Bu makalede, şirket içi Active Directory (AD) ortamınızın bir Azure ağı ile tümleştirilmesinde kullanılabilecek seçenekler karşılaştırılmaktadır. Her seçenek için, daha ayrıntılı bir başvuru mimarisi sağlanır.
Kuruluşların birçoğu kullanıcılar, bilgisayarlar, uygulamalar veya ikincil bir sınıra dahil diğer kaynaklar ile ilişkili kimlikleri doğrulamak için Active Directory Domain Services’i (AD DS) kullanır. Dizin ve kimlik hizmetleri genellikle şirket içi ortamda barındırılır ancak uygulamanız kısmen şirket içi ortamda, kısmen de Azure’da barındırılıyorsa Azure’dan şirket içi ortama kimlik bilgisi istekleri gönderilirken gecikme yaşanabilir. Azure’da dizin ve kimlik hizmetlerinin uygulanması bu gecikmeyi azaltabilir.
Azure, Azure’da dizin ve kimlik hizmetlerinin uygulanması konusunda iki çözüm sağlar:
Bulutta bir Active Directory etki alanı oluşturmak ve bunu şirket içi Active Directory etki alanınıza bağlamak için Microsoft Entra Id kullanın. Microsoft Entra Bağlan, şirket içi dizinlerinizi Microsoft Entra Id ile tümleştirir.
Etki Alanı Denetleyicisi olarak AD DS’yi çalıştıran bir VM’yi Azure’da dağıtarak mevcut şirket içi Active Directory altyapınızı Azure’a genişletin. Bu, şirket içi ağ ve Azure sanal ağı (VNet) bir VPN ya da ExpressRoute bağlantısı yoluyla bağlı olduğunda daha sık karşılaşılan bir mimaridir. Bu mimarinin çeşitli kullanımları tercih edilebilir:
- Azure’da bir etki alanı oluşturun ve bunu şirket içi AD ormanınıza dahil edin.
- Azure’da şirket içi ormanınızdaki etki alanları tarafından güvenilen ayrı bir orman oluşturun.
- Azure’da bir Active Directory Federasyon Hizmetleri (AD FS) dağıtımını çoğaltın.
Sonraki bölümlerde bu seçeneklerden her biri daha ayrıntılı bir şekilde açıklanmaktadır.
Şirket içi etki alanlarınızı Microsoft Entra ID ile tümleştirme
Azure'da bir etki alanı oluşturmak ve bunu şirket içi AD etki alanına bağlamak için Microsoft Entra Id kullanın.
Microsoft Entra dizini, şirket içi dizinin bir uzantısı değildir. Aslında aynı nesneleri ve kimlikleri içeren bir kopyadır. Şirket içinde bu öğelerde yapılan değişiklikler Microsoft Entra Kimliği'ne kopyalanır, ancak Microsoft Entra Kimliği'nde yapılan değişiklikler şirket içi etki alanına geri çoğaltılmaz.
Microsoft Entra Id'yi şirket içi dizin kullanmadan da kullanabilirsiniz. Bu durumda Microsoft Entra Id, şirket içi dizinden çoğaltılan verileri içermek yerine tüm kimlik bilgilerinin birincil kaynağı olarak görev yapar.
Avantajlar
- Bulutta bir AD altyapısı sürdürmeniz gerekmez. Microsoft Entra Id tamamen Microsoft tarafından yönetilir ve korunur.
- Microsoft Entra Id, şirket içinde kullanılabilen kimlik bilgilerini sağlar.
- Kimlik doğrulaması Azure’da gerçekleşebilir, böylece şirket içi etki alanıyla bağlantı kurması gereken dış uygulama ve kullanıcı gereksinimi azaltılmış olur.
Zorluklar
- Microsoft Entra dizinini eşitlenmiş tutmak için şirket içi etki alanınızla bağlantıyı yapılandırmanız gerekir.
- Microsoft Entra Id aracılığıyla kimlik doğrulamasını etkinleştirmek için uygulamaların yeniden yazılması gerekebilir.
- Hizmet ve bilgisayar hesaplarının kimliğini doğrulamak istiyorsanız Microsoft Entra Domain Services'ı da dağıtmanız gerekir.
Referans mimarisi
Azure’da şirket içi bir ormana dahil edilmiş AD DS
Azure’da AD Domain Services (AD DS) sunucularını dağıtın. Azure’da bir etki alanı oluşturun ve bunu şirket içi AD ormanınıza dahil edin.
Şu anda Microsoft Entra Id tarafından uygulanmayan AD DS özelliklerini kullanmanız gerekiyorsa bu seçeneği göz önünde bulundurun.
Avantajlar
- Şirket içi ortamda kullanılabilen kimlik bilgilerine erişim sağlar.
- Şirket içi ortamda ve Azure’da kullanıcı, hizmet ve bilgisayar hesapları için kimlik doğrulaması gerçekleştirebilirsiniz.
- Ayrı bir AD ormanı yönetmenize gerek yoktur. Azure’daki etki alanı şirket içi ormana ait olabilir.
- Azure’daki etki alanında, şirket içi Grup İlkesi Nesneleri tarafından tanımlanmış grup ilkelerini uygulayabilirsiniz.
Zorluklar
- Bulutta kendi AD DS sunucularınızı ve etki alanınızı dağıtmanız ve yönetmeniz gerekir.
- Buluttaki etki alanı sunucuları ile şirket içi ortamda çalışan sunucular arasında bazı eşitleme gecikmeleri yaşanabilir.
Referans mimarisi
Azure’da ayrı bir orman ile AD DS
Azure AD Domain Services (AD DS) sunucularını Azure’a dağıtın ancak şirket içi ormandan ayrı bir Active Directory ormanı oluşturun. Bu ormana, şirket içi ormanınızdaki etki alanları tarafından güvenilir.
Bu mimari için genel kullanımlar bulutta barındırılan nesneler ve kimlikler için güvenli ayırmayı sürdürme ve ayrı etki alanlarını şirket içinden buluta taşımayı içerir.
Avantajlar
- Şirket içi kimlikleri ve ayrı olarak yalnızca Azure kimliklerini uygulayabilirsiniz.
- Şirket içi AD ormanından Azure’a çoğaltma yapmanız gerekmez.
Zorluklar
- Şirket içi kimlikler için Azure’da kimlik doğrulaması, şirket içi AD sunucularına ek ağ atlamaları gerektirir.
- Bulutta kendi AD DS sunucularınızı ve ormanınızı dağıtmanız, ormanlar arasında uygun güven ilişkisini kurmanız gerekir.
Referans mimarisi
AD FS’yi Azure’a genişletme
Azure’da çalışan bileşenler için şirket dışı kimlik doğrulaması ve yetkilendirmesi gerçekleştirmek üzere bir Active Directory Federasyon Hizmetleri (AD FS) dağıtımını Azure’da çoğaltın.
Bu mimarinin tipik kullanımları şunlardır:
- İş ortağı kuruluşlarından kullanıcıların kimliklerini doğrulama ve kullanıcıları yetkilendirme.
- Kullanıcıların, kurumsal güvenlik duvarının dışında çalışan web tarayıcılarından kimlik doğrulaması yapmasına izin verme.
- Kullanıcıların, mobil cihazlar gibi yetkili dış cihazlardan bağlantı kurmasına izin verme.
Avantajlar
- Talep kullanan uygulamalardan yararlanabilirsiniz.
- Kimlik doğrulaması için dış iş ortaklarına güvenme olanağı sağlar.
- Büyük kimlik doğrulaması protokol kümesi ile uyumluluk.
Zorluklar
- Azure’da kendi AD DS, AD FS ve AD FS Web Uygulaması Ara Sunucularınızı dağıtmanız gerekir.
- Bu mimarinin yapılandırılması karmaşık bir işlem olabilir.
Referans mimarisi