Azure Active Directory Self-Service Password Reset (SSPR) Nedir?

Günlük hayatımızda kahve içmek veya yemek yemek için gittiğimiz bir restoranda satin alacağımız ürünü bir personelin yardımı olmadan ödemesini yapıp kendimiz alabiliyoruz. Bu verdiğim örnek ne kadar ilginç olsa da şimdi sizlere bahsedeceğim konu bu kapıya çıkıyor. Self servis, çalışanların bir nebze olsun iş yüklerinden yardımcı olmasını sağlayan bir hizmet türü olarak düşünebiliriz.

Azure Active Directory SSPR yani Self Service Password Reset, AD ortamımızda bulunan kullanıcıların bizlere ihtiyacı olmadan kendi parolalarını değiştirmesini sağlıyor. Burada ki avantaj, az önce söylediğim gibi yoğun IT temposu süresinde parola sıfırlama gibi basit bir işlemin herhangi bir IT personeli tarafından değil Azure AD tarafında yapılacak olan konfigürasyonlardan sonra kullanıcı kendi parolasını değiştirebilmesidir.

Microsoft Azure, sağladığı yüzlerce servis arasında SSPR ile bizlere yoğun iş temposu arasında iş yüklerimizden biraz olsun azaltmayı sağlıyor. SSPR servisini sadece Azure AD üzerinde değil, Azure tarafında sizlere birazdan göstereceğim alan üzreinden Local AD ile tümleştirme işlemlerini sağlayabilirsiniz. Bu özellik ile Local AD ve Azure AD arasında senkrona bağlı hibrit yapıları .alıştıran kuruluşlar için çok büyük avantaj sağlayacaktır.

SSPR’ ın avantajları arasında güvenliği nasıl sağlayacağız? Sorusunu duyar gibiyim. Güvenlik konusunda Microsoft Azure kendi içerisinde veya Third-party servisleri ile ortamınızda bulunan kaynakları korumayı üst boyutta sağlıyor. Daha önceki makalelerimde sizlere anlattığım Passwordless veya MFA türü Güvenlik ilkeleri ile ortamınızın güvenliğini sağlayabilirsiniz. Passwordless ile, Third-party sağlayıcılar tarafından elde edebileceğiniz FIDO2 güvenlik anahtarları ile ortamınızda yüz tanıma, parmak okuma veya PIN gibi güvenli oturum açma senaryoları ile kullanıcılar oturum açma işlemi sağlayabiliyor. Bu oturum açma işlemlerini kullanıcı aynı şekilde parola resetleme işlemi yaparken tamamlayabilir.

SSPR için yapılan konfigürasyonlardan sonra kullanıcı parolasını resetledikten sonra oturum açarken portal office 365 veya portal Azure’ a login olurken MFA veya yüz tanıma, parmak okuma gibi Güvenlik sorularını gerekli kılablir.

Peki bir diğer soru, SSPR Azure için nasıl yapılandırılır? Hep birlikte aşağıda görseller ile bunu inceleyelim. Öncelikle konfigürasyon işelmlerini sağlamamız için portal Azure tarafında Azure Active Directory servisini açıyoruz ve sol gezme bölmesinde Password reset kısmına geliyoruz.

Resim-1

Bir sonraki ekranda Manage/Properties yolu üzerinde bulunan ayar Azure ortamımızda bulunan hangi kullanıcılar için SSPR Enable hale gelecek? Bu işlemi burada tamamlıyoruz. Ekranda göründüğü üzere 3 seçenek bulunmakta. None seçeneği ile zaten SSPR servisi Disable olarak gelmekte, Selected kısmında, Azure ortamında belirli kullanıcılar için veya belirli gruplar için SSPR servisini Enable hale getirebilir ve All seçeneği ile Azure ortamında bulunan tüm kullanıcılar ve gruplar için SSPR servisini Enable hale getirebilirim. Test ortamım için Selected alanında SSPRTestersgrubunu seçerek ilerliyorum.

Resim-2

Authentication methods alanı için, kullanıcılar parola resetleme işlemi sağlarken kimlik doğrulama için hangi yöntemlerden yararlanarak parola resetleme işlemini tamamlayabileceğini seçiyoruz. Resim-3 de görebileceğiniz üzere E-mail veya Mobile Phone Code seçeneklerini seçebilir ve 2 olarak belirtilen alanda da parola resetleme ekranında 1. Method için unuttuğum bilgimi 2. Method da girebilirim. Burada istersem authenticator uygulaması ile işlem yapabilirim. Authenticator uygulaması Microsoft’un popüler kimlik doğrulama uygulamasıdır. Bu uygulamada kimlik bilginizin girişini yapıktan sonra parola resetleme veya oturum açma işlemleriniz bu uygulama üzerinden basit bir şekilde tamamlayabilirsiniz.

Resim-3

Registiration alanında, kullanıcılar oturum açarken Azure tarafında kimlik bilgilerinin kayıt olmasını sağlayabiliriz. Kullanıcı “Hayır” olarak seçtiği taktirde Azure tarafında bulunan Admin’lerin kullanıcıların kimlik bilgilerini el ile girmeleri veya register URL üzerinden kullanıcının erişmesini isteyebilir.

Resim-4

Notifications kısmında iki seçenek bulunmaktadır. Notify users on password reset? Seçeneğini “Yes” olarak işaretlememiz halinde, bir kullanıcı kendi parolasını resetlediğinde “parolanız resetlendi.” Gibi bir e-posta alacaktır. Notify all admins when other admins their password? Seçeneğini “Yes” olarak işaretlememiz halinde, bir kullanıcı parolasını resetlediğinde Azure Admin’leri tarafında “X kullanıcısı parolasını resetledi.” Gibi bir e-posta alabilir.

Resim-5

Customization kısmında, “Yes” olarak belirtmemiz halinde buraya bir yardım masası URL girebiliriz. Kullanıcı parolasını resetleme işlemi yaparken URL üzerinden iletişime geçeceği yardım masasından yardım alabilir.

Resim-6

Yukarıda sizlere bahsettiğim hibrit yapılarda SSPR özelliğini Enable edebileceğiniz alan On-premises Integretion alanıdır. Bu alanda Enable password write back for synced users seçeneği aktif ve Azure AD Connect aracının kurulu olduğu makine üzerinden Azure AD Connect aracı ile Password Writeback özelliğinin Enable halde olması gerekebilir. Bu işlemler tamamlandıktan sonra hibrit bir yapı için SSPR servisi çalışmış olacaktır.

Resim-7

Bu işlemler sonrasında SSPR servisimiz artık çalışır halde. Test etmek için SSPR servisini Enable ederken SSPRTester grubunda bulunan bir kullanıcı üzerinden portal.office.com adresine erişiyorum. Gelen ekranda e-mail adresimi giriyorum.

Resim-8

Kullanıcı parola ekranına geldiğinde alt bölümde bulunan Forgot my password (Parolamı unuttum) alanından veya https://passwordreset.microsoftonline.com/ URL bilgisi üzerinden parola sıfırlama işlemi sağlayabilir.

Resim-9

Gelen ekranda kullanıcı parolasını değiştireceği e-mail adresini girmeli ve ardından aşağıda bulunan kimlik doğrulama seçeneği ile belirlenen harf ve rakamları girmeli.

Resim-10

Resim-3 de Authentication Methods bilgilerimde 1. Seçenek olarak Phone Number seçtiğim için Verificaition Step 1 alanında Text my mobile phone kimlik doğrulama aşaması geliyor. Burada telefon numarası bilgisini girdikten sonra doğrulama için Microsoft tarafından doğrulama gönderilecektir.

Resim-11

Microsoft tarafından telefonumuza gelen 9 haneli doğrulama kodunu bu alana girerek bu e-mail sahibinin kim olduğunu kanıtlamış oluyoruz.

Resim-12

Bu işlemlerin ardından kullanıcı, yeni parolasını bu ekranda belirleyebilir. Enter new password ve Confirm new password alanlarını doldurduktan sonra yeni parolası ile kullanıcı oturum açabilimiş olacaktır.

Resim-13

Kullanıcı yukarıda yeni parola bilgisini oluşturduktan sonra aşağıdaki görseldeki gibi Your password has been reset bildirimi alacktır ve yeni parolası ile oturum açma işlemi sağlayabilecektir.

Resim-14