Azure AD’deki Oturum Açma Sayfanıza Şirket Logosu ekleme

Karışıklığı önlemek için birçok şirket, yönettikleri tüm web sitelerinde ve hizmetlerde tutarlı bir görünüm kullanmak istemektedir. Azure Active Directory (Azure AD), oturum açma sayfasının görünümünü firmanızın logosuyla ve özel renk düzenleriyle özelleştirmenize izin vererek bu kabiliyeti sağlar. Oturum açma sayfası, Azure AD’yi kimlik sağlayıcınız olarak kullanan Office 365 gibi web tabanlı uygulamalarda oturum açtığınızda görüntülenir. Kimlik bilgilerinizi girmek için bu sayfayla etkileşim kurarsınız.

Şirket markası yalnızca Azure AD için Premium veya Basic lisansı satın aldıysanız veya Office 365 lisansına sahipseniz kullanılabilir.

  • Azure AD admin merkezine, kiracı için genel bir yönetici olan bir hesapla giriş yapın.
  • Users and groups > Company branding > Edit bölümlerini seçin

Devamını Oku

Facebooktwittergoogle_plusredditpinterestlinkedinmailby feather

Azure AD Self Servis Şifre Sıfırlama

Self Servis parola sıfırlama (SSPR), BT yöneticilerinin kullanıcıları parolalarını veya hesaplarını sıfırlamaları veya açmalarını sağlamaya yönelik basit bir yöntem sunar. Sistem, kullanıcıların sisteme ne zaman eriştiklerinde izlediği detaylı raporlamayı ve sizi kötüye kullanmasını veya kötüye kullandıklarını bildiren bildirimleri içerir.

  • Mevcut Azure AD tenantınızdan Azure Portal’da Azure Active Directory altında Parola sıfırlama seçeneğini seçin.
  • Özellikler sayfasından Self Service Password Reset Enabled seçeneğinin altında aşağıdakilerden birini seçin:
  1. None: Kimse SSPR işlevselliğini kullanamaz.
  2. Selected: Seçtiğiniz belirli bir Azure AD grubunun üyeleri SSPR işlevselliğini kullanabilir. Bir grup kullanıcı tanımlamanızı ve bu işlevselliği konsept ispatı için dağıttığınızda bu ayarı kullanmanız öneririlir.
  3. All: Azure AD kiracınızdaki hesapları olan tüm kullanıcılar SSPR işlevselliğini kullanabilirler. Bir konsept ispatını tamamladıktan sonra bu işlevi tüm kullanıcılarına dağıtmaya hazır olduğunuzda bu ayarı kullanmanız önerilir.

Devamını Oku

Facebooktwittergoogle_plusredditpinterestlinkedinmailby feather

Azure AD Tenant Silmek

Test Azure hesaplarımda daha önceden oluşturduğum Azure AD Tenantlarını geçen günlerde sildim. Silme işleminin sizler içinde faydalı olabileceğini düşünerek, bir makalede toplamak istedim. Aşağıda bu adımları bulabilirsiniz:

  1. Önceden hazırlanmış on-prem AD’nizi Azure AD’e senkronize ediyorsanız, Azure AD portalından bu özelliği devre dışı bırakmanız gerekmektedir. Böylece kullanıcılarınızın senkronizasyonu kesilir, aksi halde senkronize edilen kullanıcılarınız silinemez.
  2. İlk adım, portalın içinden uygulamaları silmek olacaktır. Bu işlem oldukça basittir. Sadece uygulamayı seçmeniz ve silmeniz yeterlidir. Ancak yaptığınız tek şey buysa, hala mevcut olan tenantı silmeye çalışırken bir hata alabilirsiniz. PowerShell kullanılarak silinmesi gereken bazı gizli uygulamaları da silebilirsiniz.

PowerShell çalıştırmadan önce aşağıdakileri kurmanız gerekmektedir.

 Microsoft Online Services Sign-In Assistant for IT Professionals RTW

Azure Active Directory Module for Windows PowerShell

Devamını Oku

Facebooktwittergoogle_plusredditpinterestlinkedinmailby feather

Azure AD Domain Services – Nedir, Ne değildir?

