Active Directory Federasyon Hizmetleri (AD FS)

AD FS güvenlikli kuruluşlar içinde, federasyon ortağı kurumlarda veya bulutta uygulamalara erişmek isteyen kullanıcılar için basitleştirilmiş, güvenli kimlik federasyonu ve Web’de çoklu oturum açma (SSO) özellikleri sağlar.

Windows Server® 2012 R2 sisteminde AD FS, kimlik sağlayıcısı (AD FS’ye güvenen uygulamalara güvenlik belirteçleri sağlamak için kullanıcıların kimliğini doğrular) veya federasyon sağlayıcısı (diğer kimlik sağlayıcılardan gelen belirteçleri kullanır ve ardından AD FS’ye güvenen uygulamalara güvenlik belirteçleri sağlar) olarak davranan bir federasyon hizmeti rol hizmeti içerir.

AD FS tarafından güvenliği sağlanan uygulama ve hizmetlere extranet erişimi sağlama işlevi artık Web Uygulaması Ara Sunucusu adı verilen yeni bir Uzaktan Erişim rol hizmeti tarafından gerçekleştirilir. Bu durum, aynı işlevin bir AD FS federasyon sunucusu proxy'si tarafından işlendiği Windows Server'ın önceki sürümlerine göre bir yeniliktir. Web Uygulaması Ara Sunucusu, AD FS ile ilgili extranet senaryosu ve diğer extranet senaryoları için erişim sağlamak üzere tasarlanmış bir sunucu rolüdür

Windows Server® 2012 R2 sisteminde AD FS’ye getirilen değişiklikleri şöyle özetleyebiliriz;

  • Kullanıcıların kişisel cihazlarının kurumsal Active Directory'ye katılmasını ve bu sayede erişim elde etmelerini ve bu cihazlardan şirket kaynaklarına erişirken sorunsuz deneyimler yaşamalarını sağlayan çalışma alanına katılım.
  • Web Uygulaması Ara Sunucusu tarafından korunan ve internet üzerinden erişilen kurumsal ağ içindeki kaynakların ön kimlik doğrulaması.
  • Parolasının süresi dolan kullanıcıların kaynaklara erişmeye devam edebilmek için çalışma alanına katılmış herhangi bir cihazdan parola değiştirmelerini sağlayan parola değiştirme.

  • Kullanıcının AD FS güvenlikli uygulamaya erişmek için kimliğini nasıl doğruladığını yönetmek üzere ağ konumuna dayalı esnek denetimler.

  • Kullanıcının kullanıcı verilerine, cihaz verilerine ve ağ konumuna göre çok faktörlü kimlik doğrulaması gerçekleştirmesine gerek olup olmadığını belirleyen esnek ilke.
  • Çok faktörlü kimlik doğrulamasını yapılandırırken üçüncü taraf ve özel kimlik doğrulaması yöntemleri için destek.
  • SSO'yu yoksaymak ve kullanıcıyı duyarlı bir uygulamaya her eriştiğinde kimlik bilgilerini sağlamaya zorlamak üzere uygulama başına denetim.
  • Kullanıcı verilerine, cihaz verilerine veya ağ konumuna göre uygulama başına esnek erişim ilkesi.
  • Yöneticilerin Active Directory hesaplarını internet üzerinden gelen deneme yanılma saldırılarından korumasını sağlayan AD FS Extranet Kilitleme.
  • Active Directory'de devre dışı bırakılmış veya silinmiş olup çalışma alanına katılmış tüm cihazlar için erişim iptali.
  • AD FS artık IIS’ye bağımlı değil. Bu, özellikle AD FS Active Directory etki alanı denetleyicilerine yüklendiğinde gelişmiş performans sunar ve hizmetlerin kapladığı alanı azaltır.
  • Sunucu Yöneticisi aracılığıyla uzaktan yükleme ve yapılandırma.
  • SQL Server ile AD FS yüklemek için kullanıcı arabirimi desteği
  • Grup Tarafından Yönetilen Hizmet Hesabı desteği. Bu, AD FS‘nin sona eren hizmet hesabı parolalarını yönetmeden hizmet hesapları ile çalıştırılmasını sağlar.
  • AD FS’yi dünya çapında yayılmış veri merkezlerine dağıtırken SQL Server birleştirme çoğaltması desteği
  • Belli bir grupta değişikliklerin bir kez yapıldıktan sonra geri kalan AD FS federasyon sunucularına otomatik olarak yayıldığı AD FS hizmetinin birleştirilmiş özelleştirmesi.
  • Modern görünümlü ve farklı form faktörlerine otomatik olarak uyan güncelleştirilmiş oturum açma sayfaları.
  • Şirket etki alanına katılmamış ancak hala şirket ağı (intranet) içinden erişim istekleri oluşturmakta kullanılan cihazlara yönelik otomatik form tabanlı kimlik doğrulamasına geri dönüş için destek.
  • Şirket logosu, çizim resmi, BT desteği için standart bağlantılar, giriş sayfası, gizlilik gibi öğeleri özelleştirmek için basit denetimler.
  • Oturum açma sayfalarındaki açıklama iletilerini özelleştirilme.
  • Web temalarını özelleştirme.
  • Şirketin iş ortaklarının geliştirilmiş gizliliği için kullanıcının kurumsal sonekine göre Giriş Bölgesi Bulma (HRD).
  • Uygulamaya göre otomatik olarak bir bölge seçmek için her bir uygulama temelinde HRD filtreleme.
  • Daha kolay BT sorun giderme için tek tıklamayla hata raporlama.
  • Özelleştirilebilir hata iletileri.
  • Birden fazla kimlik doğrulama sağlayıcısı kullanılabilir olduğunda kullanıcı kimlik doğrulaması seçeneği.
  • Dinamik grup SID hidrasyonu ile SSO tanımlama bilgisinin boyutunu azaltma. Bu, daha fazla belirlenebilen bir tanımlama bilgisi boyutu sağlar ve kullanıcı çok sayıda güvenlik grubuna ait olduğunda oluşan şişirmeyi azaltır.
  • Sertifika kimlik doğrulaması kullanırken kullanıcı sertifikaları içinde kodlanmış taleplere erişim. Bu, yöneticilerin ne tür bir sertifika kullanıldığına göre erişimi farklılaştırmalarına yardımcı olabilir.
  • Daha kolay sorun giderme için tüm olay günlüklerine ve izlemelere kaydedilen tutarlı istemci istek kimliği.
  • İlke kararları verirken kullanılabilecek IP adresleri, uç nokta adresleri veya kullanıcı aracıları gibi ek istek talepleri.
  • Yöneticinin parola süresinin dolmak üzere olduğunu kullanıcıya bildirmek için aşağı akış uygulamalarına göndermek üzere yapılandırabileceği talep şeklinde parola sona erme bildirimi.

Kaynaklar ; https://technet.microsoft.com/en-us/library/hh831502.aspx


Comments