Windows Server

Active Directory Federasyon Hizmetleri (ADFS) 2.0


 


Yeni bir makale ile tekrar beraberiz. Bu makalemizde, Active Directory Fedaration Services (ADFS 2.0) Kurulum ve gerekli konfigürasyon ayarlarından bahsedeceğiz. Kurulum aşamalarına geçmeden önce dilerseniz ADFS nedir sorusuna cevap vererek makalemize giriş yapalım.


 


ADFS Nedir?


 


Active Directory Federasyon Hizmetleri (ADFS) , Windows Server 2003 R2, Windows Server 2008 ve Windows Server 2008 R2 işletim sistemleri üzerinde bulunan kullanıcıların, tek bir oturum üzerinden bağlantı gerçekleştirmelerini sağlayarak, birden çok web uygulaması üzerinde kimlik doğrulaması gerçekleştirmelerini sağlamaktadır. Kimlik doğrulama işlemi sırasında çoklu oturum açma (SSO) teknolojisi kullanılmaktadır. ADFS Windows Server 2008 işletim sistemi üzerinde çalışabildiği gibi birden çok platform üzerinde de güvenle çalışabilmektedir. Network ortamında güvenli bir kimlik doğrulama erişimi çözümü oluşturmak için Active Directory Fedarasyon Hizmetlerinden faydalanabilirsiniz.


 


Active Directory Fedarasyon Hizmetleri AD FS) 2.0 , mevcut network üzerindeki uygulamaların güvenliğini korumak için bir talep tabanlı erişim yetkilendirme mekanizması (CBA) kullanarak network üzerindeki uygulamalara erişimi kolalaştırmaktadır. AD FS , teknolojisi (BT) kuruluşları arasında web SSO teknolojilerini desteklemektedir.


 


AD FS teknolojisi , Windows Server 2008 ve Windows Server 208 R2 işletim sistemleri üzerinde güvenle çalıştırılabilmektedir. Makalemize AD FS’in ne olduğunu açıklayarak başladık. Şimdi AD FS 2.0 ‘ ın biz sistemcilere ve kullanıcılara ne gibi fayda sağlar, bunlara bir göz atalım.


 


Güvenli İşbirliği


 


Keliime işlemciler , e-posta istemcileri ve line-of iş uygulamaları ve şirket network’ü içerisindeki hayati bir önem arz eden bilgilerin, şirket kullanıcıları arasında yazdırma, değiştirme vb işlemlerin güvenli bir şekilde gerçekleştirilmesini sağlanır. AD FS 2.0 ile beraber , organizasyon içerisinde, özel kullanım ilkesi şablonları oluşturulabilir veya gizli -salt okunur uygulamaların Active Directory etki alanı içerisindeki kullanıcılar arasında güvenli bir şekilde erişime sunulması sağlanabilmektedir.


 


Minimum İş Yükü


 


ADFS ‘in bizlere sunmuş olduğu bu faydalardan diğer br taneside, iki organizasyon arasındaki hesapların ve kimlik bilgilerinin yönetim yükü azaltılabilir ve organizasyon sınırları içerisinde ve organizasyon dışındaki kullanıcıların kaynaklara erişimi güvenli bir şekilde gerçekleştirilmektedir. AD FS, organizasyon içerisindeki platformlar ve uygulamalar arasında Single Sign On (SSO) bileşenini güvenli bir şekilde etkinleştirmek ve daha sonra kaldırmak için kullanıcılara kurulum kolaylığı sağlamaktadır.


 


Adım Adım Kimlik Doğrulama


 


Adım adım kimlik doğrulama işleminde, web siteleri için akıllı kart uygulaması kullanılarak kimlik doğrulama talebinde bulunabilirsiniz. Akıllı kart ile kimlik doğrulama işleminde, şirket içerisinde ki kullanıcılar arasında yetkilendirme işlemi gerçekleştirme ve kullanıcıların organizasyon içerisindeki uygulamalara güvenli bir şekilde erişimi sağlanabilir. AD FS 2.0, güncelleştirilmiş bir Microsoft Yönetim Konsolu (MMC ve Windows Powershell cmdlet’leri kullanarak Active Directoy Fedarasyonu sunucusu üzerinde komut satırı arayüzü üzerinden yönetimi sağlayan yeni bir komut satırı araçları ile beraber gelmektedir.


