Deep Dive: Active Directory Federation Services (ADFS) Bölüm 2

ADFS’te Federation Trust Nedir?

ADFS, diğer Active Directory Federation Services, kurumların kullanıcı kimliklerini orta tek şekilde doğrulamasını ve farklı uygulamalara güvenli erişim sağlamasını mümkün kılan tek federasyon hizmetidir. ADFS mimarisini manaaya çalışırken karşımıza çıkan en önemli kavramlardan arasında biri da Federation Trust diğer federasyon güven ilişkisidir.

Bu makalede ADFS’te Federation Trust kavramının ne olduğunu, nasıl çalıştığını ve bu yapının hangi ilköğretim bileşenler üzerine kurulduğunu detaylı şekilde ele alacağız. Ayrıca Claim, Identity Provider, Security Token Service, Claims Provider ve Relying Party gibi ADFS’in omurgasını oluşturan kavramları da açıklayacağız.

Bir önceki aşamada ADFS’in ne olduğu, nasıl çalıştığı, claims-based kimlikler modeller yapısı ve Active Directory ile ADFS arasındaki farklar ele alınmıştı. Bu yazıda ise özellikle güven ilişkisi tarafına odaklanacağız.

ADFS’te Önemli Kavramlar

ADFS’i doğru anlayavakıf oldu için önce bu teknolojiyle birlikteki sıkça kullanılan bazı ilköğretim kavramları temel oldu lüzumir. Çünkü federasyon güveni mantığı bu bileşenlerin birlikteki çalışması üzerine kuruludur.

ADFS’te Claim Nedir?

Claim, kişilik malumatsine ait tek parçadır. Kullanıcıya ait hiç tek tanımlayıcı malumat claim olarak değerlendirilebilir. Örneğin tek kullanıcının görünen adı, elektronikposta adresi ya da departman malumatsi birer claim olabilir.

Active Directory içinde mekan saha bu tür kullanıcı öznitelikleri ADFS tarafından claim olarak işlenir. Başka tek ifadeyle claim, kullanıcı hakkında karşı tarafa iletilen kişilik malumatsidir. ADFS, kullanıcıyı doğruladıktan sonraları bu malumatleri token içerisine ekleyerek uygulamaya sunar.

Security Token Service Nedir?

Security Token Service, kısaca STS, güvenlik token’larını üreten servistir. Temel görevi, kullanıcı doğrulandıktan sonraları uygulamaların kullanacağı güvenlik belirtecini oluşturmaktır.

Örneğin tek kullanıcı portal.office.com adresine giriş etmek istediğinde, kişilik doğrulama için login.microsoftonline.com adresine yönlendirilir. Buradaki yapı, ilgili servis için Security Token Service görevini seçenek getirir.

ADFS da tek Security Token Service’tir. Yani kullanıcı doğrulama işlemi sonrasında lüzumli token’ları üreterek uygulamaların kullanıcıya güvenmesini sağlar.

Claims Provider Nedir?

Claims Provider, buluşma açma sürecinde claim üreten servistir. Kullanıcıya ait kişilik malumatlerini sağlayan imkan olarak düşünülebilir.

Bu yapıya örnek olarak Active Directory verilebilir. Çünkü kullanıcı malumatleri işte tutulur ve doğrulama sonrasında kullanıcıya ait özellikler buradan alınır. ADFS, bu malumatleri Active Directory’den çekerek claim formatında işler.

Identity Provider Nedir?

Identity Provider, diğer kişilik sağlayıcı, tek müessese ile başvuru arasında tekbaşına buluşma açma deneyimini sağlayan bileşendir. Kullanıcının kimliğini doğrular ve bu doğrulamaya dayanarak erişim için lüzumli güvenlik malumatsini üretir.

ADFS, tek Identity Provider örneğidir. Kullanıcı önce öz kurumu tarafından doğrulanır, ardından bu doğrulamanın sonucu başka uygulamalara güvenli şekilde iletilir. Böylece kullanıcı her arasında biri başvuru için ayrı ayrı kişilik malumatsi girdi güçunda kalmadan erişim elde edebilir.

Relying Party Nedir?

Relying Party, uygulamayı barındıran ve ADFS tarafından üretilen token’a güvenen taraftır. Başka tek deyişle, ADFS’in sağladığı kişilik doğrulama sonucunu giriş eden başvuru ya da servis olarak düşünülebilir.

Relying Party, ADFS sunucusunun oluşturduğu token’ı tüketir. Uygulama, kullanıcıyı doğrudan öz başına doğrulamak seçenek ADFS’in verdiği belirtece güvenerek erişim hükümı verir.

ADFS’te Federation Trust Nedir?

Federation Trust kavramını kavramak için günlük hayattan tek örnek oldukça yararlıdır.

Bir uçağa binmek üzere havaalanına gittiğinizi düşünün. Havaalanının esas girişinde kimliğinizi göstermeniz lüzumir. Bu kişilik tek sürücü belgesi ya da pasaport olabilir. Kimliğinizi gösterdikten sonraları biletleri işlemlerinizi yapar, boarding geçen alır ve ardından uçağa geçersiniz.

Burada eleştirel sual şudur: Havaalanı ytesirlileri nedenler sizin sunduğunuz kişilik belgesine güveniyor?

Bunun cevabı, o kişilik belgesinin güvenilir tek müessese tarafından verilmiş olmasıdır. Örneğin sürücü belgesini biçimsel tek devletleri kurumu düzenlemiştir. Havaalanı, bu kuruma güvendiği için sizin sunduğunuz belgeyi giriş eder. Yani kimliği veren müessese ile havaalanı arasında dolaylı tek güven ilişkisi vardır.

ADFS’te Federation Trust da kesinlikle bu mantıkla çalışır. Bir kurumun kişilik doğrulama sisteminin ürettiği token, başka tek müessese ya da başvuru tarafından giriş edilir. Bunun nedeni, ikisi taraf arasında kurulmuş tek güven ilişkisinin bulunmasıdır.

Federation Trust, ikisi farklı teşkilat ya da güven alanı arasında oluşturulan karşılıklı güven yapısıdır. Bu sayede tek kurumun doğruladığı kullanıcı, başka tek kurumun uygulamasına erişebilir.

ADFS’te Federation Trust Nasıl Çalışır?

ADFS ortamında tek kullanıcı, başka tek organizasyonda barındırılan tek uygulamaya erişmek istediğinde önce kimliğini ispatlamak güçundadır. Bu süreç aşağıdaki mantıkla ilerler:

Kullanıcı önce öz Identity Provider yapısına gider. Bu genelleme kurumun Active Directory ve ADFS altyapısıdır. Identity Provider, kullanıcıyı doğrular ve kullanıcı için tek token üretir.

Kullanıcı bu token’ı Resource Provider’a iletir. Resource Provider, bu token’ı giriş eder çünkü ikisi teşkilat arasında tek trust ilişkisi vardır. Ardından Resource Provider öz tarafında başka tek token üretir.

Kullanıcı, bu yepyeni token’ı hedefleri uygulamaya sunar. Uygulama da bu token’ı giriş ederek kullanıcıya erişim verir.

Bu akışın özü şudur: Bir organizasyonun doğruladığı kullanıcı, diğer teşkilat tarafından da güvenilir giriş edilir. Bunun mümkün olmasının tekbaşına nedeni taraflar arasında önceden tanımlanmış tek federasyon güven ilişkisinin bulunmasıdır.

Neden Kaynak Sağlayıcı Bu Token’a Güveniyor?

Burada yine ilköğretim sual ortaya çıkar: Kaynak sağlayıcı nedenler dışarıdan gelen tek kullanıcıya güveniyor?

Cevap nettir: Çünkü token’ı üreten Identity Provider ile imkan sağlayıcı teşkilat arasında güven ilişkisi vardır. Kaynak sağlayıcı, kesin tek Identity Provider’dan gelen token’ları giriş edecek şekilde yapılandırılmıştır. Böylece kullanıcı kimliği tekrar tekrar doğrulanmak güçunda kalmaz.

Bu yapı özellikle farklı şirketler, gökyüzü servisleri ya da iş ortakları arasında güvenli erişim senaryolarında çok önemlidir.

İletişim Nasıl Gerçekleşir?

ADFS federasyon yapısında ilgi edilmesi lüzumen önemli noktalardan biri, tüm iletişimin istemci tarafından taşınmasıdır.

Yani Identity Provider doğrudan Resource Provider ile haberlerileşmez. Bunun seçenek istemci makine, diğer kullanıcı cihazı, lüzumli tüm yönlendirmeleri ve token taşıma işlemlerini yapar.

Süreç şu şekilde işler:

İstemci alet Identity Provider’a bağlanır ve kullanıcı doğrulamasını gerçekleştirir. Ardından aldığı token’ı Resource Provider’a iletir. Resource Provider’dan dönen yepyeni token yine istemci tarafından alınır ve uygulamaya sunulur.

Bu yaklaşımın önemli tek avantajı vardır: Sunucular üzerindeki yük azaltılmış olur. Token alışverişi ve yönlendirme trafiğinin büyük kısmını istemci üstlenir. Böylece mimari daha tesirli hale gelir.

ADFS Federation Trust Yapısının Önemi

Federation Trust, yalınce teknikleri tek tanım değildir; modern kişilik doğrulama mimarisinin ilköğretim yapı taşlarından biridir. Özellikle şu senaryolarda büyük önem taşır:

Farklı organizasyonlar arasında güvenli erişim sağlanması
Tek buluşma açma deneyiminin sunulması
Uygulamaların orta kişilik doğrulama sistemine bağlanması
Kullanıcı yönetiminin yalınleşmesi
Kimlik doğrulama sualmluluğunun orta tek yapıya taşınması

Bu yapı sayesinde uygulamalar kullanıcı parolalarını doğrudan yönetmek güçunda kalmaz. Bunun seçenek güvenilir tek kişilik sağlayıcının ürettiği token’a dayanarak erişim kontrolü yaparlar. Bu da hem güvenliği hem yönetilebilirliği artırır.

Sonuç

Bu makalede ADFS içindeki ilköğretim kavramları ele aldık ve özellikle Federation Trust yapısının ne manaa geldiğini inceledik. Claim kavramının kullanıcıya ait kişilik malumatsini temsilcilik ettiğini, Security Token Service’in token üreten servis olduğunu, Claims Provider’ın claim sağlayan imkan olduğunu, Identity Provider’ın kişilik doğrulayan tarafı temsilcilik ettiğini ve Relying Party’nin ADFS tarafından üretilen token’a güvenen başvuru olduğunu gördük.

Ayrıca Federation Trust’ın, ikisi teşkilat arasında kurulan güven ilişkisi sayesinde tek kurumun doğruladığı kullanıcının başka tek kurumun uygulamasına erişebilmesini sağladığını öğrendik. Bu süreçte tüm iletişimin istemci tarafından taşındığını ve bu yaklaşımın sunucu yükünü azaltan önemli tek mimari üstünlük sunduğunu da açıklamış olduk.

Kısacası ADFS’te Federation Trust, federasyonun kalbidir. Bu güven ilişkisi olmadan farklı sistemler arasında güvenli ve kesintisiz kişilik doğrulama sağlamak mümkün olmaz. ADFS mimarisini hepsi manaıyla kavramak isteyen herkesin bu yapıyı netler biçimde manaası lüzumir.