Office 365

Microsoft365, neden Basic Authentication yerine Modern Authentication’a geçişi zorunlu kılıyor?

Office 365 ile hayatımıza giren Modern Authenticaton terimine Microsoft tarafından Basic Authentication’un devre dışı bırakılacak olmasıyla son zamanlarda daha fazla maruz kalmaya başladık. Bu nedenle Modern Authentication ve Basic Authentication terimlerine yakından bakacağımız kısa bir blog yazısı hazırlamak istedim.

Önce Basic Authentication nedir ve bize neden yetmedi buna bir bakalım.

Basic Authentication, kullanıcı adı ve parola parametreleri ile erişim talebi gönderen, isminden de anlaşılacağı gibi basit ve geleneksel bir oturum açma yöntemidir. Bu yöntemde önce client sunucuya bir erişim talebi gönderir. Bu talebe istinaden sunucu Authorization (yetkilendirme) bilgilerini rica eder. Karşınıza çıkan oturum açma ekranına girdiğiniz kullanıcı adı ve parola bilgileriniz Base64 yöntemi ile kodlanarak basit bir http header halinde sunucuya iletilir. Fakat iletilen bu header için ne ek bir şifreleme ne de hash yöntemi kullanılmaz. Dolayısıyla bu paketi yakalayan birisi header üzerindeki bilgileri çok basit bir şekilde decode ederek oturum açma bilgilerinizi ele geçirebilir.

Örneğin yukarıdaki oturum açma senaryosunda kullanıcı tarafından gönderilen HTTP header içerisindeki bilgilere bakalım. Authorization: Basic YWxpY2U6cGFzc3dvcmQ=

Buradaki YWxpY2U6cGFzc3dvcmQ= metnini web üzerindeki basit bir Base64 decode sayfasına yazıyorum ve kullanıcı adının alice, parolanın ise password olduğunu görüyorum.

Buna ek olarak Basic Authentication ek doğrulama yöntemleri ile de uyumlu çalışmaz. Bu nedenle daha yeni oturum açma ve doğrulama yöntemlerine ihtiyaç duyulmuştur. Geliştirilen bu yeni yöntemleri de Modern Authentication çatısı altında ele alıyoruz.

Basic Authentication’un neden çağ dışı olduğuna değindik. Şimdi Modern Authentication kısmına geçelim.

Modern Authentication, kullanıcıların Microsoft servislerine erişirken kullandığı yenilikçi oturum açma ve yetkilendirme yöntemlerini kapsayan bir çatı tabirdir. Çok faktörlü kimlik doğrulama (MFA), Koşullu Erişim (Conditional Access), Smard Card Authentication, Sertifika tabanlı oturum açma ve biyometrik oturum açma/doğrulama yöntemleri bunlardan bazıları.

Modern Authentication çerçevesindeki oturum açmalarda genellikle SAML, ADAL (Azure Active Directory Authentication Library) ve OAuth protokolleri kullanılır. Bu protokollerin genel özelliği kimlik bilgilerini direkt kullanmak yerine bir token veya hash yöntemi kullanmasıdır. Böylece kimlik bilgileriniz paketler içerisinde açık bir şekilde taşınmaz. Hatta kendisi hiç bir yere gitmez sadece ona karşılık gelen temsili bir “değer” paketler içerisinde taşınarak kimlik doğrulaması gerçekleşir. Ayrıca bu protokollerin aracılık ettiği birçok kimlik doğrulama yöntemi aynı zamanda MFA olarak bildiğimiz ikinci faktör kimlik doğrulama yöntemi olarak da kullanılabiliyor. Aşağıdaki tabloda bunlara göz atabilirsiniz.

Aşağıda Microsoft’un oturum açma yöntemlerini değerlendirdiği bir görsel paylaşıyorum.  Parolaya ek olarak çok faktörlü kimlik doğrulama yöntemlerine “eh işte fena değil” dese de özellikle “passwordless” olarak tabir edilen oturum açma yöntemini şiddetle tavsiye ediyor. Özetle parolayı sakınıp duracağımıza kurtulalım şu paroladan diyor ? Kullanıcı bu yöntemde parola yerine direkt olarak Windows Hello, Authenticator uygulaması veya FIDO2 güvenlik anahtarı kullanabilir. Örnek verecek olursak parmak izi, yüz tanıma veya Authenticator uygulaması üzerinden bildirim/kod ile oturum açma gerçekleştirebiliriz.

Modern Authentication, 2017 sonrasında oluşturulan tenantlarda Exchange Online, SharePoint Online ve Skype for Business (Teams) servisleri için varsayılan olarak açık geliyor. Bir Microsoft 365 yöneticisini en çok ilgilendiren kısım ise son kullanıcıların Exchange Online servislerine erişirken yaşadığı oturum açma sorunlarıdır. Bunların genelde iki sebebi olur. Birincisi aşağıda da görebileceğiniz Modern Authentication’un tenant bazında açık olup olmamasıdır. Admin Center>>Settings>>Organization Settings>>Modern Authentication menülerini takip ederek bu özelliği kontrol edebilirsiniz. Burada kontrol edebileceğiniz bir diğer unsur Modern Authentication’u aktif etmenize rağmen alt başlıkta yer alan protokoller için Basic Authentication’a izin verebilmenizdir. Örneğin SMTP üzerinden e-posta gönderimi yaptığım hesaplarım olduğu için SMTP protokolü için Basic Authentication’a izin vermek istedim ve buradaki kutucuğu işaretledim. Fakat IMAP ve POP protokollerine asla ve kat’a izin vermiyorum ?