 


AD FS Yenilikleri


 


Makalemizde de belirtmiş olduğumuz gibi , AD FS Windows Server 2008 R2 ve Windows Server 2003 R2 sunucu işletim sistemleri üzerinde çalıştırılabilmektedir.Ama , Windows Server 2008 R2 işletim sistemi üzerinde bulunan AD FS sunucu rolü, Windows Server 2003 R2 işletim sistemi üzerinde bulunan AD FS sunucu rolüne göre, getirmiş olduğu yenilikler bakımından farklılık göstermektedir.Şimdi Windows Server 2008 R2 işletim sistemi şle beraber gelen AD FS ‘in beraberinde getirmiş olduğu yeniliklere kısaca değinelim.


 


Federasyon ve Web SSO’su


 


Organizasyonunuz içerisinde bulunan müşterileriniz veya uzak merkezdeki kullanıcılarınız, Active Directory Etki Alanı Hizmetşlerini (AD DS)’yi kullandıklarında, kendi organizasyon sınırları içeriisnde ,Windows Tümleşik Kimlik Doğrulama yöntemi sayesinde SSO işlevlerinden yararlanmaktadır. AD FS sunucuları, benzer kuruluşlar arasında federe işlemlerini kolaylaştırmak için birden çok organizasyon arasında dağıtılabilmektedir.


 


Gelişmiş Uygulama Desteği


 


AD FS , Microsoft Office Sharepoint Server 2007 ve Active Directory Raight Management Services ile entegreli bir şekilde çalışmaktadır.


 


Federasyon Yönetimi Deneyimi


 


AD FS içerisinde bulunan geliştirilmiş Güven İlkesi ile, şirket içerisinde sıkça karşılaşılan yapılandırma sorunlarını da minimuma indirmektedir.


 


AD FS Rol Hizmetleri


 


AD FS Sunucusu, organizasyon içerisndeki mevcut kullanıcıların, web tabanlı kaynaklara güvenli bir şekilde erişmesini sağlamak için yetkilendirilmiştir. Federasyon hizmetleri sunucusu rolü, proxy hizmetleri ve web aracısı hizmetleri içermektedir. Organizasyon gereksinimlerine bağlı olarak, aşağıdaki hizmet rolleri ,AD FS sunucusu üzerinde dağıtılabilir. Bunlar;


 


Federation Service


 


Federasyon hizmetleri, organizasyon içerisinde ortak bir güven ilişkisini paylaşan, bir veya birden fazla sunucudan oluşmaktadır. Organizasyon dışında bulunan kullanıcılardan, veya internet üzerindeki herhangi bir yerde bulunan istemci bilgisayar üzerinden gönderilen kimlik doğrulama isteklerini yönlendirmek için Federasyon sunucuları kullanılmaktadır.


 


Federation Service Proxy


 


Federayon Hizmeti Proxy’Si, arındırılmış bölge veya filtrelenmiş alt olarak bilinmektedir. Federasyon Hizmeti Proxy’si İstemci bilgisayarlardan gönderilen kimlik doğrulama bilgilerini toplamak için (WS-PRP) Protokolünü kullabmaktadırç Federasyon Hizmeti tarafından toplanılan bu kimlik doğrulama bilgileri , tekrar kullanılmak üzere Federasyon Services rolü ile çalışan sunucuya gönderilmektedir.


 


Claims – Aware Agent


 


AD FS sunucusu üzerinde , Microsoft ASP.NET uygulamalarını çalıştırabilmek için gerekli olan rol bileşenidir


 


Windows Token Based Agent


 


AD FS sunucusu üzerinde web tabanlı uygulamaları çalıştırabilmek için ,Windows NT tabanlı bir web sunucusu barındırmaktadır.


 


ORGANİZASYON İÇERİSİNDE FEDERASYON ERŞİMİ SAĞLAMA


 


Şirket içerisindeki çalışanların, şirket networkü üzerindeki farklı uygulamalara erişim gerçeklleştitmesini istiyorsanız (AD FS) Active Directory Fedaration Services den fadalanabilirsiniz. Bu sayede şirket çalışanları ,single sign on (SSO) kimlik doğrulama sistemi üzerinden ve Active Directory tarafından kontrol edilen kaynaklara kullanıcı adı ve parola girmeden erişim gerçekleştirmektedirler.


