Azure Active Directory (Entra ID) Single Sign-On (SSO) çözümü, modern iş yerlerinin ihtiyaçlarına cevap veren önemli bir araçtır. Single Sign-On (SSO) seçeneğini Parola eşitleme veya Geçişli Kimlik Doğrulaması ile birlikte etkinleştirebilirsiniz.
Azure Active Directory Connect’in (Entra ID) en güncel versiyonu, kullanıcılara büyük kolaylıklar ve esneklikler sunuyor. Bu yeni sürümde, “Single Sign-On (SSO) ” özelliği kullanılabilmektedir. Bu entegrasyon, kullanıcı deneyimini önemli ölçüde iyileştirmektedir.
Özellikle, Office 2016’da “Modern Kimlik Doğrulama” etkinleştirildiğinde, kullanıcılara sunulan kolaylık dikkate değerdir. Bu durumda, kullanıcılar yalnızca kullanıcı adlarını girmek zorundadır. Bunun ardından, eğer kullanıcıların makineleri etki alanına bağlıysa, Office uygulamalarındaki diğer bulut hizmetlerine oturum açmak için parola girmelerine gerek kalmaz. Bu, kullanıcıların verimliliğini artıran ve günlük iş akışlarında önemli bir zaman tasarrufu sağlayan bir yeniliktir.
Bu yeni özellik sayesinde, kullanıcılar her bir Microsoft 365 servisine veya Office uygulaması için ayrı ayrı oturum açma işlemi yapmak zorunda kalmazlar. Bu, özellikle çok sayıda uygulama kullanan ve sık sık farklı platformlar arasında geçiş yapan kullanıcılar için büyük bir avantajdır. Ayrıca, bu sürecin güvenliğini artırarak, potansiyel kimlik avı saldırılarına ve diğer güvenlik tehditlerine karşı koruma sağlar.
Azure Active Directory (Entra ID) SSO kullanabilmek için Azure Active Directory Connect (Entra ID Connect)'in v2.x sürümlerini kullanıyor olmanız gerekmektedir.
Microsoft Entra Connect V1 Destek Dışı Kalıyor! – ÇözümPark (cozumpark.com)
Microsoft Entra Connect V1 Destek Dışı Kalıyor! – Cengiz YILMAZ | Sys Blog
Azure AD Connect (Entra ID Connect) Yükleme
Azure AD Connect Kurulum ve Yapılandırma – ÇözümPark (cozumpark.com)
Azure Active Directory (Entra ID) Single Sign-On (SSO) Nedir?
Azure Active Directory (Entra ID) Single Sign-On (SSO), Microsoft tarafından sunulan bir kimlik ve erişim yönetimi hizmetidir. Bu hizmet, kullanıcılara birden fazla uygulama ve servise tek bir kimlik bilgisi seti ile güvenli bir şekilde erişim imkanı sağlar. Azure AD SSO, işletmelerin ve kuruluşların IT altyapılarını modernize etmelerine, güvenliklerini artırmalarına ve kullanıcı deneyimini iyileştirmelerine olanak tanır.
Azure Active Directory (Entra ID) Single Sign-On Özellikleri
1. Kimlik Doğrulama ve Yetkilendirme
- Tek Noktadan Giriş: Kullanıcılar, tüm entegre uygulamalara tek bir kimlik bilgisi seti ile giriş yapabilir.
- Token Tabanlı Kimlik Doğrulama: Azure AD, güvenli bir şekilde kimlik bilgilerini saklar ve OAuth 2.0 ve OpenID Connect standartlarına uygun tokenlar üreterek uygulamalara erişim sağlar.
2. Çoklu-Faktörlü Kimlik Doğrulama (MFA)
- Güvenliği artırmak için, kullanıcıların kimliklerini doğrulamak üzere birden fazla faktör (şifre, telefon onayı, biyometrik veriler vb.) kullanır.
3. Esnek Erişim Politikaları
- Kuruluşlar, kullanıcılara özgü erişim politikaları oluşturabilir. Bu, kullanıcıların hangi uygulamalara erişebileceğini ve hangi koşullar altında erişebileceğini tanımlar.
4. Uygulama Entegrasyonları
- Azure AD, sayısız bulut tabanlı ve yerel uygulamayla entegre edilebilir. Bu, Microsoft ürünleri (Office 365, Dynamics 365 vb.) ile sınırlı değil, aynı zamanda Salesforce, Google Apps gibi üçüncü parti uygulamaları da kapsar.
5. Kullanıcı ve Grup Yönetimi
- Kullanıcı hesapları ve grupları, Azure AD üzerinden merkezi olarak yönetilebilir. Bu, kullanıcıların rollerine ve erişim seviyelerine göre düzenlemeler yapmayı kolaylaştırır.
