Azure AD Passthrough Authentication (PTA) vs ADFS

Azure AD Passthrough Authentication (PTA) vs ADFS

Hangisi Tercih Edilmeli?

Klasik kimlik denetimi mekanizması olan ADFS ile Active Directory entegrasyonu sağlayarak, Microsoft ve Non-Microsoft servisleri ve 3. Party MFA gibi hizmetleri entegre ederek kimlik denetiminin lokalde kalmasını ve güvenliğini sağlayabiliyoruz. Birçoğumuz tarafından bilinen ve mevcut yapılarda kullanımda olan ADFS’e alternatif olarak düşünülebilecek Azure AD özelliklerinden biri olan PTA, daha basit yapılarda kullanılabilecek modern bir çözüm olarak dikkat çekmektedir.

Yukarıda Passthrough Authentication ve ADFS’i açıklarken aslında kullanıma uygun senaryoları içerecek şekilde tanımlamaya çalıştım. Bu iki mekanizmadan hangisini kullanacağınıza mevcut durumda kullandığınız servisler ve buna bağlı kullanım senaryoları, doğru seçimi belirlemekte etkili olacaktır. Bu iki opsiyondan birini seçmek için ADFS ve PTA yeteneklerini kıyaslamak yerine, sizin neye ihtiyacınız olduğunu belirlemeniz seçiminizi kolaylaştıracaktır.

Örneğin;

  • M365 Online Servisleri kullanıyor ve 3.party, MFA gibi herhangi bir özel Claim tanımı gerektiren ek bir hizmet dahil etmeyi planlamıyorsanız PTA kullanmak birçok açıdan daha uygun olacaktır.
  • Daha güvenli bir kimlik kontrol mekanizması oluşturmak, 3.party servisler, diğer Cloud Provider’lar ile entegrasyon ve özel Claim Rule’lar set etmeniz gereken senaryolarda ise ADFS ile devam etmeniz gerekmektedir.
  • Passthrough Authentication Modern Authentication metodunu desteklediğinden, bu destek kapsamında olmayan iş yükleriniz olması durumunda (Office 2013 versiyonundan daha eski kullanımlar gibi) yine ADFS’i tercih edebilirsiniz.

Yukarıda paylaştığım detaylar kendi ortamlarınız için spesifik olarak ayırt edebileceğiniz somut örneklere dayanmaktadır. Buna benzer şekilde kendi yapınızı tanıyarak hangi kimlik doğrulama mekanizmasının uygun olduğuna karar verebiliriz.

Azure AD Passthrough Authentication (PTA) vs ADFS

Resim : Adfs ve Azure AD PTA servislerinin Diagramı

Paasthrough Authentication’ı Tercih Edilebilir Kılan Nedir?

ADFS konumlandırılan ortamlarda, 2 ADFS sunucusu, Load Balancer konfigürasyonu ve external olarak gerçekleşecek otantikasyon yönlendirmelerini sağlamak için 2 WAP Sunucusuna ihtiyaç olacaktır. Sunucu kurulumu, yönetimi, yüksek erişebilirlik sağlama, sertifika gibi ek yönetim gereksinimlerine ihtiyaç duyarsınız. Sağlıklı bir ADFS yapısı kurmak ve bunu sürdürmek birçok işletme ve IT çalışanları için ciddi eforlar gerektirmektedir.

PTA’nın Serverless bir yapıya sahip olması ve basit bir ajan ile çalışarak klasik kimlik denetimi işlemini lokal Active Directory üzerinden sağlaması nedeniyle herhangi bir custom ihtiyaç oluşmayan ortamlar için son derece uygulanabilir ve ADFS’in getirdiği birçok operasyonel ve donanımsal yükün ortadan kaldırılması sağlanabilir.

Yukarıda belirtildiği gibi sadece Microsoft Online servisleri için kullanmak istiyorsanız, Azure Ad Connect, Domain Controller veya şirket içi farklı bir sunucu üzerinde konumlandıracağınız ajan aracılığıyla Azure AD üzerinde denetimi gerçekleştirmeyi sağlayan Url’lere vereceğiniz 443 portu erişimi ile Passthrough Authentication’ı kolaylıkla devreye alabilirsiniz.

Azure AD kullanan herkes ücretsiz olarak bu özelliği kullanabilir. Herhangi bir lisans veya ücretlendirme gerektirmemektedir.

Nelere Dikkat Edilmeli?

  • Minimum 2 adet olacak şekilde ve bölgelere göre dağıtılmış ajanlar aracılığıyla yüksek erişilebilirlik sağlanarak, kullanıcıların kimlik denetimi sırasındaki olası erişim sorunlarını azaltabilirsiniz.
  • Mevcutta ADFS bulunan ortamlar için PTA geçişi sağlayabilirsiniz.
  • Password Hash Senkranizasyonu ile birlikte kullanılabilirsiniz. Password Hash senkranizsyonun tercih edilmediği durumlar ve olası problemler için minimum 1 adet Cloud only bir hesap bulundurulması tavsiye edilmektedir.

Danışmanlığını yaptığımız ve daha önce birlikte çalıştığımız birçok firmada ADFS kullanımının yoğunluğu, kullanım amacı ve ihtiyaçlarının net olarak belirlenememiş olması ve Azure AD tarafından sunulan PTA’nın ücretsiz olarak kullanabilmesi ile birlikte gereksiz sertifika, sunucu, maliyet ve donanımsal yüklerin azaltılabileceğini düşünerek, bu iki opsiyondan hangisinin kullanımının şirketler için uygun olabileceğini anlatmaya çalıştım.

Faydalı Olması Dileğiyle.