Azure Active Directory Seamless Single Sign-On kullanıcılarınızın hali hazırda Windows bilgisayarlarından kurumunuzun Active Directory yapısında oturum açtığında, Office 365 veya Azure AD ile entegrasyonunu sağladığınız uygulamalarda parola yazmalarına gerek kalmadan oturum açmalarını sağlamaktadır.
Azure AD öncesinde on-prem sistemlerde bu tür entegrasyonları Federation Services ile sağlamaktaydık. Azure AD sayesinde birçok bulut yazılımında SSO yapabilir ve tek bir kullanıcı ile erişim sağlayabilir hale geldi. Simdi Azure AD Seamless SSO ile eski Federation yapılardaki gibi şifresiz bir tam entegrasyon sağlayacağız.
Azure AD 2020 yılında Microsoft tarafından ücretsiz kullanıma sunuldu. (https://www.cozumpark.com/microsoft-azure-ad-ssou-ucretsiz-yapiyor/)
Azure AD Connect kurulum ve yapılandırmasıyla ilgili https://www.cozumpark.com/azure-ad-connect-kurulum-ve-yapilandirma/ makalesinden yararlanabilirsiniz.
Azure AD Connect
Azure AD Connect yazılımını kurulu olduğu sunucuda çalıştırılalım.
Change user sign-in seçeneği ile ilerleyelim.
Daha önce Azure AD ile entegrasyon sağladığınız kullanıcı bilgilerini dolduralım.
Single sign-on, Password Hash Synchronization ve Pass-through authentication seçeneklerinde aktif olmaktadır.
On-Prem Active Directory domain admin bilgilerimizi gireceğiz.
Ayarları tamamladıktan sonra senkronizasyonun başlaması için Start the synchronization process when configuration completes seçeneğini işaretleyeceğiz. Bir sonraki ekranda exit ile programı kapatabilirsiniz.
Azure Portal
Senkronizasyonu kontrol etmek için Azure portal da Azure Active Directory ekranına geçelim. Buradan Azure AD’ye tıkladığınızda Seamless single sign-on seçeneğinin Enabled olduğunu,
İçerisine tıkladığınızda domain adını ve senkronizasyonun başarılı olduğunu kontrol edebilirsiniz.
Group Policy
Yeni bir GPO oluşturarak Azure auto logon sitesini güvenilir sitelere ekleyeceğiz. Bunun için yeni bir GPO oluşturduktan sonra User Configuration >> Policies >> Administrative Templates >> Windows Components >> Internet Explorer >> Internet Control Panel >> Security Page kısmında Site to Zone Assignment List ayarını açacağız.
Bu ayarı Enabled olarak değiştirdikten sonra
https://autologon.microsoftazuread-sso.com adresini yazarak değerini 1 olarak belirteceğiz.
Sonra Security Page içerisindeki Intranet Zone’da Allow updates to status bar via script ayarını,
Enable olarak değiştirerek Status bar updates via script ayarınızı Enable yapacağız.
Kontrol
Group Policy ayarlarımız ilgili kullanıcılara uygulandıktan sonra https://www.office.com/ dan testimizi yapabiliriz. Eğer tüm ayarlar doğru yapıldıysa tek hesap olan bir bilgisayar otomatik olarak giriş yapacaktır. Eğer birkaç hesap varsa On-Prem Active Directory’de oturum açmış kullanıcıyı Windows’a bağlandı şeklinde göreceksiniz. Bu kullanıcıyı seçtiğinizde şifre istemeden giriş sağlayacaktır.
Ayarları canlı ortamda yaptığım için bazı şirket ve kullanıcı bilgilerini gizlemek zorunda kaldığım için kusura bakmayın.
Umarım faydalı olmuştur.
Eline sağlık, çok güzel bir makale olmuş.
Teşekkür ederim.
Merhaba,
Yukarıda paylaştığınız konfigürasyonu sorunsuz bir şekilde tamamladım.Sayfayı açtığım evet mail adresini girdikten sonra şifre istemeden erişim sağlayabiliyorum.
Şöyle bir şey daha yapabilirmiyiz.Kullanıcı adını da girmeyerek direkt o hesap ile sayfa açılsın.
Merhaba,
Eğer hash bilgisi Azure’a gittiyse giriş yaptığınız hesabın altında “Windows’a bağlanıldı” şeklinde görünmesi gerekiyor. Tek hesaptan oturum açtıysanız doğrudan giriş yapacaktır. Birden fazla office 365 (hotmail, outlook gibi uzantılar dahil) oturum açıldıysa seçim yapmanızı ister.