Azure Active Directory Authentication ve Bileşenleri

Bir kullanıcı örnek olarak herhangi bir uygulama kullanırken, telefon, bilgisayar veya web üzerinden kullanıcı adı ve şifre bilgisi girmesine kimlik bilgilerini doğrulayabilir. Azure AD kullanıcı adı ve paroladan daha geniş, kapsamlı ve güvenli Authentication sağlar.

Azure AD Authentcation hangi Authentication bileşenlerini içerir:

Self Servis Parola Sıfırlama:

Bu türde, kullanıcı herhangi bir yönetici yardımı olmadan veya bir çağrı merkezi hizmetine gerek kalmadan, gerekli adımları takip ederek parola sisteminde değişiklik yapabilir. Self servis parola sıfırlama üç farklı senaryoyu içerir, parola sıfırlama, parola değişikliği ve hesap kilidi açma. Buradaki avantajdan bahsetmek gerekirse kullanıcı, yukarıda bahsettiğim gibi herhangi bir yönetici veya çağrı merkezi hizmetlerinden faydalanırken ki kaybettiği vakit olarak örnek verilebilir. Kullanıcıların daha hızlı bir şekilde devam eden işlerine dönmelerine olanak sağlar.

Azure AD Multi-Factor Authentication (Çok faktörlü kimlik doğrulama):

Multi-Factor Authentication, Kullanıcı parolasını sıfırlamak istediğinde veya değişiklik yapmak istediğinde, oturum açma sırasında hizmet bir ek kod veya bir token istemektedir. Bu kullanıcı parolası ile logon olduktan sonra cep telefonuna veya e-posta adresine bir kod iletilir. Bu kodu parola sonrasında girdikten sonra kullanıcı Authentication sağlar. Buna örnek vermek gerekirse, Fortinet Firewall üzerinde kullanıcıların hesaplarının daha güvenilir olması açısından, Firewall ara yüzünde kullanıcı üzerine tanımlanan Two-Factor Authentication işlemine örnek gösterilebilir. Azure AD’ de bu olaya Multi-Factor Authentication denir. Buradaki avantaj, adı üstünde anlayacağımız gibi çok faktörlü kimlik doğrulama, örnek bir uygulamaya logon olurken parola harici ekstra bir aşama daha eklenir. Bu aşama hesabın çalınmasından doğabilecek sorunlara karşılık siber güvenlik üzerinde güçlülük sağlar. Dezavantaj olarak, kullanıcı yoğun iş sırasında çok faktörlü kimlik doğrulamayı zaman alıcı bulabilir ve anında yapması gereken bir işini engelleyebilir. Bunun yanı sıra Kullanıcı çok faktörlü kimlik doğrulama esnasında, servisin kod ilettiği cep telefonu ya da e-posta hesabı bilgisi gibi bilgilerine erişemediği durumlarda hesabı kilitlenebilir.

Şifre Koruması: Buradaki olay kullanıcı hesabına şifre oluştururken, örnek olarak, -1234 gibi bir şifre oluşturmaya çalışıyor. Varsayılan olarak Azure AD bu gibi zayıf şifrelerin oluşturulmasına izin vermez. Bu bir güvenlik açığı olabilir. Kullanıcının hesabına erişilmesi ve hacklenmesi gibi durumlar meydana gelebilir. İnternet ortamında herhangi bir siteye üye olmaya çalıştığımızda şifre oluştururken bizden örnek olarak, -Şifre Büyük harf, küçük harf, rakam ve özel karakter içermelidir- gibi istekler olabilir. Azure AD de bu gibi durumlar sağlanabilir ve kullanıcıların hesaplarında güvenlik seviyesi yükseltilmiş olur.

Parolasız Kimlik Doğrulama:

Burada başlığı gördüğümüzde parolasız hesap olur mu gibi sorular sorabiliriz, fakat yukarıda bahsettiğim diğer Authentication yöntemleri ne kadar ileri seviye olursa olsun bir saldırgan tarafından yine de ulaşılabilmektedir. Herhangi bir kullanıcı adı kopyalandığında, kullanıcı hesabına erişmek saldırgan tarafından basittir. Parolasız kimlik doğrulamada ise, örnek olarak Windows Hello for Business, buna örnek vermek gerekirse kullanıcı biyometrik kimlik doğrulaması, parmak izi okuyucusu veya kullanıcı hareketi gibi bir harci bir cihazdan yararlanıp Authentication sağlamaya olanak tanır. Bir diğeri ise FIDO2, Fido Allince, FIDO2 ile şifre ile kimlik doğrulamayı tamamen ortadan kaldırmak için oluşturulmuş bir çözümdür. FIDO2 öncesi UAF ilk login aşaması ve U2F iki aşamadan oluşan doğrulama sağlıyordu. FIDO2 ile bu iki aşamayı birleştirip şifre ile doğrulamayı tamamıyla ortadan kaldırmayı sunuyor. FIDO2 doğrulama yöntemi ile saldırgan, tarafınızdaki bilgileri kolayca ele geçiremez.