Federasyonu uygulama ve yönetme

  • 1 dakika

Federasyon, Windows Server 2012 R2'de (veya sonraki sürümlerde) yeni veya mevcut bir şirket içi Active Directory grubu kullanabilir ve Microsoft Entra Bağlan kullanıcıların şirket içi parolalarını kullanarak Microsoft Entra kaynaklarında oturum açmasına olanak tanır.

Diagram of federation between on-premises and Microsoft Entra ID. Shows users able log into both on-premises and cloud resources with a single shared login.

Federasyon, güvenilen bir etki alanı koleksiyonudur. Güven düzeyi değişir, ancak genellikle kimlik doğrulamasını içerir ve neredeyse her zaman yetkilendirmeyi içerir. Tipik bir federasyon, bir kaynak kümesine paylaşılan erişim için güven oluşturan bir dizi kuruluşu içerebilir.

Şirket içi ortamınızı Microsoft Entra Id ile birleştirebilir ve kimlik doğrulaması ve yetkilendirme için bu federasyonu kullanabilirsiniz. Bu oturum açma yöntemi, tüm kullanıcı kimlik doğrulamasının şirket içinde gerçekleşmesini sağlar. Bu yöntem, yöneticilerin daha üst düzeyde erişim denetimi uygulamasına olanak tanır. Active Directory Federasyon Hizmetleri (AD FS) ve PingFederate ile federasyon kullanılabilir.

Federasyon oturum açma ile kullanıcılarınız şirket içi parolalarıyla Microsoft Entra tabanlı hizmetlerde oturum açabilir. Şirket ağındayken parolalarını girmeleri bile gerekmez. AD FS ile federasyon seçeneğini kullanarak, Windows Server 2012 R2 veya sonraki sürümlerinde AD FS ile yeni veya mevcut bir grup dağıtabilirsiniz. Mevcut bir grubu belirtmeyi seçerseniz Microsoft Entra Bağlan, kullanıcılarınızın oturum açabilmesi için grubunuzla Microsoft Entra Kimliği arasındaki güveni yapılandırıyor.

AD FS ve Microsoft Entra Bağlan ile federasyon dağıtma gereksinimi

BIR AD FS grubuna dağıtım için şunları yapmanız gerekir:

  • Federasyon sunucularınızdaki yerel yönetici kimlik bilgileri.
  • Web Uygulama Ara Sunucusu rolünü dağıtmak istediğiniz herhangi bir çalışma grubu sunucusundaki (etki alanına katılmayan) yerel yönetici kimlik bilgileri.
  • Windows Uzaktan Yönetimi'ni kullanarak AD FS veya Web Uygulama Ara Sunucusu yüklemek istediğiniz diğer makinelere bağlanabilmek için sihirbazı çalıştırdığınız makine.

Ad FS grubuna bağlanmak için Microsoft Entra Bağlan kullanarak federasyonunuzu ayarlama

Screenshot of Microsoft Entra Connect application showing the create and connect to an AD FS farm dialog.

AD FS sunucularını belirtin AD FS'yi yüklemek istediğiniz sunucuları belirtin. Kapasite gereksinimlerinize bağlı olarak bir veya daha fazla sunucu ekleyebilirsiniz. Bu yapılandırmayı ayarlamadan önce, tüm AD FS sunucularını Active Directory'ye katın. Bu adım Web Uygulama Ara Sunucusu sunucuları için gerekli değildir. Microsoft, test ve pilot dağıtımlar için tek bir AD FS sunucusunun yüklenmesini önerir. İlk yapılandırmadan sonra, Microsoft Entra Bağlan yeniden çalıştırarak ölçeklendirme gereksinimlerinizi karşılamak için daha fazla sunucu ekleyebilir ve dağıtabilirsiniz.

Web Uygulama Ara Sunucusu sunucularını belirtin Web Uygulama Ara Sunucusu sunucularınızı belirtin. Web Uygulama Ara Sunucusu sunucusu çevre ağınıza dağıtılır ve extranet'e yöneliktir. Extranetten gelen kimlik doğrulama isteklerini destekler. Kapasite gereksinimlerinize bağlı olarak bir veya daha fazla sunucu ekleyebilirsiniz. İlk yapılandırmadan sonra, Microsoft Entra Bağlan yeniden çalıştırarak ölçeklendirme gereksinimlerinizi karşılamak için daha fazla sunucu ekleyebilir ve dağıtabilirsiniz.

