Azure AD Sürüm ve Kullanım Farklılıkları

39
Görüntüle

 

    Azure Active Directory, cloud-based olarak sunulan bir kimlik yönetim sistemidir. Microsoft tarafından güvenlik ve bakım süreçlerinin sağlandığı kimlik yönetim sistemi ile yapınızdaki uygulamaları entegre edebilir ya da bulut tabanlı sunulan hizmetlerden faydalanabilirsiniz. Dünyadaki kullanıcı sayısı ile Microsoft’un lider cloud ürünü olan Office 365 hizmeti sayesinde Azure Active Directory hizmetini kullanıyoruz ve SaaS olarak sunulan application sistemlerinden yararlanabiliyoruz.

Office 365 kullanımından kolaylıkla kavrayabileceğimiz Azure Active Directory hizmetinde aslında üç ayrı kimlik kullanılmakta ve Software as a Service olarak sunulan hizmetleri farklı özellikleri ile kullanabilmekteyiz.

Azure Active Directory içerisinde yer alan kullanıcıları aşağıdaki gibi sınıflandırabiliriz.

 

  • Cloud User
  • Synchronized User
  • Federated User

     


 

Cloud User : Azure Active Directory’de yarattığımız kullanıcı olarak tanımlayabiliriz. Kullanıcılara ilişkin tüm düzenlemeler Azure AD tarafından yapılır. Kullanıcılara assign edilecek her uygulama ve hizmet Azure tarafından yönetilir, kimlik yönetiminin güvenlik ve bakım süreçleri gibi tüm hizmetler Microsoft tarafından hizmet olarak sunulur.

Synchronized User : AD Connect ile Windows Server Active Directory hizmetini eşitlediğimiz kullanıcılar olarak tanımlayabiliriz. Kullanıcı bilgileri Windows Server Active Directory’den alınarak Azure Active Directory’e senkronize edilir. Bu yönetimin kullanılmasındaki en önemli faktör yönetimsel olarak tek bir kimlik dizini hizmetine sahip olmaktır. Tek kimlik dizini hizmeti bize ne sağlıyor? Kullanıcı ve dahil olduğu grup bilgilerini ve password bilgilerini Azure Active Directory üzerinde kullanabiliyoruz, böylelikle satın alınan Office 365, Power BI yada CRM gibi cloud uygulamalarına tek bir kimlik ile login olabiliyoruz. Esnek ve sürekli gelişen yapısıyla Azure Active Directory üzerinde Line of Business olarak tanımladığımız şirket uygulamaları SSO olarak sunabilir ya da Microsoft tarafından sunulan SaaS hizmetleri kullanabilirsiniz.

Federated User : AD Connect ile kullanıcılarımızı eşitleyerek kullanıcı ve grup bilgilerini Azure Active Directory üzerinde kullanabiliriz demiştik, uyguladığımız bu yöntemde kullanıcılarda oturum açma hash’leri ile Azure AD’de kimlik doğrulaması yapmaktadır. Bazı firmalar şirket politikaları gereği ya da yapılarındaki line of Business uygulamaları nedeniyle yapılarında Active Directory Federation Services (ADFS) konumlandırmaktadır. ADFS ile yönetilen kimlik bilgilerine ilişkin authentication işlemleri firma yapısında bulunan Windows Server Active Directory üzerinde yapılır, yapılan tüm entegrasyon işlemleri ADFS mimarisine uygun planlanır ve uygulanır.

 


 

Yukarıda bahsetmiş olduğum üç farklı kimlik yönetim sistemi ile Azure Active Directory tarafında farklı aksiyonlar alınabiliyor, buna karşılık Azure Active Directory tarafında ise kimlik yönetim sistemi dört farklı şekilde sunuluyor. Bunlar ;

  • Azure AD Free
  • Azure AD Basic
  • Azure AD Premium
  • Office 365 AD

 

Azure AD Free : Ücretsiz olarak 30 gün deneyebileceğimiz Microsoft Azure hesabıyla kolaylıkla sahip olabileceğimiz bir kullanım şeklidir. Maximum 500.000 Active Directory objesini create edebildiğimiz Azure AD Free kullanımında group management, AD Connect ile kullanıcı senkronizasyonu, Self Service Password servisinin kullanımı, basic Azure AD kullanım raporlarının yanı sıra Azure Cloud App’s olarak tanımladığımız SaaS uygulamaların yer aldığı mağazadan 10 application için SSO yapılandırabiliriz ve Windows 10 cihazlarımızı Azure Active Directory’e join edebiliriz. Burada dikkat edilmesi gereken en önemli nokta Microsoft tarafından sağlanan SLA değeri olacaktır. Free sürümde Microsoft SLA sağlamıyor, mission critical olarak tanımladığımız kimlik hizmetinin erişilebilirliği bu noktada önem kazanıyor. Azure AD Free sürümünün production ortamlarda kullanımı önerilmez.

Azure AD Basic : Çeşitli lisans anlaşmalarıyla satın alınan Microsoft cloud ürünlerinin kullanımda yararlandığımız Azure AD Basic kimlik yönetim sistemi ile yapınızda bulunan Windows Server Active Directory hizmetini AD Connect yardımıyla senkronize edebilir. Free sürümünde olduğu gibi eşitlenen ve ya create edilen Azure AD öğelerinde herhangi bir sınır bulunmamaktadır. SSO olarak 10 adet application kullanımına izin verilirken Microsoft SLA desteği ile Line of Business uygulamalar Azure AD üzerinden kullanıcılara publish edilebilir, yapınızdaki uygulamalar için Azure AD Application Proxy servisi kullanılabilir. Azure AD’de yer alan kullanıcılarınız eğer yukarıda da açıkladığımız gibi Cloud User ise, SSPR olarak tanımladığımız Self Service Password Reset özelliğini kullanarak şifrelerini sıfırlayabilmektedirler. Company Branding ile kullanıcılarınıza sunduğunuz web üzerinden erişim portallarını şirketinize özel görsel ve açıklamalar ile şekillendirebilirsiniz.

Sıralamanın dışına çıkarak Azure AD Premium servisini atlıyorum, ayrı olarak bahsetmek istediğim Azure AD Premium servisi ile yapınızdaki yönetim süreçlerinden ayrıca bahsedeceğim.

Office 365 ile gelen Azure AD: Office 365 hizmetinin satın alınmasından sonra kullanımını gerçekleştirdiğimiz Azure Active Directory hizmeti ile yukarıda incelediğimiz Free ve Basic Azure AD versiyonlarının yanı sıra Multi Factor Authentication servisi kullanabilmekteyiz. Azure MFA servisinin Office 365 ile birlikte ücretsiz olarak sunulmasının nedeniyle ikincil bir kimlik doğrulama yapılarak şirket kaynaklarına erişimde güvenlik katmanını arttırabiliriz. Yukarıda belirtmiş olduğum Azure AD user türleri bu noktada anlam kazanmış oluyor aslında, çünkü ücretsiz olarak Office 365 üyeliği ile create ettiğimiz user modellerine göre MFA deployment süreçleri değişmektedir. Cloud user olarak oluşturduğumuz kullanıcılarda MFA aktifleştirilmesi Azure AD üzerinden kolaylıkla yapılırken, Synchronized user yani AD Connect aracı ile Windows Server Active Directory’den eşitlediğimiz kullanıcılar için MFA’i aktifleştirmek istediğimizde Identity Provider‘a ihtiyaç vardır, bu noktada da yapımızda AD FS konumlandırmak durumdayız.

 

Comparing Free, Basic, and Premium editions

   

Azure AD Free

Azure AD Basic

Azure AD Premium

Office 365 apps only

Ortak Özellikler

Directory objects

 

500,000 object limit

 

No object limit

 

No object limit

 

No object limit for Office 365 user accounts

 

User/group management (add/update/delete)/user-based provisioning, device registration

 

Yes

 

Yes

 

Yes

 

Yes

 

SSO to SAAS apps/custom apps/application proxy apps

 

10 apps per user

 

10 apps per user

 

No limit

 

10 apps per user

 

Self-service password change for cloud users

 

Yes

 

Yes

 

Yes

 

Yes

 

Connect (sync engine that extends on-premises directories to Azure Active Directory)

 

Yes

 

Yes

 

Yes

 

Yes

 

Preview: B2B collaboration

 

Yes

 

Yes

 

Yes

 

Yes

 

Security/usage reports

 

Basic reports

 

Basic reports

 

Advanced reports

 

Basic reports

Premium + Basic Özellikleri

Group-based access management/provisioning


 

 

Yes

 

Yes


 

 

Self-service password reset for cloud users


 

 

Yes

 

Yes

 

Yes

 

Company branding (logon pages/access panel customization)


 

 

Yes

 

Yes

 

Yes

 

Application proxy


 

 

Yes

 

Yes


 

 

SLA 99.9%


 

 

Yes

 

Yes

 

Yes

Premium Özellikleri

Self-service group management/self-service application addition/ dynamic group membership


 


 

 

Yes


 

 

Self-service password reset/change/unlock with on-premises write-back


 


 

 

Yes


 

 

Multi-factor authentication (cloud and on-premises (MFA server))


 


 

 

Yes

 

Limited cloud only for Office 365 Apps

 

MIM CAL + MIM Server


 


 

 

Yes


 

 

Cloud app discovery


 


 

 

Yes


 

 

Connect Health


 


 

 

Yes


 

 

Automatic password rollover for group accounts


 


 

 

Yes


 

 

Preview: Conditional access


 


 

 

Yes


 

 

Preview: Privileged identity management


 


 

 

Yes


 

Windows 10 + Azure AD Join özellikleri

Join a Windows 0 device to Azure AD, Desktop SSO, Microsoft Passport for Azure AD, Administrator Bitlocker recovery

 

Yes

 

Yes

 

Yes

 

Yes

Windows 10 + Azure AD Join özellikleri

MDM auto-enrolment, Self-Service Bitlocker recovery, additional local administrators to Windows 0 devices via Azure AD Join


 


 

 

Yes

 

CEVAP VER

Please enter your comment!
Please enter your name here

This site uses Akismet to reduce spam. Learn how your comment data is processed.