Azure Active Directory ile SaaS Uygulama Yönetimi

60
Görüntüle

 

SaaS uygulamaları neden Azure Active Directory ile yönetmeliyim?

Software as a Service olarak hayatımıza giren bu kavrama türkçeleştirilmiş haliyle bakıtığımızda ne demek istendiğini daha net görebileceğimizi düşünüyorum, yazılımın servis olarak sunulması!

Değişen bilgi teknolojileri, değişen cihazlar, değişen dünya diye uzatabileceğimiz değişim, geliştirilen uygulamaların ; güvenliği ve kullanımı konusunda farklı ihtiyaçlar doğurmuştur.

Uygulamaların gelişimi, mobilite gelişimi ile parallel ilerleyerek, mobil cihazlarda kullanılan uygulamaların sayısı artmıştır. Bu noktada Microsoft, single sign-on (SSO) olarak uygulamalara erişiminde Azure Active Directory altyapısını kullanarak yüksek erişilebilirlik sağlamaktadır. Şirketler için Azure Active Directory tarafında B2B ve B2C iş modellerine uygun geliştirmeler hala devam ederken mevcut uygulama mağazasında 2500’ün üzerinde uygulama ile trust yapısı kurulmuştur. 2500’ün üzerindeki uygulamaya SSO olarak erişim ; uygulamaya erişimde tek kimlik bilgisinin kullanılmasını ve uygulamaya erişimde haklar uygulanmasını yönetilebilir hale getirmiştir.

Azure Active Directory üzerinden SaaS uygulamaları nasıl yönetebiliriz?


Azure Active Directory üzerinden publish edebileceğimiz uygulamalar yukarıdaki şekilde görüldüğü gibi iki temel mantıkta eklenebilir.

  • İş ihtiyaçları gereği firmalar tarafından geliştirilen uygulamalar Azure AD üzerinden SSO olarak kullanıcılarına sunulabilir. Burada geliştirilen uygulamanın ; Web uygulaması mı yoksa Native bir uygulama olup olmadığı ve authentication yöntemi önemlidir.


Geliştirilen uygulamanın Azure Active Directory‘de saklanacağı ismini ve geliştirildiği platformu seçtiğimizde uygulamaya ait URL ve URI bilgileri istenerek ekleme işlemi basitçe yapılabilir.

  • Yukarıda bahsettiğim 2500’ün üzerinde uygulamanın yer aldığı mağazadan da uygulamaları ekleyerek single sign-on olarak çalıştırabilirsiniz. Gallery içerisinden eklenen uygulamalar için dört farklı senaryoda SSO yönetimini yapabilirsiniz. Bunlar ;

     

    • Federated Single Sign-On : Uygulamaya erişimde kendi şifresini kullanmak yerine Azure AD kimlik bilgileri ile kullanıcının oturum açtığı, sertifika ile güvenlik seviyesinin arttırıldığı oturum açma seçeneğidir. Bu senaryoda federe edilmiş kullanıcı uygulamaya erişimde yeniden kimlik doğrulaması yapmayacaktır. Federated Single Sign-On için SAML 2.0, WS-Federation ve OpenID Connect protokollerini desteklenir.
    • Password Single Sign-On : Kullanıcının SSO olarak erişmek istediği portal Azure AD bilgileri ile giriş yaptıktan sonra assign edilen uygulamaya eriştiği yöntemdir. Burada iki farklı yönetim mevcut, uygulama giriş bilgileri admin belirleyebilir yada kullanıcı girişini yapabilir. Bu senaryoya makalenin devamında uygulamalı olarak değineceğiz.
    • Existing Single Sign-On :
      Kullanıcının oturum açarken kullandığı bir ADFS var ise sunucunun belirtildiği bölümdür.
    • User Provisioning : Uygulama tarafında kullanıcı açma ve silme gibi işlemleri otomatize bir şekilde yönetildiği sistemdir. Azure galeride yer alan bazı uygulamaların desteklediği user provisioning yöntemi ile kullanıcı açma ve silme işlemleri çift taraflı yapılır. Şuan için desteklenen uygulamalar ;
      • Box
      • Citrix GoToMeeting
      • Concur
      • Docusign
      • Dropbox for Business
      • Google Apps
      • Jive
      • Salesforce
      • Salesforce Sandbox
      • ServiceNow
      • Workday

Yukarıda yazmış olduğum SSO yöntemleri üzerine bir demo yaparak Office 365 kullanılan yapılarda ne gibi bir aksiyon olduğunu aktarmaya çalışacağım.

Linkedin uygulamasının Office 365 kullanıcı bilgileri ile SSO yapılması senaryosu ;

Azure Active Directory paneline giriş yaptıktan sonra Applications sekmesinde Add diyerek Galeri’den bir uygulama seçme adımını işaretliyoruz.


Galeri’de yaptığımız search işlemi sonrası Linkedin uygulamasını mağazada buluyoruz ve eklemek için Azure AD üzerinde görüntülecek ismini giriyoruz.


Yukarıdaki resimde dikkat çekmek istediğim bir diğer kısımda mağazadaki uygulamaların ne şekilde kategoriye ayrıldığıdır. 2586 adet uygulama mevcut, mağaza içerisinde ben uygulamalarımı ismiyle search yapabildiğim gibi, kategori bazında da search işlemlerini ve görüntüleme işlemlerini yapabilirim.

Linkedin uygulamasını Azure AD’ye ekledikten sonra SSO konfigurasyonunu yapacağız. Yukarıda açıkladığım Password Single Sign-On seçeği ile ilerleyerek kullanıcım Office 365 paneline giriş yaptıktan sonra Linkedin uygulamasına erişmesini sağlayacağım.


Uygulamaya ait SSO ayarlarını yaptıktan sonra Linkedin uygulamasını kullanıcı atamamız gerekmektedir. Uygulamaya kullanıcı assign etme işlemleri iki şekilde yönetiliyor.

  • User-based : Dilerseniz uygulama kullanıcı bazlı assign edilebilir.
  • Group-based : Dilerseniz uygulamayı açmış olduğunuz Group içerisindeki kullanıcıya assign edebilirsiniz.

Uygulama kullanıcıya assign edildikten sonrra örnek senaryoda [email protected] kullanıcısına Linkedin uygulaması assign edildi. Kullanıcı uygulamaya SSO şekilde ;

  • https://myapps.microsoft.com sitesi üzerinden erişebilir.
  • Office 365 OWA üzerinden erişebilir.
  • Windows mağazasında yer alan MyApps uygulamasından erişebilir. Windows mağazasında olan MyApps uygulaması Windows Phone, IOS ve Android platformlarında da yer almaktadır.

Örnek senaryo üzerinde devam edecek olursak ;

[email protected]’ kullanıcı OWA’da oturum açıktan sonra Linkedin uygulamasına bir kez giriş yaparak SSO çalışmayı başlatabilir. Bir kez giriş yapılması ile kullanıcının Linkedin password bilgileri Azure AD’de saklanacak buradaki bilgi Admin hesapları tarafından görüntülenemez.


Linkedin gibi social uygulamalar için password değişimi sonrası SSO database güncellemesi yapılması gerekiyor. Bu noktada password rollover policy yazılarak uygulama credential bilgilerinin 30 günde bir yenilenmesini yönetebilirsiniz.

    -Web tabanlı SSO yapabilmek için Acces Panel Extension plug-in kurulması gerekmektedir. Giriş yaptığınız her tarayıcı için Acces Panel Extension plug-in mevcut, Internet Explorer için 2 MB’lık .msi dosyası kurulumu yapılırken Chrome için ise mağazadan bir plug-in ekleniyor.


Access Panel Extension’a ait troubleshooting adımları için Diagnostic Tool kullanımı inceleyebilirsiniz.

    Ufak bir senaryo ile Linkedin uygulamasını [email protected] kullanıcısı için SSO erişim için yapılandırdık.

Azure AD üzerinden SSO olarak uygulama erişimin ne gibi faydaları var?

  • Uygulama ister kendi geliştirdiğiniz uygulama olsun istersenizde store üzerinden SSO yapabileceğiniz uygulama olsun kullanıcı ve grup base erişim izinleri kontrol edilebilir.
  • Uygulama kullanımına ilişkin usage raparları alabilirsiz.
  • Uygulamanın özelliğine password rollover policyler giriş işlemlerini kontrol edebilirsiniz.
  • Yukarıda belirtmiş olduğum uygulamalar için açık olan user provisioning özelliğini kullanarak uygulamaya erişim iş yüklerini azaltabilirsiniz.
  • Azure AD içerisinde yer alan branding özelliği sayesinde özelleştirilmiş giriş ekranları yapabilirsiniz.
  • Kullanıcının assign ettiğiniz uygulamalara erişmesi için gireceği panele MFA ile ikincil bir güvenlik adımını kolaylıkla konumlandırabilirsiniz.
  • Uygulamaya erişimde farklı bir federasyon yapısı desteklenir, tek panelden diğer federasyonlu uygulamalarına erişimi hızlandırabilisiniz.

SSO erişimin Azure Active Directory üzerinde olmasının en önemli avantajlarından biri de Self Service Group Management ve Dynamic Group Management özelliklerini içerisinde barındırması olacaktır. Uygulamaları group bazlı assign edebiliyoruz demiştik. Peki nedir bu Self Service Group Management ve Dynamic Group Management?

Self Service Group Management : Azure Active Directory üzerinde kullanıcıların kendi iş organizasyonuna ait grupları açarak yönetmesidir. Gruba üyelik işlemleri tamamen grubu açan user tarafından yönetilir, istenirse gruba üyelik için bir onay mekanızması konumlandılabilir. Örnek vermek gerekirse Office 365 içerisinde gelen Groups özelliği.

Dynamic Group Management . Azure Active Directory üzerinde açılan bir kullanıcının attribute değerlerine bakarak kullanıcının gruba otomatize bir şekilde dahil edilmesi diyebiliriz.

Örneğin :

Country’si Turkey olan kullanıcıları bir grupta toplayarak Linkedin uygulamasının kullanımına otomatize bir şekilde dahil edebilirim.


SSO olarak kullanıcılarıma assign ettiğim uygulamalar için usage raporlar alabiliyoruz demiştik. Örnek bir resimle raporun ne şekilde geldiğini görüntüleyelim.


Aynı şekilde user provisioning özelliği uygulamalar içinde rapor alınabiliyor. Kullanıcı açılması, silinmesi yada oluşturulması sırasında çıkan hatalarla ilgili, örneğin ;


 

    Office 365 kullanıyorsanız basic olarak yönetimini yapabileceğiniz 10 adet single sign-on yapabileceğiniz SaaS application hakkınız bulunuyor. Azure Active Directory Premium özellikleri sayesinde sınırsız SaaS application dağıtımını kullanıcılara yapabileceğiniz gibi dynamic group memberships özelliği sayesinde otomatize edebilir, usage raporlarını ayrıntılı bir şekilde görüntüleyebilirsiz. Azure Active Directory kullanımına ilişkin aytırılı versiyon farklılıklarını link içerisinden inceleyebilirsiniz.

 

Cloud App Discovery

    Uygulamaların bulunduğu Galeri olarak nitelendireceğimiz Azure Marketplace içerisinde yer alan 2584 uygulamanın kullandırılmasına ilişkin çıkan bu özellik, ayrıntılı kullanım raporları ile hangi uygulamayı SSO yapmanız gerektiğini göstermede yardımcı bir araçtır.

Azure Active Directory Premium kullanıcıları için kullanımda olan Cloud App Discovery’nin yönetimi konusunda link üzerinden bilgi alabilirsiniz. Araç kaç kullanıcının Galeri’deki bir uygulamayı kullanma potensiyeli olduğunu aktardığı gibi ne kadarlık bir data tüketim miktarı kullandığından en son yaptığı authentication bilgisine kadar ayrıntılı bir rapor sunmaktadır.

Raporu gelecek olan yeni Azure portal üzerinden Azure Active Directory Premium kullanıcıları var olan uygulamaları içinde aynı ayrılacalıklarla görüntüleyebilecek.



 

CEVAP VER

Please enter your comment!
Please enter your name here

This site uses Akismet to reduce spam. Learn how your comment data is processed.