Windows Azure Güvenlik Çözümleri: 1 – Windows Azure Active Directory (WAAD)

Bulut ve güvenlik, çoğu kişinin aklında bir araya gelmesi zor iki kavram gibi görünür. Oysa bulut bilişim hizmetleri, tıpkı hayatı kolaylaştırmak için sunduğu diğer hizmetlerde olduğu gibi, güvenlik hizmetlerinde de çoğu kurumun kendi başına ulaşamayacağı ölçüde güvenilir bir çalışma ortamı sunar.

Microsoft olarak, Windows Azure bulut çözümlerinde güvenliğe ne kadar önem verdiğinizi biliyoruz. Bu yüzden Windows Azure bulut hizmetlerimizi kapsamlı güvenlik özellikleriyle donattık. Sunduğumuz güvenlik hizmetlerini ihtiyacınıza uygun şekilde konumlandırarak, siz de herhangi bir güvenlik endişesi yaşamadan bulut hizmetlerinden en yüksek verimle hemen faydalanmaya başlayabilirsiniz. Bu mini yazı dizisinde Windows Azure Active Directory (WAAD), Çoklu Faktörlü Kimlik Doğrulama (MFA – Multi Factor Authentification) ve Rights Management Service (RMS) çözümlerimizi sizlere tanıtmaya çalışacağım.

Windows Azure Active Directory (WAAD)

Windows Azure Active Directory (WAAD), kimlik ve erişim denetimi sağlayan yüksek ölçekli, daima erişilebilen bir bulut çözümüdür.

Temel dizin (AD: Active Directory) hizmetlerini, gelişmiş kimlik yönetimi, güvenlik ve uygulama erişimi denetimini bir arada sunar.

Ayrıca, WAAD yazılımcıların uygulamalarına olan erişimi denetleyebileceği, merkezi ilke ve kurallara dayanan bir kimlik yönetim platformu sunar.

Daha fazlasına ihtiyaç duyan kurumlara yönelik daha gelişmiş bir teklif olan ve şu an önizleme aşamasında bulunan Windows Azure Directory Premium, bu kimlik ve erişim denetimi çözümünün sunduğu özelliklerin tamamlanmasına yardımcı olur.

Azure_AD_1_622

WAAD ne amaçla kullanılabilir?

Bulut Uygulamalarına Olan Kullanıcı Erişimlerini Yönetin

Windows Azure yönetim portalı üzerinden kullanıcı hesabı ve özniteliklerini yönetin. Kullanıcıların kurumunuzun kullandığı “Servis Olarak Yazılım (SaaS)” uygulamalara, Microsoft online ürünlere (Office 365, Windows Intune, Windows Azure, CRM Online vs…) veya diğer popüler üçüncü parti ürünlere (Salesfoce, Google Aps, Box, Dropbox vs…) erişimini merkezi olarak yönetin. Bulut dizininde saklanan kullanıcı hesaplarına, kurumunuzun kullandığı SaaS uygulamasının sağlanmasını veya sağlanmasının sona erdirilmesini ayarlayın.

Uygulama Kütüphanesi’ne bu adresten ulaşabilirsiniz:
https://www.windowsazure.com/en-us/gallery/active-directory/

 

Azure_AD_2_622

Şirket İçi AD’nizi Buluta Genişletin

Şirket içi AD’nizi WAAD’ye genişleterek kullanıcıların bulut tabanlı kaynaklara erişirken tek bir kurumsal kimlik bilgisi ile kimliklerini doğrulamasına olanak sağlayın. Kullanıcı öznitelikleri, ücretsiz indirebileceğiniz bir araç olan DirSync kullanılarak bulut dizininizle otomatik olarak eşitlenebilir.

Kimlik doğrulama işlemi, buluttaki dizinde kullanıcı parolaları tutmak istemiyorsanız federasyon oluşturularak ya da tutmanızda sorun görmüyorsanız parola eşitleme yöntemiyle (hashleyerek) gerçekleştirilir.

Azure_AD_3_622

Bulut Uygulamalarınız İçin “Çoklu Oturum Açma (SSO: Singe Sign-On)” Sağlayın

Microsoft Online hizmetlerinde, Windows Azure üzerinde oluşturulmuş uygulamalarda ve Microsoft online üçüncü parti popüler bulut uygulamalarında kullanıcılarınıza SSO deneyimi sunun. Son kullanıcıların bulut uygulamalarını sahip oldukları kişiselleştirilmiş, web tabanlı Erişim Paneli‘ni kullanarak hızla ve verimli bir biçimde açmalarını kolaylaştırın.

Erişim paneline bu adresten ulaşabilirsiniz: http://myapps.microsoft.com

 

Azure_AD_4_622

 

Uygulama Geliştiricilere Kimlik Doğrulama ve Erişim Denetimi Çözümü Sunun

WAAD, yazılımcıların uygulamalarında kimlik yönetimini entegre etmeleri için verimli bir yöntem sunar. WAAD’de barındırılan kimlikleri veya Microsoft hesabı (LiveID), Facebook, Yahoo! ve Google gibi sosyal oturum açma bilgilerini kullanarak merkezi kimlik doğrulama ve yetkilendirme olanağı sağlayın.

Uygulamalarınıza “Çok Faktörlü Kimlik Doğrulama (MFA: Multi-Factor Authentication)” ile ikinci bir güvenlik katmanı ekleyin

Kullanıcılarınıza kurum içi veya buluttaki uygulamalarına erişimi esnasında kimlikleri doğrulandıktan sonra cihazlarına gelen (mobil uygulamalar, telefon aramaları ve SMS’ler şeklinde)  ikinci bir doğrulama talebi ile daha güvenli bir erişim sağlayın.

WAAD Tarafından Desteklenen iletişim Protokolleri ve Belirteç (token) Biçimi

  • OAuth 2.0
  • WS-Trust
  • WS-Federation
  • SAML 1.1 – 2.0
  • Simple Web Token (SWT)

Azure_AD_5

 

Windows Identity Foundation (WIF) ile beraber çalışabilir.

 

Azure_AD_6

 

Hibrit Bir Uygulama Erişim Senaryosu

Buluttaki uygulamaya erişmeye çalışan kullanıcısnın  önce WAAD dizininde olduğu doğrulanır sonrada AD hesap bilgileri kontrolü için ADFS sunucularına WAAD tarafından yönlendirilir.

Azure_AD_7_622

1-     Kullanıcı buluttaki uygulamaya erişmeye çalışır.

2-    Uygulama kimlik doğrulama sürecini WAAD’ye  atar.

3-    WAAD’i bu süreci ADFS yardımı ile şirket içindeki AD’ye atar.

4-    Kimlik doğrulandıktan sonra, ADFS içerisinde kullanıcı bilgisi olan bir güvenlik belirtecini WAAD’ye döner.

5-    WAAD kullanıcının kimliğini doğrulanmış sayarak, bu belirteci uygulamaya döner.

6-    Kullanıcı uygulamaya erişir.

Burada operasyon iki ana bölüme ayrılabilir:

  1. Kimliğin senkronizasyonu: Lokal AD’de WAAD’ye. Burada DirSync WAAD ile şirket içi AD ile kimlik senkronizasyonunu geçekleştirir. Bu senaryoda parola bulutta tutulmamaktadır.
  2. Kimlik doğrulamanın atanması—hesap doğrulama—ADFS ile SAML ve Kerberos kullanarak şirket içi AD’sine.

 

 

Çoklu Faktörlü Kimlik Doğrulama (MFA – Multi Factor Authentification) çözümünün ayrıntılarını bu yazıda , Rights Management Service (RMS) hakkındaki bilgileri ise bu yazıda bulabilirsiniz.