Kimlik bilgisi dolaşımı, kuruluşların sertifikaları ve özel anahtarları, uygulama durumu veya yapılandırma bilgilerinden ayrı olarak Active Directory Etki Alanı Hizmetleri'nde (AD DS) depolamasını sağlar.

Kimlik bilgisi dolaşımı nasıl çalışır?

Gezici kimlik bilgisi, bir kullanıcı her oturum açtığında yerel bilgisayara güvenli şekilde sertifika ve anahtarları karşıdan yüklemek ve istendiğinde kullanıcı oturum kapattığı zaman bu sertifika ve anahtarları kaldırmak için varolan oturum açma ve otomatik kayıt mekanizmalarını kullanır. Ayrıca, bu kimlik bilgilerinin bütünlüğü, sertifikaların güncelleştirildiği veya kullanıcıların bir defada birden fazla bilgisayarda oturum açtığı durumlar da dahil olmak üzere tüm koşullarda korunur.

Aşağıdaki adımlarda, dijital kimlik bilgileri dolaşımının nasıl çalıştığı açıklanmıştır.

  1. Bir kullanıcı, bir Active Directory etki alanına bağlı olan bir istemci bilgisayarda oturum açar.

  2. Oturum açma işleminin bir parçası olarak, gezici kimlik bilgisi Grup İlkesi, kullanıcının bilgisayarına uygulanır.

  3. Gezici kimlik bilgisi ilk kez kullanılıyorsa, kullanıcının istemci bilgisayardaki deposunda bulunan sertifikalar AD DS'ye kopyalanır.

  4. Kullanıcının zaten AD DS'de sertifikaları varsa, kullanıcının istemci bilgisayardaki sertifika deposunda bulunan sertifikalar AD DS'de kullanıcı için depolanan sertifikalarla karşılaştırılır.

  5. Kullanıcın sertifika deposundaki sertifikalar geçerliyse, başka eylem yapılmaz. Ancak, kullanıcının daha yeni sertifikaları AD DS'de depolanıyorsa, bu kimlik bilgileri istemci bilgisayara kopyalanır. Kullanıcının daha yeni sertifikaları istemci bilgisayarda depolanıyorsa, bu kimlik bilgileri AD DS'ye kopyalanır.

  6. İstemci bilgisayarda ek sertifikalara gerek duyulursa, bekleyen sertifika otomatik kayıt istekleri işlenir.

    Not

    Yeni verilen sertifikalar, istemci bilgisayardaki sertifika deposunda depolanır ve AD DS'ye çoğaltılır.

  7. Kullanıcı, etki alanına bağlı olan başka bir istemci bilgisayarda oturum açtığında, aynı Grup İlkesi ayarı uygulanır ve kimlik bilgileri bir kez daha AD DS'den çoğaltılır. Gezici kimlik bilgisi, AD DS'nin yanı sıra, kullanıcının oturum açtığı tüm istemci bilgisayarlardaki sertifikaları ve özel anahtarları eşitler ve bunlar arasındaki çakışmaları giderir.

    Önemli

    Birden çok etki alanı içeren ortamlarda ve birden çok etki alanı denetleyicisi bulunan etki alanlarında, bir kullanıcı bir bilgisayarda kullanıcının kimliğini farklı bir etki alanı denetleyicisine karşı doğrulayan bir sertifika kendisine verildikten kısa bir süre sonra bir etki alanı denetleyicisini kullanarak ağda oturum açtığında, kimlik bilgileri hemen kullanılamayabilir. Kimlik bilgileri yalnızca, iki etki alanı veya etki alanı denetleyici arasında çoğaltma tamamlandıktan sonra kullanılabilir.

  8. Kullanıcının sertifikasının süresi sona erdiğinde, eski sertifika otomatik olarak kullanıcının profilinde ve AD DS'de arşivlenir.

Kullanıcının yerel sertifika deposunda bir özel anahtar veya sertifika değiştiğinde, kullanıcı bilgisayarını her kilitlediğinde veya bilgisayarının kilidini açtığında ve Grup İlkesi'nin her yenilenişinde, gezici kimlik bilgisi tetiklenir.

Yerel bilgisayardaki bileşenler arasındaki ve yerel bilgisayar ile AD DS arasındaki sertifikayla ilgili iletişimin tümü imzalanır ve şifrelenir.

İçindekiler