Aracılığıyla paylaş

Uygulama proxy ile uygulamalarınızda tek oturum açma (SSO) için Kerberos Kısıtlanmış Temsil Yetkilendirmesi

Genel bakış

Tümleşik Windows kimlik doğrulaması ile güvenliği sağlanan uygulama ara sunucusu aracılığıyla yayımlanan şirket içi uygulamalar için çoklu oturum açma sağlayabilirsiniz. Bu uygulamalar erişim için bir Kerberos anahtarı gerektirir. Uygulama proxy'si, bu uygulamaları desteklemek için Kerberos Kısıtlanmış Temsili (KCD) kullanır.

Çoklu oturum açma (SSO) hakkında daha fazla bilgi edinmek için bkz . Çoklu oturum açma nedir?.

Active Directory'de kullanıcıların kimliğine bürünmek için özel ağ bağlayıcılarına izin vererek tümleşik Windows kimlik doğrulamasını (IWA) kullanarak uygulamalarınızda çoklu oturum açmayı etkinleştirebilirsiniz. Bağlayıcılar, belirteçleri kendi adlarına göndermek ve almak için bu izni kullanır.

KCD ile çoklu oturum açma nasıl çalışır?

Diyagramda, kullanıcı IWA kullanan bir şirket içi uygulamaya erişmeye çalıştığında akış açıklanır.

Microsoft Entra kimlik doğrulama akışı diyagramı.

  1. Kullanıcı, uygulama ara sunucusu aracılığıyla şirket içi uygulamaya erişmek için URL'yi girer.
  2. Uygulama ara sunucusu, ön kimlik doğrulaması yapmak için isteği Microsoft Entra kimlik doğrulama hizmetlerine yönlendirir. Bu noktada Microsoft Entra Id, çok faktörlü kimlik doğrulaması gibi geçerli kimlik doğrulama ve yetkilendirme ilkelerini uygular. Kullanıcı doğrulanırsa, Microsoft Entra Id bir belirteç oluşturur ve kullanıcıya gönderir.
  3. Kullanıcı belirteci uygulama ara sunucusuna aktarır.
  4. Uygulama proxy'si belirteci doğrular ve bu belirteçten Kullanıcı Asıl Adı'nı (UPN) alır ve ardından bağlayıcı, çift kimliği doğrulanmış güvenli bir kanal aracılığıyla UPN ve Hizmet Asıl Adı'nı (SPN) çeker.
  5. Bağlayıcı, şirket içi AD ile Kerberos Kısıtlanmış Temsil (KCD) anlaşması gerçekleştirir ve uygulamaya Kerberos belirteci almak için kullanıcının kimliğine bürünür.
  6. Active Directory, uygulama için Kerberos belirtecini bağlayıcıya gönderir.
  7. Bağlayıcı, AD'den aldığı Kerberos belirtecini kullanarak özgün isteği uygulama sunucusuna gönderir.
  8. Uygulama, yanıtı bağlayıcıya gönderir. Bu, daha sonra uygulama ara sunucusu hizmetine ve son olarak kullanıcıya döndürülür.

Önkoşullar

IWA uygulamaları için çoklu oturum açmaya başlamadan önce ortamınızın aşağıdaki ayarlar ve yapılandırmalarla hazır olduğundan emin olun:

  • SharePoint Web uygulamaları gibi uygulamalarınız tümleşik Windows kimlik doğrulaması kullanacak şekilde ayarlanmıştır. Daha fazla bilgi için bkz . Kerberos Kimlik Doğrulaması desteğini etkinleştirme veya SharePoint için bkz . SharePoint 2013'te Kerberos kimlik doğrulaması planlama.
  • Tüm uygulamalarınızın Hizmet Asıl Adları vardır.
  • Bağlayıcıyı çalıştıran sunucu ve uygulamayı çalıştıran sunucu, aynı etki alanına katılmış veya güvenilen etki alanlarının bir parçasıdır. Etki alanına katılma hakkında daha fazla bilgi için bkz Bir Bilgisayarı Etki Alanına Kat.
  • Bağlayıcı sunucunun, kullanıcılar için TokenGroupsGlobalAndUniversal özniteliğini okuyabildiğinden emin olun. Güvenlik sağlamlaştırma bu erişimi kısıtlayabilir. Bağlayıcı sunucularını Windows Yetkilendirme Erişimi grubuna ekleyerek etkinleştirin.

Active Directory'yi yapılandırma

Active Directory yapılandırması, özel ağ bağlayıcınızın ve uygulama sunucusunun aynı etki alanında olup olmadığına bağlı olarak değişir.

Bağlayıcı ve uygulama sunucusu aynı etki alanında

  1. Active Directory'de Araçlar gidin.

  2. Bağlayıcıyı çalıştıran sunucuyu seçin.

  3. Sağ tıklayın ve Özellikler >Yetki Devri öğesini seçin.

  4. Sadece belirtilen hizmetlere yetkilendirme için bu bilgisayara güven seçeneğini seçin.

  5. Herhangi bir kimlik doğrulama protokolü kullan'ı seçin.

  6. Bu hesabın temsilci kimlik bilgilerini sunabileceği hizmetler'in altında, uygulama sunucusunun SPN kimliği değerini ekleyin. Bu ayar, özel ağ bağlayıcısının AD'deki kullanıcıların kimliğine bürünerek listede tanımlanan uygulamalarla etkileşime girmesini sağlar.

    Temsilci sekmesine sahip Connector-SVR Özellikler penceresini gösteren ekran görüntüsü.

Farklı etki alanlarında bağlayıcı ve uygulama sunucusu

  1. Etki alanları arasında KCD kullanımı için gerekli önkoşulların listesi için bkz. Etki alanları arasında Kerberos Kısıtlanmış Delegasyon.

  2. Uygulama proxy'sinden (bağlayıcı) Kerberos kimlik doğrulaması temsilini etkinleştirmek için web uygulamasının hizmet hesabının (PrincipalsAllowedToDelegateTo) özelliğini kullanınwebserviceaccount. Uygulama sunucusu webserviceaccount altında çalışır ve yetki veren sunucu connectorcomputeraccount. ile aynı etki alanındaki webserviceaccountbir Etki Alanı Denetleyicisinde (Windows Server 2012 R2 veya üzeri) aşağıdaki komutları çalıştırın. Her iki hesap için de düz adlar (UPN olmayan) kullanın.

    webserviceaccount bir bilgisayar hesabıysa şu komutları kullanın:

    $connector= Get-ADComputer -Identity connectorcomputeraccount -server dc.connectordomain.com

Set-ADComputer -Identity webserviceaccount -PrincipalsAllowedToDelegateToAccount $connector

Get-ADComputer webserviceaccount -Properties PrincipalsAllowedToDelegateToAccount

    webserviceaccount bir kullanıcı hesabıysa şu komutları kullanın:

    $connector= Get-ADComputer -Identity connectorcomputeraccount -server dc.connectordomain.com

Set-ADUser -Identity webserviceaccount -PrincipalsAllowedToDelegateToAccount $connector

Get-ADUser webserviceaccount -Properties PrincipalsAllowedToDelegateToAccount

Çoklu oturum açmayı yapılandırma

  1. Uygulamanızı Uygulama ara sunucusuyla uygulama yayımlama başlığındaki yönergelere göre yayımlayın. Ön Kimlik Doğrulama Yöntemi olarak Microsoft Entra Id'yi seçtiğinizden emin olun.

  2. Uygulamanız kurumsal uygulamalar listesinde göründükten sonra uygulamayı seçin ve Çoklu oturum açma'yı seçin.

  3. Çoklu oturum açma modunu Tümleşik Windows kimlik doğrulaması olarak ayarlayın.

  4. Uygulama sunucusunun İç Uygulama SPN'sini girin. Bu örnekte, yayımlanan uygulamamızın SPN'si şeklindedir http/www.contoso.com. SPN'nin bağlayıcının temsilci kimlik bilgilerini sunabileceği hizmetler listesinde olması gerekir.

  5. Bağlayıcının kullanıcılarınız adına kullanması için Temsilcili Oturum Açma Kimliği'ni seçin. Daha fazla bilgi için bkz . Farklı şirket içi ve bulut kimlikleriyle çalışma.

    Tümleşik Windows Kimlik Doğrulaması yapılandırma ayarlarını gösteren ekran görüntüsü.

Windows dışı uygulamalar için SSO

Microsoft Entra uygulama proxy'sindeki Kerberos temsilci akışı, Microsoft Entra Kimliği bulutta kullanıcının kimliğini doğruladığında başlar. İstek yerinde geldikten sonra, Microsoft Entra özel ağ bağlayıcısı yerel Active Directory ile etkileşim kurarak kullanıcı adına bir Kerberos bileti düzenler. Bu işlem Kerberos Kısıtlanmış Yetkilendirme (KCD) olarak adlandırılır.

Sonraki aşamada, bu Kerberos anahtarıyla arka uç uygulamasına bir istek gönderilir.

Bu tür isteklerde Kerberos anahtarının nasıl gönderildiğini tanımlayan çeşitli mekanizmalar vardır. Windows olmayan sunucuların çoğu SPNEGO belirteci şeklinde almayı bekler. Bu mekanizma Microsoft Entra uygulama proxy'sinde desteklenir, ancak varsayılan olarak devre dışıdır. Bağlayıcı, SPNEGO veya standart Kerberos token için yapılandırılabilir, ancak her ikisi birden yapılandırılamaz.

SPNEGO için bir bağlayıcı makinesi yapılandırıyorsanız, bu bağlayıcı grubundaki diğer tüm bağlayıcıların da SPNEGO ile yapılandırıldığından emin olun. Standart Kerberos belirteci bekleyen uygulamalar SPNEGO için yapılandırılmamış diğer bağlayıcılar aracılığıyla yönlendirilmelidir. Bazı web uygulamaları, yapılandırmada herhangi bir değişiklik gerektirmeden her iki biçimi de kabul eder.

SPNEGO'yu etkinleştirmek için:

  1. Yönetici olarak çalışan bir komut istemi açın.

  2. SPNEGO gerektiren bağlayıcı sunucularında aşağıdaki komutları çalıştırın.

    REG ADD "HKLM\SOFTWARE\Microsoft\Microsoft Entra private network connector" /v UseSpnegoAuthentication /t REG_DWORD /d 1
net stop WAPCSvc & net start WAPCSvc

Windows dışı uygulamalar genellikle etki alanı e-posta adresleri yerine kullanıcı adlarını veya SAM hesabı adlarını kullanır. Bu durum uygulamalarınız için geçerliyse, bulut kimliklerinizi uygulama kimliklerinize bağlamak için temsilcili oturum açma kimliği alanını yapılandırmanız gerekir.

Farklı şirket içi ve bulut kimlikleriyle çalışma

Uygulama ara sunucusu, kullanıcıların bulutta ve şirket içinde aynı kimliğe sahip olduğunu varsayar. Ancak, şirket ilkeleri veya uygulama gereksinimleri nedeniyle bazı kuruluşların oturum açma için alternatif kimlikler kullanması gerekir. Her uygulama için bir Temsilcili oturum açma kimliği yapılandırarak KCD'yi çoklu oturum açma için etkinleştirmeye devam edebilirsiniz. Bu ayar, çoklu oturum açma için hangi kimliğin kullanılacağını belirtir.