AD FS hizmeti için hizmet hesabını belirtin AD FS hizmeti, kullanıcıların kimliğini doğrulamak ve Active Directory'de kullanıcı bilgilerini aramak için bir etki alanı hizmet hesabı gerektirir. AD FS hizmeti, iki hizmet hesabı türünü destekler:

  • Grup yönetilen hizmet hesabı
  • Etki alanı kullanıcı hesabı

Birleştirmek istediğiniz Microsoft Entra etki alanını seçin AD FS ile Microsoft Entra Kimliği arasındaki federasyon ilişkisini ayarlamak için Microsoft Entra etki alanı sayfasını kullanın. Burada AD FS'yi Microsoft Entra Id'ye güvenlik belirteçleri sağlayacak şekilde yapılandıracaksınız. Ayrıca Microsoft Entra Id'yi bu AD FS örneğindeki belirteçlere güvenecek şekilde yapılandırabilirsiniz. Bu sayfada, ilk yüklemede yalnızca tek bir etki alanı yapılandırabilirsiniz. Daha sonra Microsoft Entra Bağlan yeniden çalıştırarak daha fazla etki alanı yapılandırabilirsiniz.

Federasyonunuzu yönetmek için Microsoft Entra Bağlan araçları

Microsoft Entra Bağlan sihirbazını kullanarak Microsoft Entra Bağlan'da AD FS ile ilgili çeşitli görevleri en az kullanıcı müdahalesiyle tamamlayabilirsiniz. Sihirbazı çalıştırarak Microsoft Entra Bağlan yüklemeyi tamamladıktan sonra bile, diğer görevleri gerçekleştirmek için sihirbazı yeniden çalıştırabilirsiniz. Örneğin, microsoft 365 ile güveni onarmak, alternatif oturum açma kimliği kullanarak Microsoft Entra Id ile birleştirmek ve bir AD FS Web Uygulama Ara Sunucusu (WAP) sunucusu eklemek için sihirbazı kullanabilirsiniz.

Güveni onarma AD FS ve Microsoft Entra Id güveninin geçerli durumunu denetlemek ve güveni onarmak için uygun eylemleri yapmak için Microsoft Entra Bağlan kullanabilirsiniz.

AlternateID kullanarak Microsoft Entra Id ile federasyon Şirket içi Kullanıcı Asıl Adı (UPN) ve bulut Kullanıcı Asıl Adı'nın aynı tutulması önerilir. Şirket içi UPN yönlendirilemeyen bir etki alanı (örneğin Contoso.local) kullanıyorsa veya yerel uygulama bağımlılıkları nedeniyle değiştirilemiyorsa, alternatif oturum açma kimliği ayarlamanızı öneririz. Alternatif oturum açma kimliği, kullanıcıların posta gibi UPN'leri dışında bir öznitelikle oturum açabilecekleri bir oturum açma deneyimi yapılandırmanıza olanak tanır. Microsoft Entra Id Bağlan Kullanıcı Asıl Adı seçeneği, varsayılan olarak Active Directory'deki userPrincipalName özniteliğidir. Kullanıcı Asıl Adı için başka bir öznitelik seçerseniz ve AD FS kullanarak federasyon kuruyorsanız, Microsoft Entra Bağlan AD FS'yi alternatif oturum açma kimliği için yapılandıracaktır.

Federasyon etki alanı ekleme Microsoft Entra Bağlan kullanılarak Microsoft Entra Kimliği ile federasyon yapılacak bir etki alanı eklemek kolaydır. Microsoft Entra Bağlan, federasyon için etki alanını ekler ve Microsoft Entra Id ile birleştirilmiş birden çok etki alanınız olduğunda talep kurallarını vereni doğru yansıtacak şekilde değiştirir.

Ad FS Sunucusu Ekle ve AD FS Web Uygulama Ara Sunucusu sunucusu ekle ile birlikte.

Cihaz geri yazma

Cihaz geri yazma, ADFS korumalı cihazlar için cihaz tabanlı koşullu erişimi etkinleştirmek için kullanılır. Bu koşullu Erişim, uygulamalara erişimin yalnızca güvenilen cihazlara verildiğine dair ek güvenlik ve güvence sağlar. Cihaz geri yazma, Azure'da kayıtlı tüm cihazları şirket içi Active Directory eşitleyerek bu güvenliği sağlar. Kurulum sırasında yapılandırıldığında, AD ormanını hazırlamak için aşağıdaki işlemler gerçekleştirilir:

  • Henüz yoksa, şu konumda yeni kapsayıcılar ve nesneler oluşturun ve yapılandırın: CN=Cihaz Kayıt Yapılandırması,CN=Hizmetler,CN=Yapılandırma,[orman dn ].
  • Henüz yoksa, şunun altında yeni kapsayıcılar ve nesneler oluşturun ve yapılandırın: CN=RegisteredDevices,[domain-dn]. Bu kapsayıcıda cihaz nesneleri oluşturulacak.
  • Active Directory'nizdeki cihazları yönetmek için Microsoft Entra Bağlan or hesabında gerekli izinleri ayarlayın.