Örnek olarak, X şirketi içerisindeki kullanıcı, Y şirketi üzerindeki uygulamalara erişim gerçekleştirmek istemektedir.X şirketi içeriisndeki bu kullanıcının ,Y şirketi üzerindeki kaynaklara erişim gerçekleştirmesi için Y şirketi üzerinde kmlik doğrulama işlemi yapmak zorundadır. Bu kimlik doğrulama işlemi esanasında , kullanıcıdan her bağlantı gerçekleştirmesinde kullanıcı adı ve parola gibi bilgiler istenmektedir. İşte tam bu noktada Single Sign On yani (SSO) devreye girmektedir. SSO sayesinde kullanıcı , kimlik doğrulama bilgilerini bir defaya nahsus girdikten sonra , bundan sonraki erişimlerinde kullanıcı adı ve parola gibi bilgileri girmesi istenmemektedir.


 


Aşağıdaki şekilde , Active Directory Federation Services (AD FS) kullanılarak , birbirinden farklı organizasyon içerisindeki kullanıcılar için kullanılabilecek bileşenler mevcuttur.


 


 


image001


 


 


UZAK LOKASYONDAKİ ÇALIŞANLAR İÇİN FEDEEASYON ERİŞİMİ SAĞLAMA


 


Bu dağıtım amacında, kurumsal üzerindeki çalışanlarınız üzerinde, federasyon erişimi sağlamak için gerekli olan bileşenler yer almaktadır. Uzak lokasyon içerisindeki kullanıcılar, internet üzerinden AD FS sunucusuna erişim gerçekleştirerek, sunucu üzerindeki uygulamaları kullanabilmektedirler. Uzak merkezde bulunan kullanıcılar aşağıdaki AD FS sunucu bileşenlerini kullanarak uzak noktadan AD FS sunucusuna erişim gerçekleştirmektedirler. Bu bileşenler;


 


·     Account federation server proxy


·     Perimeter DNS


·     Remote employee


 


Account Federation Server Proxy


 


AD FS sunucusuna internet üzerinden erişim gerçekleştirecek olan kullanıcılarınızın kimlik doğrulama işlemleri gerçekleştirmesi için bu sunucu bileşenini kullanabilirsiniz. Bu bileşen ile beraber, form tabanlı kimlik doğrulaması ve basit seviyede kimlik doğrulaması gerçekleştirilebilmektedir. Ayrıca organizasyonunuz içerisindeki kullanıcılarınızın mevcut bir erişim sertifikası varsa, bu bileşeni Secure Sockets Layer (SSL) istemci kimlik doğrulaması bileşeni olarak yapılandırabilirsiniz.


 


Perimeter DNS


 


Organizasyon dışındaki kullanıcılarınızın, federasyon sunucusu üzerindeki kaynakları kullanabilmesi için Perimeter Network üzerinde DNS ve Federation Services bileşenini aktif hale getirmesi gerekmektedir.


 


Remote Employee


 


Şirket içi ve şirket dışındaki kullanıcılarınızın, internet üzerinden şirket network ‘ü üzerinde erişim gerçekleştirerek, şirket içerisindeki geçerli olan kimlik doğrulama bilgilerini kullanarak,desteklenen bir Web Tarayıcısı üzerinden AD FS sunucusuna erişerek Web uygulamalarını kullanabilmesi sağlanmaktadır. Şirket dışındaki bir client bilgisayar, AD FS sunucusu üzerindeki bir uygulamayı kullanmak istediği zaman, kimlik doğrulaması için federasyon sunucusu ile doğrudan iletişim kurmaktadır. Aşağıdaki şekil üzerinde, yukarıdaki seçeneklerde belirtilmiş olan dağıtım işlemi için gerekli olan bileşenler yer almaktadır.


 


 


image002


 


 


UYGULAMALAR İÇİN FEDERASYON ERİŞİMİ SAĞLAMA


 


Organizasyon içerisindeki kullanıcılar, şirket networkü üzerindeki bir uygulamaya, Active Directory Federasyon Hizmetleri (AD FS) güvenlikli bir uygulama organizasyonu tarafından erişebilmektedirler. Uygulama federasyonu için aşağıdaki gerekli olan bileşenlerin karşılanması gerekmektedir.


