Windows Active Directory ile Azure Active Directory (Syncing) Eşitleme

 

Merhabalar Arkadaşlar,

Cloud'un hayatımıza girmesi ile beraber BT gereksinimleri ve ihtiyaçlar farklılaşmıştır. Bu doğrultuda artık BT yöneticilerinin yeni çözümler ve hizmetler ile değişime ayak uydurması kaçınılmaz olmuştur. Bu yazıda bahsedeceğimiz konu ise yıllardır alışılagelmiş olan Windows Directory yapısını Microsoft'un Cloud vizyonu için kullanmış olduğu kimlik ve erişim yönetimi hizmeti olan Azure Active Directory ile entegrasyonunu inceleyeceğiz..

Azure Active Directory hem kurum içi hem de Cloud ortamınız için kimlik ve erişimi yöntemi için basit bir hizmet sunmaktadır. Azure Active Directory Microsoft'un kurum içi uygulamaları ve cloud hizmetlerinin yanı sıra Microsoft tarafından sunulmayan Software As a Service (SaaS) uygulamalarını da güvenli erişim sağlayan kapsamlı bir bulut kimlik ve erişim yönetim çözümüdür. Azure Active Directory 3 sürüm halinde kullanılmaktadır. Bunlar Free,Basic ve Premium sürümleridir.

Azure Active Directory sürümlerini detaylı incelemek için. Tıklayın.

 

Ben bu yazıda kurum içi Windows Server Active Directory yapısını Azure Active Directory üzerine sync işleminden bahsediyor olacağım.. Azure 'da Active Directory hizmeti kullanıyor ve bunu On-Premises ortamınız ile entegre ederseniz kullanıcılarınıza çoklu oturum açma (Single-Sign on), güvenli erişim için Azure Multi-Factor Authentication kimlik doğrulama hizmetini kullanma ve çalışanlarınız için self-service parola sıfırlama,grup oluşturma ve grup yönetimi gibi işlevleri yaptırabilirsiniz.

Azure Active Directory hizmeti ile beraber Single -Sign on yapabileceğimiz 2400 adet SaaS uygulaması bulunmaktadır.. Bunlar içerisinde Business, Finance, Education, ve Social gibi katogeriler yer almaktadır.

 

Şimdi kurum içi Windows Server Active Directory yapımızı Azure Active Directory üzerine sync işlemini adım adım yapalım..

1-Öncelikle Azure üzerinde Directory > Custom Create seçeneği ile yeni bir directory yapısı oluşturacağım..

2- "Create new directory" seçeneğini seçiyorum. Directory yapımız için Domain Name kısmını dolduruyoruz. Burada Microsoft'un test ve denemeler yapmamız için onmicrosoft.com olarak bir etki alanı sunmaktadır. Dilediğiniz sürece bu etki alanını kullanabilirsiniz. Bunun yanında kendi etki alanını da ekleyerek beraber çalıştırabilirsiniz. Ancak kullanıcılar tarafından anımsanacak bir etki alanı olmadığı için kurumsal ortamlarımızda kendi domain adımızı kullanırız. Domain Name kısmını "enginozkurt02.onmicrosoft.com" şeklinde yazarak onay tuşu ile oluşturuyorum..

3- Azure management portal üzerinden Active Directory hizmetine girdiğimizde benim yukarı da oluşturmuş olduğum "Default Domain" adında bir Directory hizmetim görülmektedir. Üzerine çift tıklayarak domain ekleme işlemini yapacağız.

4-Quick Start ekranın da üst kısımda bulunan DOMAİNS seçeneğini Custom domaininizi ekleyebilirsiniz. Yada ana ekran üzerinde Add domain diyerek lokal domaini ekleyebilirsiniz..

5- "Add Domain" dedikten sonra lokal domain adını yazıyoruz. "I plan to configure this domain for single sing-on with my local Active Directory" lokal Active Directory ile tek kimlik ile oturum açma seçeneğini işaretliyoruz. " Add " diyerek ekleme işlemini tamamlıyoruz.

4- Lokal domain eklemi işlemini başarlı bir şekilde tamamladık.

5- On-Premises yapıda çalışan Active Directory üzerindeki objeleri Azure Active Directory üzerine Sync etmemiz gerekmektedir. Bunun için default "DEACTIVATED" olarak gelen Directory Sync özelliğini "ACTIVATED" olarak değiştireceğim.

6-Directory Sync özelliğini "ACTIVATED" olarak değiştiriyorum ve Save kutucuğu ile kaydediyorum.

7- Kurum içi Windows Server Active Directory yapımız içerisinde bulunan objelerimizi Azure Active Directory hizmeti üzerine sync etmemiz gerekiyor. Bunun için kullanabileceğimiz DirSync , AAD Sync araçlarını kullanabiliriz. Ben bu yazıda Azure Active Directory Sync Tool (AAD Sync ) aracını kullanıyor olacağım. Microsoft Azure Active Directory Sync Services

Azure Active Directory Sync kurulum gereksinimleri ,

  • Windows Server işletim sistemi çalıştıran bir sunucu (Windows Server 2008- Windows Server 2008 R2- Windows Server 2012- Windows Server 2012 R2)
  • Etki alanı içerisinde üye olan bir sunucu veya Domain Controller sunucularınız üzerine yükleyebilirsiniz.
  • .Net 4.5.1 ve PowerShell bileşenlerinin kurulu olması gerekmektedir.
  • Azure AD Sync aracını yükleyeceğiniz kullanıcının Local Administrator yetkisine sahip olması gerekmektedir.
  • Azure AD Sync kimlik verilerini depolamak için SQL Server veritabanına ihtiyaç duymaktadır. (SQL Server Express Local DB kullanabilirsiniz)
  • Azure AD Sync kurulum için On-Premises Active Directory üzerinde yetkili bir kullanıcı hesabı oluşturmanız gerekmektedir.
  • Azure Active Directory üzerinde yalnızca sync işlemi için kullanılacak Global Administrator hesabı oluşturmamız gerekmektedir.

Kurulumu işleminin ilk adımı olarak lisans sözleşmişini kabul ediyor ve kurulum yapılacağı yeri gösteriyorum.

8- Connect to Azure AD kısmında Azure AD Sync için oluşturmuş olduğum Global Administrator yetkisi olan hesabın bilgilerini yazıyoruz.

9-Active Directory Domain Services üzerine bağlanmak için gerekli izinlere sahip kullanıcı bilgilerini yazıyoruz.

10- Forests kısmın da gördüğümüz gibi local domaine bağlanmış bulunuyoruz.

11- Bu kısımda ise kullanıcıların attribute eşleştirmesini yapabiliyoruz. Forest ve Azure AD eşleştirme olarak iki kısım oluşmaktadır.

Buradaki seçimleriniz senaryonuza göre değişiklik gösterebilir.

Forest Eşleştirme

Your users are only represented once across all forests : Tüm AD objelerini Azure Active directory üzerinde obje olarak oluşur.

Mail attribute: Mail adresi farklı organizasyonlar da aynı değere sahiptir.GAL Sync yapmak için bu seçeneğin seçili olması gerekmektedir.

ObjectSID and msExchangeMasterAccounSID attributes: Mailbox ve User objesini tek bir obje olarak sync işlemi yapılmaktadır.

SAMAccountName and MailNickName attributes: Bu seçenek kullanıcın oturum açma kimliğini eşleştirmektedir.

Your own attribute: Bu seçenekte sizin kendi niteliğinizi seçmenize olanak sağlamaktadır.

Azure AD eşleştirme

SourceAnchor attribute: objectGUID : Kimlik federasyonu için kullanmak istediğiniz niteliği buradan seçebilirsiniz. Source Anchor özniteliği bir kullanıcı objesi için değişmeyen bir niteliktir.

userPrincipalName attribute:userPrincipalName: Bu nitelik Azure AD kullanıcısının giriş kimliğidir.Varsayılan eklerde userPrincipalName özniteliği kullanılır.

12- Azure AD Sync aracı içerisinde isteğe bağlı özellikler aşağıda görülmektedir.

Exchange hybrid deployment: Exchange Server ile Exchange Online arasında hybrid bir senaryo için bu seçenek seçilmelidir.

Password synchronization: User obje taşımasının yanında password bilgisini de eşitlemek istiyorsanız bu seçeneği seçmelisiniz.

Password write-back: Azure Active Directory Premium paketi kullanıyorsanız password geri yazma özelliğini seçebilirsiniz.Azure AD üzerinde değişen bir şifre On-Premises AD üzerinde de değişmektedir.

Azure AD app and attribute filtering: Azure AD ile eşitlenen özellikleri Cloud servisleri bazında sınırlamak istiyorsanız bu seçeneği seçerek attribute filtremele yapabilirsiniz.

13-Yapılandırma işlemini gerekli ayarları yaptıktan sonra ise Configure seçeneği ile sync işlemini başlatıyoruz.

14- Aşağıdaki ekranda gördüğünüz üzere Windows Active Directory yapım içerisinde bulunan objelerim Azure Actice Directory üzerine sync edilmesi için bir Schedule oluşturuluyor..

15- Synchronize now seçeneği sync işlemini başlatıyoruz. Sync işleminin takibini ise Windows Task Scheduler konsolu üzerinde görebilirsiniz.

16- Task Scheduler konsolu üzerine Azure AD Sync için oluşturulan kuralın detaylarını inceleyebilirsiniz. Buradan Sync işlemini tekrar başlatabilirsiniz.(Default 3 saat'te bir sync işlemi yapılmaktadır.)

17- Sync işlemi tamamlandıktan sonra Azure Active Directory Users konsolunu kontrol ettiğimizde sync edilen kullanıcılarmızı görebilirsiniz. Sourced From kısmında "Local Active Directory" bilgisi yer almaktadır.

 

Bu yazıda sizlere kurum içi çalışan Windows Server Active Directory yapınızı Azure Active Directory ortamı ile entegre çalışabilmesi için gerekli sync işlemlerini tamamlamış bulunuyoruz.

Faydalı olması dileğimle..

 

Sources: https://msdn.microsoft.com/en-us/library/azure/dn757602.aspx

                http://blogs.technet.com/b/canitpro/archive/2014/05/14/step-by-step-syncing-on-premise-ad-with-azure-active-directory.aspx

 

 

Leave a Comment

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir