Microsoft Microsoft Entra geçiş kimlik doğrulaması güvenliğine derinlemesine bakış

Bu makalede, Microsoft Entra doğrudan kimlik doğrulamasının nasıl çalıştığına ilişkin daha ayrıntılı bir açıklama sağlanır. Özelliğin güvenlik yönlerine odaklanır. Bu makale, güvenlik ve BT yöneticileri, baş uyumluluk ve güvenlik sorumluları ile her büyüklükteki kuruluş veya kuruluşta BT güvenliği ve uyumluluğundan sorumlu olan diğer BT uzmanlarına yöneliktir.

Ele alınan konular şunlardır:

• Kimlik doğrulama aracılarını yükleme ve kaydetme hakkında ayrıntılı teknik bilgiler.
• Kullanıcı oturum açma sırasında parola şifrelemesi hakkında ayrıntılı teknik bilgiler.
• Şirket içi kimlik doğrulama aracıları ile Microsoft Entra Id arasındaki kanalların güvenliği.
• Kimlik doğrulama aracılarını operasyonel olarak güvenli tutma hakkında ayrıntılı teknik bilgiler.

Geçiş kimlik doğrulaması anahtarı güvenlik özellikleri

Doğrudan kimlik doğrulaması şu önemli güvenlik özelliklerine sahiptir:

• Kiracılar arasında oturum açma isteklerinin yalıtımını sağlayan güvenli bir çok kiracılı mimari üzerine kurulmuştur.
• Şirket içi parolalar hiçbir zaman bulutta herhangi bir biçimde depolanmaz.
• Parola doğrulama isteklerini dinleyen ve yanıtlayan şirket içi kimlik doğrulama aracıları yalnızca ağınızdan giden bağlantılar kurar. Bu kimlik doğrulama aracılarını bir çevre ağına (DMZ, askeri olmayan bölge ve ekranlı alt ağ olarak da bilinir) yükleme gereksinimi yoktur. En iyi uygulama olarak, kimlik doğrulama aracılarını çalıştıran tüm sunucuları Katman 0 sistemleri olarak değerlendirin (başvuruya bakın).
• Kimlik doğrulama aracılarından Microsoft Entra Kimliği'ne giden iletişim için yalnızca standart bağlantı noktaları (bağlantı noktası 80 ve bağlantı noktası 443) kullanılır. Güvenlik duvarınızda gelen bağlantı noktalarını açmanız gerekmez.
  • 443 numaralı bağlantı noktası, kimliği doğrulanmış tüm giden iletişimler için kullanılır.
  • Bağlantı noktası 80, bu özelliğin kullandığı sertifikaların hiçbirinin iptal edilmemiş olduğundan emin olmak için yalnızca sertifika iptal listelerini (CRL) indirmek için kullanılır.
  • Ağ gereksinimlerinin tam listesi için bkz . Microsoft Entra doğrudan kimlik doğrulaması hızlı başlangıcı.
• Kullanıcıların oturum açma sırasında sağladığı parolalar, şirket içi kimlik doğrulama aracıları tarafından Windows Server Active Directory 'ye (Windows Server AD) karşı doğrulama için kabul etmeden önce bulutta şifrelenir.
• Microsoft Entra Id ile şirket içi kimlik doğrulama aracısı arasındaki HTTPS kanalının güvenliği karşılıklı kimlik doğrulaması kullanılarak sağlanır.
• Doğrudan kimlik doğrulaması, çok faktörlü kimlik doğrulaması (MFA) dahil olmak üzere Microsoft Entra Koşullu Erişim ilkeleriyle sorunsuz çalışarak, eski kimlik doğrulamasını engelleyerek ve deneme yanılma parola saldırılarını filtreleyerek kullanıcı hesaplarınızı korur.

