Active Directory Federasyon Hizmetleri (ADFS) 2.0
Yeni bir makale ile tekrar beraberiz. Bu makalemizde, Active Directory Fedaration Services (ADFS 2.0) Kurulum ve gerekli konfigürasyon ayarlarından bahsedeceğiz. Kurulum aşamalarına geçmeden önce dilerseniz ADFS nedir sorusuna cevap vererek makalemize giriş yapalım.
ADFS Nedir?
Active Directory Federasyon Hizmetleri (ADFS) , Windows Server 2003 R2, Windows Server 2008 ve Windows Server 2008 R2 işletim sistemleri üzerinde bulunan kullanıcıların, tek bir oturum üzerinden bağlantı gerçekleştirmelerini sağlayarak, birden çok web uygulaması üzerinde kimlik doğrulaması gerçekleştirmelerini sağlamaktadır. Kimlik doğrulama işlemi sırasında çoklu oturum açma (SSO) teknolojisi kullanılmaktadır. ADFS Windows Server 2008 işletim sistemi üzerinde çalışabildiği gibi birden çok platform üzerinde de güvenle çalışabilmektedir. Network ortamında güvenli bir kimlik doğrulama erişimi çözümü oluşturmak için Active Directory Fedarasyon Hizmetlerinden faydalanabilirsiniz.
Active Directory Fedarasyon Hizmetleri AD FS) 2.0 , mevcut network üzerindeki uygulamaların güvenliğini korumak için bir talep tabanlı erişim yetkilendirme mekanizması (CBA) kullanarak network üzerindeki uygulamalara erişimi kolalaştırmaktadır. AD FS , teknolojisi (BT) kuruluşları arasında web SSO teknolojilerini desteklemektedir.
AD FS teknolojisi , Windows Server 2008 ve Windows Server 208 R2 işletim sistemleri üzerinde güvenle çalıştırılabilmektedir. Makalemize AD FS’in ne olduğunu açıklayarak başladık. Şimdi AD FS 2.0 ‘ ın biz sistemcilere ve kullanıcılara ne gibi fayda sağlar, bunlara bir göz atalım.
Güvenli İşbirliği
Keliime işlemciler , e-posta istemcileri ve line-of iş uygulamaları ve şirket network’ü içerisindeki hayati bir önem arz eden bilgilerin, şirket kullanıcıları arasında yazdırma, değiştirme vb işlemlerin güvenli bir şekilde gerçekleştirilmesini sağlanır. AD FS 2.0 ile beraber , organizasyon içerisinde, özel kullanım ilkesi şablonları oluşturulabilir veya gizli -salt okunur uygulamaların Active Directory etki alanı içerisindeki kullanıcılar arasında güvenli bir şekilde erişime sunulması sağlanabilmektedir.
Minimum İş Yükü
ADFS ‘in bizlere sunmuş olduğu bu faydalardan diğer br taneside, iki organizasyon arasındaki hesapların ve kimlik bilgilerinin yönetim yükü azaltılabilir ve organizasyon sınırları içerisinde ve organizasyon dışındaki kullanıcıların kaynaklara erişimi güvenli bir şekilde gerçekleştirilmektedir. AD FS, organizasyon içerisindeki platformlar ve uygulamalar arasında Single Sign On (SSO) bileşenini güvenli bir şekilde etkinleştirmek ve daha sonra kaldırmak için kullanıcılara kurulum kolaylığı sağlamaktadır.
Adım Adım Kimlik Doğrulama
Adım adım kimlik doğrulama işleminde, web siteleri için akıllı kart uygulaması kullanılarak kimlik doğrulama talebinde bulunabilirsiniz. Akıllı kart ile kimlik doğrulama işleminde, şirket içerisinde ki kullanıcılar arasında yetkilendirme işlemi gerçekleştirme ve kullanıcıların organizasyon içerisindeki uygulamalara güvenli bir şekilde erişimi sağlanabilir. AD FS 2.0, güncelleştirilmiş bir Microsoft Yönetim Konsolu (MMC ve Windows Powershell cmdlet’leri kullanarak Active Directoy Fedarasyonu sunucusu üzerinde komut satırı arayüzü üzerinden yönetimi sağlayan yeni bir komut satırı araçları ile beraber gelmektedir.
AD FS Yenilikleri
Makalemizde de belirtmiş olduğumuz gibi , AD FS Windows Server 2008 R2 ve Windows Server 2003 R2 sunucu işletim sistemleri üzerinde çalıştırılabilmektedir.Ama , Windows Server 2008 R2 işletim sistemi üzerinde bulunan AD FS sunucu rolü, Windows Server 2003 R2 işletim sistemi üzerinde bulunan AD FS sunucu rolüne göre, getirmiş olduğu yenilikler bakımından farklılık göstermektedir.Şimdi Windows Server 2008 R2 işletim sistemi şle beraber gelen AD FS ‘in beraberinde getirmiş olduğu yeniliklere kısaca değinelim.
Federasyon ve Web SSO’su
Organizasyonunuz içerisinde bulunan müşterileriniz veya uzak merkezdeki kullanıcılarınız, Active Directory Etki Alanı Hizmetşlerini (AD DS)’yi kullandıklarında, kendi organizasyon sınırları içeriisnde ,Windows Tümleşik Kimlik Doğrulama yöntemi sayesinde SSO işlevlerinden yararlanmaktadır. AD FS sunucuları, benzer kuruluşlar arasında federe işlemlerini kolaylaştırmak için birden çok organizasyon arasında dağıtılabilmektedir.
Gelişmiş Uygulama Desteği
AD FS , Microsoft Office Sharepoint Server 2007 ve Active Directory Raight Management Services ile entegreli bir şekilde çalışmaktadır.
Federasyon Yönetimi Deneyimi
AD FS içerisinde bulunan geliştirilmiş Güven İlkesi ile, şirket içerisinde sıkça karşılaşılan yapılandırma sorunlarını da minimuma indirmektedir.
AD FS Rol Hizmetleri
AD FS Sunucusu, organizasyon içerisndeki mevcut kullanıcıların, web tabanlı kaynaklara güvenli bir şekilde erişmesini sağlamak için yetkilendirilmiştir. Federasyon hizmetleri sunucusu rolü, proxy hizmetleri ve web aracısı hizmetleri içermektedir. Organizasyon gereksinimlerine bağlı olarak, aşağıdaki hizmet rolleri ,AD FS sunucusu üzerinde dağıtılabilir. Bunlar;
Federation Service
Federasyon hizmetleri, organizasyon içerisinde ortak bir güven ilişkisini paylaşan, bir veya birden fazla sunucudan oluşmaktadır. Organizasyon dışında bulunan kullanıcılardan, veya internet üzerindeki herhangi bir yerde bulunan istemci bilgisayar üzerinden gönderilen kimlik doğrulama isteklerini yönlendirmek için Federasyon sunucuları kullanılmaktadır.
Federation Service Proxy
Federayon Hizmeti Proxy’Si, arındırılmış bölge veya filtrelenmiş alt ağ olarak bilinmektedir. Federasyon Hizmeti Proxy’si İstemci bilgisayarlardan gönderilen kimlik doğrulama bilgilerini toplamak için (WS-PRP) Protokolünü kullabmaktadırç Federasyon Hizmeti tarafından toplanılan bu kimlik doğrulama bilgileri , tekrar kullanılmak üzere Federasyon Services rolü ile çalışan sunucuya gönderilmektedir.
Claims – Aware Agent
AD FS sunucusu üzerinde , Microsoft ASP.NET uygulamalarını çalıştırabilmek için gerekli olan rol bileşenidir
Windows Token Based Agent
AD FS sunucusu üzerinde web tabanlı uygulamaları çalıştırabilmek için ,Windows NT tabanlı bir web sunucusu barındırmaktadır.
ORGANİZASYON İÇERİSİNDE FEDERASYON ERŞİMİ SAĞLAMA
Şirket içerisindeki çalışanların, şirket networkü üzerindeki farklı uygulamalara erişim gerçeklleştitmesini istiyorsanız (AD FS) Active Directory Fedaration Services den fadalanabilirsiniz. Bu sayede şirket çalışanları ,single sign on (SSO) kimlik doğrulama sistemi üzerinden ve Active Directory tarafından kontrol edilen kaynaklara kullanıcı adı ve parola girmeden erişim gerçekleştirmektedirler.
Örnek olarak, X şirketi içerisindeki kullanıcı, Y şirketi üzerindeki uygulamalara erişim gerçekleştirmek istemektedir.X şirketi içeriisndeki bu kullanıcının ,Y şirketi üzerindeki kaynaklara erişim gerçekleştirmesi için Y şirketi üzerinde kmlik doğrulama işlemi yapmak zorundadır. Bu kimlik doğrulama işlemi esanasında , kullanıcıdan her bağlantı gerçekleştirmesinde kullanıcı adı ve parola gibi bilgiler istenmektedir. İşte tam bu noktada Single Sign On yani (SSO) devreye girmektedir. SSO sayesinde kullanıcı , kimlik doğrulama bilgilerini bir defaya nahsus girdikten sonra , bundan sonraki erişimlerinde kullanıcı adı ve parola gibi bilgileri girmesi istenmemektedir.
Aşağıdaki şekilde , Active Directory Federation Services (AD FS) kullanılarak , birbirinden farklı organizasyon içerisindeki kullanıcılar için kullanılabilecek bileşenler mevcuttur.
UZAK LOKASYONDAKİ ÇALIŞANLAR İÇİN FEDEEASYON ERİŞİMİ SAĞLAMA
Bu dağıtım amacında, kurumsal ağ üzerindeki çalışanlarınız üzerinde, federasyon erişimi sağlamak için gerekli olan bileşenler yer almaktadır. Uzak lokasyon içerisindeki kullanıcılar, internet üzerinden AD FS sunucusuna erişim gerçekleştirerek, sunucu üzerindeki uygulamaları kullanabilmektedirler. Uzak merkezde bulunan kullanıcılar aşağıdaki AD FS sunucu bileşenlerini kullanarak uzak noktadan AD FS sunucusuna erişim gerçekleştirmektedirler. Bu bileşenler;
· Account federation server proxy
· Perimeter DNS
· Remote employee
Account Federation Server Proxy
AD FS sunucusuna internet üzerinden erişim gerçekleştirecek olan kullanıcılarınızın kimlik doğrulama işlemleri gerçekleştirmesi için bu sunucu bileşenini kullanabilirsiniz. Bu bileşen ile beraber, form tabanlı kimlik doğrulaması ve basit seviyede kimlik doğrulaması gerçekleştirilebilmektedir. Ayrıca organizasyonunuz içerisindeki kullanıcılarınızın mevcut bir erişim sertifikası varsa, bu bileşeni Secure Sockets Layer (SSL) istemci kimlik doğrulaması bileşeni olarak yapılandırabilirsiniz.
Perimeter DNS
Organizasyon dışındaki kullanıcılarınızın, federasyon sunucusu üzerindeki kaynakları kullanabilmesi için Perimeter Network üzerinde DNS ve Federation Services bileşenini aktif hale getirmesi gerekmektedir.
Remote Employee
Şirket içi ve şirket dışındaki kullanıcılarınızın, internet üzerinden şirket network ‘ü üzerinde erişim gerçekleştirerek, şirket içerisindeki geçerli olan kimlik doğrulama bilgilerini kullanarak,desteklenen bir Web Tarayıcısı üzerinden AD FS sunucusuna erişerek Web uygulamalarını kullanabilmesi sağlanmaktadır. Şirket dışındaki bir client bilgisayar, AD FS sunucusu üzerindeki bir uygulamayı kullanmak istediği zaman, kimlik doğrulaması için federasyon sunucusu ile doğrudan iletişim kurmaktadır. Aşağıdaki şekil üzerinde, yukarıdaki seçeneklerde belirtilmiş olan dağıtım işlemi için gerekli olan bileşenler yer almaktadır.
UYGULAMALAR İÇİN FEDERASYON ERİŞİMİ SAĞLAMA
Organizasyon içerisindeki kullanıcılar, şirket networkü üzerindeki bir uygulamaya, Active Directory Federasyon Hizmetleri (AD FS) güvenlikli bir uygulama organizasyonu tarafından erişebilmektedirler. Uygulama federasyonu için aşağıdaki gerekli olan bileşenlerin karşılanması gerekmektedir.
