Tek Sign-On (Azure ile Real-World Cloud Apps Oluşturma)

Makale
07/13/2023

Fix It Project'i indirin veya E-kitap indirin

Azure ile Gerçek Dünya Bulut Uygulamaları Oluşturma e-kitabı, Scott Guthrie tarafından geliştirilen bir sunuyu temel alır. Bulut için web uygulamalarını başarıyla geliştirmenize yardımcı olabilecek 13 desen ve uygulama açıklanmaktadır. E-kitap hakkında bilgi için ilk bölüme bakın.

Bulut uygulaması geliştirirken düşünmeniz gereken birçok güvenlik sorunu vardır, ancak bu seri için yalnızca bir tanesine odaklanacağız: çoklu oturum açma. İnsanların sık sık sorduklarından biri şudur: "Öncelikle şirketimin çalışanları için uygulamalar oluşturuyorum; Bu uygulamaları bulutta nasıl barındırıp çalışanlarımın güvenlik duvarında barındırılan uygulamaları çalıştırırken şirket içi ortamda bildikleri ve kullandıkları güvenlik modelini kullanmalarını nasıl sağlayabilirim?" Bu senaryoyu etkinleştirme yollarından biri Azure Active Directory (Azure AD) olarak adlandırılır. Azure AD, kurumsal iş kolu (LOB) uygulamalarını İnternet üzerinden kullanılabilir hale getirmenizi sağlar ve bu uygulamaları iş ortaklarının da kullanımına açmanızı sağlar.

Azure AD giriş

Azure AD, bulutta Active Directory sağlar. Önemli özellikler şunlardır:

şirket içi Active Directory ile tümleşir.
Uygulamalarınızda çoklu oturum açmayı etkinleştirir.
SAML, WS-Fed ve OAuth 2.0 gibi açık standartları destekler.
Enterprise Graph REST API'sini destekler.

Çalışanların intranet uygulamalarında oturum açmasını sağlamak için kullandığınız bir şirket içi Windows Server Active Directory ortamınız olduğunu varsayalım:

Bu çizimde, her bir cihazın nasıl bağlanacaklarını göstermek için her bir cihaz ile kaynağı arasında bir çizgi ve oklar geçen, birden çok cihaz ve iki üçgen kule içeren oval şekilli bir yapı gösterilmektedir.

Azure AD bulutta bir dizin oluşturmanıza olanak tanır. Ücretsiz bir özelliktir ve kurulumu kolaydır.

Bu, şirket içi Active Directory tamamen bağımsız olabilir; istediğiniz herkesi buna ekleyebilir ve İnternet uygulamalarında kimliklerini doğrulayabilirsiniz.

Windows Azure Active Directory

İsterseniz şirket içi AD'nizle de tümleştirebilirsiniz.

AD ve WAAD tümleştirmesi

Artık şirket içinde kimlik doğrulaması yapabilen tüm çalışanlar, bir güvenlik duvarı açmanıza veya veri merkezinize yeni sunucular dağıtmanıza gerek kalmadan İnternet üzerinden de kimlik doğrulaması yapabilir. Bugün bildiğiniz ve iç uygulamalarınıza çoklu oturum açma özelliği sağlamak için kullandığınız tüm mevcut Active Directory ortamından yararlanmaya devam edebilirsiniz.

AD ile Azure AD arasında bu bağlantıyı gerçekleştirdikten sonra, web uygulamalarınızı ve mobil cihazlarınızı bulutta çalışanlarınızın kimliğini doğrulamak üzere etkinleştirebilir ve Office 365, SalesForce.com veya Google uygulamaları gibi üçüncü taraf uygulamaların çalışanlarınızın kimlik bilgilerini kabul etmesini sağlayabilirsiniz. Office 365 kullanıyorsanız, Office 365 kimlik doğrulaması ve yetkilendirme için Azure AD kullandığından zaten Azure AD ile ayarlanmışsınızdır.

3. taraf uygulamalar

Bu yaklaşımın güzel yanı, kuruluşunuzun bir kullanıcıyı eklemesi veya silmesi ya da kullanıcının parola değiştirmesi halinde, şirket içi ortamınızda bugün kullandığınız işlemin aynısını kullanmanızdır. Tüm şirket içi AD değişiklikleriniz otomatik olarak bulut ortamına yayılır.

Şirketiniz Office 365 kullanıyor veya Office 365 taşınıyorsa, Office 365 kimlik doğrulaması için Azure AD kullandığından otomatik olarak Azure AD ayarlamış olmanız iyi bir haberdir. Böylece kendi uygulamalarınızda Office 365'in kullandığı kimlik doğrulamasını kolayca kullanabilirsiniz.

Azure AD kiracısı ayarlama

Azure AD dizinine Azure AD kiracı adı verilir ve kiracı ayarlamak oldukça kolaydır. Kavramları göstermek için Azure Yönetim Portalı'nda nasıl yapıldığını göstereceğiz, ancak elbette diğer portal işlevleri gibi bunu bir betik veya yönetim API'sini kullanarak da yapabilirsiniz.

