Perşembe, 17 Ağustos 2017

AD Connect ile Azure AD Pass-Through Authentication ve Single Sign On Teknolojileri

Office 365 gibi bulut çözümleri için en önemli özelliklerden birisi kimlik doğrulamasının yöntemidir. Birçok firmada yönetimsel süreçlerden ve son kullanıcı açısından kolaylık sağlamak, karmaşıklığı azaltmak için tek dizinden kimlik doğrulaması yapılmak istenilmektedir. Bu noktada cloud directory (Azure AD) ya da on-premise directory (AD) seçenekleri üzerinden firma alt yapısına özel konfigürasyonlar yapılmaktadır. Alt yapıdaki talebe ve ihtiyaca göre lokal AD ile senkronizasyonu sağlayan AD Connect Tool kurularak lokal objelerin cloud ortamına aktarılması sağlanabiliyor ve lokal kimlik bilgileri ile cloud ortamındaki uygulamalara erişim sağlanabilir. Buradaki yöntem lokal bilgilerin Azure AD ortamına senkronize edilerek kullanıcıların Azure AD ortamında kimlik doğrulamasını gerçekleştirmesidir. Bu noktada opsiyonel olarak kullanıcı şifreleri de senkronize edilecek şekilde konfigüre edilebilir. Bazı alt yapılarda ise ADFS mimarisi kurularak on-premise claim-based kimlik doğrulaması sağlanabilir. Office 365 gibi bulut uygulamalarının on-premise’de kurgulanan ADFS mimarisine kimlik doğrulaması taleplerini iletmeleri üzerine lokal AD’nin kimlik doğrulamasını sağladığı senaryodur. ADFS mimarisi ile sağlanan SSO ortamındaki ADFS sunucularının yüksek erişebilir ve load balance olarak kurgulanması kritik öneme sahiptir. ADFS sunucularının herhangi sebepten çalışmaması durumunda Office 365 gibi bulut uygulamasında kimlik doğrulamasının yapılamaması yani erişimin sağlanamaması anlamına gelmektedir. Kimlik doğrulamasından bir diğer yöntem de Azure AD Premium ya da 3rd party claims-based çözümlerdir. AAD Premium, Okta, Ping Identity gibi cloud-based authentication servis ile kimlik doğrulamasının sağlanabilir. AAD Premium örneğinden gidilecek olursa ADD Connect Tool ile kullanıcıların senkronize edilmesi ve kendi web portallarına giriş yapılmasının ardından bulut uyglamalarının veya alt yapının uygun olması durumunda lokal otamındaki uygulamaların SSO ile kimlik doğrulamasını sağlar. Bu sayede kullanıcılar ana portal üzerinde yayınlanan uygulamalara erişim sağlayabildikleri gibi SSO ile tek noktada kimlik doğrulaması da sağlayacaklardır. 3rd party uygulamaların da yine kendilerine özel senkronizasyon yçntemleri ve web portalları bulunmaktadır. Office 365 gibi bulut uygulamalarında kimlik doğrulaması anlatılan bu yöntemlerle sağlanmakta olup, firma alt yapılarına göre değişmektedir.

Microsoft, Azure Pass-Through Authentication kimlik doğrulama methounu Azure AD Connect build 11.377.0 ile duyurdu. Temel özellikleri aşağıdaki gibidir:

  • On-premise’de yönetilen şifreler ile SSO yeteneği
  • AD FS mimarisi gibi mimarilere gereksinim duyulmaması
  • Basit implimentasyon


Microsoft Azure Pass-Through Authentication Office 365′den gelen kimlik doğrulama taleplerini basit connector aracılığı ile on-premise’deki Actice Directory’e yönlendirir. Bu connector’ün amacı güvenli outbound connection sağlamaktır. Kullanıcılar Azure AD giriş sayfasına kimlik bilgilerini girdikten sonra, Azure AD on-premise’deki connector’e kimlik bilgilerini iletir ve doğrulama için sıraya alınır. SSL ile şifreli bağlantı sağlayan bu connector Exchange Active Sync gibi çalışmakta olup, herhangi DNS ya da sertifika gereksinimi bulunmamaktadır. On-premise’deki connector kimlik bilgilerini AD’ye ileterek gerekli doğrulamayı sağlarlar. On-premise’deki DC gerekli doğrulamayı yaptıktan sora connector’e cevap iletir ve bu cevap connector üzerinden Azure AD’ye iletilir. Bu işlemler SSL üzerinden şifreli sağlanır. Herhangi DNS ya da sertifikaya ihtiyaç yoktur.


 Pass-through Authentication on-premise’de yer alan connector ile AD arasında Kerberos Authentication kullanır. Bu da etki alanındaki bilgisayar kullanıcıları için gerçek Single Sign On deneyimine olanak sağlar. Single Sign On opsiyonel seçenek olmak ile beraber Azure Active Directory Connect konfigürasynu sırasında Password hash senkronizasyonu ya da Pass-through authentication ile kullanılabilir. Kullanıcılar portal.office.com ya da outlook.office365.com adreslerine giriş yaptıklarında kimlik bilgileri bir kere daha girmeden erişim sağlarlar. Workgroup ortamında çalışan Bilgisayar kullanıcıları ise browser otrumunlarında bir defa on-premise kimlik bilgilerini girmelilerdir. Single Sign On AD Connect Tool konfigürasyonu ile aktif edildiğinde AZUREASDSSOACCT hesabının lokal AD’de bilgisayar hesabı oluşacaktır. Kerberos deşifre anahtarı güvenli olarak Azure AD ile paylaştırılır. Ayrıca kullanıcılar ve Azure AD arasında kimlik doğrulama süresince kullanılacak olan cloud URL’ni göstermek için iki tane Kerberos service principal names (SPNs) oluşturulur.


 Bu teknolojiler ile ilgili detaylı bilgilere aşağıdaki linklerden ulaşılabilir.

Azure AD Pass-through Authentication

Single Sign On

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir