Şirket içi Active Directory’yi Azure ile tümleştirmek için bir çözüm seçmeChoose a solution for integrating on-premises Active Directory with Azure

Bu makalede, şirket içi Active Directory (AD) ortamınızın bir Azure ağı ile tümleştirilmesinde kullanılabilecek seçenekler karşılaştırılmaktadır.This article compares options for integrating your on-premises Active Directory (AD) environment with an Azure network. Her seçenek için, daha ayrıntılı bir başvuru mimarisi sağlanır.For each option, a more detailed reference architecture is available.

Kuruluşların birçoğu kullanıcılar, bilgisayarlar, uygulamalar veya ikincil bir sınıra dahil diğer kaynaklar ile ilişkili kimlikleri doğrulamak için Active Directory Domain Services’i (AD DS) kullanır.Many organizations use Active Directory Domain Services (AD DS) to authenticate identities associated with users, computers, applications, or other resources that are included in a security boundary. Dizin ve kimlik hizmetleri genellikle şirket içi ortamda barındırılır ancak uygulamanız kısmen şirket içi ortamda, kısmen de Azure’da barındırılıyorsa Azure’dan şirket içi ortama kimlik bilgisi istekleri gönderilirken gecikme yaşanabilir.Directory and identity services are typically hosted on-premises, but if your application is hosted partly on-premises and partly in Azure, there may be latency sending authentication requests from Azure back to on-premises. Azure’da dizin ve kimlik hizmetlerinin uygulanması bu gecikmeyi azaltabilir.Implementing directory and identity services in Azure can reduce this latency.

Azure, Azure’da dizin ve kimlik hizmetlerinin uygulanması konusunda iki çözüm sağlar:Azure provides two solutions for implementing directory and identity services in Azure:

  • Bulutta Active Directory etki alanı oluşturmak ve bunu şirket içi Active Directory etki alanınıza bağlamak için Azure AD’yi kullanın.Use Azure AD to create an Active Directory domain in the cloud and connect it to your on-premises Active Directory domain. Azure AD Connect, şirket içi dizinlerinizi Azure AD ile tümleştirir.Azure AD Connect integrates your on-premises directories with Azure AD.

  • Etki alanı denetleyicisi olarak AD DS’yi çalıştıran bir VM’yi Azure’da dağıtarak mevcut şirket içi Active Directory altyapınızı Azure’a genişletin.Extend your existing on-premises Active Directory infrastructure to Azure, by deploying a VM in Azure that runs AD DS as a domain controller. Bu, şirket içi ağ ve Azure sanal ağı (VNet) bir VPN ya da ExpressRoute bağlantısı yoluyla bağlı olduğunda daha sık karşılaşılan bir mimaridir.This architecture is more common when the on-premises network and the Azure virtual network (VNet) are connected by a VPN or ExpressRoute connection. Bu mimarinin çeşitli kullanımları tercih edilebilir:Several variations of this architecture are possible:

    • Azure’da bir etki alanı oluşturun ve bunu şirket içi AD ormanınıza dahil edin.Create a domain in Azure and join it to your on-premises AD forest.
    • Azure’da şirket içi ormanınızdaki etki alanları tarafından güvenilen ayrı bir orman oluşturun.Create a separate forest in Azure that is trusted by domains in your on-premises forest.
    • Azure’da bir Active Directory Federasyon Hizmetleri (AD FS) dağıtımını çoğaltın.Replicate an Active Directory Federation Services (AD FS) deployment to Azure.

Sonraki bölümlerde bu seçeneklerden her biri daha ayrıntılı bir şekilde açıklanmaktadır.The next sections describe each of these options in more detail.

Şirket içi etki alanlarınızı Azure AD ile tümleştirmeIntegrate your on-premises domains with Azure AD

Azure’da bir etki alanı oluşturup bunu şirket içi AD etki alanınıza bağlamak için Azure Active Directory’yi (Azure AD) kullanın.Use Azure Active Directory (Azure AD) to create a domain in Azure and link it to an on-premises AD domain.

Azure AD dizini, şirket içi bir dizinin uzantısı değildir.The Azure AD directory is not an extension of an on-premises directory. Aslında aynı nesneleri ve kimlikleri içeren bir kopyadır.Rather, it's a copy that contains the same objects and identities. Bu şirket içi öğelerde yapılan değişiklikler Azure AD’ye kopyalanır, ancak Azure AD’de yapılan değişiklikler şirket içi etki alanında çoğaltılmaz.Changes made to these items on-premises are copied to Azure AD, but changes made in Azure AD are not replicated back to the on-premises domain.

Azure AD’yi şirket içi dizin olmadan da kullanabilirsiniz.You can also use Azure AD without using an on-premises directory. Bu durumda Azure AD, şirket içi bir dizinden çoğaltılan verileri içermek yerine tüm kimlik bilgilerinin birincil kaynağı işlevini görür.In this case, Azure AD acts as the primary source of all identity information, rather than containing data replicated from an on-premises directory.

AvantajlarBenefits

  • Bulutta bir AD altyapısı sürdürmeniz gerekmez.You don't need to maintain an AD infrastructure in the cloud. Azure AD tamamen Microsoft tarafından yönetilir ve sürdürülür.Azure AD is entirely managed and maintained by Microsoft.
  • Azure AD, şirket içi ortamda kullanılabilen kimlik bilgilerini sağlar.Azure AD provides the same identity information that is available on-premises.
  • Kimlik doğrulaması Azure’da gerçekleşebilir, böylece şirket içi etki alanıyla bağlantı kurması gereken dış uygulama ve kullanıcı gereksinimi azaltılmış olur.Authentication can happen in Azure, reducing the need for external applications and users to contact the on-premises domain.

ZorluklarChallenges

  • Kimlik hizmetleri, kullanıcılar ve gruplar ile sınırlıdır.Identity services are limited to users and groups. Hizmet ve bilgisayar hesaplarının kimliğinin doğrulanmasına ilişkin bir özellik mevcut değildir.There is no ability to authenticate service and computer accounts.
  • Azure AD dizinini eşitlenmiş halde tutmak için şirket içi etki alanınızla bağlantı yapılandırmanız gerekir.You must configure connectivity with your on-premises domain to keep the Azure AD directory synchronized.
  • Azure AD üzerinden kimlik doğrulamasına olanak tanımak için uygulamaların yeniden yazılması gerekebilir.Applications may need to be rewritten to enable authentication through Azure AD.

Başvuru mimarisiReference architecture

Azure’da şirket içi bir ormana dahil edilmiş AD DSAD DS in Azure joined to an on-premises forest

Azure’da AD Domain Services (AD DS) sunucularını dağıtın.Deploy AD Domain Services (AD DS) servers to Azure. Azure’da bir etki alanı oluşturun ve bunu şirket içi AD ormanınıza dahil edin.Create a domain in Azure and join it to your on-premises AD forest.

Şu anda Azure AD tarafından uygulanmayan AD DS özelliklerini kullanmanız gerekiyorsa bu seçeneği deneyin.Consider this option if you need to use AD DS features that are not currently implemented by Azure AD.

AvantajlarBenefits

  • Şirket içi ortamda kullanılabilen kimlik bilgilerine erişim sağlar.Provides access to the same identity information that is available on-premises.
  • Şirket içi ortamda ve Azure’da kullanıcı, hizmet ve bilgisayar hesapları için kimlik doğrulaması gerçekleştirebilirsiniz.You can authenticate user, service, and computer accounts on-premises and in Azure.
  • Ayrı bir AD ormanı yönetmenize gerek yoktur.You don't need to manage a separate AD forest. Azure’daki etki alanı şirket içi ormana ait olabilir.The domain in Azure can belong to the on-premises forest.
  • Azure’daki etki alanında, şirket içi Grup İlkesi Nesneleri tarafından tanımlanmış grup ilkelerini uygulayabilirsiniz.You can apply group policy defined by on-premises Group Policy Objects to the domain in Azure.

ZorluklarChallenges

  • Bulutta kendi AD DS sunucularınızı ve etki alanınızı dağıtmanız ve yönetmeniz gerekir.You must deploy and manage your own AD DS servers and domain in the cloud.
  • Buluttaki etki alanı sunucuları ile şirket içi ortamda çalışan sunucular arasında bazı eşitleme gecikmeleri yaşanabilir.There may be some synchronization latency between the domain servers in the cloud and the servers running on-premises.

Başvuru mimarisiReference architecture

Azure’da ayrı bir orman ile AD DSAD DS in Azure with a separate forest

Azure AD Domain Services (AD DS) sunucularını Azure’a dağıtın ancak şirket içi ormandan ayrı bir Active Directory ormanı oluşturun.Deploy AD Domain Services (AD DS) servers to Azure, but create a separate Active Directory forest that is separate from the on-premises forest. Bu ormana, şirket içi ormanınızdaki etki alanları tarafından güvenilir.This forest is trusted by domains in your on-premises forest.

Bu mimari için genel kullanımlar bulutta barındırılan nesneler ve kimlikler için güvenli ayırmayı sürdürme ve ayrı etki alanlarını şirket içinden buluta taşımayı içerir.Typical uses for this architecture include maintaining security separation for objects and identities held in the cloud, and migrating individual domains from on-premises to the cloud.

AvantajlarBenefits

  • Şirket içi kimlikleri ve ayrı olarak yalnızca Azure kimliklerini uygulayabilirsiniz.You can implement on-premises identities and separate Azure-only identities.
  • Şirket içi AD ormanından Azure’a çoğaltma yapmanız gerekmez.You don't need to replicate from the on-premises AD forest to Azure.

ZorluklarChallenges

  • Şirket içi kimlikler için Azure’da kimlik doğrulaması, şirket içi AD sunucularına ek ağ atlamaları gerektirir.Authentication within Azure for on-premises identities requires extra network hops to the on-premises AD servers.
  • Bulutta kendi AD DS sunucularınızı ve ormanınızı dağıtmanız, ormanlar arasında uygun güven ilişkisini kurmanız gerekir.You must deploy your own AD DS servers and forest in the cloud, and establish the appropriate trust relationships between forests.

Başvuru mimarisiReference architecture

AD FS’yi Azure’a genişletmeExtend AD FS to Azure

Azure’da çalışan bileşenler için şirket dışı kimlik doğrulaması ve yetkilendirmesi gerçekleştirmek üzere bir Active Directory Federasyon Hizmetleri (AD FS) dağıtımını Azure’da çoğaltın.Replicate an Active Directory Federation Services (AD FS) deployment to Azure, to perform federated authentication and authorization for components running in Azure.

Bu mimarinin tipik kullanımları şunlardır:Typical uses for this architecture:

  • İş ortağı kuruluşlarından kullanıcıların kimliklerini doğrulama ve kullanıcıları yetkilendirme.Authenticate and authorize users from partner organizations.
  • Kullanıcıların, kurumsal güvenlik duvarının dışında çalışan web tarayıcılarından kimlik doğrulaması yapmasına izin verme.Allow users to authenticate from web browsers running outside of the organizational firewall.
  • Kullanıcıların, mobil cihazlar gibi yetkili dış cihazlardan bağlantı kurmasına izin verme.Allow users to connect from authorized external devices such as mobile devices.

AvantajlarBenefits

  • Talep kullanan uygulamalardan yararlanabilirsiniz.You can leverage claims-aware applications.
  • Kimlik doğrulaması için dış iş ortaklarına güvenme olanağı sağlar.Provides the ability to trust external partners for authentication.
  • Büyük kimlik doğrulaması protokol kümesi ile uyumluluk.Compatibility with large set of authentication protocols.

ZorluklarChallenges

  • Azure’da kendi AD DS, AD FS ve AD FS Web Uygulaması Ara Sunucularınızı dağıtmanız gerekir.You must deploy your own AD DS, AD FS, and AD FS Web Application Proxy servers in Azure.
  • Bu mimarinin yapılandırılması karmaşık bir işlem olabilir.This architecture can be complex to configure.

Başvuru mimarisiReference architecture