Azure Active Directory Connect Kurulumu
Azure AD yapısından biraz bahsedecek olursak, mevcut On-Premises yapımızda bulunan Active Directory servisimizi Microsoft Azure bulut hizmetine entegre olarak çalıştırabiliriz. Bu yapı, bizlere Local AD kimlik bilgilerini, Office 365 ve diğer SaaS (Software as a Services) çözümlerini bulut üzerinden kullanmamızı sağlıyor. Konfigürasyon sonrası, Azure AD üzerinde bulunan Authentication hizmetlerinden yararlanıp, örnek olarak, kullanıcı kimlik bilgilerini bulut ortamınız ile senkronize edebilirsiniz, kullanıcılarınıza Self Service Password Reset özelliği ile hiçbir yöneticiye veya BT yardım masasına ihtiyaç duymadan parola bilgilerini güncelleyebilirler. Bunların dışında Azure AD üzerinde bulunan Azure Active Directory Connect Health hizmeti ile ortamınızda oluşan eşitleme sorunları, resetlenen parolalar ya da şirket içi ve bulut tarafında oluşan herhangi bir sorunu gözlemleyip, bu bilgileri elde edebilirsiniz.
Şirket içerisinde bulunan kullanıcı objeleri güvenlik açısından hayati derecede önem taşır. Azure AD ile Local ortamınızda bulunan kullanıcı objelerini bulut ortamınızda depolayabilirsiniz. Bu gibi hizmetlerin yanı sıra Microsoft Azure’ un 1800+ den fazla hizmetlerinden de yararlanabilirsiniz.
Şimdi Azure AD Connect aracı ile Sync işlemini nasıl yapacağımızı görelim.
Bu işlemleri ortamımda bulunan Windows Server 2022 işletim sistemine sahip ve AD DC rolü bulunan makine ile yapacağız. Bu makine üzerine AD Connect aracını indireceğiz, bu aracı aşağı bıraktığım linkten indirebilirsiniz.
https://www.microsoft.com/en-us/download/details.aspx?id=47594
Office 365 Admin Center alanında dizin eşitlemesi yapmanız gerekmektedir. Bu işlemi yapmak için, Office 365 Admin Center/Users/Activate Users/Directory sync alanından yapabilirsiniz.
Office 365 portalında bir Global Admin kullanıcısına ve fiziksel ortamınızda bir Enterprise Admins yetkisine sahip kullanıcınız olmalıdır.
Resim-1 de görmüş olduğunuz adconnectsync kullanıcısı ile Azure AD Connect üzerinde işlem yapacağız.
Resim-1
Kuruluma başlamak için Onpremise DC ortamına AD Connect aracını indirip işlemlere başlıyorum.
İlk gelen Wizard ekranında sözleşmeyi kabul edip Continue seçeneği ile ileriliyorum.
Resim-2
Customize seçeneğini seçersek kurulum yaparken verilen bazı bilgilerde değişiklik yapabiliriz.
Resim-3
Specify a custom installation location: Bu seçeneği işaretlersek kurulumu farklı bir yöntem ile yapabilmemizi sağlar.
Use an existing SQL Server: DC ortamımızda SQL Server rolü var ise, bu rol üstünden bir alan oluşturup kullanmasını sağlayabiliriz.
Use an existing service account: Azure AD Connect hizmetinin farklı bir kullanıcı üzerinden çalışmasını sağlayabiliriz.
Specify custom sync groups: Azure AD Connect işlemleri tamamlandıktan sonra 4 ayrı grup oluşur. Bu gruplar, ADSyncAdmins, ADSyncBrowse, ADSyncOperators ve ADSyncPasswordSet’ tir. Kullanıcılarımızı bu gruplar içerisinde kullanabiliriz.
Bu ekranda herhangi bir değişiklik yapmadan Install butonu ile devam ediyorum.
Resim-4
Kurulum işlemi başlamış bulunmaktadır.
Resim-5
Ekranımıza 5 ayrı Authentication seçeneği gelecektir.
Password Hash Synchronization: Varsayılan olarak gelen bu özellik, Azure AD’ nin en kolay kimlik doğrulama yöntemidir. Şirket içerisinde bir şifre değişikliği olduğunda Local AD’ den gelen Password Hash Synchronization bilgisinin Azure AD üzerinde eşitlenmesidir. Bu sayede parola bulut ekranında karmalanır, bu karmanın bulutta ele geçirilmesi gibi bir durumda bile şirket içerisinde oturum açmak hiçbir fayda etmez.
Pass-through authentication: Bu doğrulama tek şifre ile oturum açma sağlayan bir yazılım servisidir. Bu servis ile kullanıcılar hem Local AD tarafında hem de bulut ortamında oturum açabilirler. Pass-through authentication ile ADFS yapısı sağlayıp kullanıcıların güvenli doğrulama yapmalarını sağlayabilirsiniz. Bu sayede ortamınızda yönetim performansı ve kullanıcı güvenliği sağlanabilir.
