Azure AD Privileged Identity Management (PIM) ile Rol Atama ve Onaylama

02.04.2023

734

Azure AD Privileged Identity Management (PIM) ile Rol Atama ve Onaylama

Kuruluş bünyesinde IT ekibi içerisinde bazı kullanıcılar için tüm Azure AD veya On-Premises AD ile erişim kısıtlamaları sağlamamız gerekiyor. Burada sizlere anlatacağım konuda Azure AD PIM rolleri ile kullanıcıların Azure AD tarafında erişeceği kısımlarda nasıl rol atanır ve bu rol atamasını yaptıktan sonra kullanıcının bu role sahip olması için rolü atayan kullanıcıya nasıl aktif edilmesi için istek gönderebileceğinden bahsedeceğim.

Bu roller görebilmemiz ve atayabilmemiz için öncelikle Azure tarafında Search alanına PIM yazılabilir vey sol tarafta bulunan All Resources kısmından PIM servisi bulunabilir.

PIM sekmesine ulaştığımızda sol tarafta bulunan panelde Manage/Azure AD Roles kısmına geliyoruz.

Resim-1

Gelen ekranda Manage/Settings kısmına geliyoruz.

Resim-2

Bu ekranda kullanıcılara atayabileceğimiz roller görüntüleyebiliriz. Compliance Administrator rolünü seçerek devam ediyorum.

Resim-3

Rolün üstüne tıkladığımızda gelen ekranda düzenlemeler yapabilmemiz için Edit butonuna tıklıyoruz.

Resim-4

Bizim için önemli olan ekranda Resim-5 de gördüğünüz ekrandır. Bu ekranda Require approval to activateseçeneğini işaretlememizin sebebi bu rolü atadığımızda onaylayan kişinin kim olduğunu belirlememizdir. Seçeneği işaretlediğinizde Select approver(s) kısmı belirecektir. Burada isterseniz tek bir kullanıcı üzerinden değil birden fazla kullanıcıları veya grupları ekleme imkanınız mevcuttur.

Resim-5

Ortamımda bulunan herhangi bir kullanıcıyı seçerek Update butonu ile işlemi tamamlıyorum.

Resim-6

PIM paneline tekrar geri dönüp Manage/Roles kısmına geliyorum.

Resim-7

Roles kısmında Add assignments butonuna tıklayıp ilgili role bir kullanıcı atayacağım.

Resim-8

Select role kısmında rolü seçtikten sonra Select member alanında bu role hangi kullanıcıyı üye olarak ekleyeceğimi belirliyorum. Ardından Next butonu ile ilerliyorum.

Resim-9

Gelen ekranda kullanıcının bu rol de kullanıcının onay istemesini gerektirmek için Assignment type kısmında Eligible olarak seçiyorum. Eğer Active olarak ilerlersem kullanıcı tarafında bu rol onay gerektirmeden etkin durumda olmuş olacaktır. Assginment starts ve ends kısmında kullanıcı bu rol üzerinde ne kadar süre hak sahibi olacağını belirleyebilirim. Işlemlerim tamamlandıktan sonra Assing butonu ile rol atama işlemini tamamlıyorum.

Resim-10

Yukarıda yapılandırdığımız tüm işelmler kullanıcıya rol atama ve bu rol için onay gerektirme işlemleriydi. Şimdi rolü atadığım kullanıcı ile Azure tarafında login olup bu rolün tam anlamıyla atamasını gerçekleştireceğiz.

Rolü atadığım kullanıcı ile Azure’ a login olup PIM paneline erişiyorum. Sol panelde Tasks/My roles alanına tıklıyorum.

Resim-11

Activate/Azure AD roles alanına geldiğimde Eligible assignments kısmında atanan rolü listeleyebilirsiniz. Kısa bir bilgi geçmek gerekirse, bu ekranda Active assignment alanında etkin olan rolleri ve Expired assginments alanında süresi dolmuş roller listeleyebilirsiniz.

Ekranda bulunan Compliance Administrator rolü üzerinde bulunan Activate butonuna tıklıyorum.

Resim-12

Karşımıza çıkan ekranda bu rol için onay aşamasına gelmiş bulunmaktayız. Belirlediğimiz onaylaıcıya bildirimi göndermek için Additional verification required. Click to continue butonuna tıklıyoruz.

Resim-13

Reason kısmına bu rolün kullanılması için bir gerekçe bildirmemiz gerekiyor. Gerekçeyi bildirdikten sonra Activate butpnu ile bildirimi gönderiyoruz.

Resim-14

Azure PIM tarafında bu rolü onaylayacak olan kullanıcı ile giriş yapıyorum ve PIM tarafında Pending requests kısmına geliyorum. Bu alanda onaylanması veya reddedilmesi gereken roller listeleyebilirim.

Resim-15

Approve requests kısmında gönderilen rol isteklerini bu ekranda onaylayabilir veya reddedebilirim. Rolün sol tarafında bulunan kutucuğu işaretleyip Approve butonu ile ilerliyorum.