Bu özellik, kuruluşların kullanıcıların farklı kullanıcı adlarını ve parolaları yönetmesine gerek kalmadan SSO'nun buluttan şirket içi uygulamalara etkinleştirilmesini sağlar. Yaygın senaryolar şunlardır:

  • Birden çok iç etki alanını (örneğin, joe@us.contoso.com, joe@eu.contoso.com) tek bir bulut etki alanıyla (örneğin, joe@contoso.com) kullanma.
  • Geçerli etki alanı adlarının bulutta kullanılması sırasında, yönlendirilemeyen iç etki alanı adlarına (örneğin, joe@contoso.usa) sahip olmak.
  • İç etki alanı adları kullanmadan çalıştırma (örneğin, joe).
  • Şirket içi ve buluttaki kullanıcılar için farklı diğer adlar atama (örneğin, joe-johns@contoso.com vs. joej@contoso.com).

Uygulama ara sunucusu ile Kerberos anahtarını almak için kullanılan kimliği seçebilirsiniz. Bu ayar, uygulama bazında yapılandırılır ve e-posta dışı biçimler veya alternatif oturum açma yöntemleri gerektiren sistemleri destekler.

Yetkilendirilmiş Oturum Açma Kimliği açılır menü seçeneklerini gösteren ekran görüntüsü.

Yetkilendirilmiş oturum açma kimliği kullanılırsa, değer kuruluşunuzdaki tüm etki alanları veya ormanlar arasında benzersiz olmayabilir. Bu uygulamaları iki farklı Bağlayıcı grubu kullanarak iki kez yayımlayarak bu sorundan kaçınabilirsiniz. Her uygulamanın farklı bir kullanıcı kitlesi olduğundan, bağlayıcılarını farklı bir etki alanına ekleyebilirsiniz.

Oturum açma kimliği için Şirket içi SAM hesabı adı kullanılıyorsa, bağlayıcıyı barındıran bilgisayar, kullanıcı hesabının bulunduğu etki alanına eklenmelidir.

Farklı kimlikler için SSO yapılandırma

  1. Microsoft Entra Connect ayarlarını ana kimlik e-posta adresi (posta) olacak şekilde yapılandırın. Yapılandırma, eşitleme ayarlarında Kullanıcı Asıl Adı alanı değiştirilerek özelleştirme işleminin bir parçası olarak gerçekleştirilir. Bu ayarlar ayrıca kullanıcıların Microsoft 365' te, Windows bilgisayarlarında ve kimlik depoları olarak Microsoft Entra Id kullanan diğer uygulamalarda nasıl oturum açabileceklerini de belirler.
    Kullanıcıları tanımlamak için Kullanıcı Asıl Adı (User Principal Name) açılır menüsü.

  2. Değiştirmek istediğiniz uygulamanın Uygulama Yapılandırması ayarlarında, kullanılacak TemsilciLi Oturum Açma Kimliği'ni seçin:

    • Kullanıcı Asıl Adı (örneğin, joe@contoso.com)
    • Alternatif Kullanıcı Asıl Adı (örneğin, joed@contoso.local)
    • Kullanıcı Asıl Adı'nın kullanıcı adı bölümü (örneğin, joe)
    • Alternatif Kullanıcı Asıl Adı'nın kullanıcı adı bölümü (örneğin, joed)
    • Şirket içi SAM hesabı adı (etki alanı denetleyicisi yapılandırmasına bağlıdır)

Farklı kimlikler için Tek Oturum Açma (SSO) sorunlarını giderme

Arka uç uygulaması beklenmeyen HTTP yanıtlarıyla yanıt verirse, bağlayıcı makinesindeki uygulama ara sunucusu oturumu olay günlüğünde 24029 olayını denetleyerek sorun gidermeye başlayın. Olay ayrıntılarındaki user alanı, delegasyon için kullanılan kimliği gösterir. Oturum günlüklerini etkinleştirmek için Olay Görüntüleyicisi'ne gidin, Görünüm menüsünü açın ve Analiz ve hata ayıklama günlüklerini göster'i seçin.

Sonraki adımlar

  • Last updated on