6. Güvenlik ve Uyumluluk
- Azure AD, sürekli olarak güvenlik güncellemeleri alır ve uluslararası veri koruma standartlarına uyumludur. Ayrıca, şüpheli etkinlikleri izleyerek ve raporlayarak güvenlik tehditlerine karşı koruma sağlar.
7. Azure AD Connect
- Bu araç, yerel dizinleri (örneğin, Active Directory) Azure AD ile senkronize eder, böylece kullanıcılar yerel ve bulut hizmetleri arasında sorunsuz bir şekilde geçiş yapabilirler.
Uygulama Senaryoları
- Uzaktan Çalışma: Azure AD SSO, uzaktan çalışanların şirket kaynaklarına güvenli ve kolay erişimini sağlar.
- Yerel ve Bulut Entegrasyonu: Şirketler, yerel ve bulut tabanlı uygulamaları tek bir kimlik doğrulama sistemine entegre edebilir.
- Regülasyon ve Uyumluluk: Azure AD, GDPR gibi düzenlemelere uyumluluk sağlayarak veri koruma ve gizlilik standartlarını karşılar.
Azure Active Directory (Entra ID) Single Sign-On (SSO) Nasıl Etkinleştirilir?
Azure Active Directory (Entra ID) Single Sign-On (SSO) çözümünün etkinleştirilmesi için iki yaygın yöntem bulunmaktadır: Pass-through Kimlik Doğrulaması ve Parola Eşitlemesi. Her iki yöntemin de kendine özgü ön koşulları ve yapılandırma gereklilikleri vardır.
Pass-through Kimlik Doğrulaması ile SSO’nun Etkinleştirilmesi
Pass-through kimlik doğrulaması, SSO’yu etkinleştirmek için kullanıldığında, bu yöntem için özel ek ön koşulların olmaması önemli bir avantajdır. Bu yaklaşım, kullanıcıların kimlik bilgilerini doğrudan yerel Active Directory’ye ileterek güvenli bir oturum açma deneyimi sağlar. Bu yöntem, Azure AD’nin doğrudan kullanıcıların kimlik bilgilerini doğrulamasına olanak tanır, dolayısıyla ekstra bir yapılandırmaya veya altyapıya gerek kalmaz.
Parola Eşitlemesi ile SSO’nun Etkinleştirilmesi
Parola eşitlemesi kullanılarak SSO etkinleştirildiğinde ve Azure AD Connect ile Azure AD arasında bir güvenlik duvarı mevcutsa, aşağıdaki özel yapılandırmaların yapılması gereklidir:
- Azure AD Connect Sunucusunun URL İletişimi: Azure AD Connect sunucusu, “* .msappproxy.net” URL’leriyle etkileşime girebilmelidir. Bu, güvenlik duvarı ayarlarının bu URL’lerle iletişimi destekleyecek şekilde yapılandırılmasını gerektirir.
- HTTPS İstekleri için Bağlantı Noktası Yapılandırması: Azure AD Connect (sürüm 1.1.484.0 veya daha üstü), 443 bağlantı noktası üzerinden Azure AD’ye HTTPS istekleri gönderebilmelidir. Bu ayar, yalnızca gerçek kullanıcı oturum açma işlemleri için değil, aynı zamanda SSO özelliğini etkinleştirmek için de kullanılır.
Bu iki yaklaşım, Azure AD SSO‘nun farklı IT altyapıları ve güvenlik gereksinimlerine uyum sağlayacak şekilde esnek bir yapılandırma sağlar. Pass-through kimlik doğrulaması, ekstra bir altyapı ihtiyacı olmadan doğrudan ve güvenli bir yöntem sunarken, parola eşitlemesi, daha fazla yapılandırma gerektirse de, özellikle güvenlik duvarları olan ortamlarda etkili bir çözüm sağlar. Bu yöntemler, kuruluşların mevcut IT altyapılarına ve güvenlik politikalarına uygun şekilde Azure AD SSO‘yu entegre etmelerine olanak tanır.
Azure AD SSO aktif hale getirebilmemiz için öncelikle Azure AD Connect sunucusu üzerinden gerekli işlemlerimi tamamlamamız gerekmektedir. Bu işlem için öncelikle Azure AD uygulamasını çalıştırıyoruz.
Azure Active Directory Connect (v2.x) içerisinde Change user sign-in adımına geliyoruz ve Next ile devam ediyoruz.
User sign-in adımın da Enable single sign-on bölümü etkinleştiriyoruz.
On-Prem AD için doğrulama işlemini tamamlamaız gerekmektedir.
Ready to configure bölümün de “Start the synchronization process when configuration completes” bölümünü etkinleştirdikten sonra Configure butonu ile devam ediyoruz ve Azure AD’nin Sync işlemini tamamlamasını bekliyoruz.
İlgili işlem tamamlandığın da Active Directorys Users and Computer bölümün de Computers objesi içerisin de AZUREADSSO
isminde bir obje oluşur, bu işlem sorunsuz bir SSO etkinleştirmesi gerçekleştiği zaman yaşanmaktadır.
Bilgisayar hesabının güvenlik nedenleriyle güçlü bir şekilde korunması gerekmektedir. Bilgisayar hesabını yalnızca Alan Yöneticileri (Domain Admins) yönetebilmelidir. Bilgisayar hesabında Kerberos temsilciliğinin (delegation) devre dışı bırakıldığından ve Aktif Dizin'deki (Active Directory) başka hiçbir hesabın bu bilgisayar hesabı üzerinde temsilcilik izinlerine sahip olmadığından emin olunmalıdır. Bilgisayar hesabını, kazara silinmelerden korunacakları ve yalnızca Alan Yöneticilerinin erişebileceği bir Organizasyon Birimi'nde (OU) saklayın. Bilgisayar hesabındaki Kerberos şifre çözme anahtarını da hassas olarak ele almak önemlidir. Bilgisayar hesabının Kerberos şifre çözme anahtarını en az her 30 günde bir yenilemenizi şiddetle tavsiye ederiz.
Seamless SSO, Kerberos için AES256_HMAC_SHA1, AES128_HMAC_SHA1 ve RC4_HMAC_MD5 şifreleme türlerini desteklemektedir. Hesabın şifreleme türünün AzureADSSOAcc$ için AES256_HMAC_SHA1, AES128_HMAC_SHA1 veya RC4 yerine AES türlerinden biri olarak ayarlanması daha fazla güvenlik için önerilir. Şifreleme türü, Active Directory'deki hesabın msDS-SupportedEncryptionTypes niteliğinde saklanır. Eğer hesabınızın şifreleme türü RC4_HMAC_MD5 olarak ayarlanmışsa ve bunu AES şifreleme türlerinden birine değiştirmek istiyorsanız, lütfen önce ilgili sorunun yer aldığı SSS belgesinde açıklandığı gibi hesabın Kerberos şifre çözme anahtarını yeniden oluşturduğunuzdan emin olun, aksi takdirde Seamless SSO gerçekleşmeyecektir.
Azure AD (Entra ID) SSO için GPO Yapılandırması
Group Policy Management‘i açıyoruz ve yeni bir GPO oluşturuyoruz, oluşturacağımız GPO’yu sonra OU içerisine Link etmeniz gerekmektedir.
Makinenin İntranet Bölgesine (Intranet Zone) açıkça eklenmesi gereken aşağıdaki URL’ler bulunmaktadır. Bu ayarlar, tarayıcının şu anda oturum açmış kullanıcının kimlik bilgilerini Azure AD’ye Kerberos bileti şeklinde göndermesini sağlamak için gereklidir. Bu işlem, kullanıcıların Azure AD ile sorunsuz ve güvenli bir şekilde etkileşime girmesini kolaylaştırır ve otomatik kimlik doğrulama sürecini destekler. Bu ayarların doğru şekilde yapılandırılması, kullanıcıların Azure AD entegre hizmetlerine erişirken oturum açma işlemlerini kolaylaştırır ve bu süreci daha verimli hale getirir.
Bu işlemi en iyi şekilde gerçekleştirmek için bir Grup İlkesi Nesnesi (GPO) oluşturabilirsiniz:
- Tüm kullanıcılara uygulanacak bir GPO oluşturun veya mevcut bir Internet Explorer ayarları GPO’suna ekleyin.
- User Configuration > Policies > Administrative Templates > Windows Components > Internet Explorer > Internet Control Panel > Security Page>Site to Zone Assignment List
- İlkeyi etkinleştirin ve aşağıdaki değerleri ekleyin:
https://autologon.microsoftazuread-sso.com
> 1https://aadg.windows.net.nsatc.net
> 1
Policies > Administrative Templates > Windows Components > Internet Explorer > Internet Control Panel > Security Page > Intranet Zone>Allow updates to status bar via script
Bu işlemlerle birlikte Azure AD(Entra ID) için SSO etkinleştirme işlemi başarılı bir şekilde tamamlandı.
Özet:
Azure Active Directory (Entra ID) Single Sign-On, işletmelerin verimlilik, güvenlik ve kullanıcı deneyimi açısından karşılaştıkları zorlukları aşmalarına yardımcı olan kritik bir teknolojidir. Azure AD Connect (Entra ID Connect) ile entegre olarak, kurumların kimlik yönetimi ve erişim kontrolü süreçlerini basitleştirir ve modern iş dünyasının gerektirdiği esnekliği sunar. Bu özellikler, Azure Active Directory (Entra ID) SSO‘yu sadece bir kimlik doğrulama çözümü olmaktan öte, işletmelerin dijital dönüşüm yolculuğunda stratejik bir ortak haline getirir.