GERİ
Office 365 için ADFS 3.0 ile Single Sign On – Part 1

Office 365 için ADFS 3.0 ile Single Sign On – Part 1

by Ezgi CAN, 9 Haziran 2017

Office 365 içerisinde yer alan Exchange Online, Sharepoint Online, Lync Online, Onedrive for Business, Office Online gibi hizmetler ve bu hizmetlerin sağlamış oldukları avantajlar ile de firmalar tarafından tercih edilmektedir. IT sektörü bu hizmetleri direkt alt yapılarına konumlandırarak ya da var olan yapılarını taşıyarak Office 365 hizmetlerini kullanmaktadır. Burada haliyle firmanın var olan alt yapısına uygun geçiş işlemleri kurgulanarak son kullanıcıların etkilenmeden soft bir şekilde geçiş işlemleri yapılmaktadır.

Bu geçiş işlemleri dışında firmalarda ihtiyaçlar doğrultusunda Single Sign On alt yapıları da dizayn edilip Office 365 topolojileri kurgulanmaktadır.Single Sign On ile kullanıcıların kimlik doğrulama işlemleri (authentication) lokal Acitve Directory’de gerçekleşmektedir. Böylelikle kullanıcılar Office 365’de yer alan Exchange Online, Lync Online gibi hizmetleri kullanırken, domainde yapmış oldukları şifre değişimlerinden etkilenmeden kullanabileceklerdir. Bunu real ortamda da gözlemleyebileceklerdir. Örneğin kullanıcılar etki alanında olan cihazlarında oturum açtıkları anda Outlook ya da Lync uygulamaları kullanıcıya herhangi şifre sormadan açılacaktır. Yine Single Sign On ile firmalar kendilerine özel tasarlamış oldukları ve içerisinde kendi uygulamalarının yer aldığı portalarına da Office 365 mail hizmetini entegre edebilmektedirler. Bu senaryo da kullanıcılar portallarına domain ortamında kullanmış oldukları kimlik doğrulaması ile erişebilmekte ve portallarında yer alan uygulamalara herhangi şifre sormadan direkt açabilmektedir. Office 365 ile gelen mail hizmeti şirket portallarına entegre edip  Single Sing On ilk oturumunu açmış olduğu kullanıcı bilgileri ile erişmeleri sağlanacaktır. Signle Sign On sadece tek şifre mantığından çok aslında Office 365 için aynı zamanda çeşitli izinlerin ya da yasakların konumlandırılabilineceği ve poliçelerin yazılabilineceği bir platformdur. Bu ve benzeri senaryolar sonucu Single Sign On ile Office 365 efektif şekilde kullanılabilinecektir. Bu tarz senaryoların sağlıklı çalışabilmesi için enaz 4 sunucuya ihtiyaç vardır. Bunlardan 2 tanesi iç networkte çalışacak olan ve aralarında NLB yapısının konfigüreedileceği ADFS servisridir. Ayrıca şirket dışından da erişimin sağlanacağı göz önüne alınarak ve güvenli bir platformun sağlanması adına şirket dışından gelen taleplerin iç networkte yer alan ADFS sunucularına yönlendirilmesi adına 2 adet ADFS Proxy sunucuları yine NLB ile DMZ networküne konumlandırılmalıdır. Ayrıca lokal kullanıcıların Office 365 ortamına senkronizasyonu için de Dirsync sunucusuna ihtiyaç duyulacaktır.Bu gibi senaryolarda Single Sign On mekanizması için yeni Microsoft işletim sistemlerinde(Windows Server 2012, Windows Server 2012 R2 gibi) yer alan Active Directory Federation Services (ADFS) rolü yapılandırılabilir.

Single Sign On senaryosu için aşağıda bir lab ortamı hazırlanmıştır. Bu lab ortamında kullanıcıların lokal Active Directory ile senkronizasyonu için kullanılacak olan Windows Azure Active Directory Senkronization kullanılacaktır. Aynı zamanda ADFS ve dış networkten(public networkten) de Office 365 platformuna erişileceği düşünülerek ADFS Proxy konumlandırılmıştır. Lab ortamı olarak düşünüldüğü için ADFS makinalarından birer tane kurulmuştur. Ancak yukarıda da bahsedildiği üzere en az 2’şer tane ve aralarında NLB olacak şekilde konumlandırılmalıdır.


Buradaki lab ortamında Windows Server 2012 R2 işletim sistemleri kullanılacak olup, konfigürasyonlar adım adım aktarılacaktır. Aşağıda bu konfigürasyona ait adımlar yer almaktadır;

DirSync Tool’unun konfigüre edilmesi

ADFS rolünün iç networkte konfigüre edilmesi

ADFS Proxy rolünün DMZ networkte konfigüre edilmesi