Doğrudan kimlik doğrulamasında yer alan bileşenler

Microsoft Entra Id işletimsel, hizmet ve veri güvenliği hakkında genel ayrıntılar için bkz . Güven Merkezi. Kullanıcı oturum açma için doğrudan kimlik doğrulaması kullandığınızda aşağıdaki bileşenler söz konusu olur:

• Microsoft Entra Güvenlik Belirteci Hizmeti (Microsoft Entra STS): Oturum açma isteklerini işleyen ve kullanıcı tarayıcılarına, istemcilerine veya hizmetlerine gerektiğinde güvenlik belirteçleri veren durum bilgisi olmayan bir STS.
• Azure Service Bus: Kurumsal mesajlaşma ile bulut özellikli iletişim sağlar ve şirket içi çözümleri buluta bağlamanıza yardımcı olan geçiş iletişimi sağlar.
• Microsoft Entra Bağlan Kimlik Doğrulama Aracısı: Parola doğrulama isteklerini dinleyen ve yanıtlayan bir şirket içi bileşen.
• Azure SQL Veritabanı: Kiracınızın kimlik doğrulama aracıları hakkında meta verileri ve şifreleme anahtarları gibi bilgileri tutar.
• Windows Server AD: Kullanıcı hesaplarının ve parolalarının depolandığı şirket içi Active Directory.

Kimlik doğrulama aracılarını yükleme ve kaydetme

Aşağıdaki eylemlerden birini gerçekleştirdiğinizde kimlik doğrulama aracıları Yüklenir ve Microsoft Entra Id ile kaydedilir:

• Microsoft Entra Bağlan aracılığıyla doğrudan kimlik doğrulamasını etkinleştirme
• Oturum açma isteklerinin yüksek kullanılabilirliğini sağlamak için daha fazla kimlik doğrulama aracısı ekleyin

Kimlik doğrulama aracısını çalışır durumda almak için üç ana aşama gerekir:

• Yükleme
• Kayıt
• Başlatma

Aşağıdaki bölümlerde bu aşamalar ayrıntılı olarak açıklanmıştır.

Kimlik doğrulama aracısı yüklemesi

Şirket içi bir sunucuya yalnızca Karma Kimlik Yönetici istrator hesabı bir kimlik doğrulama aracısı (Microsoft Entra Bağlan veya tek başına örnek kullanarak) yükleyebilir.

Yükleme, Denetim Masası> Programs>Programları ve Özellikleri'ndeki listeye iki yeni girdi ekler:

• Kimlik doğrulama aracısı uygulamasının kendisi. Bu uygulama NetworkService ayrıcalıklarıyla çalışır.
• Kimlik doğrulama aracısını otomatik olarak güncelleştirmek için kullanılan Güncelleştirici uygulaması. Bu uygulama LocalSystem ayrıcalıklarıyla çalışır.

Önemli

Güvenlik açısından, yöneticilerin doğrudan kimlik doğrulama aracısını çalıştıran sunucuya etki alanı denetleyicisiymiş gibi davranması gerekir. Doğrudan kimlik doğrulama aracısı aracı sunucuları, Etki alanı denetleyicilerini saldırılara karşı güvenli hale getirme bölümünde açıklandığı gibi sağlamlaştırılmalıdır.

Kimlik doğrulama aracısı kaydı

Kimlik doğrulama aracısını yükledikten sonra, kendisini Microsoft Entra Id ile kaydeder. Microsoft Entra Id, her kimlik doğrulama aracısını Microsoft Entra Id ile güvenli iletişim için kullanabileceği benzersiz, dijital bir kimlik sertifikası atar.

Kayıt yordamı, kimlik doğrulama aracısını da kiracınıza bağlar. Ardından Microsoft Entra Id, kiracınız için parola doğrulama isteklerini işleme yetkisi olan tek kişinin bu kimlik doğrulama aracısı olduğunu bilir. Bu yordam, kaydettiğiniz her yeni kimlik doğrulama aracısı için yinelenir.

Kimlik doğrulama aracıları kendilerini Microsoft Entra ID'ye kaydetmek için aşağıdaki adımları kullanır:

1. Microsoft Entra ilk olarak bir karma kimlik yöneticisinin kimlik bilgileriyle Microsoft Entra Id'de oturum açmasını istemektedir. Oturum açma sırasında, kimlik doğrulama aracısı kullanıcı adına kullanabileceği bir erişim belirteci alır.
2. Ardından kimlik doğrulama aracısı bir anahtar çifti oluşturur: ortak anahtar ve özel anahtar.
   • Anahtar çifti standart RSA 2.048 bit şifreleme ile oluşturulur.
   • Özel anahtar, kimlik doğrulama aracısının bulunduğu şirket içi sunucuda kalır.
3. Kimlik doğrulama aracısı HTTPS üzerinden Microsoft Entra Id'ye bir kayıt isteğinde bulunur ve istekte aşağıdaki bileşenler bulunur:
   • Aracının aldığı erişim belirteci.
   • Oluşturulan ortak anahtar.
   • Sertifika İmzalama İsteği (CSR veya Sertifika İsteği). Bu istek, sertifika yetkilisi (CA) olarak Microsoft Entra Kimliğine sahip bir dijital kimlik sertifikası için geçerlidir.
4. Microsoft Entra Id, kayıt isteğindeki erişim belirtecini doğrular ve isteğin karma kimlik yöneticisinden geldiğini doğrular.
5. Microsoft Entra Id daha sonra dijital kimlik sertifikasını imzalar ve kimlik doğrulama aracısına geri gönderir.

   • Sertifikayı imzalamak için Microsoft Entra Id içindeki kök CA kullanılır.

     Dekont

     Bu CA, Windows Güvenilen Kök Sertifika Yetkilileri deposunda değil .

   • CA yalnızca doğrudan kimlik doğrulama özelliği tarafından kullanılır. CA yalnızca kimlik doğrulama aracısı kaydı sırasında CSR'leri imzalamak için kullanılır.

   • Başka hiçbir Microsoft Entra hizmeti bu CA'yı kullanmaz.

   • Sertifikanın konusu (Ayırt Edici Ad veya DN olarak da adlandırılır) kiracı kimliğiniz olarak ayarlanır. Bu DN, kiracınızı benzersiz olarak tanımlayan bir GUID'dir. Bu DN, sertifikanın kapsamını yalnızca kiracınızla kullanılacak şekilde belirler.

6. Microsoft Entra Id, kimlik doğrulama aracısının ortak anahtarını Azure SQL Veritabanı bir veritabanında depolar. Veritabanına yalnızca Microsoft Entra Kimliği erişebilir.
7. Verilen sertifika, Windows sertifika deposundaki (özellikle CERT_SYSTEM_STORE_LOCAL_MACHINE) şirket içi sunucuda depolanır. Sertifika hem kimlik doğrulama aracısı hem de Güncelleştirici uygulaması tarafından kullanılır.

Kimlik doğrulama aracısı başlatma

Kimlik doğrulama aracısı kayıt sonrasında veya sunucu yeniden başlatıldıktan sonra ilk kez başlatıldığında, parola doğrulama isteklerini kabul etmeye başlayabilmesi için Microsoft Entra hizmetiyle güvenli bir şekilde iletişim kurması gerekir.

Kimlik doğrulama aracıları şu şekilde başlatılır:

1. Kimlik doğrulama aracısı, Microsoft Entra Kimliği'ne giden bir önyükleme isteğinde bulunur.

   Bu istek 443 numaralı bağlantı noktası üzerinden yapılır ve karşılıklı olarak kimliği doğrulanmış bir HTTPS kanalı üzerinden yapılır. İstek, kimlik doğrulama aracısı kaydı sırasında verilen sertifikanın aynısını kullanır.

2. Microsoft Entra Id, kiracınıza özgü ve kiracı kimliğiniz tarafından tanımlanan bir Service Bus kuyruğuna erişim anahtarı sağlayarak isteğe yanıt verir.

3. Kimlik doğrulama aracısı kuyruğa kalıcı bir giden HTTPS bağlantısı (bağlantı noktası 443 üzerinden) yapar.

Kimlik doğrulama aracısı artık parola doğrulama isteklerini almaya ve işlemeye hazırdır.

Kiracınızda kayıtlı birden çok kimlik doğrulama aracınız varsa, başlatma yordamı her aracının aynı Service Bus kuyruğuna bağlanmasını sağlar.

Doğrudan kimlik doğrulaması oturum açma isteklerini nasıl işler?

Aşağıdaki diyagramda, doğrudan kimlik doğrulamasının kullanıcı oturum açma isteklerini nasıl işlediği gösterilmektedir:

Doğrudan kimlik doğrulaması, kullanıcı oturum açma isteğini nasıl işler:

1. Kullanıcı, outlook web app gibi bir uygulamaya erişmeye çalışır.

2. Kullanıcı henüz oturum açmadıysa, uygulama tarayıcıyı Microsoft Entra oturum açma sayfasına yönlendirir.

3. Microsoft Entra STS hizmeti, Kullanıcı oturum açma sayfasıyla yanıt verir.

4. Kullanıcı kullanıcı oturum açma sayfasına kullanıcı adını girer ve ardından İleri düğmesini seçer.

5. Kullanıcı kullanıcı oturum açma sayfasına parolasını girer ve oturum aç düğmesini seçer.

6. Kullanıcı adı ve parola bir HTTPS POST isteğinde Microsoft Entra STS'ye gönderilir.

7. Microsoft Entra STS, Azure SQL Veritabanı kiracınızda kayıtlı tüm kimlik doğrulama aracıları için ortak anahtarları alır ve anahtarları kullanarak parolayı şifreler.

   Kiracınızda kayıtlı her kimlik doğrulama aracısı için bir şifrelenmiş parola değeri üretir.

8. Microsoft Entra STS, kullanıcı adı ve şifrelenmiş parola değerlerinden oluşan parola doğrulama isteğini kiracınıza özgü Service Bus kuyruğuna yerleştirir.

9. Başlatılan kimlik doğrulama aracıları Service Bus kuyruğuna kalıcı olarak bağlı olduğundan, kullanılabilir kimlik doğrulama aracılarından biri parola doğrulama isteğini alır.

10. Kimlik doğrulama aracısı, ortak anahtarına özgü şifrelenmiş parola değerini bulmak için bir tanımlayıcı kullanır. Özel anahtarını kullanarak ortak anahtarın şifresini çözer.

11. Kimlik doğrulama aracısı, parametresi olarak ayarlanmış Win32 LogonUser API'sini kullanarak Windows Server AD'de kullanıcı adını ve parolayı doğrulamayı dwLogonTypeLOGON32_LOGON_NETWORKdener.

    • Bu API, Active Directory Federasyon Hizmetleri (AD FS) (AD FS) tarafından federasyon oturum açma senaryosunda kullanıcıları oturum açmak için kullanılan API ile aynıdır.
    • Bu API, etki alanı denetleyicisini bulmak için Windows Server'daki standart çözümleme işlemine dayanır.

12. Kimlik doğrulama aracısı, Windows Server AD'den başarı, kullanıcı adı veya parola yanlış veya parolanın süresi dolmuş gibi sonucu alır.

    Dekont

    Oturum açma işlemi sırasında kimlik doğrulama aracısı başarısız olursa, oturum açma isteğinin tamamı bırakılır. Oturum açma istekleri, bir şirket içi kimlik doğrulama aracısından başka bir şirket içi kimlik doğrulama aracısına devredemez. Bu aracılar birbirleriyle değil yalnızca bulutla iletişim kurar.

13. Kimlik doğrulama aracısı, 443 numaralı bağlantı noktası üzerinden karşılıklı olarak kimliği doğrulanmış giden bir HTTPS kanalı üzerinden sonucu Microsoft Entra STS'ye geri iletir. Karşılıklı kimlik doğrulaması, kayıt sırasında kimlik doğrulama aracısına verilen sertifikayı kullanır.

14. Microsoft Entra STS, bu sonucun kiracınızdaki belirli oturum açma isteğiyle ilişkili olduğunu doğrular.

15. Microsoft Entra STS, oturum açma yordamını yapılandırıldığı gibi kullanmaya devam eder. Örneğin, parola doğrulaması başarılı olursa, kullanıcı MFA için zorlanabilir veya uygulamaya geri yönlendirilebilir.

Kimlik doğrulama aracısı işletimsel güvenliği

Doğrudan kimlik doğrulamasının operasyonel olarak güvenli kalmasını sağlamak için Microsoft Entra ID, kimlik doğrulama aracısı sertifikalarını düzenli aralıklarla yeniler. Microsoft Entra Id yenilemeleri tetikler. Yenilemeler kimlik doğrulama aracıları tarafından yönetilmiyor.

Microsoft Entra Id ile kimlik doğrulama aracısının güvenini yenilemek için:

1. Kimlik doğrulama aracısı, sertifikasını yenileme zamanının geldiğinden denetlemek için Microsoft Entra'ya birkaç saatte bir ping atmaktadır. Sertifika süresi dolmadan 30 gün önce yenilenir.

   Bu denetim, karşılıklı olarak kimliği doğrulanmış bir HTTPS kanalı üzerinden yapılır ve kayıt sırasında verilen sertifikanın aynısını kullanır.

2. Hizmet yenileme zamanının geldiğini belirtiyorsa, kimlik doğrulama aracısı yeni bir anahtar çifti oluşturur: ortak anahtar ve özel anahtar.

   • Bu anahtarlar standart RSA 2.048 bit şifreleme ile oluşturulur.
   • Özel anahtar hiçbir zaman şirket içi sunucudan ayrılmaz.

3. Ardından kimlik doğrulama aracısı, HTTPS üzerinden Microsoft Entra Id'ye bir sertifika yenileme isteğinde bulunur. İstekte aşağıdaki bileşenler bulunur:

   • Windows sertifika deposundaki CERT_SYSTEM_STORE_LOCAL_MACHINE konumundan alınan mevcut sertifika. Bu yordama genel yönetici dahil olmadığından, genel yönetici için erişim belirteci gerekmez.
   • 2. adımda oluşturulan ortak anahtar.
   • BIR CSR. Bu istek, CA olarak Microsoft Entra Id ile yeni bir dijital kimlik sertifikası için geçerlidir.

4. Microsoft Entra Id, sertifika yenileme isteğindeki mevcut sertifikayı doğrular. Ardından isteğin kiracınızda kayıtlı bir kimlik doğrulama aracısından geldiğini doğrular.

5. Mevcut sertifika hala geçerliyse, Microsoft Entra Id yeni bir dijital kimlik sertifikası imzalar ve yeni sertifikayı kimlik doğrulama aracısına geri verir.

6. Mevcut sertifikanın süresi dolduysa Microsoft Entra Id, kiracınızın kayıtlı kimlik doğrulama aracıları listesinden kimlik doğrulama aracısını siler. Ardından genel yönetici veya karma kimlik yöneticisinin yeni bir kimlik doğrulama aracısının el ile yüklenmesi ve kaydedilmesi gerekir.

   • Sertifikayı imzalamak için Microsoft Entra Id kök CA'sını kullanın.
   • Sertifikanın DN'sini, kiracınızı benzersiz olarak tanımlayan bir GUID olan kiracı kimliğiniz olarak ayarlayın. DN, sertifikanın kapsamını yalnızca kiracınızla belirler.

7. Microsoft Entra Id, kimlik doğrulama aracısının yeni ortak anahtarını yalnızca erişimi olan Azure SQL Veritabanı bir veritabanında depolar. Ayrıca, kimlik doğrulama aracısı ile ilişkili eski ortak anahtarı da geçersiz kılın.

8. Yeni sertifika (5. adımda verilen) daha sonra Windows sertifika deposundaki sunucuda (özellikle CERT_SYSTEM_STORE_CURRENT_USER konumda) depolanır.

   Güven yenileme yordamı etkileşimli olmadığından (genel yönetici veya karma kimlik yöneticisi olmadan), kimlik doğrulama aracısı artık CERT_SYSTEM_STORE_LOCAL_MACHINE konumdaki mevcut sertifikayı güncelleştirme erişimine sahip değildir.