Azure AD, Azure’un yeni kullanıcıları için her zaman biraz kafa karıştırıcı olmuştur. Azure AD, AD’nin bir bulut versiyonunu ima ettiğini biliyoruz diye düşünüyorum. Sanırım bu karmaşaya daha fazla karışıklık getirmek için, Azure Active Directory Etki Alanı Hizmetleri (AAD DS) yakın zamanda, kurum içi etki alanı denetleyicilerinin bazı işlevlerini Azure’a bir PaaS hizmeti olarak getiren bir GA olarak yayınlandı :). Sorun şu ki bu yeni hizmetin ne olduğu ve olmadığı sanırım biraz kafa karıştırmakta.

Nedir?

AAD DS’nin birincil çıkış nedeni, müşterilerin kimlik doğrulama veya iletişim için uygun bir LDAP AD ile konuşma ihtiyaçlarında, müşterileri veri merkezlerinden Azure’a taşımalarına yardımcı olmak içindir. Uygulamalar, herhangi bir değişiklik yapmadan konuşabilecekleri bir LDAP ve Kerberos etkin dizinine erişebilirler; makineler etki alanına katılabilir, kullanıcılar oluşturabilir, DNS’i yönetebilir ve hatta bazı GPO’ları uygulayabilirsiniz. Bu nedenle, alan adı servislerini küçük bir kapsamını ve sınırlı sayıda hizmetleri sağlamak için çalışabilmektedir. AAD DS’deki kullanıcılar otomatik olarak Azure AD ile senkronize edilir ve böylece AAD ile de konuşabilen uygulamalar tarafından kullanılabilmektedir.

Ne değildir?

AAD DS hakkında araştırmalarımda kullanıcıların çokça sordukları bir soru, bunun on-prem etki alanının yerini alması için mi tasarlandığı, yoksa büyük bir Azure dağıtımı için alan adı hizmetleri sağlayıp sağlamayacağına konusundaydı. Azure AD DS, tüm uygulamalarınızı Azure üzerinde dağıtmış olsanız bile, bir hayli ciddi kısıtlamalara sahiptir. Örneğin:

  • Varsayılan GPO’ları yalnızca özel OU’lara uygulayabilirsiniz, ancak yeni bir tane oluşturamazsınız.
  • Özel GPOS oluşturamazsınız, yalnızca var olan 1 kullanıcı GPO’sunu ve 1 bilgisayar GPO’sunu düzenleyebilirsiniz.
  • Özel OU’lar oluşturabilirsiniz, ancak bu OU’lar yalnızca AD DS tarafında gösterilir; bu özel OU’lardaki kullanıcılar, Azure AD’de gösterilmez.
  • AAD DS bir v1 VNET gerektirir; bu nedenle, v2 kullanan VNET’lerinizi kullanıyorsanız, ayrı bir VNET oluşturmanız ve bunları VNET peer veya VPN ile bağlamanız gerekir.
  • Gerçekten Domain Admin yada Enterprise Admin haklarına sahip olamazsınız. Yani Exchange server gibi dağıtımları AAD DS üzerinden yapamazsınız.

Azure’a taşımak istediğiniz bir uygulamanız varsa ve tam bir LDAP AD’sine erişmeniz gerekiyorsa Azure AD DS harika bir çözümdür. Bununla birlikte, etki alanı yönetici haklarını veya GPO veya OU’nun karmaşık bir yapısını yapmak isterseniz, AAD DS yetersiz kalacaktır. AAD DS’nin sunduğu basit özelliklerden daha fazlasını arıyorsanız on-prem AD’ye yönelmelisiniz. AAD DS, kurum içi alan denetleyicilerinizin yerine geçmez.

AAD DS özel bir amaç için tasarlanmıştır ve kapsamının dışına çıkmanız gerekiyorsa hızlı bir şekilde IaaS’yi ve tam etki alanı denetleyicilerini kullanmaya geri dönmelisiniz. Belki ileride, AAD DS’yi bir hizmet seçeneği olarak tam olarak bir AD haline getirmek için bazı şeyler eklenecektir, ancak şu anda bu sınırlı seçenekler ile yetinmek zorundayız.

Facebooktwittergoogle_plusredditpinterestlinkedinmailby feather

SQL Veritabanı ve SQL Veri Ambarı’nda Azure AD Kimlik Doğrulaması

Hemen başlayarak, Azure Active Directory (Azure AD) kimlik doğrulaması genellikle Azure SQL Veritabanı ve Azure SQL Veri Ambarı’nda bulunur. Azure AD, merkezi kimlik ve grup yönetimi sağlayan SQL Kimlik Doğrulama’ya bir alternatif sunmaktadır. Federasyonlu alanlar için SQL Veritabanı ve SQL Veri Ambarı’nı kullanarak tek bir oturum açma deneyimi sağlar. Azure AD, giderek artan sayıda Azure ve diğer Microsoft hizmetlerine kimlik doğrulama yapmak için kullanılabilir ve müşterilerin, kullanıcıların ve parolaların çoğalmasını önlemesine yardımcı olur. Diğer avantajları şunlarıdır:

  • Müşterilerin altta yatan veritabanlarından herhangi birine erişmek zorunda kalmadan Azure AD grupları aracılığıyla veritabanı izinlerini kontrol etmelerini sağlayan izin yönetimi çok basitleştirilmiştir.
  • Azure AD, kullanıcı adı / şifreyle yönetilen ve federasyon alanlarını yönetmektedir. Şifre döndürme merkezi durumdadır ve Azure AD’den otomatik olarak tetiklenir.
  • Azure AD federasyon etki alanları ve istemciler için alan adı birleştirilmiş makineler için tümleşik Windows Kimlik Doğrulamasıdır. Bu, katılan hizmetler arasında tekli oturum açmayı mümkün kılar. VPN’leri kullanarak uzak bağlantılar için tümleşik Windows kimlik doğrulaması da desteklenir.
  • SQL Veritabanına (ör. Hizmet hesapları) karşı orta katmanlı uygulamalar için Azure AD kimlik doğrulamasını gerçekleştirmenize izin veren JSON Web Token’ı (JWT).

Azure AD Kimlik Doğrulaması’nı kullanmak için, müşteriler, Azure AD kimliklerine eşlenen SQL içerilen kullanıcıları sağlayabilen bir Azure AD yöneticisiyseniz yapılandırmalıdır. Bir Azure AD yöneticisi oluşturma PowerShell, REST API veya Azure portalı üzerinden yapılabilir.

Aşağıdaki ekran görüntüsü, bir Azure AD grubunu rachelb@contosales.onmicrosoft.com ile temsil eden bir Azure portal AD yönetici DBA’sını, tam sunucu yönetimsel erişimine sahip üyesi olarak göstermektedir.

Aşağıdaki ekranda, ContosoSales adı verilen bir SQL Veritabanına bağlanan bir Azure AD SQL yöneticisi (rachelb@contosales.onmicrosoft.com) gösterilmektedir. Sağdaki sorgu penceresindeki örnek T-SQL kodu, SalesReps olarak da adlandırılan bir Azure AD grubuna eşlenen SalesReps adında bir SQL kullanıcısı içermektedir. Sonuç olarak, AD grup SalesReps’in tüm üyeleri (örneğin, bağlantı penceresinde gösterilen joep@contososales.onmicrosoft.com kullanıcısı), AD kimlik bilgilerini (kullanıcı adı ve şifresi) kullanarak ContosoSales’e bağlanabilecektir. SSMS’de “Active Directory Parola Doğrulaması” adı verilen yeni kimlik doğrulama seçeneğine dikkat edin.

Facebooktwittergoogle_plusredditpinterestlinkedinmailby feather

MICROSOFT AZURE ACTIVE DIRECTORY ve SERVICENOW ENTEGRASYONU

Son yıllarda bulut bilişimin hızla gelişmesiyle SaaS olarak üretilen yazılımlarda hayatımıza girmeye başladı. ServiceNow ürünü de bulut üzerinden hizmet veren ve son dönemde IT servis yazılımı olarak kullanılan en popüler ürünlerden biri. Bu yazımızda da Microsoft Azure Active Directory ile ServiceNow ürününü birlikte çalıştırarak kurum içi Active Directory kullanıcıları için Single SignOn özelliğini nasıl kullanabileceğinizi anlatmaya çalışacağım.

Yapacağımız senaryo aşağıdaki gibi olacaktır.

visio

Devamını Oku

Facebooktwittergoogle_plusredditpinterestlinkedinmailby feather

Windows Azure Multi-Factor Authentication

BT dünyasının en hızlı büyüyen “Bulut Bilişim” platformu olan Windows Azure, Windows Azure Multi-Factor Authentication (Çok Faktörlü Kimlik Doğrulama) ile kimlik doğrulama ve güvenlik işlemlerini bir üst seviyeye taşıyor.

 

Son kullanıcılar ve kurumsal firmaların “Bulut Bilişim” platformlarında en çok merak ettiği konulardan biridir güvenlik. Windows Azure’un güvenliği konusunda önemli bir katkı sağlayan Multi-factor (MFA) ya da two-factor (2FA) teknolojisi; birden fazla kimlik doğrulama yönetiminin birlikte kullanıldığı ve kullanıcı oturum açma işlemlerine ikinci bir katman daha ekleyerek güvenliği önemli derecede arttıran bir kimlik doğrulama yöntemidir.

Windows Azure’un coğrafi olarak dağıtılmış veri merkezleri, güvenlik ve güvenirlilik için ISO/IEC 27001:2001 gibi temel endüstri standartları ile uyumludur. Şimdi de kullanıcılar Multi-Factor Authentication teknolojisini ister Windows Azure Active Directory ile birlikte isterlerse şirket içi kaynaklarını güvenlik altına almak için Windows Azure Multi-Factor Authentication Server ile birlikte isterlerse SDK kullanarak kendi geliştirdikleri uygulamalar içerisinde kullanabilecekler.

Devamını Oku

Facebooktwittergoogle_plusredditpinterestlinkedinmailby feather

Windows Azure Multi-Factor Authentication Nedir?

Multi-factor ya da iki faktörlü kimlik doğrulama (2FA) birden fazla kimlik doğrulama yönteminin birlikte kullanımı gerektiren bir sistemdir. Kullanıcıların oturum açma ve gerçekleştirdikleri işlemlerde güvenlik bakımından önemli bir ikinci katman görevi üstlenmektedir. Aşağıdaki yöntemlerden herhangi ikisini ya da daha fazlasını birlikte kullanabilirsiniz.

  • Tipik password
  • Mobile telefon gibi güvenilir bir cihaz
  • Biometrics

Çok faktörlü kimlik doğrulama yöntemi altında katmanlı bir yaklaşım yatmaktadır. Bu çok faktörlü kimlik doğrulama metodu sayesinde saldırganlar için önemli bir güvenlik önlemi alınmış olmaktadır. Bir saldırgan Windows Azure kullanıcısının parolasını öğrense bile aynı oturum açabilmesi için kullanıcının güvenil cihazına sahip olması gerekmektedir. Windows Azure Multi-Factor kimlik doğrulama kullanan kullanıcılar mobil cihazlarından mobil uygulama, telefon görüşmesi veya kısa mesaj kullanarak oturum açabilecekler. Ayrıca Windows Azure Multi-Factor kimlik doğrulama ile Windows Azure Active Directory birlikte kullanılabileceği gibi SDK ile özel uygulamalar için kimlik doğrulama da yapılabilmektedir.

Devamını Oku

Facebooktwittergoogle_plusredditpinterestlinkedinmailby feather

Windows Azure Active Directory Nedir?(WAAD)

Windows Azure Active Directory servisi bulut üzerinde kimlik yönetimi ve erişim yönetimi yeteneklerini sağlayan bir hizmettir. Kurumlar kendi içerisinde kimlik yönetimi özelliklerini kullanmak istediklerinde Windows Server işletim sisteminin Active Directory servisini kullanırken artık bulut üzerinde yayınladığımız uygulamarın kimlik yönetimlerinde, Windows Intune, Office 365 tarzı uygulamalar ile Windows Azure Active Directory servisini kullanabileceğiz. Uygulamalarınızı bulut üzerinde tuttuğunuzda kullanacağınız bulut tabanlı bu Active Directory servisi ile hangi kullanıcıların hangi bilgileri kullanabileceğine yada erişebileceğine sizler izin vereceksiniz.

Devamını Oku

Facebooktwittergoogle_plusredditpinterestlinkedinmailby feather