active directory federation services nedir ?

AD FS nedir?

AD FS, ağınız içinde veya dışında bulunan tarayıcı tabanlı istemcilere, kullanıcı hesapları ve uygulamalar tamamen farklı ağlarda veya kuruluşlarda bulunsa bile, Internet’e açık, korumalı bir veya daha fazla uygulamaya kesintisiz, “tek istemli” olarak erişme olanağı sağlayan bir kimlik erişim çözümüdür.

Bir uygulama bir ağda ve kullanıcı hesapları başka bir ağda olduğunda, kullanıcıların uygulamaya erişmeyi denediklerinde ikinci kez kimlik bilgilerinin istenmesiyle karşılaşmaları sık görülen bir durumdur. Bu ikinci kimlik bilgileri, uygulamanın bulunduğu yerde kullanıcıların kimliğini sunar. Uygulamayı barındıran Web sunucusu genellikle, bu kimlik bilgilerini en uygun yetkilendirme kararını verebilmek için ister.

AD FS ise, bir kullanıcının dijital kimliğini ve erişim haklarını güvenilen ortaklara vermek için kullanabileceğiniz güven ilişkileri sağlayarak, ikincil hesapları ve bunların kimlik bilgilerini gereksiz kılar. Şirket dışındaki bir ortamda, her kuruluş kendisine ait kimlikleri yönetmeyi sürdürür, ancak her kuruluş aynı zamanda diğer kuruluşlarla güvenli şekilde kimlik alış verişi de yapabilir.

Ayrıca, güvenilen ortak kuruluşlar arasındaki işyerinden işyerine (B2B) işlemleri kolaylaştırmak için birden fazla kuruluşta federasyon sunucuları dağıtabilirsiniz. Şirket dışı B2B ortaklıkları, iş ortaklarını aşağıdaki kuruluş türlerinden biri olarak tanımlar:

  • Kaynak kuruluşu: Internet’ten erişilebilen kaynaklara sahip olup bunları yöneten kuruluşlar, güvenilen ortaklar için korunan kaynaklara erişimi yöneten AD FS federasyon sunucuları ve AD FS özellikli Web sunucuları dağıtabilir. Bu güvenilen ortaklar, dış üçüncü tarafları veya aynı kuruluştaki diğer bölümleri veya alt kuruluşları içerebilir.
  • Hesap kuruluşu: Kullanıcı hesaplarına sahip olup bunları yöneten kuruluşlar AD FS federasyon sunucuları dağıtabilirler ve bu sunucular yerel kullanıcıların kimlik doğrulamasını yapar ve daha sonra kaynak kuruluşundaki federasyon sunucuları tarafından yetkilendirme kararı vermek için kullanılacak olan güvenlik belirteçleri oluştururlar.

Bir ağdaki kaynaklara erişirken başka bir ağda kimlik doğrulaması yapmaya (kullanıcılardan kaynaklanan yinelenen oturum açma eylemlerinin iş yükü olmaksızın) çoklu oturum açma (SSO) denir. ADFS, tek bir tarayıcı oturumu süresince, birden fazla Web uygulamasına kullanıcıların kimliğini doğrulayan Web tabanlı bir SS0 çözümü sağlar.

AD FS rol hizmetleri

AD FS sunucu rolü, Web SSO’yu etkinleştirmek, Web tabanlı kaynakları federasyon halinde birleştirmek, erişim deneyimini özelleştirmek ve varolan kullanıcılara nasıl uygulama erişim yetkisi verileceğini yönetmek amacıyla yapılandırdığınız federasyon hizmetleri, proxy hizmetleri ve Web aracısı hizmetleri içerir.

Kuruluşunuzun gereksinimlerine bağlı olarak, aşağıdaki AD FS rol hizmetlerinden herhangi birini çalıştıran sunucular dağıtabilirsiniz:

  • Federasyon Hizmeti: Federasyon Hizmeti ortak bir güven ilkesini paylaşan bir veya daha fazla federasyon sunucusundan oluşur. Başka kuruluşlardaki kullanıcı hesaplarından veya Internet’te herhangi bir yerde bulunan istemcilerden gelen kimlik doğrulama isteklerini yönlendirmek için federasyon sunucuları kullanırsınız.
  • Federasyon Hizmeti Proxy’si: Federasyon Hizmeti Proxy’si çevre ağdaki (arındırılmış bölge veya filtrelenmiş alt ağ da denir) Federasyon Hizmeti için bir proxy olarak çalışır. Federasyon Hizmeti Proxy’si, tarayıcı istemcilerinden kullanıcı kimlik bilgilerini toplamak için WS-Federasyon Edilgen İstek Sahibi Profili (WS-F PRP) protokolleri kullanır ve bunların adına kullanıcı kimlik bilgilerini Federasyon Hizmeti’ne gönderir.
  • Talep kullanan aracılar: Talep kullanan aracıları, AD FS güvenlik belirteci taleplerini sorgulamaya izin vermek için, talep kullanan uygulama barındıran bir Web sunucusunda kullanırsınız. Talep kullanan uygulama, yetkilendirme kararları vermek ve uygulamaları kişiselleştirmek için bir AD FS güvenlik belirtecinde bulunan talepleri kullanan bir Microsoft ASP.NET uygulamasıdır.
  • Windows belirteç tabanlı aracısı: Windows belirteç tabanlı aracılarını, bir AD FS güvenlik belirtecinden kimliğe bürünme düzeyinde, Windows NT erişim belirtecine dönüştürmeyi desteklemek için, Windows NT belirteç tabanlı uygulaması barındıran bir Web sunucusunda kullanırsınız. Windows NT belirteç tabanlı uygulaması, Windows tabanlı yetkilendirme mekanizmaları kullanan bir uygulamadır.

AD FS rolünü yükleme

İşletim sistemini yüklemeniz tamamlandığında, ilk yapılandırma görevlerinin listesi görüntülenir. AD FS yüklemek için, görev listesinde, Rol ekle‘yi tıklatın ve sonra Active Directory Federasyon Hizmetleri‘ni tıklatın.