Azure Active Directory, cloud-based olarak sunulan bir kimlik yönetim sistemidir. Microsoft tarafından güvenlik ve bakım süreçlerinin sağlandığı kimlik yönetim sistemi ile yapınızdaki uygulamaları entegre edebilir ya da bulut tabanlı sunulan hizmetlerden faydalanabilirsiniz. Dünyadaki kullanıcı sayısı ile Microsoft’un lider cloud ürünü olan Office 365 hizmeti sayesinde Azure Active Directory hizmetini kullanıyoruz ve SaaS olarak sunulan application sistemlerinden yararlanabiliyoruz.
Office 365 kullanımından kolaylıkla kavrayabileceğimiz Azure Active Directory hizmetinde aslında üç ayrı kimlik kullanılmakta ve Software as a Service olarak sunulan hizmetleri farklı özellikleri ile kullanabilmekteyiz.
Azure Active Directory içerisinde yer alan kullanıcıları aşağıdaki gibi sınıflandırabiliriz.
- Cloud User
- Synchronized User
-
Federated User
Cloud User : Azure Active Directory’de yarattığımız kullanıcı olarak tanımlayabiliriz. Kullanıcılara ilişkin tüm düzenlemeler Azure AD tarafından yapılır. Kullanıcılara assign edilecek her uygulama ve hizmet Azure tarafından yönetilir, kimlik yönetiminin güvenlik ve bakım süreçleri gibi tüm hizmetler Microsoft tarafından hizmet olarak sunulur.
Synchronized User : AD Connect ile Windows Server Active Directory hizmetini eşitlediğimiz kullanıcılar olarak tanımlayabiliriz. Kullanıcı bilgileri Windows Server Active Directory’den alınarak Azure Active Directory’e senkronize edilir. Bu yönetimin kullanılmasındaki en önemli faktör yönetimsel olarak tek bir kimlik dizini hizmetine sahip olmaktır. Tek kimlik dizini hizmeti bize ne sağlıyor? Kullanıcı ve dahil olduğu grup bilgilerini ve password bilgilerini Azure Active Directory üzerinde kullanabiliyoruz, böylelikle satın alınan Office 365, Power BI yada CRM gibi cloud uygulamalarına tek bir kimlik ile login olabiliyoruz. Esnek ve sürekli gelişen yapısıyla Azure Active Directory üzerinde Line of Business olarak tanımladığımız şirket uygulamaları SSO olarak sunabilir ya da Microsoft tarafından sunulan SaaS hizmetleri kullanabilirsiniz.
Federated User : AD Connect ile kullanıcılarımızı eşitleyerek kullanıcı ve grup bilgilerini Azure Active Directory üzerinde kullanabiliriz demiştik, uyguladığımız bu yöntemde kullanıcılarda oturum açma hash’leri ile Azure AD’de kimlik doğrulaması yapmaktadır. Bazı firmalar şirket politikaları gereği ya da yapılarındaki line of Business uygulamaları nedeniyle yapılarında Active Directory Federation Services (ADFS) konumlandırmaktadır. ADFS ile yönetilen kimlik bilgilerine ilişkin authentication işlemleri firma yapısında bulunan Windows Server Active Directory üzerinde yapılır, yapılan tüm entegrasyon işlemleri ADFS mimarisine uygun planlanır ve uygulanır.
Yukarıda bahsetmiş olduğum üç farklı kimlik yönetim sistemi ile Azure Active Directory tarafında farklı aksiyonlar alınabiliyor, buna karşılık Azure Active Directory tarafında ise kimlik yönetim sistemi dört farklı şekilde sunuluyor. Bunlar ;
- Azure AD Free
- Azure AD Basic
- Azure AD Premium
- Office 365 AD
Azure AD Free : Ücretsiz olarak 30 gün deneyebileceğimiz Microsoft Azure hesabıyla kolaylıkla sahip olabileceğimiz bir kullanım şeklidir. Maximum 500.000 Active Directory objesini create edebildiğimiz Azure AD Free kullanımında group management, AD Connect ile kullanıcı senkronizasyonu, Self Service Password servisinin kullanımı, basic Azure AD kullanım raporlarının yanı sıra Azure Cloud App’s olarak tanımladığımız SaaS uygulamaların yer aldığı mağazadan 10 application için SSO yapılandırabiliriz ve Windows 10 cihazlarımızı Azure Active Directory’e join edebiliriz. Burada dikkat edilmesi gereken en önemli nokta Microsoft tarafından sağlanan SLA değeri olacaktır. Free sürümde Microsoft SLA sağlamıyor, mission critical olarak tanımladığımız kimlik hizmetinin erişilebilirliği bu noktada önem kazanıyor. Azure AD Free sürümünün production ortamlarda kullanımı önerilmez.
Azure AD Basic : Çeşitli lisans anlaşmalarıyla satın alınan Microsoft cloud ürünlerinin kullanımda yararlandığımız Azure AD Basic kimlik yönetim sistemi ile yapınızda bulunan Windows Server Active Directory hizmetini AD Connect yardımıyla senkronize edebilir. Free sürümünde olduğu gibi eşitlenen ve ya create edilen Azure AD öğelerinde herhangi bir sınır bulunmamaktadır. SSO olarak 10 adet application kullanımına izin verilirken Microsoft SLA desteği ile Line of Business uygulamalar Azure AD üzerinden kullanıcılara publish edilebilir, yapınızdaki uygulamalar için Azure AD Application Proxy servisi kullanılabilir. Azure AD’de yer alan kullanıcılarınız eğer yukarıda da açıkladığımız gibi Cloud User ise, SSPR olarak tanımladığımız Self Service Password Reset özelliğini kullanarak şifrelerini sıfırlayabilmektedirler. Company Branding ile kullanıcılarınıza sunduğunuz web üzerinden erişim portallarını şirketinize özel görsel ve açıklamalar ile şekillendirebilirsiniz.
Sıralamanın dışına çıkarak Azure AD Premium servisini atlıyorum, ayrı olarak bahsetmek istediğim Azure AD Premium servisi ile yapınızdaki yönetim süreçlerinden ayrıca bahsedeceğim.
Office 365 ile gelen Azure AD: Office 365 hizmetinin satın alınmasından sonra kullanımını gerçekleştirdiğimiz Azure Active Directory hizmeti ile yukarıda incelediğimiz Free ve Basic Azure AD versiyonlarının yanı sıra Multi Factor Authentication servisi kullanabilmekteyiz. Azure MFA servisinin Office 365 ile birlikte ücretsiz olarak sunulmasının nedeniyle ikincil bir kimlik doğrulama yapılarak şirket kaynaklarına erişimde güvenlik katmanını arttırabiliriz. Yukarıda belirtmiş olduğum Azure AD user türleri bu noktada anlam kazanmış oluyor aslında, çünkü ücretsiz olarak Office 365 üyeliği ile create ettiğimiz user modellerine göre MFA deployment süreçleri değişmektedir. Cloud user olarak oluşturduğumuz kullanıcılarda MFA aktifleştirilmesi Azure AD üzerinden kolaylıkla yapılırken, Synchronized user yani AD Connect aracı ile Windows Server Active Directory’den eşitlediğimiz kullanıcılar için MFA’i aktifleştirmek istediğimizde Identity Provider‘a ihtiyaç vardır, bu noktada da yapımızda AD FS konumlandırmak durumdayız.
Comparing Free, Basic, and Premium editions
Azure AD Free |
Azure AD Basic |
Azure AD Premium |
Office 365 apps only |
||
Ortak Özellikler |
Directory objects |
500,000 object limit |
No object limit |
No object limit |
No object limit for Office 365 user accounts |
User/group management (add/update/delete)/user-based provisioning, device registration |
Yes |
Yes |
Yes |
Yes |
|
SSO to SAAS apps/custom apps/application proxy apps |
10 apps per user |
10 apps per user |
No limit |
10 apps per user |
|
Self-service password change for cloud users |
Yes |
Yes |
Yes |
Yes |
|
Connect (sync engine that extends on-premises directories to Azure Active Directory) |
Yes |
Yes |
Yes |
Yes |
|
Preview: B2B collaboration |
Yes |
Yes |
Yes |
Yes |
|
Security/usage reports |
Basic reports |
Basic reports |
Advanced reports |
Basic reports |
|
Premium + Basic Özellikleri |
Group-based access management/provisioning |
|
Yes |
Yes |
|
Self-service password reset for cloud users |
|
Yes |
Yes |
Yes |
|
Company branding (logon pages/access panel customization) |
|
Yes |
Yes |
Yes |
|
Application proxy |
|
Yes |
Yes |
|
|
SLA 99.9% |
|
Yes |
Yes |
Yes |
|
Premium Özellikleri |
Self-service group management/self-service application addition/ dynamic group membership |
|
|
Yes |
|
Self-service password reset/change/unlock with on-premises write-back |
|
|
Yes |
|
|
Multi-factor authentication (cloud and on-premises (MFA server)) |
|
|
Yes |
Limited cloud only for Office 365 Apps |
|
MIM CAL + MIM Server |
|
|
Yes |
|
|
Cloud app discovery |
|
|
Yes |
|
|
Connect Health |
|
|
Yes |
|
|
Automatic password rollover for group accounts |
|
|
Yes |
|
|
Preview: Conditional access |
|
|
Yes |
|
|
Preview: Privileged identity management |
|
|
Yes |
|
|
Windows 10 + Azure AD Join özellikleri |
Join a Windows 0 device to Azure AD, Desktop SSO, Microsoft Passport for Azure AD, Administrator Bitlocker recovery |
Yes |
Yes |
Yes |
Yes |
Windows 10 + Azure AD Join özellikleri |
MDM auto-enrolment, Self-Service Bitlocker recovery, additional local administrators to Windows 0 devices via Azure AD Join |
|
|
Yes |