Extending Azure AD – Part 2

By | 21/08/2016

Azure AD Connect ile Directory Senkronizasyonu

On-Premise ortamını azure’a genişletmiş olan organizasyonlar kullanıcıların aynı password ile yada SSO ile Azure kaynaklarına erişmesini isteyebilirler. Bu sebeple bu iki yöntem için de Azure AD Connect uygulamasının kullanılması gerekir. Directory senkronizasyon işlemi oldukça kritik bir işlem olduğundan uygun yönetim ve izleme işlemlerinin de entegre edilmesi gerekir. Bu sebeple ortama Azure AD Connect Health Tool’un entegre edilmesi gerekir.

Directory Senkronizasyonu

Directory senkronizasyonu ile Azure AD ile onpremise AD arasında kullanıcı,grup,kontak ve Windows 10 işletim sistemine ait bilgisayar bileşenleri senktonize edilir.

Directory sync işleminin yapılması için gerekli işlem directory sync işlemi yapan bileşenin onpremise üzerinde bir server’a kurulup, AD DS için Enterprise admin hesabı, Azure için ise Azure AD’de yetkili bir accountun sağlanmasıdır. Ardından directory sync işlemi kolaylıkla başlatılabilir. Bu işlemin ardından on-premise üzerinde bulunan builtin olmayan kullanıcı hesapları,gruplar,kontaklar ve opsiyonel olarak Windows 10 yüklü bilgisayar hesapları Azure AD’ye replike edilir.

Buradaki önemli nokta senkronize edilen bu hesaplara ait kimlik doğrulaması yapıldıktan sonra azure üzerindeki kaynaklara erişilebilir. Eğer password senkronizasyonu etkinleştirilmişse kullanıcı azure kaynaklarına ilk erişmek istediği zaman kimlik doğrulama penceresi ile karşılaşır.(Domain’a üye bir bilgisayardan bağlanmış olsa bile) Buradaki önemli nokta password sync işlemi kullanıldığı taktirde kullanıcılar azure resource’ları için onpremise kaynaklara erişirken kullandıkları şifreyi kullanırlar. Parolalarını kaydettikleri zaman bir daha kimlik doğrulama penceresi ile karşılaşmazlar.

azure ad connect ile ilgili görsel sonucu

Azure AD Connect:

AD connect organizasyonların on-premise üzerinde kullandıkları kimlik doğrulama sistemini Azure AD ile entegre etmeyi sağlayan bir tool’dur. Azure AD Connect kendisinden önce yayınlanmış olan dirSync veAzure AD Sync araçlarının sahip olduğu özellikleri kapsar.

Azure AD Connect yazılımına ait bazı ana bileşenler aşağıdaki gibidir:

MIM sync özelliğinin gelişmişidir.

Çok Forest’lı senaryoyu destekler.

Belirli Microsoft online servisleri için gerekli olan account seviyesinde ve attribute seviyesinde senkronizasyon için filtrelemeler yapabilir.

Password hash’lerinin Azure AD üzerine senkronize edilmesini destekler.

Azure AD connect sahip olduğu basit wizard arayüzü ile onpremise kimlik altyapısı ve azure arasındaki bağlantı modelinin kolaylıkla seçilmesini sağlar. Bu basit wizard yardımıyla topoloji ve gereksinimleri (tek yada çok directory’li yapı, password sync,federation vb) kolaylıkla seçilebilir. Seçilen gereksinimlere göre Azure AD Sync, Exchange Hybrid Deployment,Password change write back,device write-back yada ADFS ve Proxy Server seçenekleri etkinleştirilebilir.

Azure AD Connect 3 önemli bileşenden meydana gelir:

Synchronization : Azure AD Connect’in en önemli bileşenidir. Kullanıcı ve grupların Azure AD üzerinde oluşturulmasını sağlar. Senkronizasyon konusundaki temel özelliğini Fım’den almıştır.

ADFS : Organizasyonların federe edilmesindeki en temel bileşendir. SSO entegrasyonu ADFS ile sağlanır. ADFS ile kimlik doğrulama üzerindeki full kontrol on-premise ortamına aittir.

Health Monitoring : Azure AD Connect Health ile on-premise kimlik doğrulama altyapısı ve senkronizasyon servisleri monitor edilir.

On-Premise ADDS ve Azure AD arasında sync işlemi üç şekilde yapılır.

Directory Synchronization

On-premise üzerindeki objeler azure’a replicate edilir. On-Premise’te varolan objeler ile Azure AD’ye sync ettiklerini birbirine mapler.

Eğer Azure AD üzerinde custom domain tanımı yapılmışsa Onpremise üzerindeki ve azurdaki objelerin isimleri suffix’leri ile birlikte birebir eşleşir. Bu işlem directory senkronizasyonu için bir gereklilik değildir. SSO ve same sign-on bileşenleri için gereklidir.

Directory sync işlemi ile objenin herhangi bir attribute’unda olan değişiklik Azure AD’ye senkronize edilecektir.

Böyle bir mimaride iki sistem de(on-premise ve azure) ayrı ayrı password yönetimi yapacaktır.

Directory Synchronization with Password Synchronization

Password sync özelliğinin etkinleştirilmesi ile birlikte kullanıcılar on-premise üzerinde kullandıkları parolalar ile azure kaynaklarına erişirler.

İşin arka planında password senkronizasyonu ile kullanıcı parolalarının hash formu on-premise active directory’den alınıp şifrelenerek string olarak Azure üzerine aktarılır. Azure şifrelenmiş bu hash’lerin şifrelerini çözerek password has’ini kullanıcı attribute’u olarak saklar. Kullanıcı azure kaynaklarına login olacağı zaman Sign-in challenge kimlik doğrulama penceresi kullanıcı passwordunun hash’ini oluşturur. Bu hash’i azure döner. Azure user accountu için onpremise üzerinden sync ettiği hash ile karşılaştırma yapar. Eğer iki hash birbiriyle eşleşirse ve sonrasında iki parola da birbiriyle eşleşirse, kullanıcı azure kaynaklarına erişebilir. Kullanıcı bir sonraki bağlantı için parolasını kimlik doğrulama penceresinde kayıt ederse, bir sonraki login işleminde password girmesine gerek kalmaz. Burada dikkat edilecek nokta bu işlemin Same sign-in işlemi olmasıdır. (SSO değildir.) Yani kullanıcılar aynı kullanıcı adı ve parolalar ile farklı directory servislerinde kimlik doğrulaması yaparlar. Fakat bazı organizasyonlar SSO sürecini karmaşık bulup daha basit olduğunu düşündükleri için bu konfigürasyon çeşidini tercih edebilirler.

Directory Synchronization with SSO

Azure AD Connect kullanarak basit bir wizard yardımı ile ADFS konfigürasyonu kolaylıkla yapılabilir. Bu işlem arka planda obje replikasyonu için directory sync kullanır. SSO ile directory syn işlemi ile kullanıcı,grup ve kontak bilgileri onpremise AD üzerinden Azure AD’ye senkronize edilir. Bu objeler Azure AD üzerinde service object olarak görünür.

SSO ile Azure AD ile onpremise AD arasında federation trust ilişkisi kurulur. Böylece bir önceki directory synchronization modelinden farklı olarak kullanıcılar kimlik doğrulaması için tek bir directory’e gidip kimlik doğrulaması işlemi yaparlar. Bunun sonucunda kullanıcılar onpremise üzerindeki domain account’unu kullanarak Azure üzerindeki kaynaklara erişirler. Bu kullanıcılar aynı zamanda kullanıcı olarak Azure AD üzerinde de görünürler. Fakat SSO kullanarak on-premise AD de kimlik doğrulayacak şekilde konfigüre edilmişlerdir.

Directory Synchronization tipi ve desteklediği özelliklerin karşılaştırılmasına ilişkin tablo aşağıdaki gibidir.

Feature Directory
synchronization only
Directory
synchronization with
password
synchronization
Directory
synchronization with
SSO
Sync users, groups, and
contacts with Azure
Yes Yes Yes
Sync incremental updates
with Azure
Yes Yes Yes
Enable hybrid Microsoft
Office 365 scenarios
Yes, limited support Yes, limited support Yes, full support
Users can sign in with on
premises credentials
No Yes Yes
Reduce password
administration costs
No Yes Yes
Control password policies
from an on-premises
directory
No Yes Yes
Enable cloud-based
multifactor authentication
(MFA)
Yes Yes Yes
Enable on-premises MFA No No Yes
Authenticate against an on
premises directory
No No Yes
Implement SSO with
organizational credentials
No No Yes
Customize the sign-in page No No Yes
Limit access to services
based on location or client
type
No No Yes

 

Aşağıdaki tablo ise directory synchronization tipleri için gerekli bileşenleri göstermektedir.

Requirement Directory
synchronization only
Directory
synchronization with
password
synchronization
Directory
synchronization with
SSO
On-premises DirSync server Yes Yes Yes
AD FS server infrastructure No No Yes
AD FS proxy or Web
Application Proxy
infrastructure
No No Yes

 

Burada dikkat edilecek bir diğer nokta da şu, SSO entegre edilmiş bir ortamda ADFS erişilemez duruma geldiğinde kullanıcılar kimlik doğrulaması yapamayacakları için aynı zamanda Azure kaynaklarına da erişemeyecekler.

Eğer directory sync işlemi yapan AD Connect sunucusu erişilemez olursa, objelerin attribute’larında yapılan son değişiklikler Azure ortamına yansımayacaktır. Eğer password sync özelliği etkinleştirilmiş ise on-premise AD ve Azure AD üzerindeki parolalar bir biri ile uyumsuz olacaktır.

Bu sınırlılıklardan dolayı SSO’ları yüksek erişilebilir olarak kurmak önerilen yöntemdir.