Azure Active Directory’e geçmeden önce aşağıda yapacağımız uygulamaları Azure veya Azure Learn Sandbox üzerinde ücretsiz gerçekleştirebilirsin. Eğer öğrenci iseniz https://azure.microsoft.com/tr-tr/free/students/ kredi kartı bilgisi girmeden geçerli bir öğrenci mail adresi ile 100 dolar kredi elde ederek Azure deneyimi yaşabilirsiniz. Ayrıca sürekli ücretsiz araçlardan da faydalanarak ilgi duyduğunuz konular hakkında geliştirmelerde bulunabilirsiniz.
Eğer öğrenci değilseniz üzülmeyin, https://azure.microsoft.com/tr-tr/free adresinden kredi kartı bilginizi paylaşarak 200$ bir kredi ile bir başlangıç yapabilirsiniz. Yine bu üyelikte de sürekli olarak ücretsiz araçlar var.
https://docs.microsoft.com/tr-tr/learn/ adresindeki öğrenme yollarını ve bağlı modüller ile Azure hakkında daha fazla bilgi edinebilirsiniz.
Yapacağımız çalışmada aşağıdaki konulara değineceğiz.
- Azure AD ile bir tenant oluşturma,
- Kullanıcı ve grup oluşturma,
- Gruba kullanıcı atama,
- Ziyaretçi kullanıcı oluşturma,
- Azure AD’ye bir uygulama yükleme,
- Uygulamaya kullanıcı atama,
Azure Active Directory nedir?
Azure AD, kullanıcılarınızın için Single Sing On (SSO) veya Multi-Factor Authentication (MFA) kimlik doğrulama protokollerin bulut ortamında sağlayan bir servistir. Azure AD ile Windows Server Active Directory’nin isimleri birbirine benzese de birbirlerinin muadili değiller. Azure AD’nin hedefi bulut üzerindeki kaynakları yönetmek iken Windows Server Active Directory’nin hedefi on-prem dediğimiz şirket içi ortamdaki kaynakları yönetmektir. Azure AD ile Active Directory’inizi Azure AD Connect ile birbirine bağlayabilir, birbirleriyle senkronize ederek kullanıcıların hem yerel hem de bulut tabanlı kaynaklara erişirken aynı kimlik bilgilerini kullanmasını sağlayabilirsiniz.
Azure AD, kullanıcı kimlik doğrulama işlemlerinde SAML Oauth, Open ID ve WS-Federation’i kullanırken Windows Server Active Directory Kerberos ve NTLM’yi kullanmaktadır.
Küçük firmalar Microsoft 365, Salesforce, Dropbox gibi Software As a Service (SaaS) ürünlerine erişimi denetlemek için Azure AD’yi, Windows AD’den bağımsız olarak da kullanılabilir.
Önemli Uyarı!
Azure üzerinde (elbette diğer bulut sağlayıcıları için de geçerli bu durum) ücretsiz deneme olarak sağlanan servisleri işiniz bitince durdurmayı unutmayın. Süre bitimine yakın mail adresinize gerekli bildirimler elbette yapılıyor. Ancak test amaçlı yaptığınız çalışmalarda sürekli portala girip kontrol etmediğimiz için istemediğimiz durumlarla karşılaşabiliriz. Bu nedenle test amaçlı oluşturduğunuz her türlü kaynağı işiniz bitince silin. Azure özelinde, Resource Group oluşturup çalışmalarınızı bu grup içinde yaparsanız işiniz bitince grubu sildiğinizde oluşturduğunuz tüm kaynaklar grupla birlikte silinir. Bu şekilde tek tek kaynak silme zahmetinden kurtulursunuz.
Azure Portal hem İngilizce hem Türkçe dil desteğine sahiptir. Bu ayarı portalın sağ üst taraftaki Portal Settings kısmından değiştirebilirsiniz.
Azure Active Directory Oluşturma
Asıl konumuza dönecek olursak Azure AD üzerinde kullanıcı işlemlerini gerçekleştirmek için ilk önce bir kaynak oluşturmak gerekiyor. Azure üzerinde kullandığınız VM, storage, VNET vb. bütün nesnelere kaynak deniyor. Azure AD temel bileşenlerle ücretsiz bir servistir. Ancak Multi-Factor Authentication (MFA), Mobile Device Management, Conditional Access gibi servislerden yararlanmak için Azure Active Directory Premium üyeliğiniz olmalıdır. Azure Active Directory Premium bir ay boyunca ücretsiz deneme şansınız var.
Azure Portal’dan Kaynak oluştur menüsünden Azure Active Directory’ı Create/Oluştur butonuna basarak oluşturuyoruz.
Organization name kısmına kuruluşunuzun portal üzerinde görülmesini istediğiniz ismini girin.
Initial Domain Name kısmına kurumunuz ile ilişkili alan adınız yazın. Burada alan adının sonuna onmicrosoft.com gelecektir. Kurumsal aboneliklerde bu bölüme kendi alan adınızı yazabilirsiniz.
Country and Region kısmında kaynağın oluşturulacağı bölgeyi seçmelisiniz. Burada seçeceğiniz bölgeyi bir daha değiştiremeyeceğiniz bilmenizi isterim. Bazı kaynaklar için bölge değişikliği yapılabiliyor ancak Azure AD bu kaynaklardan biri değil.
Create ile tenant ımız oluşturuyoruz. Genellikle 2-3 dk içerisinde bu işlem tamamlanıyor.
Portalın sağ üst kısmındaki Notifications bölümünden süreci takip edebilirsiniz.
Bildirim ekranından Tenant’ımız başarıyla oluşturulduğunu görüyoruz.
Click here to manage your new tenant bildirimine basarak Azure AD’nin ekranına geçiş yapıyoruz. Dilerseniz Resources bölümünden de Azure AD’ye geçiş yapabilirsiniz.
Azure AD ekranında Başlarken (Getting Started) menüsündeki ücretsiz deneme sürümünü etkinleştirebilirsiniz.
Etkinleştir dedikten sonra Notifications kısmında etkinleştirmenin başarılı olduğu bildirimi geliyor. Eğer bu işlemi yapmanıza rağmen hala etkin değilse 15-20 sn sonra Azure AD sayfasını yenileyerek etkinleştirme işleminin tamamlandığını görebilirsiniz.
Genel kısmındaki Lisans bölümünden de görüleceği üzere Premium lisansımız aktif durumdadır.
Kullanıcı Oluşturma
Azure AD menüsünden kullanıcılar bölümüne geçiyoruz. Burada gördüğünüz kullanıcı sizin tenant’ı oluştururken kullandığınız kullanıcıdır. Bu kullanıcının kendisi üzerine yetkiler alarak tüm tenant üzerinde istediği işlemi yerine getirebilir veya yetkilerini istediği zaman bırakabilir. Bu özellik tenant’dan sorumlu yöneticinin aniden işten ayrılmasında yetkileri başka bir kullanıcıya vermek istediğiniz zaman yönetici peşinde koşmamanızı sağlıyor.
Üst kısımda Yeni Kullanıcı ya basarak kullanıcı oluşturma ekranına geçiyoruz. Gelen pencerede iki seçenek mevcuttur. Birisi kuruluşunuza yeni bir kullanıcı ekleme diğeri de guest (Misafir, Ziyaretçi) dediğimiz farklı bir kuruluştaki kullanıcıyı ekleme. Biz şimdilik kuruluşumuz için kullanıcı oluşturuyoruz. Zorunlu olan kısımları dolduruyoruz. Parola kısmında isteseniz Azure’un sizin için parola oluşturmasını sağlayabilirsiniz yada benim gibi kendiniz oluşturabilirsiniz.
Oluştur butonuna basarak kullanıcımız oluşturuyoruz. Bildirimler kısmında da oluşturulduğa dair bilgilendiriliyoruz.
Kullanıcı Silme
Kullanıcı silmek için kullanıcılar bölümünden silmek istediğiniz kullanıcının başındaki kutucuğu işaretleyip Kullanıcı Sil butonuna basıyoruz. Bu kadar.
Kullanıcımızın başarıyla silindiğinin bildirimini alıyoruz.
Silinen Kullanıcıyı Kurtarma
Azure AD üzerinde silinen bir kullanıcı 30 gün içinde Silinmiş kullanıcılar bölümünde geri döndürülebilir. Geri dönmek istediğiniz kullanıcıyı seçip Kullanıcıyı Geri Yükle butonu ile bu işlemi yapabilirsiniz. Eğer 30 günü geçmiş ise kullanıcı kalıcı olarak Azure tarafından silinir.
Aynı durum silinen bir grup için geçerli değildir. Silinen bir grubu geri getiremez
Yeni Grup Ekleme
Azure Active Directory’de Gruplar bölümüne gelip Yeni Grup eklemek için + işaretine basıyoruz.
Grup türü Güvenlik olarak seçiyoruz. Grubumuzun ismini giriyoruz. Üyelik türünü Atanan (Assinged) olarak seçiyoruz. Eğer Premium üyeliğiniz aktif değilse bu kısım pasif olur.
Bildirimler bölümünden grubun oluştuğunu görüyoruz.
Oluşturduğumuz grubun içine girerek doğrudan Üye ekle kısmına gidip kullanıcımızı ekleyelim.
Üye ekle bölümündeki ara kısmından eklemek istediğiniz kullanıcıyı, adını yazarak bulabilirsiniz. Bu bölümdeki göreceğiniz diğer kullanıcı ve gruplar Azure AD tarafından oluşturulmuştur. Oluşturduğumuz kullanıcıyı gruba ekliyoruz.
Bildirim ekranında da kullanıcımızın gruba başarıyla eklendiğini görüyoruz.
Premium üyeliğin gerekli olduğu durumlardan bir tanesi de gruplara dinamik olarak kullanıcı atamak istediğiniz zamandır. Dinamik atamanın amacı gruba kullanıcıları belirli özelliklerine göre eklemektir. Örneğin test işlemlerini gerçekleştirdiğiniz tester’larınız olduğu bir departman olsun. Departmanı tester olanlar diye bir dinamik sorgu ekleyerek departmanı tester olarak belirtilen kullanıcıların otomatik olarak bu gruba eklenmesini sağlayabilirsiniz.
Bunun için grup özelliklerinden Üyelik Türünü, Dinamik olarak değiştiriyoruz.Dinamik bir sorgu eklemek için Dinamik sorgu ekle’ye gidiyoruz.
Burada özellikler kısmından department i seçiyoruz. Ardından eşittir i seçerek department’in eşit olmasını istediğimiz değeri yazıyoruz. Kısacası departmanı Tester olan kullanıcılar için bir kural oluşturuyoruz. Elbette buradaki kuralların doğru çalışabilmesi için kullanıcılarınızın özellikler bölümündeki bilgilerinin tam ve eksiksiz girilmesi gerekiyor. Elbette daha karmaşık kurallar da yazılabilir. Kaydet diyerek bu pencereyi kapatıyoruz.
Yazdığımız kural aşağıdaki gibi görülecek.
Tester grubunun özellikler sayfasında da Kaydet diyerek yaptığımız değişiklikleri uyguluyoruz.
Kayıt işlemi sırasından üyelik türünün değiştirildiğine dair bildirimi evet diyerek onaylıyoruz.
Bu işlemden sonra departmanını tester olarak belirttiğiniz kullanıcılarınız otomatik olarak bu gruba dahil olacaktır.
Konuk (Guest) Kullanıcı Erişimi
Dışarıdan bir kullanıcının, firmanızın kaynaklarına geçici veya kısıtlı bir erişimine ihtiyaç duyduğunuz zaman bu özelliği kullanabilirsiniz. Dışarıdan gelecek bir kullanıcıya e-posta ile bir davet göndererek belirli kaynaklara erişim izni verebilirsiniz.
Normal şartlarda eğer bu işlemi bir Windows Server Active Directory’de yapmak isteseydik Active Directory Federation Servisine ihtiyacımız olacaktı. Ancak Azure AD bu işlemi kendisi hallediyor.
Burda bir noktaya dikkat çekmek istiyorum. Eğer Hyprit bir yapı kullanacaksanız ve On-Prem bir Fedaration Servisiniz var ise bu serviste oluşacak bir problemde Azure üzerinde guest olarak izin verdiğiniz kullanıcılar Azure servislerini kullanamayacaklardır.
Kullanıcı davet et’i seçerek devam ediyoruz. Kullanıcı bilgilerini dolduruyoruz.
Kullanıcının, artık kullanıcı listesinde göründüğüne ve kullanıcı türü olarak Konuk olduğuna dikkat edin.
Dilerseniz kullanıcıyı, bir gruba konuk kullanıcı olarak ekleyebilirsiniz. Bir gruba kullanıcı eklemek için ilerlenen adımların aynısı tekrar edildiği için yeniden bahsetmeyeceğim.
Uygulamaya Konuk Kullanıcılar Ekleme
Azure AD içerisindeki menüden Kurumsal Uygulamalar bölümüne geçelim.
Yeni uygulama ekle diyerek galeri ekranına ulaşıyoruz.
Galeri ekranında istediğiniz bir uygulamayı seçebilirsiniz. Ben Slack uygulamasını seçip yükledim.
Uygulama yüklemesinden sonra uygulama sayfasına yönlendirileceksiniz. Kullanıcılar ve gruplar bölümünden Kullanıcı/grup ekleye gidiyoruz.
Eklemek istediğimiz kullanıcı ve grubu ara bölümünü kullanarak buluyoruz. Guest olarak eklediğimiz kullanıcıyı seçiyoruz ve ilgili uygulamaya atamasını gerçekleştiriyoruz.
Slack uygulamamıza misafir kullanıcımızı eklemiş olduk. Ancak herhangi bir rolü yok.
Kullanıcıya rol eklemek kullanıcıyı seçip düzenleye gidiyoruz.
Kullanıcıya User rolü verelim ve atamasını gerçekleştirelim.
Kontrol ettiğimizde misafir kullanıcımıza Slack uygulaması için User rolü atamış olduk.
Özetle Azure AD kurulumunu, kullanıcı ekleme, grup oluşturma, uygulama yükleme ve uygulamaya kullanıcı işlemlerini gerçekleştirdik. Elbette toplu kullanıcı oluşturma işlemleri için Azure Portal kullanmak çok efektif olmayacaktır. Bunun için Azure CLI ve Azure Powershell kullanımını başka bir makalede anlatmak üzere diyelim.
Faydalı olması dileğiyle,
Eline sağlık.