Microsoft Entra sertifika tabanlı kimlik doğrulamasına genel bakış
Microsoft Entra sertifika tabanlı kimlik doğrulaması (CBA), müşterilerin uygulamalar ve tarayıcı oturum açma işlemleri için Microsoft Entra kimlikleri ile doğrudan X.509 sertifikalarıyla kimlik doğrulamasına izin vermesine veya bu sertifikalara sahip olmasını gerektirmesine olanak tanır. Bu özellik, müşterilerin kimlik avına dayanıklı bir kimlik doğrulaması benimsemesine ve Ortak Anahtar Altyapısına (PKI) karşı X.509 sertifikasıyla kimlik doğrulaması yapmalarına olanak tanır.
Microsoft Entra CBA nedir?
CBA'nın Microsoft Entra Id'ye bulut tarafından yönetilen desteği öncesinde müşterilerin, Microsoft Entra ID'ye karşı X.509 sertifikalarını kullanarak kimlik doğrulaması yapabilmesi için Active Directory Federasyon Hizmetleri (AD FS) (AD FS) dağıtmayı gerektiren federasyon sertifika tabanlı kimlik doğrulaması uygulaması gerekiyordu. Microsoft Entra sertifika tabanlı kimlik doğrulaması ile müşteriler doğrudan Microsoft Entra Kimliği ile kimlik doğrulaması yapabilir ve basitleştirilmiş müşteri ortamları ve maliyet azaltma ile federasyon AD FS gereksinimini ortadan kaldırabilir.
Aşağıdaki görüntülerde Microsoft Entra CBA'nın federasyon AD FS'yi ortadan kaldırarak müşteri ortamını nasıl basitleştirdiği gösterilmektedir.
Federasyon AD FS ile sertifika tabanlı kimlik doğrulaması
Microsoft Entra sertifika tabanlı kimlik doğrulaması
Microsoft Entra CBA kullanmanın temel avantajları
| Sosyal haklar | Açıklama |
|---|---|
| Harika kullanıcı deneyimi | - Sertifika tabanlı kimlik doğrulamasına ihtiyaç duyan kullanıcılar artık doğrudan Microsoft Entra Kimliği'nde kimlik doğrulaması yapabilir ve federasyon AD FS'ye yatırım yapmak zorunda değildir. - Portal kullanıcı arabirimi, kullanıcıların kiracıdaki kullanıcıyı aramak için sertifika alanlarını bir kullanıcı nesnesi özniteliğine eşlemeyi kolayca yapılandırmasına olanak tanır (sertifika kullanıcı adı bağlamaları) - Hangi sertifikaların tek faktörlü ve çok faktörlü olduğunu saptamaya yardımcı olmak için kimlik doğrulama ilkelerini yapılandırmak için portal kullanıcı arabirimi. |
| Dağıtımı ve yönetimi kolay | - Microsoft Entra CBA ücretsiz bir özelliktir ve bunu kullanmak için Microsoft Entra Id'nin ücretli sürümlerine ihtiyacınız yoktur. - Karmaşık şirket içi dağıtımlara veya ağ yapılandırmasına gerek yoktur. - Microsoft Entra Kimliği'ne göre doğrudan kimlik doğrulaması yapın. |
| Güvenli | - Şirket içi parolaların bulutta herhangi bir biçimde depolanması gerekmez. - Kimlik Avına Dayanıklı çok faktörlü kimlik doğrulaması (MFA lisanslı sürüm gerektirir) ve eski kimlik doğrulamasını engelleme dahil olmak üzere Microsoft Entra Koşullu Erişim ilkeleriyle sorunsuz bir şekilde çalışarak kullanıcı hesaplarınızı korur. - Kullanıcıların, hangi sertifikaların tek faktörlü ve çok faktörlü olarak niteleneceğini belirlemek için sertifika alanları (örneğin, veren veya ilke OID'leri (nesne tanımlayıcıları) aracılığıyla kimlik doğrulama ilkeleri tanımlayabildiği güçlü kimlik doğrulama desteği. - Bu özellik, kullanıcılarınızın güvenliğini sağlamaya yardımcı olmak için MFA'yı zorunlu kılmaya yarayan Koşullu Erişim özellikleri ve kimlik doğrulama gücü özelliğiyle sorunsuz çalışır. |
Desteklenen senaryolar
Aşağıdaki senaryolar desteklenir:
- Tüm platformlarda web tarayıcısı tabanlı uygulamalarda kullanıcı oturum açma işlemleri.