   Dekont

   Bu yordam sertifikanın kendisini CERT_SYSTEM_STORE_LOCAL_MACHINE konumundan kaldırmaz.

9. Bu noktadan itibaren, yeni sertifika kimlik doğrulaması için kullanılır. Sertifikanın sonraki her yenilenmesi, CERT_SYSTEM_STORE_LOCAL_MACHINE konumundaki sertifikanın yerini alır.

Kimlik doğrulama aracısı otomatik güncelleştirme

Güncelleştirici uygulaması, yeni bir sürüm (hata düzeltmeleri veya performans geliştirmeleri ile) yayımlandığında kimlik doğrulama aracısını otomatik olarak güncelleştirir. Güncelleştirici uygulaması kiracınız için parola doğrulama isteklerini işlemez.

Microsoft Entra ID, yazılımın yeni sürümünü imzalı bir Windows Installer paketi (MSI) olarak barındırıyor. MSI, özet algoritması olarak SHA-256 ile Microsoft Authenticode kullanılarak imzalanır.

Kimlik doğrulama aracısını otomatik olarak güncelleştirmek için:

1. Güncelleştirici uygulaması, kimlik doğrulama aracısının yeni bir sürümünün kullanılabilir olup olmadığını denetlemek için Microsoft Entra'ya her saat ping'ler.

   Bu denetim, kayıt sırasında verilen sertifikanın aynısı kullanılarak karşılıklı olarak kimliği doğrulanmış bir HTTPS kanalı üzerinden gerçekleştirilir. Kimlik doğrulama aracısı ve Güncelleştirici sunucuda depolanan sertifikayı paylaşır.

2. Yeni bir sürüm varsa, Microsoft Entra Id imzalı MSI'yi Güncelleştirici'ye geri döndürür.

3. Güncelleştirici, MSI'nin Microsoft tarafından imzalandığını doğrular.

4. Güncelleştirici MSI'yi çalıştırır. Bu işlemde Güncelleştirici uygulaması:

   Dekont

   Güncelleştirici, Yerel Sistem ayrıcalıklarıyla çalışır.

   1. Kimlik doğrulama aracısı hizmetini durdurur.
   2. Sunucuya kimlik doğrulama aracısının yeni sürümünü yükler.
   3. Kimlik doğrulama aracısı hizmetini yeniden başlatır.

Dekont

Kiracınızda kayıtlı birden çok kimlik doğrulama aracınız varsa, Microsoft Entra Id sertifikalarını yenilemez veya aynı anda güncelleştirmez. Bunun yerine, Microsoft Entra Id, oturum açma isteklerinde yüksek kullanılabilirlik sağlamak için sertifikaları birer birer yeniler.

Sonraki adımlar

• Geçerli sınırlamalar: Hangi senaryoların desteklendiği hakkında bilgi edinin.
• Hızlı Başlangıç: Microsoft Entra doğrudan kimlik doğrulamasını ayarlama.
• AD FS'den doğrudan kimlik doğrulamasına geçiş: AD FS'den veya diğer federasyon teknolojilerinden doğrudan kimlik doğrulamasına geçmenize yardımcı olan bu ayrıntılı kılavuzu gözden geçirin.
• Akıllı Kilitleme: Kullanıcı hesaplarını korumak için kiracınızdaki Akıllı Kilitleme özelliğini yapılandırın.
• Nasıl çalışır: Microsoft Entra doğrudan kimlik doğrulamasının nasıl çalıştığına ilişkin temel bilgileri öğrenin.
• Sık sorulan sorular: Sık sorulan soruların yanıtlarını bulun.
• Sorun giderme: Doğrudan kimlik doğrulamasıyla ilgili yaygın sorunları çözmeyi öğrenin.
• Microsoft Entra sorunsuz SSO: Tamamlayıcı Microsoft Entra özelliği hakkında daha fazla bilgi edinin Sorunsuz çoklu oturum açma.