Yönetim portalında Active Directory sekmesine tıklayın.

Portalda WAAD

Azure hesabınız için otomatik olarak bir Azure AD kiracınız vardır ve sayfanın alt kısmındaki Ekle düğmesine tıklayarak ek dizinler oluşturabilirsiniz. Örneğin, bir test ortamı ve üretim için bir tane isteyebilirsiniz. Yeni bir dizine ne ad eklediğinizi dikkatlice düşünün. Dizin için adınızı kullanırsanız ve ardından kullanıcılarınızdan biri için adınızı yeniden kullanırsanız, bu kafa karıştırıcı olabilir.

Dizin ekleme

Portal, bu ortamdaki kullanıcıları oluşturma, silme ve yönetme konusunda tam desteğe sahiptir. Örneğin, kullanıcı eklemek için Kullanıcılar sekmesine gidin ve Kullanıcı Ekle düğmesine tıklayın.

Kullanıcı Ekle düğmesi

Kullanıcı ekle iletişim kutusu

Yalnızca bu dizinde bulunan yeni bir kullanıcı oluşturabilir veya microsoft hesabını bu dizine kullanıcı olarak kaydedebilir ya da başka bir Azure AD dizinindeki bir kullanıcıyı bu dizinde kullanıcı olarak kaydedebilirsiniz. (Gerçek bir dizinde varsayılan etki alanı ContosoTest.onmicrosoft.com. Ayrıca, contoso.com gibi kendi seçtiğiniz bir etki alanını da kullanabilirsiniz.)

Kullanıcı türleri

Kullanıcı ekle iletişim kutusu

Kullanıcıyı bir role atayabilirsiniz.

Kullanıcı profili

Hesap geçici bir parolayla oluşturulur.

Geçici parola

Bu şekilde oluşturduğunuz kullanıcılar, bu bulut dizinini kullanarak web uygulamalarınızda hemen oturum açabilir.

Ancak kurumsal çoklu oturum açma için en iyi özellik Dizin Tümleştirme sekmesidir:

Dizin Tümleştirme sekmesi

Dizin tümleştirmesini etkinleştirirseniz, bu bulut dizinini kuruluşunuzun içinde zaten kullanmakta olduğunuz mevcut şirket içi Active Directory eşitleyebilirsiniz. Ardından dizininizde depolanan tüm kullanıcılar bu bulut dizininde gösterilir. Bulut uygulamalarınız artık mevcut Active Directory kimlik bilgilerini kullanarak tüm çalışanlarınızın kimliğini doğrulayabilir. Ve tüm bunlar ücretsizdir - hem eşitleme aracı hem de Azure AD.

Araç, bu ekran görüntülerinden görebileceğiniz gibi kullanımı kolay bir sihirbazdır. Bunlar tam yönergeler değildir, yalnızca temel süreci gösteren bir örnektir. Daha ayrıntılı nasıl yapılır bilgileri için, bölümün sonundaki Kaynaklar bölümündeki bağlantılara bakın.

WAAD Eşitleme aracı yapılandırma sihirbazı -Görüntü 1

İleri'ye tıklayın ve Azure Active Directory kimlik bilgilerinizi girin.

WAAD Eşitleme aracı yapılandırma sihirbazı - Görüntü 2

İleri'ye tıklayın ve şirket içi AD kimlik bilgilerinizi girin.

WAAD Eşitleme aracı yapılandırma sihirbazı - Görüntü 3

İleri'ye tıklayın ve ardından AD parolalarınızın karmasını bulutta depolamak isteyip istemediğinizi belirtin.

WAAD Eşitleme aracı yapılandırma sihirbazı - Görüntü 4

Bulutta depolayabileceğiniz parola karması tek yönlü bir karmadır; gerçek parolalar hiçbir zaman Azure AD içinde depolanmaz. Karmaları bulutta depolamaya karar verirseniz Active Directory Federasyon Hizmetleri (AD FS) (ADFS) kullanmanız gerekir. ADFS'nin kullanılıp kullanılmayacağını seçerken dikkate alınması gereken başka faktörler de vardır. ADFS seçeneği birkaç ek yapılandırma adımı gerektirir.

Karmaları bulutta depolamayı seçerseniz işiniz biter ve İleri'ye tıkladığınızda araç dizinleri eşitlemeye başlar.

WAAD Eşitleme aracı yapılandırma sihirbazı - Görüntü 5

Ve birkaç dakika içinde işiniz bitti.

WAAD Eşitleme aracı yapılandırma sihirbazı - Görüntü 6

Bunu windows 2003 veya sonraki sürümlerde kuruluştaki tek bir etki alanı denetleyicisinde çalıştırmanız gerekir. Ve yeniden başlatmaya gerek yok. İşiniz bittiğinde tüm kullanıcılarınız bulutta olur ve SAML, OAuth veya WS-Fed kullanarak herhangi bir web veya mobil uygulamadan çoklu oturum açabilirsiniz.