- iOS/Android platformlarındaki Office mobil uygulamalarının yanı sıra Outlook, OneDrive gibi Windows'taki Office yerel uygulamalarında kullanıcı oturum açma işlemleri.
- Mobil yerel tarayıcılarda kullanıcı oturum açma işlemleri.
- Sertifika veren Konu ve ilke OID'lerini kullanarak çok faktörlü kimlik doğrulaması için ayrıntılı kimlik doğrulama kuralları desteği.
- Sertifika alanlarından herhangi birini kullanarak sertifikadan kullanıcıya hesap bağlamalarını yapılandırma:
- Konu Diğer Adı (SAN) PrincipalName ve SAN RFC822Name
- Konu Anahtarı Tanımlayıcısı (SKI) ve SHA1PublicKey
- Veren + Konu, Konu ve Veren + SerialNumber
- Kullanıcı nesnesi özniteliklerinden herhangi birini kullanarak sertifikadan kullanıcıya hesap bağlamalarını yapılandırma:
- Kullanıcı Asıl Adı
- onPremisesUserPrincipalName
- CertificateUserIds
Desteklenmeyen senaryolar
Aşağıdaki senaryolar desteklenmez:
- Sertifika Yetkilisi ipuçları desteklenmez, bu nedenle sertifika seçici kullanıcı arabiriminde kullanıcılar için görüntülenen sertifikaların listesi kapsamlandırılamaz.
- Güvenilen CA için yalnızca bir CRL Dağıtım Noktası (CDP) desteklenir.
- CDP yalnızca HTTP URL'leri olabilir. Çevrimiçi Sertifika Durum Protokolü (OCSP) veya Basit Dizin Erişim Protokolü (LDAP) URL'lerini desteklemiyoruz.
- Kimlik doğrulama yöntemi olarak parola devre dışı bırakılamaz ve kullanıcı tarafından kullanılabilen Microsoft Entra CBA yöntemiyle bile parola kullanarak oturum açma seçeneği görüntülenir.
İş İçin Windows Hello sertifikalarıyla ilgili bilinen sınırlama
- İş İçin Windows Hello (WHFB), Microsoft Entra ID'de çok faktörlü kimlik doğrulaması için kullanılabilir ancak WHFB, yeni MFA için desteklenmez. Müşteriler WHFB anahtar çiftini kullanarak kullanıcılarınız için sertifika kaydetmeyi seçebilir. Düzgün yapılandırıldığında, bu WHFB sertifikaları Microsoft Entra Id'de çok faktörlü kimlik doğrulaması için kullanılabilir. WHFB sertifikaları, Edge ve Chrome tarayıcılarında Microsoft Entra sertifika tabanlı kimlik doğrulaması (CBA) ile uyumludur; ancak, şu anda WHFB sertifikaları tarayıcı dışı senaryolarda (örneğin Office 365 uygulamaları) Microsoft Entra CBA ile uyumlu değildir. Geçici çözüm, bu seçenek kimlik doğrulaması için sertifika kullanmadığından ve Microsoft Entra CBA ile ilgili sorundan kaçındığından oturum açmak için "Windows Hello'da oturum aç veya güvenlik anahtarı" seçeneğini kullanmaktır (varsa); ancak bu seçenek bazı eski uygulamalarda kullanılamayabilir.
Kapsam Dışı
Aşağıdaki senaryolar Microsoft Entra CBA için kapsam dışındadır:
- İstemci sertifikaları oluşturmak için Ortak Anahtar Altyapısı. Müşterilerin kendi Ortak Anahtar Altyapısını (PKI) yapılandırması ve kullanıcılarına ve cihazlarına sertifika sağlaması gerekir.