Kimlik kararı kılavuzu
Şirket içi, karma veya yalnızca bulut fark etmeksizin tüm ortamlarda BT ekibinin kaynaklara erişebilecek yöneticileri, kullanıcıları ve grupları denetleyebilmesi gerekir. Kimlik ve erişim yönetimi (IAM) hizmetleri, bulutta erişim denetimini etkinleştirmenizi sağlar.
Şuraya atla: Kimlik tümleştirme gereksinimlerini | belirleme Bulut temeli | Dizin eşitleme | Bulutta barındırılan etki alanı hizmetleri | Active Directory Federasyon Hizmetleri (AD FS) | Daha fazla bilgi edinin
Bir bulut ortamında kimlik yönetmeye yönelik birden çok seçenek vardır. Bu seçenekler, maliyet ve karmaşıklığa göre farklılık gösterir. Bulut tabanlı kimlik hizmetlerinizi tasarlama aşamasındaki önemli etmenlerden biri, mevcut şirket içi kimlik altyapınızla sağlanması gereken tümleştirmenin düzeyidir.
Microsoft Entra ID, Azure kaynakları için temel düzeyde erişim denetimi ve kimlik yönetimi sağlar. Kuruluşunuzun şirket içi Active Directory altyapısı karmaşık bir orman yapısına veya özelleştirilmiş kuruluş birimlerine (OU) sahipse, bulut tabanlı iş yükleriniz şirket içi ve bulut ortamlarınız arasında tutarlı bir kimlik, grup ve rol kümesi için Microsoft Entra Id ile dizin eşitlemesi gerektirebilir. Ayrıca eski kimlik doğrulaması mekanizmalarını kullanan uygulamaların desteklenmesi için bulutta Active Directory Domain Services (AD DS) hizmetinin dağıtılması gerekebilir.
Bulut tabanlı kimlik yönetimi, yinelemeli bir süreçtir. İlk dağıtım aşamasında sınırlı sayıda kullanıcıdan ve ilgili görevlerden oluşan küçük bir kümeye sahip bulutta yerel bir çözümle başlayabilirsiniz. Geçiş süreciniz ilerledikçe dizin eşitlemesi kullanarak kimlik çözümünüzü tümleştirebilir veya bulut dağıtımlarınızın kapsamında etki alanı hizmetleri ekleyebilirsiniz. Geçiş sürecinin her aşamasında kimlik stratejinizi yeniden değerlendirin.
Kimlik tümleştirme gereksinimlerini belirleme
| Soru | Bulut temeli | Dizin eşitleme | Bulutta barındırılan etki alanı hizmetleri | Active Directory Federasyon Hizmetleri |
|---|---|---|---|---|
| Şu anda şirket içi dizin hizmeti eksikliği yaşıyor musunuz? | Evet | Hayı | Hayı | Hayır |
| İş yüklerinizin bulut ve şirket içi ortamlar arasında ortak bir kullanıcı ve grup kümesini kullanması gerekiyor mu? | No. | Evet | Hayı | Hayır |
| İş yükleriniz Kerberos veya NTLM gibi eski kimlik doğrulaması mekanizmalarını kullanıyor mu? | Hayır | Hayı | Evet | Evet |
| Birden çok kimlik sağlayıcısında çoklu oturum açma uygulamanız gerekiyor mu? | Hayır | Hayı | Hayı | Evet |
Azure geçişi planlamanızın bir parçası olarak mevcut kimlik yönetimi ve bulut kimlik hizmetlerinizi en iyi şekilde nasıl tümleştirebileceğinizi belirlemeniz gerekir. Aşağıda yaygın tümleştirme senaryoları verilmiştir.
Bulut temeli
Microsoft Entra Id, kullanıcılara ve gruplara Azure platformundaki yönetim özelliklerine erişim vermek için yerel kimlik ve erişim yönetimi (IAM) sistemidir. Kuruluşunuzda önemli bir şirket içi kimlik çözümü yoksa ve iş yüklerini bulut tabanlı kimlik doğrulama mekanizmalarıyla uyumlu olacak şekilde geçirmeyi planlıyorsanız, temel olarak Microsoft Entra ID kullanarak kimlik altyapınızı geliştirmeye başlamanız gerekir.
Bulut temeli varsayımları: Tamamen bulutta yerel kimlik altyapısının kullanılması aşağıdaki varsayımları kapsar:
- Bulut tabanlı kaynaklarınız, şirket içi dizin hizmetlerine veya Active Directory sunucularına bağımlı değil veya iş yükleri bu bağımlılıkları kaldıracak şekilde değiştirilebilir.
