AD FS güvenlikli kuruluşlar içinde, federasyon ortağı
kurumlarda veya bulutta uygulamalara erişmek isteyen kullanıcılar için
basitleştirilmiş, güvenli kimlik federasyonu ve Web’de çoklu oturum açma (SSO)
özellikleri sağlar.
Windows Server® 2012 R2 sisteminde AD FS, kimlik
sağlayıcısı (AD FS’ye güvenen uygulamalara güvenlik belirteçleri sağlamak için
kullanıcıların kimliğini doğrular) veya federasyon sağlayıcısı (diğer kimlik
sağlayıcılardan gelen belirteçleri kullanır ve ardından AD FS’ye güvenen
uygulamalara güvenlik belirteçleri sağlar) olarak davranan bir federasyon
hizmeti rol hizmeti içerir.
AD FS tarafından güvenliği sağlanan uygulama ve hizmetlere
extranet erişimi sağlama işlevi artık Web Uygulaması Ara Sunucusu adı verilen
yeni bir Uzaktan Erişim rol hizmeti tarafından gerçekleştirilir. Bu durum, aynı
işlevin bir AD FS federasyon sunucusu proxy'si tarafından işlendiği Windows
Server'ın önceki sürümlerine göre bir yeniliktir. Web Uygulaması Ara Sunucusu,
AD FS ile ilgili extranet senaryosu ve diğer extranet senaryoları için erişim
sağlamak üzere tasarlanmış bir sunucu rolüdür
Windows Server® 2012 R2 sisteminde AD FS’ye
getirilen değişiklikleri şöyle özetleyebiliriz;
- Kullanıcıların
kişisel cihazlarının kurumsal Active Directory'ye katılmasını ve bu sayede
erişim elde etmelerini ve bu cihazlardan şirket kaynaklarına erişirken
sorunsuz deneyimler yaşamalarını sağlayan çalışma alanına katılım.
- Web
Uygulaması Ara Sunucusu tarafından korunan ve internet üzerinden erişilen
kurumsal ağ içindeki kaynakların ön kimlik doğrulaması.
- Parolasının
süresi dolan kullanıcıların kaynaklara erişmeye devam edebilmek için
çalışma alanına katılmış herhangi bir cihazdan parola değiştirmelerini
sağlayan parola değiştirme.
- Kullanıcının
kullanıcı verilerine, cihaz verilerine ve ağ konumuna göre çok faktörlü
kimlik doğrulaması gerçekleştirmesine gerek olup olmadığını belirleyen
esnek ilke.
- Çok
faktörlü kimlik doğrulamasını yapılandırırken üçüncü taraf ve özel kimlik
doğrulaması yöntemleri için destek.
- SSO'yu
yoksaymak ve kullanıcıyı duyarlı bir uygulamaya her eriştiğinde kimlik
bilgilerini sağlamaya zorlamak üzere uygulama başına denetim.
- Kullanıcı
verilerine, cihaz verilerine veya ağ konumuna göre uygulama başına esnek
erişim ilkesi.
- Yöneticilerin
Active Directory hesaplarını internet üzerinden gelen deneme yanılma
saldırılarından korumasını sağlayan AD FS Extranet Kilitleme.
- Active
Directory'de devre dışı bırakılmış veya silinmiş olup çalışma alanına
katılmış tüm cihazlar için erişim iptali.
- AD FS artık IIS’ye bağımlı değil. Bu, özellikle AD FS Active
Directory etki alanı denetleyicilerine yüklendiğinde gelişmiş performans sunar
ve hizmetlerin kapladığı alanı azaltır.
- Sunucu Yöneticisi aracılığıyla uzaktan yükleme ve yapılandırma.
- SQL Server ile AD FS yüklemek için kullanıcı arabirimi desteği
- Grup Tarafından Yönetilen Hizmet Hesabı desteği. Bu, AD FS‘nin
sona eren hizmet hesabı parolalarını yönetmeden hizmet hesapları ile
çalıştırılmasını sağlar.
- AD FS’yi dünya çapında yayılmış veri merkezlerine dağıtırken SQL
Server birleştirme çoğaltması desteği
- Belli bir grupta değişikliklerin bir kez yapıldıktan sonra geri
kalan AD FS federasyon sunucularına otomatik olarak yayıldığı AD FS hizmetinin
birleştirilmiş özelleştirmesi.
- Modern görünümlü ve farklı form faktörlerine otomatik olarak uyan
güncelleştirilmiş oturum açma sayfaları.
- Şirket etki alanına katılmamış ancak hala şirket ağı (intranet)
içinden erişim istekleri oluşturmakta kullanılan cihazlara yönelik otomatik
form tabanlı kimlik doğrulamasına geri dönüş için destek.
- Şirket logosu, çizim resmi, BT desteği için standart bağlantılar,
giriş sayfası, gizlilik gibi öğeleri özelleştirmek için basit denetimler.
- Oturum açma sayfalarındaki açıklama iletilerini özelleştirilme.
- Web temalarını özelleştirme.
- Şirketin iş ortaklarının geliştirilmiş gizliliği için kullanıcının
kurumsal sonekine göre Giriş Bölgesi Bulma (HRD).
- Uygulamaya göre otomatik olarak bir bölge seçmek için her bir
uygulama temelinde HRD filtreleme.
- Daha kolay BT sorun giderme için tek tıklamayla hata raporlama.
- Özelleştirilebilir hata iletileri.
- Birden fazla kimlik doğrulama sağlayıcısı kullanılabilir olduğunda
kullanıcı kimlik doğrulaması seçeneği.
- Dinamik grup SID hidrasyonu ile SSO tanımlama bilgisinin boyutunu
azaltma. Bu, daha fazla belirlenebilen bir tanımlama bilgisi boyutu sağlar ve
kullanıcı çok sayıda güvenlik grubuna ait olduğunda oluşan şişirmeyi azaltır.
- Sertifika kimlik doğrulaması kullanırken kullanıcı sertifikaları
içinde kodlanmış taleplere erişim. Bu, yöneticilerin ne tür bir sertifika
kullanıldığına göre erişimi farklılaştırmalarına yardımcı olabilir.
- Daha kolay sorun giderme için tüm olay günlüklerine ve izlemelere
kaydedilen tutarlı istemci istek kimliği.
- İlke kararları verirken kullanılabilecek IP adresleri, uç nokta
adresleri veya kullanıcı aracıları gibi ek istek talepleri.
- Yöneticinin parola süresinin dolmak üzere olduğunu kullanıcıya
bildirmek için aşağı akış uygulamalarına göndermek üzere yapılandırabileceği
talep şeklinde parola sona erme bildirimi.
Kaynaklar ; https://technet.microsoft.com/en-us/library/hh831502.aspx
|