Bazen bunun ne kadar güvenli olduğu sorulur; Microsoft bunu kendi hassas iş verileri için kullanıyor mu? Ve cevabımız evet var. Örneğin, konumundaki https://microsoft.sharepoint.com/iç Microsoft SharePoint sitesine giderseniz oturum açmanız istenir.

oturum açmayı Office 365

Microsoft, ADFS'yi etkinleştirmiştir, bu nedenle bir Microsoft kimliği girdiğinizde bir ADFS oturum açma sayfasına yönlendirilirsiniz.

ADFS oturum açma

Bir iç Microsoft AD hesabında depolanan kimlik bilgilerini girdikten sonra bu iç uygulamaya erişebilirsiniz.

MS SharePoint sitesi

Ad oturum açma sunucusu kullanıyoruz çünkü Azure AD kullanıma sunulmadan önce ZATEN ADFS'yi ayarladık, ancak oturum açma işlemi buluttaki bir Azure AD dizininden geçiyor. Önemli belgelerimizi, kaynak denetimimizi, performans yönetimi dosyalarımızı, satış raporlarımızı ve daha fazlasını buluta yerleştiririz ve bunların güvenliğini sağlamak için aynı çözümü kullanırız.

Çoklu oturum açma için Azure AD kullanan bir ASP.NET uygulaması oluşturma

Visual Studio, birkaç ekran görüntüsünden görebileceğiniz gibi çoklu oturum açma için Azure AD kullanan bir uygulama oluşturmayı gerçekten kolaylaştırır.

MVC veya Web Forms yeni bir ASP.NET uygulaması oluşturduğunuzda, varsayılan kimlik doğrulama yöntemi kimlik ASP.NET yöntemidir. Bunu Azure AD olarak değiştirmek için Kimlik Doğrulamasını Değiştir düğmesine tıklayın.

Kimlik Doğrulamasını değiştirin

Kuruluş Hesapları'nı seçin, etki alanı adınızı girin ve Çoklu Oturum Açma'yi seçin.

Kimlik Doğrulamayı Yapılandır iletişim kutusu

Ayrıca uygulamaya dizin verileri için okuma veya okuma/yazma izni de verebilirsiniz. Bunu yaparsanız, kullanıcıların telefon numarasını aramak, ofiste olup olmadıklarını, en son ne zaman oturum açtıklarını vb. öğrenmek için Azure Graph REST API'sini kullanabilir.

Yapmanız gereken bu kadar- Visual Studio, Azure AD kiracınızın yöneticisinin kimlik bilgilerini ister ve ardından hem projenizi hem de Azure AD kiracınızı yeni uygulama için yapılandırıyor.

Projeyi çalıştırdığınızda bir oturum açma sayfası görürsünüz ve Azure AD dizininizdeki bir kullanıcının kimlik bilgileriyle oturum açabilirsiniz.

Kuruluş hesabıyla oturum açma

Oturum açıldı

Uygulamayı Azure'a dağıttığınızda, tek yapmanız gereken bir Kuruluş Kimlik Doğrulamasını Etkinleştir onay kutusunu seçmektir ve visual studio bir kez daha tüm yapılandırmayı sizin için halleder.

Web'i Yayımla

Bu ekran görüntüleri, Azure AD kimlik doğrulaması kullanan bir uygulama oluşturmayı gösteren eksiksiz bir adım adım öğreticiden gelir: Azure Active Directory ile ASP.NET Uygulamaları Geliştirme.

Özet

Bu bölümde Azure Active Directory, Visual Studio ve ASP.NET,kuruluşunuzun kullanıcıları için İnternet uygulamalarında çoklu oturum açmayı ayarlamayı kolaylaştırdığını gördünüz. Kullanıcılarınız, iç ağınızda Active Directory kullanarak oturum açmak için kullandıkları kimlik bilgilerini kullanarak İnternet uygulamalarında oturum açabilir.

Sonraki bölümde, bir bulut uygulaması için kullanılabilen veri depolama seçeneklerine bakılmaktadır.

Kaynaklar

Daha fazla bilgi için aşağıdaki kaynaklara bakın:

Azure Active Directory Belgeleri. windowsazure.com sitesindeki Azure AD belgeleri için portal sayfası. Adım adım öğreticiler için Geliştirme bölümüne bakın.
Azure Multi-Factor Authentication. Azure'da çok faktörlü kimlik doğrulaması hakkında belgeler için portal sayfası.
Kuruluş hesabı kimlik doğrulama seçenekleri. Visual Studio 2013 new-project iletişim kutusundaki Azure AD kimlik doğrulaması seçeneklerinin açıklaması.
Microsoft Desenleri ve Uygulamaları - Federasyon Kimlik Deseni.
Bir Windows Azure AD Uygulamasında Rol Tabanlı ve ACL-Based Yetkilendirmesi. Örnek uygulama.
Azure Active Directory Graph API blogu.
Karma Kimlik Altyapısında KCG ve Dizin Tümleştirmesinde Access Control. Gayana Bagdasaryan'ın Tech Ed 2014 oturum videosu.

Önceki Sonraki