 


Active Directory


 


Bu dağıtım seçeneğinde, Kaynak federasyonu sunucusunun Active Directory etki alanına sahip olması gerekmektedir. Active Directory ortamında, Windows NT tabanlı uygulamaların dağıtım işlemi için Active Directory yerel hesaplarının kullanılması gerekmemektedir.


 


Perimeter DNS


 


Organizasyon dışındaki kullanıcılarınızın, federasyon sunucusu üzerindeki kaynakları kullanabilmesi için Perimeter Network üzerinde DNS ve Federation Services bileşenini aktif hale getirmesi gerekmektedir. Bu uygulama, DNS sunucusu üzerinde bir host (A) kaydının da oluşturulmasını gerektirmektedir..ADFS sunucusu üzerinde bulunan DNS Sunucusu, ortamdaki diğer DNS Sunucularına da ev sahipliği yapabilmektedir.


 


Resource Federation Server


 


Kaynak federasyonu sunucuları, internet üzerinden erişilebilen kaynaklara sahiptir. Federasyon sunucusu üzerinde bulunan bu kaynaklar, kaynak sunucu tarafından yönetilir ve bu kaynakların ortak organizasyonlar arasında, güvenli bir şekilde kullanılmasını sağlamaktadır.


 


AD FS-Enabled Web Server


 


AD FS web sunucusu bileşeni, web sunucular üzerinde barındırılan web uygulamalarına güvenli bir şekilde erişmeyi sağlamaktadır.AD FS Web sunucusu,kaynak federasyon sunucusu tarafından gönderilen kimlik doğrulama bilgileri, AD FS Web sunucusu tarafından yönetilmektedir. AD FS özellikli Web sunucusunun ,talep uygulamalara veya Windows NT tabanlı uygulamalara ev sahipliği yapabilmesi için Web sunucu üzerinde AD FS özelliğinin aktif edilmesi gerekmektedir. Aşağıdaki şekil üzerinde de Web sunucu üzerinde uygulama dağıtımı yapılabilmesi için gerekli olan bişenler yer almaktadır.


 


 


image002


 


 


AD FS DAĞITIM HEDEFLERİ


 


AD FS Web SSO Design


 


Active Directory Federasyon Hizmetleri (AD FS) kullanıcıların AD FS üzerinde bulunan birden fazla uygulamaya güvenli bir şekilde erişmesini sağlamaktadır.Kullanıcılar, AD FS üzerindeki uygulamalara erişirken bir defaya mahsus kullanıcı adı ve parola belirlemektedirler. Web Single Sign –On (SSO) bileşeni, genellikle mevcut internet alt yapısı yanı sıra, güvenlik duvarları, AD sunucuları üzerinde güvenli bir iletişim alt yapısı sunmaktadır. Web SSO, ortamı üzerinden iletişim gerçekleştiren kuruluşlar arasındaki online işlemler, daha güvenli bir şekilde gerçekleşmektedir. Aşağıdaki şekil üzerinde de görüldüğü gibi , iki organizasyon arasındaki, federasyon güven ilişkisi yer almaktadır.


 


 


image003


 


 


Federated Web SSO Design


 


Bu tasarım, iki organizasyon arasındaki kullanıcıların, AD FS üzerindeki uygulamalara güvenli bir şekilde erişmesini sağlamaktadır. Bu tasarımda, organizasyon dışındaki kullanıcıların federasyon sunucusu üzerinde kimlik doğrulaması yaparak Web uygulamalarına erişebilmektedirler.Dış kullanıcıların, Active Directory ortamında kendilerine ait kullanıcı hesapları bulunmaktadır.


 


 


image004


 


 


Evet, AD FS hakkında kısaca bilgi sahibi olduktan sonra AD FS ‘in kurulum aşamalarına geçiş yapabiliriz. AD FS kurulumunu gerçekleştirebilmek için sistemimizin de bazı donanım ve yazılım gereksinimlerini karşılaması gerekmektedir. AD FS ‘in sistem gereksinimlerinden kısaca bahsedecek olursak;


 


 


Donanım Gereksinimleri


 


·     X86 tabanlı bilgisayarlar için 133 MHZ işlemci


·     256 MB RAM


·     Kurulum için 10 MB boş disk alanı


 


Yazılım Gereksinimleri


 


·     İşletim Sistemi: Windows Server 2008 R2 Enterprise Edition İşletim Sistemi


·     İnternet İnformation Services (IIS)


·     Microsoft ASP .NET 2.0


·     Microsoft.NET Framework 2.0


·     Aktarım Katmanı Güvenliği ve Güvenli Yuva Katmanı (TLS/SSL) ile yapılandırılmış, varsayılan bir Web sitesi Federasyon Hizmetleri için sertifika


 


Not: Federasyon Hizmetleri ve Federasyon Proxy’si bileşenleri, aynı bilgisayar üzerine kurulamamaktadır. Yalnızca Windows Server 2003 R2 Enterprise Edition işletim sistemi ile çalışan bilgisayar üzerine kurulabilmektedir.


 


Evet, AD FS 2.0 hakkında kısaca bilgi verdikten sonra kurulum aşamalarına geçiş yapabiliriz. AD FS kurulumuna başlamak için ilk önce aşağıda vermiş olduğum adresten ilgili programı download ediyoruz.


 


http://www.microsoft.com/download/en/details.aspx?id=10909


 


Programı yukarıda vermiş olduğum adresten download ettikten sonra AdfsSetup kısayoluna tıklayarak kurulum işlemini başlatıyoruz.


 


 


image005


 


 


Bu işlemlerin ardıdan, karşımıza yukarıdaki şekilde de görüldüğü gibi Welcome to the AD FS 2.0 Setup Wizard ekranı çıkacaktır. Bu ekranı next diyerek geçiyoruz.


 


 


image006


 


 


Next işleminin akabinde karşımıza End-User License Agreement (Lisans Sözleşmesi) penceresi çıkmaktadır. Lisans sözleşmesini kabul edip next ile diğer bir adıma geçiş yapıyoruz.


 


 


image007


 


 


Server Role penceresinde, AD FS kurulumu gerçekleştirilecek olan bilgisayar üzerinde federasyon sunucusu rolü ve federasyon sunucusu proxy rolü gibi işlemleri gerçekleştirebileceğimiz rol seçenekleri karşımıza çıkmakta. Bu seçeneklerden kısaca bahsedecek olursak;


 


Federation Server


 


Bu seçenek ile beraber, organizasyon içerisindeki veya dışındaki kullanıcıların, şirket network’ü üzerinde bulunan talep tabanlı uygulamalara kimlik doğrulaması gerçekleştirerek erişmeleri sağlanmaktadır.


 


Federation Server Proxy


 


Bu sunucu rolünde ise, şirket network’ü üzerindeki federasyon sunucusuna, organizasyon dışındaki kullanıcıların, şirket kaynaklarına internet üzrerinden erişmelerini sağlar. AD FS sunucusuna internet üzerinden erişim gerçekleştirecek olan kullanıcılarınızın kimlik doğrulama işlemleri gerçekleştirmesi için bu sunucu bileşenini kullanabilirsiniz. Ben seçenekler arasıdan Federation Server seçeneğini seçerek kuruluma kaldığım yerden devam ediyorum.


 


 


image008


 


 


Server Role ekranından sonra, karşımıza yukarıdaki şekilde de görüldüğü gibi Install Prerequisite Software ekranı çıkmakta. Bu ekran üzerinde, AD FS 2.0 kurulumu için gerekli olan bileşenlere ait bilgiler verilmekte. Kurulum için gerekli olan bileşenleri sistemimize yükledikten sonra next diyerek diğer bir adıma geçiş yapıyoruz.


 


 


image009


 


 


Evet, yukarıdaki şekilde de görüldüğü üzere AD FS 2.0 kurulumu başlamış durumda.Status kısmında, kurulum esnasında sistemimize Install edilen servisler yer almakta.


 


 


 


image010


 


 


 


AD FS kurulumu başarılı bir şekilde tamamlanmış durumda. Finish tuşuna basarak sistemimizin Restart edilmesini sağlıyoruz. Sistmimizin restart edilmesinin ardıdan AD FS management yönetim konsoluna ulaşmak için Start >> Programs >> Administrative Tools >> AD FS 2.0 Management seçeneklerini kullanabilirsiniz.


 


 


 


image011


 


 


 


Ve ADFS 2.0 Management Yönetim Konsolu karşımızda.


 


 


Evet, bu makalemizde ADFS 2.0 kurulumu hakkında bilgi sahibi olduk. Bir daha ki Active Directory Fedaration Services makalemde görüşmek üzere hoşcakalın.

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu