Active Directory Federasyon Hizmetleri (AD FS), kullanıcıların oturum açmaları için hesap depolarını kullanır ve bu kullanıcılar için güvenlik taleplerini ayıklar. Bir Federasyon Hizmeti için birden fazla hesap deposu yapılandırabilirsiniz. Ayrıca bunların önceliğini de tanımlayabilirsiniz. Federasyon Hizmeti, hesap depolarıyla iletişim için Basit Dizin Erişimi Protokolü (LDAP) kullanır. AD FS aşağıdaki iki hesap deposunu destekler:

  • Active Directory Etki Alanı Hizmetleri (AD DS)

  • Active Directory Basit Dizin Hizmetleri (AD LDS)

AD FS, kuruluş çapında AD DS dağıtımları veya AD LDS örnekleri ile çalışır. AD FS, AD DS ile çalışırken, Kerberos, X.509 dijital sertifikalar ve akıllı kartlar dahil olmak üzere, AD DS'deki güçlü kimlik doğrulama teknolojilerinden yararlanabilir. AD FS, AD LDS ile çalışırken, kullanıcıların kimliğini doğrulamak için bir araç olarak LDAP Bağlantısı kullanır.

AD DS hesap depoları

AD FS, AD DS ile sıkı şekilde tümleşiktir. AD FS kullanıcı özniteliklerini alır ve kullanıcının kimlik doğrulamasını AD DS'ye göre yapar. AD FS, ayrıca Windows Tümleşik Kimlik Doğrulaması'nı ve AD DS'nin oluşturduğu güvenlik belirteçlerini kullanır.

Bir kullanıcının AD DS'de oturum açabilmesi için, kullanıcı adının, kullanıcı asıl adı (UPN) biçiminde olması (kullanıcı@adatum.com) veya Güvenlik Hesapları Yöneticisi (SAM) hesap adı biçiminde (adatum\kullanıcı) olması gerekir.

Bir kullanıcı oturum açtığında erişim belirteçleri oluşturulur. Bunla kullanıcıya ve kullanıcının ait olduğu tüm gruplara ilişkin güvenlik tanımlayıcılarını (SID) içerir. Kullanıcını başlattığı her işleme erişim belirtecinin bir kopyası atanır.

Kullanıcı oturumu açtıktan ve sunucunun özelliklerini aldıktan sonra, kullanıcı SID'leri erişim belirtecinden numaralandırılır. SID'ler daha sonra kuruluş grup talepleriyle eşleştirilir.

Dikkat

Hesap Federasyon Hizmeti'nde Windows güveni seçeneğini etkinleştirdiğinizde, gerçek SID'leri Internet üzerinden kaynak ortağı kuruluşa göndermiş olursunuz ve bu da bir güvenlik riski oluşturabilir. Bu SID'ler AD FS Güvenlik Onayı Biçimlendirme Dili (SAML) belirteci içinde paketlenir. Bu nedenle, bu seçeneği yalnızca, Orman Güveni Olan Federe Web SSO'su tasarımını kullanırken etkinleştirin. Bu tasarımın amacı, aynı kuruluş içinde güvenli iletişim kurmaktır.

E-posta talepleri, ortak ad talepleri ve özel talepler; bir nesnenin LDAP aramasının gerçekleştirilmesi için Federasyon Hizmeti hesabı kullanıldığı zaman AD DS'de tanımlanan kullanıcı nesnesi özniteliklerinden ayıklanabilir.

Federasyon Hizmeti hesabının kullanıcı nesnesine erişimi olmalıdır. Kullanıcı nesnesi, Federasyon Hizmeti hesabının bulunduğu etki alanından farklı bir etki alanındaysa, ilk etki alanı, ikinci etki alanı için yedek bir AD DS etki alanı güvenine sahip olmalıdır.

AD DS'de ve AD DS tarafından güvenilen (doğrudan ya da geçişli) tüm dizinlerde belirli bir kullanıcı adı olup olmadığını belirlemenin doğrudan bir yolu yoktur. AD DS, yalnızca oturum açma girişimi ilke kısıtlamalarının bir sonucu olarak başarısız olursa bir yetki başarısızlığı döndürür. İlke kısıtlaması başarısızlığına örnek olarak aşağıdakiler verilebilir:

  • Hesap devre dışıdır.

  • Hesap parolasının kullanım süresi dolmuştur.

  • Hesabın bu bilgisayarda oturum açmasına izin verilmemektedir.

  • Hesabın oturum açma saati kısıtlamaları vardır ve şu anda oturum açmasına izin verilmemektedir.

Aksi durumda, AD DS hesap deposu oturum açma başarısızlıkları her zaman yetkisizdir ve bir sonraki öncelik sırasındaki hesap deposu denenir. Hesap deposu oturum açma başarısızlıkları hakkında daha fazla bilgi için bkz. AD FS Sorunlarını Giderme.

AD LDS hesap depoları

AD LDS, dizin altyapılı uygulamalar için AD DS'nin gerektirdiği bağımlılıklar olmadan veri depolama ve alma işlevlerini sağlar. AD LDS, AD DS ile hemen hemen aynı işlevleri sağlar; ancak etki alanlarının veya etki alanı denetleyicilerinin dağıtımını gerektirmez. AD FS'nin AD DS hesap deposu bilgilerini kullanmasına benzer şekilde, AD FS kullanıcı özniteliklerini alıp kullanıcıların kimliğini AD LDS'ye göre doğrulayabilir.

Not

AD FS, hesap adında parantez bulunan AD LDS hesaplarının kimlik doğrulamasını yapamaz. Kullanıcı adında açık parantez olan hesaplar, geçersiz LDAP filtresi oluşturan kullanıcı adı nedeniyle LDAP arama hatasına neden olur.

Federasyon Hizmeti hesabı nesnenin LDAP aramasını gerçekleştirmek için kullanılan talepleri alır. Daha fazla bilgi için bkz. Talepleri Anlama. Bu, iki aşamalı bir işlemdir:

  • Önce Federasyon Hizmeti hesabı; yapılandırılmış özniteliği, sağlanan kullanıcı adına eşit olan nesneyi arayarak kullanıcı nesnesini bulur. Federasyon Hizmeti hesabı, bu iletişimi koruma altına almak için Kerberos kimlik doğrulaması veya NTLM şifrelemesi kullanır.

    Not

    Bu işlem, AD LDS sunucusunun, Federasyon Hizmetinin üye olduğu etki alanına güvenen bir etki alanına katılmasını gerektirir.

  • Sonra, kullanıcı kimlik bilgileri, sağlanan parolaya sahip olan bulunan kullanıcı nesnesine bir LDAP bağlantısı ile doğrulanır. Güven ilkesinde AD LDS hesap deposu özellikleri için Aktarım Katmanı Güvenliği ve Güvenli Yuva Katmanı (TLS/SSL) yapılandırılırsa, kullanıcı kimlik bilgileri korunur.

    Önemli

    AD LDS sunucusu ve federasyon sunucusu arasındaki trafiğin TLS/SSL ile veya Internet Protokolü güvenliği (IPsec) gibi başka bir yöntemle korunması önemle önerilir.

Girilen kullanıcı adı LDAP sorgusundan birden fazla nesne döndürüyorsa, bu bir kimlik doğrulama hatası olarak kabul edilir.

Kullanıcı hesabı öncelikle, yapılandırılmışsa AD LDS hesap deposunda aranır ve sonra bu sırayla diğer LDAP depoları yapılandırılır. Depolardan herhangi biri kullanıcı hesabını bulursa, yetkili kullanıcı oturumu açar ve kullanıcı oturum açma isteğini işlemek üzere başka hesap deposu çağırılmaz.

Kullanıcı oturum açma isteklerinin öncelik sırasını belirleme

Bir kullanıcı AD FS istemcisi üzerinden AD DS ya da AD LDS'ye oturum açma isteğinde bulunursa, istek hemen belirtilen hesap deposuna aktarılır. Bununla birlikte, hesap deposu Tekdüzen Kaynak Tanımlayıcısı (URI) belirtilmezse, Federasyon hizmeti kullanıcıya oturumu açmak için, öncelik sırasına göre her depoyu dener. Aşağıdaki durumlarda kimlik doğrulama sonuçları döndürülür:

  • Yalnızca bir depo yapılandırılmıştır ve kimlik doğrulama bilgileri döndürülür.

  • Oturum açma isteğinde depo URl'si belirtilmiştir ve kimlik doğrulama bilgileri döndürülür.

  • Depolardan birindeki kimlik doğrulamasının sonucu yetkilidir.

  • Depolardan birindeki kimlik doğrulaması başarılıdır.

Hesap depolarını devre dışı bırakma

Her hesap deposunu etkin veya devre dışı olarak işaretleyebilirsiniz. Bir hesap deposu devre dışı bırakılmışsa, hesap deposu bağlantılı herhangi bir işlemde yer almaz. Devre dışı durumdaki hesap deposundan kaynaklanan talepleri içeren tanımlama bilgileri atılır veya silinir ve istemci oturum açma sayfasına yönlendirilir.


İçindekiler