- Geçirilen uygulama veya hizmet iş yükleri, Microsoft Entra ID ile uyumlu kimlik doğrulama mekanizmalarını destekler veya bunları desteklemek için kolayca değiştirilebilir. Microsoft Entra Id, SAML, OAuth ve OpenID Bağlan gibi internete hazır kimlik doğrulama mekanizmalarını kullanır. Kerberos veya NTLM gibi protokolleri kullanan eski kimlik doğrulama yöntemlerine bağımlı olan mevcut iş yüklerinin bulut temeli düzeni kullanılarak buluta geçirilmeden önce yeniden düzenlenmesi gerekebilir.
Bahşiş
Kimlik hizmetlerinizi Microsoft Entra ID'ye tamamen geçirmek, kendi kimlik altyapınızı koruma gereksinimini ortadan kaldırarak BT yönetiminizi önemli ölçüde basitleştirir.
Ancak Microsoft Entra Id, geleneksel bir şirket içi Active Directory altyapısının tam yerini almayabilir. Eski kimlik doğrulama yöntemleri, bilgisayar yönetimi veya grup ilkesi gibi dizin özelliklerini kullanabilmek için bulutta ek araçlar veya hizmetler dağıtmanız gerekebilir.
Şirket içi kimliklerinizi veya etki alanı hizmetlerinizi bulut dağıtımlarınızla tümleştirmeye ihtiyaç duyduğunuz senaryolar için aşağıda anlatılan dizin eşitlemesi ve bulutta barındırılan etki alanı hizmetleri düzenlerini inceleyin.
Dizin eşitleme
Dizin eşitleme, halihazırda bir şirket içi Active Directory altyapısına sahip olan kuruluşlar için mevcut kullanıcı ve erişim yönetimini korurken bulut kaynaklarını yönetmek için gerekli IAM özelliklerini sunmayı sağlayan en iyi çözümdür. Bu işlem, microsoft Entra ID ve şirket içi dizin hizmetleri arasında dizin bilgilerini sürekli olarak çoğaltır ve kullanıcılar için ortak kimlik bilgilerine ve kuruluşunuzun tamamında tutarlı bir kimlik, rol ve izin sistemine izin verir.
Dekont
Microsoft 365'i benimseyen kuruluşlar, şirket içi Active Directory altyapıları ile Microsoft Entra Kimliği arasında dizin eşitlemesini zaten uygulamış olabilir.
Dizin eşitleme varsayımları: Eşitlenmiş kimlik çözümü kullanıldığında aşağıdakiler varsayılır:
- Bulut ve şirket içi BT altyapınızda ortak bir kullanıcı hesabı ve grup kümesi kullanmanız gerekiyor.
- Şirket içi kimlik hizmetleriniz Microsoft Entra Id ile çoğaltmayı destekler.
Bahşiş
şirket içi Active Directory sunucuları tarafından sağlanan ve Microsoft Entra Id tarafından desteklenmeyen eski kimlik doğrulama mekanizmalarına bağımlı olan bulut tabanlı iş yükleri, yine de bu hizmetleri sağlayan şirket içi etki alanı hizmetlerine veya bulut ortamındaki sanal sunuculara bağlanmayı gerektirir. Şirket içi kimlik hizmetlerini kullanmak, bulut ile şirket içi ağlar arasında bağlantı bağımlılıklarını da beraberinde getirir.
Bulutta barındırılan etki alanı hizmetleri
Kerberos veya NTLM gibi eski protokolleri kullanan talep tabanlı kimlik doğrulaması gerektiren iş yükleriniz varsa ve bu iş yüklerinizi SAML veya OAuth ve OpenID Connect gibi modern kimlik doğrulaması protokollerini kabul edecek şekilde yeniden düzenlemek mümkün değilse etki alanı hizmetlerinizin bazılarını bulut dağıtımınızın bir parçası olarak buluta geçirmeniz gerekebilir.
Bu senaryo, buluttaki kaynaklar için Active Directory Domain Services (AD DS) desteği sunma amacıyla bulut tabanlı sanal ağlarınıza Active Directory hizmetini çalıştıran sanal makinelerin dağıtılmasını gerektirir. Bulut ağınıza geçirilen uygulamaların ve hizmetlerin küçük değişikliklerle bu bulutta barındırılan dizin sunucularını kullanabilmesi gerekir.
Şirket içi ortamınızdaki dizinleriniz ve etki alanı hizmetleriniz muhtemelen kullanılmaya devam edecektir. Bu senaryoda hem bulut ortamında hem de şirket içi ortamda ortak bir kullanıcı ve rol kümesi sağlamak için dizin eşitlemesini de kullanmalısınız.
Bulutta barındırılan etki alanı hizmetleri varsayımları: Dizin geçişi gerçekleştirmek için aşağıdakiler varsayılır:
- İş yükleriniz, Kerberos veya NTLM gibi protokolleri kullanan talep tabanlı kimlik doğrulamasından faydalanıyor.
- Active Directory grup ilkelerinin yönetilmesi veya uygulanması için iş yükü sanal makinelerinin etki alanına katılması gerekiyor.
Bahşiş
Dizin geçişi, bulut tabanlı etki alanı hizmetleriyle birlikte kullanıldığında mevcut iş yüklerini geçirmek için yüksek esneklik sunuyor olsa da bu hizmetleri sunmak için gerekli sanal makineleri buluttaki sanal ağınızda barındırmak, BT yönetim görevlerinizin karmaşıklık düzeyini artıracaktır. Bulut geçişi deneyiminiz ilerledikçe bu sunucuları barındırmayla ilgili uzun vadeli bakım gereksinimlerini ayrıca değerlendirin. Microsoft Entra ID gibi bulut kimlik sağlayıcılarıyla uyumluluk için mevcut iş yüklerini yeniden düzenlemenin bu bulutta barındırılan sunuculara olan ihtiyacı azaltıp azaltamayacağını düşünün.
Active Directory Federasyon Hizmetleri
Kimlik federasyonu, birden fazla kimlik yönetim sistemi arasında güven ilişkisi kurarak ortak kimlik doğrulaması ve yetkilendirme işlemlerinin gerçekleştirilmesini sağlar. Bunu yaptıktan sonra kuruluşunuzdaki birden çok etki alanı veya müşterileriniz ya da iş ortaklarınız tarafından yönetilen kimlik sistemleri üzerinde çoklu oturum açma desteği sunabilirsiniz.
Microsoft Entra ID, Active Directory Federasyon Hizmetleri (AD FS) (AD FS) kullanan şirket içi Active Directory etki alanlarının federasyonlarını destekler. Bunu Azure’da uygulama hakkında daha fazla bilgi için bkz. AD FS’yi Azure’a genişletme.
Daha fazla bilgi edinin
Azure'daki kimlik hizmetleri hakkında daha fazla bilgi için bkz.
- Microsoft Entra Id. Microsoft Entra ID, bulut tabanlı kimlik hizmetleri sağlar. Azure kaynaklarınız için erişim yönetiminin yanı sıra kimlik yönetimi, cihaz kaydı, kullanıcı sağlama, uygulama erişim denetimi ve veri koruma konularında da denetim sağlar.
- Microsoft Entra Bağlan. Microsoft Entra Bağlan aracı, Microsoft Entra örneklerini mevcut kimlik yönetimi çözümlerinize bağlayarak buluttaki mevcut dizininizin eşitlenmesine olanak tanır.
- Azure rol tabanlı erişim denetimi (Azure RBAC). Azure RBAC, kaynak erişimini yönetim düzleminde verimli ve güvenli bir şekilde yönetir. İşler ve sorumluluklar roller halinde düzenlenir ve kullanıcılar bu rollere atanır. Azure RBAC, bir kaynağa erişim sağlayabilecek kullanıcıların yanı sıra bu kullanıcıların kaynakta gerçekleştirebileceği eylemleri denetlemenizi sağlar.
- Microsoft Entra Privileged Identity Management (PIM). PIM, kaynak erişim ayrıcalıklarının kullanıma sunulduğu süreyi azaltmanın yanı sıra raporlar ve uyarılarla bu konuda görünürlük sağlar. Kullanıcıları tam zamanında ayrıcalıklarla sınırlar, sınırlı bir süre için ayrıcalıklarını atar ve ardından bu ayrıcalıkları otomatik olarak iptal eder.
- şirket içi Active Directory etki alanlarını Microsoft Entra Id ile tümleştirin. Bu başvuru mimarisi, şirket içi Active Directory etki alanları ile Microsoft Entra Id arasında dizin eşitleme örneği sağlar.
- Active Directory Domain Services’i (AD DS) Azure’a genişletme. Bu başvuru mimarisi, etki alanı hizmetlerini bulut tabanlı kaynaklara genişletme amacıyla AD DS sunucusu dağıtma örneği sunar.
- Active Directory Federasyon Hizmetleri’ni (AD FS) Azure’a genişletme. Bu başvuru mimarisi, microsoft Entra dizininizle federasyon kimlik doğrulaması ve yetkilendirme gerçekleştirmek için Active Directory Federasyon Hizmetleri (AD FS) (AD FS) yapılandırıyor.
Sonraki adımlar
Kimlik, bulut benimseme sürecinde mimari karar almayı gerektiren temel altyapı bileşenlerinden yalnızca bir tanesidir. Diğer altyapı türlerine yönelik tasarım kararları alma aşamasında kullanılan alternatif düzenler veya modeller hakkında daha fazla bilgi edinmek için mimari karar kılavuzlarına genel bakış sayfasını ziyaret edin.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin