yalnızca siz PHS’yi etkinleştirdikten sonra bulunan yeni sızan kimlik bilgileri kiracınıza karşı işlenir. Önceden bulunan kimlik bilgisi çiftlerine göre doğrulama yapılmaz.
Mükemmel kullanıcı deneyimi
Bulut tabanlı ve şirket içi uygulamalar için aynı parolalar
Diğer kimlik doğrulama yöntemlerinin kullanılamaması durumunda olağanüstü durum kurtarma seçeneği
Güvenli ve uyumlu
Yalnızca geri döndürülemez karmalar bulutta depolanır
Sızan kimlik bilgileri raporu mevcut
Akıllı Kilitleme, Kimlik Koruması ve Koşullu Erişim ile Entegre
Dağıtımı ve yönetimi kolay
Şirket içi aracı gerekmez
Küçük şirket içi ayak izi
Azure Active Directory Geçişli Kimlik Doğrulaması nedir?
Azure Active Directory (Azure AD) Geçişli Kimlik Doğrulaması, kullanıcılarınızın aynı parolaları kullanarak hem şirket içi hem de bulut tabanlı uygulamalarda oturum açmasına olanak tanır. Bu özellik, kullanıcılarınıza daha iyi bir deneyim sağlar- hatırlanması gereken bir parola daha azalır ve kullanıcılarınızın nasıl oturum açacaklarını unutma olasılığı daha düşük olduğundan BT yardım masası maliyetlerini azaltır. Kullanıcılar Azure AD kullanarak oturum açtığında, bu özellik kullanıcıların parolalarını doğrudan şirket içi Active Directory’nize göre doğrular.
Bu özellik, kuruluşlara bulut kimlik doğrulamasının aynı faydasını sağlayan Azure AD Parola Karma Eşitlemesi’ne bir alternatiftir. Ancak şirket içi Active Directory güvenlik ve parola ilkelerini uygulamak isteyen belirli kuruluşlar bunun yerine Geçişli Kimlik Doğrulamayı kullanmayı seçebilir.
Çeşitli Azure AD oturum açma yöntemlerinin karşılaştırması ve kuruluşunuz için doğru oturum açma yönteminin nasıl seçileceği için bu kılavuzu inceleyin.
Geçişli Kimlik Doğrulamayı Kesintisiz çoklu oturum açma özelliğiyle birleştirebilirsiniz. Windows 10 veya sonraki sürümleri olan makineleriniz varsa Hibrit Azure AD Join’i (AADJ) kullanın. Bu şekilde, kullanıcılarınız kurumsal ağınızdaki kurumsal makinelerindeki uygulamalara erişirken, oturum açmak için şifrelerini girmeleri gerekmez.
Azure AD Geçişli Kimlik Doğrulaması kullanmanın temel avantajları
Mükemmel kullanıcı deneyimi
Kullanıcılar hem şirket içi hem de bulut tabanlı uygulamalarda oturum açmak için aynı parolaları kullanır.
Kullanıcılar, parolayla ilgili sorunları çözmek için BT yardım masasıyla konuşmak için daha az zaman harcıyor.
Kullanıcılar, bulutta self servis parola yönetimi görevlerini tamamlayabilir.
Dağıtımı ve yönetimi kolay
Karmaşık şirket içi dağıtımlara veya ağ yapılandırmasına gerek yoktur.
Şirket içinde kurulacak basit bir ajana ihtiyaç duyar.
Yönetim yükü yok. Ajan, iyileştirmeleri ve hata düzeltmelerini otomatik olarak alır.
Güvenli
Şirket içi parolalar hiçbir şekilde bulutta saklanmaz.
Çok Faktörlü Kimlik Doğrulama (MFA) dahil olmak üzere Azure AD Koşullu Erişim ilkeleriyle sorunsuz bir şekilde çalışarak, eski kimlik doğrulamasını engelleyerek ve kaba kuvvet parola saldırılarını filtreleyerek kullanıcı hesaplarınızı korur.
Temsilci, yalnızca ağınızdan giden bağlantılar kurar. Bu nedenle, aracıyı DMZ olarak da bilinen bir çevre ağına kurmaya gerek yoktur.
Bir aracı ile Azure AD arasındaki iletişim, sertifika tabanlı kimlik doğrulaması kullanılarak güvence altına alınır. Bu sertifikalar, Azure AD tarafından birkaç ayda bir otomatik olarak yenilenir.
Yüksek oranda kullanılabilir
Oturum açma isteklerinin yüksek kullanılabilirliğini sağlamak için birden fazla şirket içi sunucuya ek aracılar kurulabilir.
| Geçişli kimlik doğrulamanın mevcut sınırlamaları | |
| Tam Destekli | Tarayıcı tabanlı uygulamalar |
| Modern kimlik doğrulama kullanan Office istemci uygulamaları | |
| Office istemci uygulamaları, PowerShell sürüm 1.0 ve diğer uygulamalar için eski kimlik doğrulaması | |
| Windows 10/11 cihazları için Azure AD katılımı | |
| Azure Multi-Factor Authentication için uygulama parolaları | |
| Şu Anda Desteklenmiyor | Azure AD Etki Alanı Hizmetlerinin kiracıda etkinleştirilmesi için Parola Karması Eşitlemesi gerekir. Bu nedenle, yalnızca Geçişli Kimlik Doğrulaması kullanan kiracılar, Azure AD Etki Alanı Hizmetleri gerektiren senaryolar için çalışmaz. |
| Sızan kimlik bilgilerine sahip kullanıcıların tespiti | |
| Azure AD Connect Health ile tümleştirme | |
Azure AD ile federasyon nedir?
Federasyon, güven oluşturmuş bir etki alanları koleksiyonudur. Güven düzeyi değişebilir, ancak tipik olarak kimlik doğrulamayı ve neredeyse her zaman yetkilendirmeyi içerir. Tipik bir federasyon, bir dizi kaynağa paylaşılan erişim için güven tesis etmiş birkaç kuruluşu içerebilir.
Şirket içi ortamınızı Azure AD ile birleştirebilir ve bu federasyonu kimlik doğrulama ve yetkilendirme için kullanabilirsiniz. Bu oturum açma yöntemi, tüm kullanıcı kimlik doğrulamasının şirket içinde yapılmasını sağlar. Bu yöntem, yöneticilerin daha katı erişim denetimi düzeyleri uygulamasına olanak tanır. AD FS ve PingFederate ile Federasyon mevcuttur.
