Aracılığıyla paylaş

Tek ormanlı karma ortamlarda bulut kimlik doğrulamasıyla kimlik yönetimi

  • Makale

 

Bu kılavuz size nasıl yardımcı olabilir?

Şirket kullanıcıları buluttaki uygulamaları diledikleri yerden ve herhangi bir aygıttan kullanabilmek ister, ancak bir kimlik doğrulama yöntemleri olmadığı için bunu yapamazlar.

Bu kılavuzda, kullanıcıların buluttaki uygulamalara diledikleri yerden ve herhangi bir aygıttan kolayca erişebilmesi için şirket içi bir dizinin bulut diziniyle nasıl tümleştirileceğine ilişkin kural niteliğinde, test edilmiş bir tasarım verilmektedir. Bu erişim, bulut kimlik doğrulaması kullanılarak elde edilir. Şirket içi kimlik doğrulamanın kullanımına ilişkin bir örnek için Şirket içi kimlik doğrulamayı kullanarak tek ormanlı karma ortamlar için kimlikleri yönetme makalesine bakın.

Bulut Kimlik Doğrulama Sorunu

Bu çözüm kılavuzunda:

  • Senaryo, sorun bildirimi ve amaçlar

  • Bu çözüm için önerilen planlama ve tasarım yaklaşımı nedir?

  • Neden bu tasarımı öneriyoruz?

  • Bu çözümü uygulamak için gereken yüksek düzeyli adımlar nelerdir?

Senaryo, sorun bildirimi ve amaçlar

Bu bölümde senaryo, sorun ifadesi ve bu kılavuz için yararlı örnekler oluşturan kurumsal hedefler açıklanmaktadır.

Senaryo

Kuruluşunuz orta ölçekli bir şirkettir. Kuruluşunuzun satış personeli baştan sona çalışmaktadır. Bir satış yaptıklarında, gerek bir hub konumundan gerekse VPN aracılığıyla kurumsal ağa katılan bir bilgisayara erişim sağlamaları ve bu satışı kurumsal ağda çalışan özel bir uygulamaya girmeleri gerekmektedir.

Bu satışlar her zaman gerçek zamanlı olarak kaydedilmediğinden envanter yönetimini zorlaştırmıştır. Bu da sipariş bakiyelerine ve gecikmelere yol açmıştır. Ayrıca satış personeli, müşterinin iş yerindeyken çoğu zaman kurumsal ağa erişim kabiliyetlerinin olmayışından yakınmakta ve tabletleri veya akıllı telefonları aracılığıyla bilgileri girebilmeyi istemektedir.

Kuruluşunuzdaki geliştiriciler yakın bir zamanda, saha satış aracılarının Internet erişimi bulunan her cihazdan siparişleri göndermelerini kolaylaştıracak yeni bir müşteri ilişkileri yönetim uygulaması geliştirmiştir.

Kuruluşunuz bu uygulamayı bulutta barındırmaya karar vermiştir. Bu çözüm, satış yapıldığı anda satış gücünün, öncesinde kurumsal ağa bağlanmaya gerek olmadan bu satışı tabletlerinden veya akıllı telefonlarından hızlı bir şekilde girmelerine olanak sağlayacaktır. Kuruluşunuz bu çözümün envanter yönetimini büyük ölçüde iyileştireceğini düşünmektedir.

Sorun ifadesi

Kuruluşunuz yeni uygulamanın Microsoft Azure'da barındırılmasına karar vermiştir. Ancak, kuruluşunuz şu anda Azure'da barındırılacak yeni uygulamada satış personelinin kimliğini doğrulayabilecek bir kimlik doğrulama sağlayıcısına sahip değildir.

Çözmek istediğiniz sorun genel hatlarıyla şöyledir:

Sistem mimarı veya BT yöneticisi olarak kullanıcılara şirket içi ve bulut tabanlı kaynaklara erişirken ortak bir kimliği nasıl sağlayabilirsiniz? BT kaynaklarını aşırı kullanmadan, çeşitli ortamlar genelinde bu kimlikleri nasıl yönetebilir ve bilgilerin eşitlenmiş olarak tutulmasını nasıl sağlayabilirsiniz?

Bu uygulamaya erişim sağlanması için, bir kimlik doğrulama sağlayıcısı ile satış personelinin kimliğini doğrulama kabiliyetine gerek duyulacaktır. Şu an için uygulamaya erişim sağlaması gereken çalışanlar yalnızca satış personeli olduğundan, kuruluşunuz CRM uygulamasına erişimi satış personeli ile kısıtlamak istemektedir.

Kuruluşunuz seçenekleri incelemiştir ve Azure AD'nin bir örneğine karşı bulut kimlik doğrulamasına izin vermek kararındadır. Şu anda şirket içinde hiçbir Active Directory Federasyon Hizmetleri (AD FS) örneği bulunmaması nedeniyle, kuruluşunuz bunun daha düşük maliyetli ve kurulumunun daha kolay olacağına karar vermiştir. Ayrıca, tüm dünya çapında satış personeli bulunduğundan, bulut kimlik doğrulaması, özellikle de bant genişliğinin düşük olduğu yerlerde daha iyi bir deneyim sağlayacaktır. Kuruluşunuz bu kimlikleri yönetmek için gerekli kaynaklarla ilgilenmektedir; tek bir Active Directory yöneticisi vardır ve yöneticinin bu çözümü hızlı bir şekilde hazır ve çalışır duruma getirebilmesi gerekmektedir.

Kuruluşunuzun geliştiricileri bunu gerçekleştirmek için gereken kodu eklemiştir. Bu durumda kendi Azure AD kurulumu örneğini almak Active Directory yöneticisine bağlıdır. Active Directory yöneticisinin, Azure AD örneğini doldurmak için şirket içi Active Directory'den yararlanabilmesi gerekir. Active Directory yöneticisi bunu hızlı bir şekilde yapabilmelidir. Geçerli Active Directory ortamını temizleyecek veya her bir kullanıcı hesabını Azure'da yeniden oluşturacak zamanı yoktur. Kuruluşunuzda ayrıca satış personelinin kurumsal ağda oturum açarken kullandığıyla aynı parolayı kullanabilmesi istenmektedir. Kuruluşunuz, satış personelinin birden fazla parolayı hatırlamak zorunda kalmasını istemiyor.

Kuruluş hedefleri

Kuruluşunuzun karma kimlik çözümüne yönelik hedefleri şunlardır:

  • Şirket içi dizinde ve bulutta kimlikleri yönetebilme.

  • Şirket içi tek orman diziniyle eşitlemeyi hızlıca ayarlayabilme.

  • Bulut kimlik doğrulama sağlayıcısı sağlayabilme.

  • Şirket içi diziniyle eşitlemeyi hızlıca ayarlayabilme.

  • Buluta kimin ve neyin eşitlendiğini denetleyebilme.

  • Bugünkünden hiç farklı olmayan güvenli bir oturum açma deneyimi sağlayabilme kabiliyeti.

  • Şirket içi kimlik sistemlerinin bulut kaynağı olabilmesi için hızlıca temizlenmesini ve iyi yönetilmesini sağlayabilme.

Bu çözüm için önerilen planlama ve tasarım yaklaşımı nedir?

Bu bölümde önceki bölümde açıklanan soruna yönelik çözüm tasarımı açıklanmakta ve bu tasarım için yüksek düzeyli planlama konuları verilmektedir.

Kuruluşunuz Azure AD kullanarak şirket içi Active Directory örneğini Azure AD örneğiyle tümleştirebilir. Bu örnek daha sonra aşağıdaki diyagramda gösterildiği gibi bulut kimlik doğrulamasını sağlamak için kullanılacaktır.

Bulut Kimlik Doğrulama Çözümü

Aşağıdaki tabloda bu çözüm tasarımının parçası olan öğeler listelenmekte ve her bir tasarım seçiminin nedenleri açıklanmaktadır.

Çözüm tasarım öğesi

Neden bu çözüme dahil edildi?

Azure Active Directory Eşitleme aracı

Şirket içi dizin nesnelerini Azure AD ile eşitlemek için kullanılır. Bu teknolojiye genel bakış için bkz. Dizin eşitleme yol haritası.

Parola Eşitleme

Şirket içi Active Directory'deki kullanıcı parolalarınızı Azure AD ile eşitleyen Azure Active Directory Eşitleme aracı özelliği. Bu teknolojiye genel bir bakış için Parola Eşitlemeyi Uygulama makalesine bakın.

IdFix DirSync Hata Düzeltme Aracı

Müşterilere, Active Directory ormanlarındaki nesne eşitleme hatalarının büyük çoğunluğunu tanımlama ve düzeltme kabiliyetini sağlar. Bu teknolojiye genel bir bakış için IdFix DirSync Hata Düzeltme Aracı makalesine bakın.

Parola Eşitleme, şirket içi Active Directory ortamınızdaki kullanıcı parolalarını Azure AD ile eşitleyen bir Azure Active Directory Eşitleme aracı özelliğidir. Bu özellik, kullanıcılarınızın Azure AD hizmetlerinde (Office 365, Intune ve CRM Online gibi) oturum açarken, şirket içi ağınızda oturum açmak için kullandıkları aynı parolayı kullanmalarına olanak sağlar. Böylece kullanıcılarınızın, aynı kurumsal ağda oturum açarken olduğu gibi güvenli bir oturum açma kabiliyeti olacaktır.

IdFix DirSync Hata Düzeltme Aracı, geçiş için hazırlanmakta olan şirket içi Active Directory ortamındaki kimlik nesnelerinin ve özniteliklerinin keşif ve tanımlama işlemleri için kullanılabilir. Bunun yapılması, eşitlemeye başlamadan önce eşitleme sırasında oluşabilecek tüm sorunları hızlıca tanımlamanıza imkan tanır. Bu bilgileri kullanarak, bu hataları önlemek için ortamınızda değişiklikler yapabilirsiniz.

Neden bu tasarımı öneriyoruz?

Bu tasarım, kuruluşunuzun tasarım hedeflerini çözdüğü için önerilir. Yani, kaynaklara dayalı olarak Azure için kimlik doğrulaması sağlamanın iki yolu vardır: Bulut kimlik doğrulaması aracılığıyla veya güvenlik belirteci hizmeti (STS) kullanarak şirket içi kimlik doğrulamasıyla.

Kuruluşunuzun ilk tasarım hedefi, eşitlemeyi şirket içi Active Directory örneğiyle hızlı bir şekilde ayarlama kabiliyetine sahip olmaktır. Bu tasarım, şirket içi Active Directory'nizi Azure AD ile eşitlemenin en hızlı yolunu temsil eder.

İkincisi, kuruluşunuz bugünkü ile bir farkı olmayan güvenli bir oturum açma deneyimi sağlama kabiliyetini istemiştir. Bu tasarımı kullanarak, kullanıcılar bugün kullandıkları aynı kullanıcı adı ve parola ile oturum açacak ve deneyimleri farklı olmayacaktır.

Bu çözümü uygulamak için gereken yüksek düzeyli adımlar nelerdir?

Çözümü uygulamak için bu bölümdeki adımları kullanabilirsiniz. Sonraki adıma geçmeden önce her adımı doğru şekilde dağıttığınızdan emin olun.

  1. Dizin eşitlemesi için hazırlanın.

    Sistem gereksinimlerini doğrulayın, doğru izinleri oluşturun ve performansla ilgili hususlara yer verin. Daha fazla bilgi için Dizin eşitlemesine hazırlanma makalesine bakın. Bu adımı tamamladıktan sonra, tercih ettiğiniz çözüm tasarımı seçeneklerini gösteren tamamlanmış bir çalışma sayfanız olduğunu doğrulayın.

  2. Dizin eşitlemesini etkinleştirin.

    Şirketiniz için dizin eşitlemesini etkinleştirin. Daha fazla bilgi için Dizin eşitlemesini etkinleştirme makalesine bakın. Bu adımı tamamladıktan sonra, özelliklerin yapılandırıldığını doğrulayın.

  3. Dizin eşitleme bilgisayarınızı ayarlayın.

    Windows Azure AD Eşitleme Aracını yükleyin. Bunu zaten yaptıysanız, yükseltme, kaldırma veya başka bir bilgisayara taşıma işleminin nasıl yapıldığını öğrenin. Daha fazla bilgi için Dizin eşitleme bilgisayarınızı ayarlama makalesine bakın. Bu adımı tamamladıktan sonra, özelliklerin yapılandırıldığını doğrulayın.

  4. Dizinlerinizi eşitleyin.

    Bir başlangıç eşitlemesi gerçekleştirin ve verilerin başarılı bir şekilde eşitlendiğini doğrulayın. Yinelenen eşitlemeyi ayarlamak için Azure AD Eşitleme Aracı'nı nasıl yapılandıracağınızı ve dizin eşitlemesini nasıl zorlayacağınızı da öğreneceksiniz. Daha fazla bilgi için bkz. Dizinlerinizi eşitlemek için Yapılandırma Sihirbazı'nı kullanma. Bu adımı tamamladıktan sonra özellikleri yapılandırdığınızı doğrulayın.

  5. Eşitlenmiş kullanıcıları etkinleştirin.

    Abone olduğunuz hizmetleri kullanabilmeleri için Office 365 portalındaki kullanıcıları etkinleştirin. Bu işlem Office 365 kullanmak için bu kullanıcılara lisans atanmasını gerektirir. Bunu tek tek veya toplu olarak yapabilirsiniz. Daha fazla bilgi için bkz. Eşitlenmiş kullanıcıları etkinleştirme. Bu adımı tamamladıktan sonra özellikleri yapılandırdığınızı doğrulayın. Bu isteğe bağlı bir adımdır ve yalnızca Office 365 kullanıyorsanız gereklidir.

  6. Çözümü doğrulayın.

    Kullanıcılar eşitlendikten sonra https://myapps.microsoft.com adresinde oturum açmayı sınayın. Office 365 uygulamalarınız varsa bunları burada görebilirsiniz. Normal bir kullanıcı Azure aboneliğine gerek duymadan burada oturum açabilir.

Ayrıca bkz.

İçerik türü

Başvurular

Ürün değerlendirmesi/Başlarken

Test Laboratuvarı Kılavuzu: Parola Eşitleme ile DirSync kullanarak Windows Azure AD ve Windows Server AD Ortamı oluşturma

Test Laboratuvarı Kılavuzu: Federasyon (SSO) ile Windows Azure AD ve Windows Server AD Ortamı oluşturma

Planlama ve tasarım

Windows Server 2012'de AD FS Tasarım Kılavuzu

Dizin tümleştirme

Dağıtım

Windows Server 2012 R2 AD FS Dağıtım Kılavuzu

Dizin eşitleme yol haritası

Tekli oturum açma yol haritası

İşlemler

AD FS İşlemleri

Destek

Dizin eşitleme sorunlarını giderme

Forefront Identity Manager Forumu

Windows Azure Forumları

Başvuru

Onay listesi: Çoklu oturum açmayı uygulamak ve yönetmek için AD FS kullanma

Hangi dizin tümleştirme senaryosunun kullanılacağına karar verme

Topluluk kaynakları

Bulut Kimliği

İlgili çözümler

Windows Intune ile Configuration Manager'a geçerek mobil aygıtları ve bilgisayarları yönetme

İlgili teknolojiler

Azure

Forefront Identity Manager 2010 R2

Active Directory Federasyon Hizmetleri