Fedaration with AD FS: Web üzerinden çalışan bir uygulamanın ortamınızda bulunan çalışanlarınız veya müşterilerinizin bu uygulama üzerinden kullanıcı adı ve şifre bilgilerini girerek uygulamayı kullanmalarını sağlayan bir hizmet türüdür. Ortamınızda ADFS rolü bulunuyor ise, bu seçeneği seçerek kullanıcıların oturum açmalarını ADFS üzerinden yapmasını sağlayabilirsiniz.
Federation with PingFederate: Bu seçenek ADFS ile birlikte çalışır. Bu seçenek seçildiğinde kullanıcı oturumunu ADFS PingFederate üzerinden açmasını sağlar.
Do not configure: Bu seçenek ile hiçbir konfigürasyon yapmadan ilerleyebiliriz.
Enable Single Sign-On (SSO): Bu seçenek ile kullanıcılar uygulamalar üzerinde tek seferde oturum açma işlemi sağlar. Bu seçenek ile kullanıcı her bir ortama login olurken ayrı ayrı kimlik doğrulama işlemi istemeden geçiş yapabilmeyi sağlar.
Password Hash Synchronization seçeneği ile devam ediyorum.
Resim-6
Bu ekranda Office 365 tarafında oluşturduğumuz veya var olan Global Admin bilgilerini girmemiz gerekiyor. Global Admin şifresini değiştirmememiz gerekiyor ve User ayarlarından Never Expires durumuna getirebiliriz.
Resim-7
Connect Your Directories ekranında, Local AD tarafında oluşturduğumuz ve Azure AD’ ye sync işlemini sağlayacak olan Enterprise Admins User ile giriş sağlıyoruz.
Resim-8
Bu bilgileri girdikten sonra Local AD’ nin eklendiğini görebiliyoruz.
Resim-9
Gelen ekranda, UPN şeklinde girdiğimiz Domain bilgisi gelmiş olacaktır. User Principal Name alanı ise Local AD ortamında bulunan hangi OU (Organizational Unit) içerisinde bulunan kullanıcıların Azure AD ye hangi attribute bilgisi ile sync olacağını seçmemiz gerekiyor. Ben bu ekranda, bu alanı mail olarak seçiyorum. Eğer User’ ların üzerinde mail bilgisi yok ise OU içerisinde olsa bile Azure AD tarafına sync olmayacaktır.
Resim-10
Domain and OU Filtering ekranında AD Users and Computers alanında bulunan hangi OU’ ların altında bulunan kullanıcıların sync olacağını seçeceğiz. Ben bu ekranda tüm OU’ları seçerek ilerliyorum. Tercihe bağlı işlem yapılabilir.
Resim-11
Bu ekranda herhangi bir değişiklik yapmadan ilerliyorum.
Resim-12
Bu ekranda bir grup seçerek sync işlemi yapmak istiyorsanız synchronize select seçeneğini seçip sync yapabilirsiniz. Synchronize all users and devices seçeneği ile ilerliyorum.
Resim-13
Bu ekranda hiçbir seçenek seçilmeden kurulum işlemi tamamlanabilir. Eğer belirlediğiniz OU’ ların sync olmasını istiyorsanız Azure AD app and attribute filtering seçeneği ile ilerlenebilir. Bu seçenek ile Office 365 tarafında bir parola değiştiğinde Local AD tarafına şifre tekrar yazılacaktır.
Resim-14
Burada hangi uygulamaların objelerinin gelmesini istiyorsanız, uygulamalardan seçebilirsiniz. Herhangi bir değişiklik yapmadan ilerliyorum.
Resim-15
Burada kullanıcıların buluta hangi attribute bilgilerinin gideceğini seçebiliriz. Tercihe bağlı olarak işlem yapılır. Ben burada herhangi bir değişiklik yapmadan devam ediyorum.
Resim-16
Bu ekranda kurulum işleminin tamamlandığını görebiliriz.
Resim-17
Tüm kurulumlar tamamlandıktan sonra, AD üzerinde powershell uygulamasından manuel sync işlemini yapalım. Full senkronizasyon için aşağıdaki komutu kullanacağız.
Start-ADSyncSyncCycle -PolicyType Initial
Bu komutu çalıştırdıktan sonra, sonuç success olarak dönüyorsa manuel sync işlemi tamamlanmış olur.
Resim-18
Sync işleminin başladığını C:\Program Files\Microsoft Azure AD sync\UIShell dosya yolu altında bulunan miisclient.exe uygulamasını çalıştırıp sync işlemini takip edebiliriz.
Resim-19