Kimlik ve Erişim Denetimi

Tamamlandı

Bu ünitede kullanıcıların kimliğini doğrulamayı ve Azure dosya paylaşımlarına erişim sağlamayı öğreneceksiniz. Azure Dosyalar, SMB üzerinden dosya paylaşımlarına erişen müşteriler için kimlik tabanlı kimlik doğrulamasını destekler. Ayrıca, SMB kullanıcıları bir depolama hesabı anahtarı kullanarak da kimlik doğrulaması yapabilir. NFS dosya paylaşımları ağ düzeyinde kimlik doğrulaması kullanır ve bu nedenle yalnızca kısıtlı ağlar üzerinden erişilebilir. NFS dosya paylaşımı kullanmak için her zaman bir ağ yapılandırması düzeyi gerekir. REST API'leri üzerinden dosya paylaşımı erişimi, belirli veri yönetimi işlemleri için paylaşılan erişim imzalarını ve depolama hesabı anahtarlarını kullanır.

  • Kimlik tabanlı kimlik doğrulaması: Müşteriler Kerberos kimlik doğrulama protokolü aracılığıyla kimlik tabanlı erişimi kullanabilir. Active Directory hizmetleri kullanıcı adları, parolalar, iletişim bilgileri gibi kullanıcı hesabı bilgilerini depolar. Azure Dosyalar, kullanıcı hesabı ayrıntılarını doğrulamak ve başarılı kimlik doğrulamasını etkinleştirmek için ortak dizin hizmetleriyle tümleştirilir. SMB için kimlik tabanlı kimlik doğrulaması en güvenli ve önerilen seçenektir.

  • Depolama hesap anahtarı: Depolama hesabı anahtarına sahip bir kullanıcı, SMB ve REST üzerinden süper kullanıcı izinleriyle Azure dosya paylaşımlarına erişebilir. İdeal olarak, tüm erişim kısıtlamalarını atladıkları için yalnızca süper kullanıcı yöneticilerinin depolama hesabı anahtarlarını kullanması gerekir. Kurumsal müşteriler tarafından kullanılan dosya paylaşımları için, depolama hesabı anahtarları kuruluş genelinde erişim için ölçeklenebilir veya güvenli mekanizmalar değildir ve bu nedenle önerilmez. Önerilen güvenlik en iyi uygulaması, depolama hesabı anahtarlarının paylaşılmasını önlemek ve kimlik tabanlı kimlik doğrulaması kullanmaktır.

  • Paylaşılan erişim imzası: REST üzerinden erişen müşteriler, Azure Dosyalar ile kimlik doğrulaması yapmak için paylaşılan erişim imzası (SAS) kullanabilir. Paylaşılan erişim imzaları, bağımsız yazılım satıcılarının REST API uygulamaları geliştirdiği ve depolama çözümü olarak Azure Dosyalar kullandığı belirli senaryolarda kullanılır. Ayrıca, iç iş ortaklarının veri yönetimi işlemleri için REST üzerinden erişmesi gerektiğinde de kullanılırlar. Paylaşılan erişim imzası, Azure Depolama kaynaklarına kısıtlı erişim hakları veren bir URI'dir. İstemcilere depolama hesabı anahtarınıza erişim vermek zorunda kalmadan belirli depolama hesabı kaynaklarına erişim vermek için paylaşılan erişim imzası kullanabilirsiniz.

Kimlik tabanlı kimlik doğrulaması

Azure Dosyalar Kerberos protokolunu kullanarak SMB dosya paylaşımları için kimlik tabanlı kimlik doğrulamasını destekler. İstemcide çalışan bir kullanıcı veya uygulamayla ilişkilendirilmiş bir kimlik Azure dosya paylaşımlarındaki verilere erişmeye çalıştığında, kimlik doğrulaması için istek etki alanı hizmetine gönderilir. Kimlik doğrulaması başarılı olursa bir Kerberos belirteci döndürür. İstemci Kerberos belirtecini içeren bir istek gönderir ve Azure dosya paylaşımları isteği yetkilendirmek için bu belirteci kullanır. Azure dosya paylaşımları yalnızca Kerberos belirtecini alır, kimlik bilgilerine erişmez.

Azure Dosyalar SMB dosya paylaşımları için aşağıdaki kimlik doğrulama yöntemlerini destekler:

  • Şirket içi Active Directory Etki Alanı Hizmetleri (AD DS):Azure dosya paylaşımı için AD DS kimlik doğrulamasını etkinleştirme, kullanıcıların şirket içi AD DS kimlik bilgilerini kullanarak kimlik doğrulaması yapmasına olanak tanır. Şirket içi AD DS, Microsoft Entra Bağlan eşitlemesi kullanılarak Microsoft Entra Id ile eşitlenmelidir. Azure dosya paylaşımı erişimi için yalnızca hem şirket içi AD DS'de hem de Microsoft Entra Id'de bulunan karma kullanıcıların kimliği doğrulanabilir ve yetkilendirilebilir. Müşterinin etki alanı denetleyicilerini ayarlaması ve etki alanına makinelerini veya sanal makinelerini (VM) katması gerekir. Etki alanı denetleyicileri şirket içinde veya VM'lerde barındırılabilir, ancak istemcilerin etki alanı denetleyicilerini şirket içi ağda veya aynı sanal ağda görmeleri gerekir.

  • Microsoft Entra Domain Services: Microsoft Entra Domain Services kimlik doğrulaması için müşterilerin Etki Alanı Hizmetleri'ni etkinleştirmesi ve ardından dosya verilerine erişmek istedikleri VM'lere etki alanına katılması gerekir. Etki alanına katılmış VM'ler, Etki Alanı Hizmetleri ile aynı sanal ağda bulunmalıdır. Ancak, müşterilerin depolama hesabını temsil etmek için Etki Alanı Hizmetleri'nde kimlik oluşturmaları gerekmez. Etkinleştirme işlemi, kimliği arka planda oluşturur. Ayrıca, Microsoft Entra Id'de bulunan tüm kullanıcıların kimliği doğrulanabilir ve yetkilendirilebilir. Kullanıcı yalnızca bulut veya karma olabilir. Platform, herhangi bir kullanıcı yapılandırması gerektirmeden Microsoft Entra Id'den Domain Services'e eşitlemeyi yönetir.

  • Karma kullanıcı kimlikleri için Microsoft Entra Kerberos: Azure Dosyalar, bulutla eşitlenen şirket içi AD kimlikleri olan karma kullanıcı kimlikleri için Microsoft Entra Kerberos (eski adıyla Azure AD Kerberos) kimlik doğrulamasını destekler. Bu yapılandırma, SMB üzerinden dosya paylaşımına erişmek üzere Kerberos anahtarları vermek için Microsoft Entra Id kullanır. Bu, son kullanıcıların Microsoft Entra karma katılmış ve Microsoft Entra'ya katılmış VM'lerden etki alanı denetleyicilerine bir görüş hattı gerektirmeden İnternet üzerinden Azure dosya paylaşımlarına erişebileceği anlamına gelir. Ayrıca, bu özellik sayesinde Azure Sanal Masaüstü müşterileri karma kullanıcı kimliklerinin erişebileceği kullanıcı profili kapsayıcılarını depolamak için bir Azure dosya paylaşımı oluşturabilir.

  • Linux istemcileri için AD kimlik doğrulaması: Linux istemcileri için kimlik doğrulaması AD DS veya Microsoft Entra Domain Services aracılığıyla desteklenir.

Kimlik tabanlı kimlik doğrulaması için yaygın kullanım örnekleri

Kimlik tabanlı kimlik doğrulamasını kullanmaya yönelik bazı yaygın senaryolar aşağıdadır:

  • Şirket içi dosya sunucularından Azure Dosyalar geçiş: Şirket içi dosya sunucularının değiştirilmesi birçok müşteri için yaygın bir BT dönüştürme kullanım örneğidir. Azure dosyalarına sorunsuz bir geçiş sağlamak için şirket içi AD DS'nin kullanılması yalnızca iyi bir kullanıcı deneyimi sağlamakla kalmaz, aynı zamanda kullanıcıların makinelerini etki alanına katarak geçerli kimlik bilgilerini kullanarak dosya paylaşımına ve verilere erişmesine de olanak tanır.

  • Kurumsal uygulamaları buluta taşıma: Müşteriler şirket içi yerel uygulamalarını buluta taşırken, Azure Dosyalar ile kimlik tabanlı kimlik doğrulaması, bulut uygulamalarını desteklemek için kimlik doğrulama mekanizmalarınızı değiştirme gereksinimini ortadan kaldırır.

  • Yedekleme ve olağanüstü durum kurtarma: Azure Dosyalar, şirket içi dosya sunucuları için yedekleme depolama sistemi olarak görev yapabilir. Doğru kimlik doğrulamasını yapılandırmak, olağanüstü durum kurtarma senaryoları sırasında erişim denetimlerini zorunlu kılmaya yardımcı olur.