Active Directory
Bu dağıtım seçeneğinde, Kaynak federasyonu sunucusunun Active Directory etki alanına sahip olması gerekmektedir. Active Directory ortamında, Windows NT tabanlı uygulamaların dağıtım işlemi için Active Directory yerel hesaplarının kullanılması gerekmemektedir.
Perimeter DNS
Organizasyon dışındaki kullanıcılarınızın, federasyon sunucusu üzerindeki kaynakları kullanabilmesi için Perimeter Network üzerinde DNS ve Federation Services bileşenini aktif hale getirmesi gerekmektedir. Bu uygulama, DNS sunucusu üzerinde bir host (A) kaydının da oluşturulmasını gerektirmektedir..ADFS sunucusu üzerinde bulunan DNS Sunucusu, ortamdaki diğer DNS Sunucularına da ev sahipliği yapabilmektedir.
Resource Federation Server
Kaynak federasyonu sunucuları, internet üzerinden erişilebilen kaynaklara sahiptir. Federasyon sunucusu üzerinde bulunan bu kaynaklar, kaynak sunucu tarafından yönetilir ve bu kaynakların ortak organizasyonlar arasında, güvenli bir şekilde kullanılmasını sağlamaktadır.
AD FS-Enabled Web Server
AD FS web sunucusu bileşeni, web sunucular üzerinde barındırılan web uygulamalarına güvenli bir şekilde erişmeyi sağlamaktadır.AD FS Web sunucusu,kaynak federasyon sunucusu tarafından gönderilen kimlik doğrulama bilgileri, AD FS Web sunucusu tarafından yönetilmektedir. AD FS özellikli Web sunucusunun ,talep uygulamalara veya Windows NT tabanlı uygulamalara ev sahipliği yapabilmesi için Web sunucu üzerinde AD FS özelliğinin aktif edilmesi gerekmektedir. Aşağıdaki şekil üzerinde de Web sunucu üzerinde uygulama dağıtımı yapılabilmesi için gerekli olan bişenler yer almaktadır.
AD FS DAĞITIM HEDEFLERİ
AD FS Web SSO Design
Active Directory Federasyon Hizmetleri (AD FS) kullanıcıların AD FS üzerinde bulunan birden fazla uygulamaya güvenli bir şekilde erişmesini sağlamaktadır.Kullanıcılar, AD FS üzerindeki uygulamalara erişirken bir defaya mahsus kullanıcı adı ve parola belirlemektedirler. Web Single Sign –On (SSO) bileşeni, genellikle mevcut internet alt yapısı yanı sıra, güvenlik duvarları, AD sunucuları üzerinde güvenli bir iletişim alt yapısı sunmaktadır. Web SSO, ortamı üzerinden iletişim gerçekleştiren kuruluşlar arasındaki online işlemler, daha güvenli bir şekilde gerçekleşmektedir. Aşağıdaki şekil üzerinde de görüldüğü gibi , iki organizasyon arasındaki, federasyon güven ilişkisi yer almaktadır.
Federated Web SSO Design
Bu tasarım, iki organizasyon arasındaki kullanıcıların, AD FS üzerindeki uygulamalara güvenli bir şekilde erişmesini sağlamaktadır. Bu tasarımda, organizasyon dışındaki kullanıcıların federasyon sunucusu üzerinde kimlik doğrulaması yaparak Web uygulamalarına erişebilmektedirler.Dış kullanıcıların, Active Directory ortamında kendilerine ait kullanıcı hesapları bulunmaktadır.
Evet, AD FS hakkında kısaca bilgi sahibi olduktan sonra AD FS ‘in kurulum aşamalarına geçiş yapabiliriz. AD FS kurulumunu gerçekleştirebilmek için sistemimizin de bazı donanım ve yazılım gereksinimlerini karşılaması gerekmektedir. AD FS ‘in sistem gereksinimlerinden kısaca bahsedecek olursak;
Donanım Gereksinimleri
· X86 tabanlı bilgisayarlar için 133 MHZ işlemci
· 256 MB RAM
· Kurulum için 10 MB boş disk alanı
Yazılım Gereksinimleri
· İşletim Sistemi: Windows Server 2008 R2 Enterprise Edition İşletim Sistemi
· İnternet İnformation Services (IIS)
· Microsoft ASP .NET 2.0
· Microsoft.NET Framework 2.0
· Aktarım Katmanı Güvenliği ve Güvenli Yuva Katmanı (TLS/SSL) ile yapılandırılmış, varsayılan bir Web sitesi Federasyon Hizmetleri için sertifika
Not: Federasyon Hizmetleri ve Federasyon Proxy’si bileşenleri, aynı bilgisayar üzerine kurulamamaktadır. Yalnızca Windows Server 2003 R2 Enterprise Edition işletim sistemi ile çalışan bilgisayar üzerine kurulabilmektedir.
Evet, AD FS 2.0 hakkında kısaca bilgi verdikten sonra kurulum aşamalarına geçiş yapabiliriz. AD FS kurulumuna başlamak için ilk önce aşağıda vermiş olduğum adresten ilgili programı download ediyoruz.
http://www.microsoft.com/download/en/details.aspx?id=10909
Programı yukarıda vermiş olduğum adresten download ettikten sonra AdfsSetup kısayoluna tıklayarak kurulum işlemini başlatıyoruz.
Bu işlemlerin ardıdan, karşımıza yukarıdaki şekilde de görüldüğü gibi Welcome to the AD FS 2.0 Setup Wizard ekranı çıkacaktır. Bu ekranı next diyerek geçiyoruz.
Next işleminin akabinde karşımıza End-User License Agreement (Lisans Sözleşmesi) penceresi çıkmaktadır. Lisans sözleşmesini kabul edip next ile diğer bir adıma geçiş yapıyoruz.
Server Role penceresinde, AD FS kurulumu gerçekleştirilecek olan bilgisayar üzerinde federasyon sunucusu rolü ve federasyon sunucusu proxy rolü gibi işlemleri gerçekleştirebileceğimiz rol seçenekleri karşımıza çıkmakta. Bu seçeneklerden kısaca bahsedecek olursak;
Federation Server
Bu seçenek ile beraber, organizasyon içerisindeki veya dışındaki kullanıcıların, şirket network’ü üzerinde bulunan talep tabanlı uygulamalara kimlik doğrulaması gerçekleştirerek erişmeleri sağlanmaktadır.
Federation Server Proxy
Bu sunucu rolünde ise, şirket network’ü üzerindeki federasyon sunucusuna, organizasyon dışındaki kullanıcıların, şirket kaynaklarına internet üzrerinden erişmelerini sağlar. AD FS sunucusuna internet üzerinden erişim gerçekleştirecek olan kullanıcılarınızın kimlik doğrulama işlemleri gerçekleştirmesi için bu sunucu bileşenini kullanabilirsiniz. Ben seçenekler arasıdan Federation Server seçeneğini seçerek kuruluma kaldığım yerden devam ediyorum.
Server Role ekranından sonra, karşımıza yukarıdaki şekilde de görüldüğü gibi Install Prerequisite Software ekranı çıkmakta. Bu ekran üzerinde, AD FS 2.0 kurulumu için gerekli olan bileşenlere ait bilgiler verilmekte. Kurulum için gerekli olan bileşenleri sistemimize yükledikten sonra next diyerek diğer bir adıma geçiş yapıyoruz.
Evet, yukarıdaki şekilde de görüldüğü üzere AD FS 2.0 kurulumu başlamış durumda.Status kısmında, kurulum esnasında sistemimize Install edilen servisler yer almakta.
AD FS kurulumu başarılı bir şekilde tamamlanmış durumda. Finish tuşuna basarak sistemimizin Restart edilmesini sağlıyoruz. Sistmimizin restart edilmesinin ardıdan AD FS management yönetim konsoluna ulaşmak için Start >> Programs >> Administrative Tools >> AD FS 2.0 Management seçeneklerini kullanabilirsiniz.
Ve ADFS 2.0 Management Yönetim Konsolu karşımızda.
Evet, bu makalemizde ADFS 2.0 kurulumu hakkında bilgi sahibi olduk. Bir daha ki Active Directory Fedaration Services makalemde görüşmek üzere hoşcakalın.