İkinci konu ise kullanıcının masaüstü Outlook uygulamasının Modern Authentication’ı destekleyip desteklemediği. Bazen versiyondan bazense Windows üzerindeki bir eksiklikten dolayı Outlook Modern Authentication penceresini getiremiyor. Sürekli Basic Authentication penceresinde (yukarıda her iki pencerenin de görselini paylaşmıştım) kullanıcı adı parola sorarak sizi sonsuz bir döngüye sokuyor. Siz burada kullanıcı adı parolayı doğru girseniz de etkin olan Modern Authentication gereksinimlerini karşılayamadığınız için oturum açma tamamlanamıyor. Bu durumda Windows kayıt defterine aşağıdaki EnableADAL Dword’ü eklemeniz ve değerini 1 vermeniz gerekiyor. Ardından Outlook’u kapatıp açmanız yeterli olacaktır. Artık Outlook, Modern Authentication penceresini getirebiliyor olacaktır. Ek olarak bazen Outlook önbelleğe başvurmasın diye kayıt defterinden ve Windows kimlik yöneticisinden kimlik bilgilerini temizlemekte fayda olabiliyor.

[HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Common\Identity]

“EnableADAL”=dword:00000001

Umarım bu geçiş dönemi için kısa ve anlaşılır bir kaynak olmuştur. Modern Authentication’un getilerinden Multi Factor Authentication ve Conditional Access ile ilgili önceki yazılarıma da aşağıdaki bağlantılardan ulaşabilirsiniz.

İlgili Makaleler

9 Yorum

  1. Hocam elinize sağlık.

    NOT: bugün itibariyle 85 kullanıcımızda yaşanan sorun. Reg kayıtlarında EnableADAL yoksa, manuel oluşturup sorunu çözebilirsiniz.

  2. Tayfun Bey makalenizi okudum ellerinize sağlık.
    Bir konuda yardıma ihtiyacım var. Microsoft Ekim başında POP ve IMAP desteğini kaldırdı. Bu yüzden outlooklarımızda office365 sunucularına bağlantımız kesildi. MS Destek vasıtasıyla Ocak ayına kadar geçici olarak tekrar çalışır vaziyete getirdi. Bizim sıkıntımız tekrar ocakta başlayacak. Bizim yapımız Exchange bağlantıya uygun değil. Örneğin kurumumuzda [email protected] mail hesabını 4 kullanıcı kullanabiliyordu. Her kullanıcının kendi pst uzantılı yedeklemesi olduğundan bağımsız mail kutuları oluyordu. Exchange buna izin vermiyor. Yani biz Exchange bağlantısı yaparsak kullanıcılardan birinin sildiği mail diğer kullanıcılarda da silinecek. Eğer derseniz ki alt mail hesapları açıp kuralla gelen maili hepsine dağıtın. Bu sefer de mail göndermek istediğimizde mailin tek hesaptan çıkışı mümkün olmayacak. MS Desteğe sorduğumuzda zaten bu şekilde bir yapı istemediğimizden Exchange bağlantıyı zorunlu kılıyoruz açıklaması yaptı. Sizin Modern Authentication konusunda yaptığınız açıklamada bağlantı türümüzü değiştirmeden devam edebileceğimizi anlıyorum. Yanlış mı anladım? Bizim çalışma mantığımıza uygun önerileriniz olabilir mi acaba? Şimdiden teşekkür ederim.

    1. Selam Esat Bey,
      maalesef Ocak ayından itibaren POP ve IMAP için Outlook kullanmı mümkün olmayacak. Yukarıda bahsettiğim konu, Exchange Online’a bağlanırken Basic Authentication kullananları Modern Authenticaiton’a yönlendirmek için bir çözüm. Fakat POP veya IMAP Modern Authentication desteklemediği için maalesef sizin senaryonuzda POP ile devam etmek mümkün değil.

      Mevcut kullanımınıza en yakın çözüm ise ortak kullanılan bu hesaplar yerine birer Dağıtım grubu oluşturup üyelere de dağıtım grubu adına mail gönderme yetkisi tanımlamak. Bu sayede gelen mailleri herkes istediği gibi kendi gelen kutusunda istifler. Gönderme konusunda da grup ismini kullanabilir.

      1. Merhaba Tayfun Bey,

        Bilgilendirmeniz için tekrar teşekkür ederim. Bu durumda Exchange kullanmaya devam edeceksek dediğiniz işlemleri yapmam gerekiyor anlaşılan. Ve ya alternatif olarak Mail hosting veya kendi bünyemizde Mail Server ile devam etmek gerekecek anladığım kadarıyla,

        İyi çalışmalar.

        1. Selam Esat Bey,
          evet Exchange protokolü ile bağlanan kullanıcılar erişim sorunu yaşar veya parola döngüsüne düşerse o zaman yukarıda bahsedilen adımları kontrol etmeniz gerekiyor. Eğer şirketinizin POP kullanımına olan bağımlılığı bu kadar yüksekse maalesef farklı bir sağlayıcıya geçişi düşünebilirsiniz.

          Ayrıca bir tahminden öte olmamakla birlikte geçen yıl TLS konusunda olduğu gibi bu konu için de Ocak sonrası bir buton koyulup adminlere POP’u tekrar açma yetkisi/sorumluluğu verilebilir.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu