Azure AD Şirket İçi İş Yükleri için Bulut İdaresi Yönetimini Nasıl Sunar?

Azure Active Directory (Azure AD), kimlik, erişim yönetimi ve güvenliğin tüm yönlerine yayılan milyonlarca kuruluş tarafından kullanılan kapsamlı bir hizmet olarak kimlik (IDaaS) çözümüdür. Azure AD bir milyardan fazla kullanıcı kimliği barındırarak kullanıcıların oturum açmasına ve her iki kullanıcıya da güvenli bir şekilde erişmelerine yardımcı olur:

  • Microsoft 365, Azure portal ve binlerce Diğer Hizmet Olarak Yazılım (SaaS) uygulaması gibi dış kaynaklar.
  • Kuruluşun şirket ağı ve intranet üzerindeki uygulamalar gibi iç kaynaklar ve bu kuruluş tarafından geliştirilen tüm bulut uygulamaları.

Kuruluşlar Azure AD 'saf bulut' ise veya şirket içi iş yükleri varsa 'hibrit' dağıtım olarak kullanabilir. karma Azure AD dağıtımı, bir kuruluşun BT varlıklarını buluta geçirmesi veya mevcut şirket içi altyapıyı yeni bulut hizmetleriyle tümleştirmeye devam etmesi için bir stratejinin parçası olabilir.

Geçmişte 'hibrit' kuruluşlar Azure AD mevcut şirket içi altyapılarının bir uzantısı olarak görmüştür. Bu dağıtımlarda, denetim noktaları şirket içi kimlik idaresi yönetimi, Windows Server Active Directory veya diğer şirket içi dizin sistemleridir ve kullanıcılar ve gruplar bu sistemlerden Azure AD gibi bir bulut dizinine eşitlenir. Bu kimlikler buluta eklendikten sonra Microsoft 365, Azure ve diğer uygulamalar için kullanılabilir hale getirilebilir.

Identity lifecycle

Kuruluşlar uygulamalarıyla birlikte BT altyapılarının daha fazlasını buluta taşıdıkça, birçoğu hizmet olarak kimlik yönetiminin gelişmiş güvenlik ve basitleştirilmiş yönetim özelliklerini arıyor. Azure AD'daki bulut tabanlı IDaaS özellikleri, kuruluşların geleneksel şirket içi sistemlerden Azure AD daha fazla kimlik yönetimini hızla benimsemesine ve taşımasına olanak sağlayan çözümler ve özellikler sağlayarak bulut idaresi yönetimine geçişi hızlandırır ve mevcut uygulamaları ve yeni uygulamaları desteklemeye devam eder.

Bu makalede Microsoft'un karma IDaaS stratejisi özetlenmiştir ve kuruluşların mevcut uygulamaları için Azure AD nasıl kullanabileceği açıklanmaktadır.

Bulutta yönetilen kimlik yönetimine Azure AD yaklaşımı

Kuruluşlar buluta geçerken, tüm ortamları üzerinde denetimlere sahip olduklarına dair güvenceye ihtiyaç duyar. Bu denetimler daha fazla güvenlik ve etkinliklere daha fazla görünürlük sağlar, otomasyon tarafından desteklenir ve proaktif içgörüler elde eder. "Bulutta yönetilen yönetim", kuruluşların kullanıcılarını, uygulamalarını, gruplarını ve cihazlarını buluttan nasıl yönettiklerini ve yönettiklerini açıklar.

Bu modern dünyada, SaaS uygulamalarının yaygınlaşması ve işbirliğinin ve dış kimliklerin rolünün artması nedeniyle kuruluşların büyük ölçekte etkili bir şekilde yönetebilmesi gerekir. Bulutun yeni risk ortamı, bir kuruluşun daha hızlı yanıt vermesi gerektiği anlamına gelir. Bulut kullanıcısını tehlikeye atan kötü niyetli bir aktör bulut ve şirket içi uygulamaları etkileyebilir.

Özellikle karma kuruluşların, geçmişte BT tarafından el ile gerçekleştirilen görevleri temsilci olarak seçebilmesi ve otomatikleştirebilmesi gerekir. Görevleri otomatikleştirmek için, kimlikle ilgili farklı kaynakların (kullanıcılar, gruplar, uygulamalar, cihazlar) yaşam döngüsünü düzenleyen API'lere ve süreçlere ihtiyaç duyarlar, böylece bu kaynakların günlük yönetimini çekirdek BT personeli dışındaki daha fazla kişiye devredebilirler. Azure AD, şirket içi kimlik altyapısı gerektirmeden kullanıcılar için kullanıcı hesabı yönetimi ve yerel kimlik doğrulaması aracılığıyla bu gereksinimleri giderir. Şirket içi altyapı oluşturmamak, şirket içi dizinlerinden kaynaklanmayan ancak erişim yönetimi iş sonuçlarını elde etmek için kritik öneme sahip olan iş ortakları gibi yeni kullanıcı topluluklarına sahip olan kuruluşlara fayda sağlayabilir.

Ayrıca, yönetim --- olmadan yönetim tamamlanmaz ve bu yeni dünyada idare, eklenti yerine kimlik sisteminin tümleşik bir parçasıdır. Kimlik idaresi, kuruluşlara çalışanlar, iş ortakları ve satıcılar ile hizmetler ve uygulamalar genelinde kimlik ve erişim yaşam döngüsünü yönetme olanağı sağlar.

Kimlik idaresinin birleştirilmesi, kuruluşun bulut idaresi yönetimine geçiş yapmasını kolaylaştırır, BT'nin ölçeklendirilmesine olanak tanır, konuklarla yeni zorlukları giderir ve müşterilerin şirket içi altyapıda sahip olduğundan daha derin içgörüler ve otomasyon sağlar. Bu yeni dünyada idare, bir kuruluşun kuruluş içindeki kaynaklara erişim üzerinde saydamlık, görünürlük ve uygun denetimlere sahip olması anlamına gelir. Azure AD ile, güvenlik operasyonları ve denetim ekipleri kimin --- sahip olduğunu ve kimlere sahip olması gerektiğini - kuruluştaki hangi kaynaklara (hangi cihazlarda) erişildiğini, söz konusu kullanıcıların bu erişimle ne yaptığını ve kuruluşun şirket veya mevzuat ilkelerine uygun erişimi kaldırmak veya kısıtlamak için uygun denetimlere sahip olup olmadığını ve kullanıp kullanmadığını gösterir.

Yeni yönetim modeli, hem SaaS hem de iş kolu (LOB) uygulamalarına sahip kuruluşlara avantaj sağlar, bu uygulamalara erişimi daha kolay yönetebilir ve güvenli hale getirir. Uygulamalar Azure AD tümleştirildiğinde, kuruluşlar hem bulut hem de şirket içi kaynaklı kimlikler genelinde erişimi tutarlı bir şekilde kullanabilir ve yönetebilir. Uygulama yaşam döngüsü yönetimi daha otomatik hale gelir ve Azure AD şirket içi kimlik yönetiminde kolayca ulaşılamayan uygulama kullanımı hakkında zengin içgörüler sağlar. kuruluşlar, Azure AD, Microsoft 365 grupları ve Teams self servis özellikleri aracılığıyla kolayca erişim yönetimi ve işbirliği için gruplar oluşturabilir ve işbirliği ve erişim yönetimi gereksinimlerini etkinleştirmek için bulutta kullanıcı ekleyebilir veya kaldırabilir.

Bulut idaresi yönetimi için doğru Azure AD özelliklerinin seçilmesi, kullanılacak uygulamalara ve bu uygulamaların Azure AD nasıl tümleştirileceğine bağlıdır. Aşağıdaki bölümlerde AD ile tümleşik uygulamalar ve federasyon protokolleri kullanan uygulamalar (örneğin, SAML, OAuth veya OpenID Bağlan) için alınması gereken yaklaşımlar özetlenmiştir.

AD ile tümleşik uygulamalar için bulutta yönetilen yönetim

Azure AD, güvenli uzaktan erişim ve bu uygulamalara Koşullu Erişim aracılığıyla kuruluşun şirket içi Active Directory tümleşik uygulamaları için yönetimi geliştirir. Ayrıca Azure AD, kullanıcının mevcut AD hesapları için hesap yaşam döngüsü yönetimi ve kimlik bilgileri yönetimi de sağlar:

  • Şirket içi uygulamalar için güvenli uzaktan erişim ve Koşullu Erişim

Birçok kuruluş için, şirket içi AD ile tümleşik web ve uzak masaüstü tabanlı uygulamalar için buluttan erişimi yönetmenin ilk adımı, güvenli uzaktan erişim sağlamak için uygulama ara sunucusunu bu uygulamaların önüne dağıtmaktır.

kullanıcılar, Azure AD çoklu oturum açma işleminden sonra dış URL veya iç uygulama portalı aracılığıyla hem bulut uygulamalarına hem de şirket içi uygulamalara erişebilir. Örneğin, Uygulama Ara Sunucusu Uzak Masaüstü, SharePoint, Tableau ve Qlik gibi uygulamaların yanı sıra iş kolu (LOB) uygulamalarına uzaktan erişim ve çoklu oturum açma sağlar. Ayrıca Koşullu Erişim ilkeleri, kullanım koşullarını görüntülemeyi ve bir uygulamaya erişebilmeden önce kullanıcının bu koşulları kabul etmelerini sağlamayı içerebilir.

App Proxy architecture

  • Active Directory hesapları için otomatik yaşam döngüsü yönetimi

Kimlik idaresi, kuruluşların üretkenlik --- bir kişinin kuruluşa katıldığında olduğu gibi ihtiyaç duyduğu kaynaklara ne kadar hızlı erişebileceği arasında denge kurmasına yardımcı olur. --- ve güvenlik --- kişinin çalışma durumu değiştiğinde olduğu gibi zaman içinde erişimleri nasıl değişmelidir? Kimlik yaşam döngüsü yönetimi, kimlik idaresinin temelini oluşturur ve uygun ölçekte etkili idare, uygulamalar için kimlik yaşam döngüsü yönetimi altyapısının modernleştirilmesini gerektirir.

Birçok kuruluş için çalışanların kimlik yaşam döngüsü, bu kullanıcının insan sermayesi yönetimi (HCM) sisteminde temsiline bağlıdır. Workday'i HCM sistemi olarak kullanan kuruluşlar için Azure AD, AD'deki kullanıcı hesaplarının Workday'deki çalışanlar için otomatik olarak sağlandığından ve yetkilerinin kaldırıldığından emin olabilir. Bunun yapılması, birthright hesaplarının otomasyonu aracılığıyla kullanıcı üretkenliğinin artırılmasına yol açar ve kullanıcı rolleri değiştirdiğinde veya kuruluştan ayrıldığında uygulama erişiminin otomatik olarak güncelleştirilmesini sağlayarak riski yönetir. Workday odaklı kullanıcı sağlama dağıtım planı , kuruluşlara beş adımlık bir süreçte Workday'in Active Directory Kullanıcı Sağlama çözümünün en iyi yöntemlerle uygulanması konusunda yol gösteren adım adım bir kılavuzdur.

Azure AD Premium ayrıca SAP, Oracle eBusiness ve Oracle PeopleSoft gibi diğer şirket içi HCM sistemlerinden kayıtları içeri aktarabilen Microsoft Identity Manager içerir.

İşletmeler arası işbirliği giderek artan bir şekilde kuruluşunuzun dışındaki kişilere erişim izni verilmesini gerektirir. Azure AD B2B işbirliği, kuruluşların uygulamalarını ve hizmetlerini konuk kullanıcılar ve dış iş ortaklarıyla güvenli bir şekilde paylaşmasına ve kendi şirket verileri üzerinde denetim sahibi olmasını sağlar.

Azure AD, gerektiğinde konuk kullanıcılar için AD'de otomatik olarak hesap oluşturabilir ve iş konuklarının başka bir parolaya gerek kalmadan şirket içi AD ile tümleşik uygulamalara erişmesini sağlar. Kuruluşlar konuk kullanıcılar için çok faktörlü kimlik doğrulama (MFA) ilkeleriayarlayabilir, böylece MFA denetimleri uygulama ara sunucusu kimlik doğrulaması sırasında yapılır. Ayrıca, bulut B2B kullanıcılarında yapılan tüm erişim gözden geçirmeleri şirket içi kullanıcılar için geçerlidir. Örneğin, bulut kullanıcısı yaşam döngüsü yönetimi ilkeleri aracılığıyla silinirse şirket içi kullanıcı da silinir.

Active Directory hesapları için kimlik bilgisi yönetimi Azure AD self servis parola sıfırlama, parolalarını unutan kullanıcıların parolalarının yeniden kimlik doğrulamasını ve parolalarını sıfırlamasını ve değiştirilen parolaların şirket içi Active Directory yazılmasını sağlar. Parola sıfırlama işlemi şirket içi Active Directory parola ilkelerini de kullanabilir: Kullanıcı parolasını sıfırladığında, bu dizine kaydetmeden önce şirket içi Active Directory ilkesini karşıladığından emin olmak için denetlenir. Self servis parola sıfırlama dağıtım planı, web ve Windows tümleşik deneyimler aracılığıyla kullanıcılara self servis parola sıfırlamayı dağıtmak için en iyi yöntemleri özetler.

Azure AD SSPR architecture

Son olarak, kullanıcıların AD'de parolalarını değiştirmelerine izin veren kuruluşlar için AD, şu anda genel önizleme aşamasında olan Azure AD parola koruma özelliği aracılığıyla kuruluşun Azure AD kullandığı parola ilkesini kullanacak şekilde yapılandırılabilir.

Bir kuruluş, uygulamayı barındıran işletim sistemini Azure'a taşıyarak AD ile tümleşik bir uygulamayı buluta taşımaya hazır olduğunda Azure AD Etki Alanı Hizmetleri AD uyumlu etki alanı hizmetleri (etki alanına katılma, grup ilkesi, LDAP ve Kerberos/NTLM kimlik doğrulaması gibi) sağlar. Azure AD Domain Services, kuruluşun mevcut Azure AD kiracısıyla tümleştirerek kullanıcıların kurumsal kimlik bilgilerini kullanarak oturum açmasını sağlar. Ayrıca mevcut gruplar ve kullanıcı hesapları, kaynaklara erişimi güvenli hale getirmek ve şirket içi kaynakların Azure altyapı hizmetlerine daha sorunsuz bir şekilde "lift-and-shift" ile geçişini sağlamak için kullanılabilir.

Azure AD Domain Services

Şirket içi federasyon tabanlı uygulamalar için bulut idaresi yönetimi

Şirket içi kimlik sağlayıcısı kullanan bir kuruluş için, uygulamaları Azure AD taşımak daha güvenli erişim ve federasyon yönetimi için daha kolay bir yönetim deneyimi sağlar. Azure AD, Azure AD Koşullu Erişim kullanarak Azure AD Multi-Factor Authentication dahil olmak üzere uygulama başına ayrıntılı erişim denetimlerinin yapılandırılmasını sağlar. Azure AD, uygulamaya özgü belirteç imzalama sertifikaları ve yapılandırılabilir sertifika süre sonu tarihleri gibi daha fazla özelliği destekler. Bu özellikler, araçlar ve yönergeler, kuruluşların şirket içi kimlik sağlayıcılarını kullanımdan kaldırmasına olanak tanır. Örneğin, Microsoft'un kendi BT'sini 17.987 uygulama Microsoft'un iç Active Directory Federasyon Hizmetleri (AD FS) (AD FS) Azure AD taşıdı.

Azure AD evolution

Federasyon uygulamalarını kimlik sağlayıcısı olarak Azure AD geçirmeye başlamak için şunlara https://aka.ms/migrateapps bağlantılar içerir:

  • Uygulamalarınızı Azure Active Directory Geçirme başlıklı teknik inceleme, geçişin avantajlarını sunar ve dört net şekilde özetlenmiş aşamada geçişi planlamayı açıklar: bulma, sınıflandırma, geçiş ve devam eden yönetim. Süreç hakkında düşünme ve projenizi kullanımı kolay parçalara ayırma konusunda size yol gösterilir. Belge boyunca, bu yolda size yardımcı olacak önemli kaynakların bağlantıları yer alır.

  • Uygulama Kimlik Doğrulamasını Active Directory Federasyon Hizmetleri (AD FS)'den Azure Active Directory geçirme çözüm kılavuzu, uygulama geçiş projesi planlama ve yürütmenin dört aşamasının aynılarını daha ayrıntılı olarak inceler. Bu kılavuzda, bu aşamaları bir uygulamayı Active Directory Federasyon Hizmetleri (AD FS)'den (AD FS) Azure AD taşıma hedefine nasıl uygulayacağınızı öğreneceksiniz.

  • Active Directory Federasyon Hizmetleri (AD FS) Geçişe Hazır Olma Betiği, uygulamaların Azure AD geçişe hazır olup olmadığını belirlemek üzere mevcut şirket içi Active Directory Federasyon Hizmetleri (AD FS) sunucularında çalıştırılabilir.

Bulut ve şirket içi uygulamalar arasında sürekli erişim yönetimi

Kuruluşların ölçeklenebilir erişimi yönetmek için bir sürece ihtiyacı vardır. Kullanıcılar erişim hakları biriktirmeye devam eder ve başlangıçta kendilerine sağlananların ötesinde bir sonuç alır. Ayrıca, kurumsal kuruluşların sürekli olarak erişim ilkesi ve denetimleri geliştirmek ve uygulamak için verimli bir şekilde ölçeklenebilmesi gerekir.

GENELLIKLE BT, onay kararlarına iş karar verenlere erişim yetkisi verir. Ayrıca BT, kullanıcıların kendisini de içerebilir. Örneğin, bir şirketin Avrupa'daki pazarlama uygulamasında gizli müşteri verilerine erişen kullanıcıların şirketin ilkelerini bilmesi gerekir. Konuk kullanıcılar, davet edildikleri bir kuruluştaki verilerin işleme gereksinimlerini de farkında olmayabilir.

Kuruluşlar, SaaS uygulamalarına kullanıcı sağlama veya Etki Alanları Arası Kimlik Yönetimi (SCIM) için Sistem standardı kullanılarak tümleştirilmiş uygulamalar gibi dinamik gruplar gibi teknolojiler aracılığıyla erişim yaşam döngüsü sürecini otomatikleştirebilir. Kuruluşlar ayrıca şirket içi uygulamalara hangi konuk kullanıcıların erişebileceğini de denetleyebiliyor. Bu erişim hakları daha sonra yinelenen Azure AD erişim gözden geçirmeleri kullanılarak düzenli olarak gözden geçirilebilir.

Gelecekteki yol tarifleri

Karma ortamlarda Microsoft'un stratejisi, bulutunun kimlik için denetim düzlemi olduğu dağıtımları etkinleştirmektir. Active Directory ve diğer şirket içi uygulamalar gibi şirket içi dizinler ve diğer kimlik sistemleri erişime sahip kullanıcıların sağlanmasına yönelik hedeftir. Bu strateji, bu uygulamalara ve iş yüklerine bağlı olan hakları, kimlikleri ve erişimi sağlamaya devam edecektir. Bu son durumda, kuruluşlar son kullanıcı üretkenliğini tamamen buluttan yönlendirebilecektir.

Azure AD architecture

Sonraki adımlar

Bu yolculuğa başlama hakkında daha fazla bilgi için bkz. Azure AD dağıtım planları. Bu planlar, Azure Active Directory (Azure AD) özellikleri dağıtmak için uçtan uca yönergeler sağlar. Her plan, ortak Azure AD özelliklerini başarıyla kullanıma sunabilmek için gereken iş değerini, planlama konularını, tasarımı ve operasyonel yordamları açıklar. Microsoft, Azure AD ile buluttan yönetmeye yeni özellikler eklediğimizde müşteri dağıtımlarından öğrenilen en iyi yöntemler ve diğer geri bildirimlerle dağıtım planlarını sürekli olarak güncelleştirir.