Cloud Computing

Azure Active Directory – Seamless Single Sign On

Azure Active Directory Seamless Sigle Sign On (SSO ), kurumsal ağa bağlı kurumsal makinelerde oturum açan kullanıcılar için tek bir seferde oturum açma imkanı sağlar. Etkinleştirildiğinde, kullanıcılar Azure AD’de oturum açmak için parolalarını girmek zorunda kalmazlar ve çoğu durumda kullanıcı adlarını yazarlar. Bu özellik, kullanıcıların ek bileşenlere ihtiyaç duymadan bulut tabanlı hizmetlerinize kolaylıkla erişmesini sağlar.

Seamless SSO, Azure AD Connect ile etkinleştirilebilir ve password synchronization veya pass-through authentication ile de kullanılabilir.

SSO kullanabilmek için kullanıcıların bilgisayarlarında aşağıdaki koşulların karşılanması gerekir

·        Kullanıcınız kurumsal bir bilgisayar üzerinde oturum açıyor olması gerekir.

·        Bilgisayar daha önce Active Directory (AD) etki alanınıza eklenmesi gerekir.

·        Bilgisayar, şirketinizin kablolu veya kablosuz ağında veya bir VPN bağlantısı gibi bir uzaktan erişim bağlantısı üzerinden Etki Alanı Denetleyicinize (DC) doğrudan bağlantı sağlamalıdır.

·        Seamless SSO için kullanılan URL’ler daha öncesinden internet tarayıcınızı Intranet bölgesine dahil edilmesi gerekir.

Yukarıdaki koşullardan herhangi biri karşılanmazsa, kullanıcıdan önce olduğu gibi kullanıcı adı ve parolasını girmesi istenir.

clip_image002

Resim 01

Azure AD Seamless SSO şu an önizleme aşamasındadır. Ücretsiz bir özelliktir ve kullanmak için Azure AD’in ücretli sürümlerine ihtiyacınız yoktur.

Seamless SSO, Windows tabanlı makineler gibi Kerberos kimlik doğrulama yeteneğine sahip bilgisayarlarda modern kimlik doğrulamayı destekleyen web tarayıcı tabanlı istemciler ve Office istemcileri aracılığıyla desteklenir. Aşağıdaki matris çeşitli işletim sistemlerinde tarayıcı tabanlı istemcilerin ayrıntılarını yer almaktadır.

clip_image004

Resim 02

Azure AD Seamless SSO nasıl çalışır?

 

Azure AD Connect’te Seamless SSO’yu aşağıda gösterildiği gibi etkinleştirebilirsiniz. Etkinleştirildiğinde, kurum içi Active Directory’de (AD) AZUREADSSOACCT adlı bir bilgisayar hesabı oluşturulur ve Kerberos şifre çözme anahtarı Azure AD ile güvenli bir şekilde paylaşılır. Buna ek olarak, Azure AD oturum açma sırasında kullanılan iki hizmet URL’ni temsil etmek üzere iki Kerberos hizmet asıl adı (SPN) oluşturulur.

Bu kurulum tamamlandıktan sonra, Azure AD oturum açma işlemi, Integrated Windows Authentication (IWA) kullanan diğer oturum açma işlemleri ile aynı şekilde çalışır. Seamless SSO işlemi aşağıdaki gibi çalışır.

Kullanıcılarınızın Azure AD tarafından korunan, örneğin SharePoint Online gibi bir bulut tabanlı kaynağa erişmeye çalıştığını varsayalım. SharePoint Online, oturum açmak için kullanıcının tarayıcısını Azure AD’e yönlendirir.

Azure AD oturum açma isteğinde bir domain_hint (Azure AD aboneliği tanımlanır; örneğin, bulutnet.onmicrosoft.com) veya bir login_hint (kullanıcının kullanıcı adını belirtir; örneğin, [email protected] veya umit.seyhan@ bulutnet.net) parametresini kullanırsanız, aşağıdaki adımlar oluşur.

Bu iki parametreden biri Azure AD oturum açma isteğinde bulunmuyorsa, kullanıcıdan kullanıcı adını girmesi istenecek ve ardından aşağıdaki adımlar gerçekleşecektir.

·        Azure AD, Kerberos bileti sağlamak için 401 Unauthorized yanıt yoluyla kullanıcıya zorluk çıkarır.

·        Istemci, Azure AD için Active Directory’den bir bilet ister (daha önce kurulmuş olan makine hesabı tarafından temsil edilir).

·        Active Directory, makine hesabını bulur ve makine hesabının şifrelenmiş Kerberos bileti gönderir. Bilet, şu anda bilgisayarda oturum açmış kullanıcının kimliğini içerir.

·        İstemci, Active Directory’den edindiği Kerberos bilgisini Azure AD’ye gönderir.

·        Azure AD, daha önce paylaşılan anahtarı kullanarak Kerberos biletini çözer. Başarılı olursa, Azure AD ye bir simge döndürür ya da kullanıcıya kaynağın gerektirdiği şekilde çok etmenli kimlik doğrulama gibi ek provalar yapmasını ister.

İşlemin tamamı aşağıdaki şemada da yer almaktadır.

clip_image006

Resim 03

Azure AD Seamless SSO Nasıl Aktif Edilir?

 

Ön gereksinimler:

Pass-through kimlik doğrulaması ile Seamless SSO’yu etkinleştiriyorsanız, Pass-through kimlik doğrulama özelliği için gerekenin ötesinde herhangi bir ek ön koşul bulunmamaktadır.

Password synchronization ile Seamless SSO’yu etkinleştiriyorsanız ve Azure AD Connect ile Azure AD arasında bir güvenlik duvarı varsa aşağıdaki ayarların yapılması gereklidir.

·        Azure AD Connect sunucusu “* .msappproxy.net” URL’leri ile iletişim kurması gerekir.

·        Azure AD Connect (sürüm 1.1.484.0 veya üstü), 443 bağlantı noktası üzerinden Azure AD’e HTTPS istekleri gönderebilmeli. Bu, yalnızca gerçek kullanıcı oturum açma işlemleri için değil, özelliği etkinleştirmek için kullanılır.

Azure AD Connect’in eski sürümleri (1.1.484.0’dan düşük), 9090 bağlantı noktası üzerinden Azure AD ile iletişim kurması gereklidir.

Azure AD Seamless SSO Özelliğini Aktif Etme

 

Azure AD Seamless SSO Azure AD Connect ile etkinleştirilebilir.

Azure AD Connect için yeni bir yüklemesi yapıyorsanız, özel yükleme seçeneğini seçip, ” User sign-in” bölümünde ” Enable single sign on” seçeneğini işaretlemeniz gerekir.

clip_image008

Resim 04

Azure AD Connect ortamınızda varsa, ekspres yükleme veya özel yükleme yolunu kullanarak kurulum yapmanız gerekir, Azure AD Connect’te ” Change user sign-in page” seçeneğini seçip ve “İleri” butonuna tıklayın. Daha sonra ” Enable single sign on” seçeneğini işaretleyin.

clip_image010

Resim 05

Kurulum sihirbazında ” Enable single sign on” sayfasına gelene kadar devam edin. Azure AD’ye (Azure AD Connect) senkronize ettiğiniz ve kullanıcılarınız için Seamless SSO’yu etkinleştirmek istediğiniz her AD için alan adı yönetici kimlik bilgilerini sağlamanız gerekecek.

Bu noktada kullanıcı üzerinde Seamless SSO etkinleştirme işlemleri tamamlanmıştır. Kullanıcılarınızın bu özellikten yararlanabilmesi için Active Directory üzerinden aşağıdaki Group Policy ayarlarını yapılması gerekmektedir.

Varsayılan olarak, URL’ler tarayıcının Intranet bölgesinin bir parçası olarak tanımlanmadıkça, bir bulut son noktasına Kerberos biletleri gönderemezler. Tarayıcı URL’den doğru bölgeyi (İnternet veya İntranet) otomatik olarak hesaplar. Örneğin, http: // bulutnet /, Intranet bölgesine eşlenirken http://intranet.bulutnet.net/ İnternet bölgesine eşlenir.

Azure AD’de Seamless SSO için kullanılan hizmet URL’leri bir süre içerdiğinden, her kullanıcının tarayıcısının İntranet bölgesi ayarlarına eklenmeleri gerekir. Bu, tarayıcı otomatik olarak şu anda oturum açmış olan kullanıcının Kerberos biletleri Azure AD’ye gönderir. Bunu her makinede el ile yapabilirsiniz, ancak gerekli URL’leri tüm kullanıcılar arasında Intranet bölgesine eklemenin en kolay yolu, Active Directory’de bir grup policy oluşturmaktır.

Group Policy Management aracını açıyoruz.

Default Domain Policy üzerine gelip, Edit diyoruz.

Açılan pencereden “User Configuration\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Security Page seçeneğinin içerisindeki Site to Zone Assignment List” seçeneğine geliyoruz.

clip_image012

Resim 06

Kuralı etkinleştirip, iletişim kutusuna aşağıdaki verileri giriyoruz. Bunlar Kerberos biletler gönderilen Azure AD URL’leridir.

Value: https://autologon.microsoftazuread-sso.com 

Data: 1 

Value: https://aadg.windows.net.nsatc.net 

Data: 1

clip_image014

Resim 07

Chrome, varsayılan olarak güvenilen site URL’lerini Internet Explorer olarak kullanır. Chrome için farklı ayarlar yapmışsanız, bu ayarları ayrı ayrı güncellemeniz gerekir.

Bu makalemizde Azure Active Directory – Seamless SSO işlemlerinin ne olduğunu, nasıl çalıştığını ve ortamınızda nasıl aktif edeceğinizden bahsetmiş olduk. Umarım faydalı bir makale olmuştur. Bir sonraki makalemizde görüşmek üzere.

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu