Azure Active Directory Yetkilendirme Yönetiminde Erişim Paketleri
Dijitalleşen dünyada Bilgi Teknolojileri (BT) ekipleri teknolojik kaynaklara erişim noktasında kullanıcı ihtiyaçları doğrultusunda erişimler verir. Güvenlik, gizlilik, denetim süreçleri ve regülasyonlar gibi koşullarında göz önünde bulundurulduğunda erişim önemli konulardan biridir. Kullanıcıların kaynaklara ihtiyaçları olduğu sürede ve gerekli yetkilerle erişimleri, gerekmediği durumda da erişimlerinin alınması gizlilik ve güvenlik politikaları gereği firmalar tarafından sağlanmalıdır. Büyük firmalarda bu süreçleri insan gücü ile yönetmek zor olduğundan bunu sağlayan otomatik sistemler kurgulanmalıdır.
Microsoft, Azure Active Directory teknolojisi ile gelen “Identity Governance”deki “Erişim paketleri” ile gruplar, uygulamalar ve SharePoint siteleri gibi kullanıcıların ihtiyacı olan kaynakları yönetmesini sağlar. “Erişim paketleri” ile kullanıcıların ihtiyaç duyulan süre zarfı içerisinde kaynaklara doğru yetkilerle erişmeleri sağlanır. Kimi zaman kullanıcılar kısa süreli bazı kaynaklara erişmeleri gerekebilir. Bu noktada erişim paketleri kullanıcılara self servis kaynak erişim ortamı sağlar. BT yöneticileri tarafından yapılandırılan ayarlar doğrultusunda kullanıcılar erişim paketleri içerisinde yer alan kaynaklara verilen rollerle belirli onay sürecinden geçerek erişir. Örnek vermek gerekirse kısa süreli projede bazı kullanıcıların İnsan Kaynakları verilerinin ekibine ve SharePoint sitelerine erişmeleri gerektiğinde ilgili kullanıcılara belirli yetkilerle, kısa süreliğine verilebilir. Kullanıcılar yetkileri talep edebilir ve onay süreci sonrasında yetki tanımlamalar otomatik olarak belirli süreliğine tanımlanır. Tanımlanan sürenin sonuna gelindiğinde ise ilgili yetkiler alınır. Böylelikle Azure Active Directory içerisinde yer alan “Erişim paketleri” ile BT yöneticilerinin gruplara, uygulamalara, SharePoint sitelerine erişim izinlerini verimli şekilde yönetir. Dış kullanıcılar ya da şirket içerisindeki kullanıcılar ise kaynaklara yalnızca işlerini yaptığı süre içerisinde erişir. Kullanıcı hesabı ile ilgili izinlerin manuel olarak gözden geçirme, kontrol etme işlemleri de azalacaktır. Azure Active Directory erişim paketleri ile Azure Active Directory grup üyelikleri, Teams ekibi üyelikleri haliyle Microsoft 365 grup üyelikleri, SharePoint sitelerinin üyelikleri ve Azure Active Directory uygulamalarına erişimler yönetilir. Azure Active Directory erişim paketini yönetmek için Azure AD Premium P2 lisansına ihtiyaç vardır. Lisans ile ilgili detaylı bilgiye ilgili linkten erişilir.
Yeni Erişim Paketi Oluşturma
Yeni erişim paketi oluşturmak için Azure Active Directory’de yetkili kullanıcı ile oturum açılır ve “Identity Governance” seçeneğine tıklanır.
“Identity Governance” arayüzündeki “Erişim paketleri” bölümünde erişim paketi ile ilgili detaylı ayarlar yapılandırılır.
Yeni erişim paketi oluşturmak için “Yeni erişim paketi” seçeneğine tıklanır.
“Temel Ayarlar” bölümünde erişim paketinin adı ve açıklama bilgisi girilir. Aynı zamanda ilgili erişim paketi için bir katalog seçilir. Burada varsayılanda “Genel Katalog” seçilir ancak yeni katalog oluşturulabilir. Kataloglar, erişim paketlerini hangi kaynakların ekleneceğini tanımlamak için kullanılır. İlgili erişim paketleri ve kaynakları birlikte gruplamak için kataloglar oluşturulur. Yeni katalog oluşturmak için “Yeni katalog oluştur” seçeneğine tıklanır ve kataloğun adı ve açıklama bilgisi girilir. Aynı zamanda kataloğun etkin olup olmayacağı ve dış kullanıcılar için etkinlik durumu da belirlenir.
“Kaynak rolleri” bölümünde erişim paketine eklenecek kaynaklar seçilir. Erişim paketine isteyen veya erişim paketini alan kullanıcılar burada tanımlanan kaynaklara erişir. Bu kaynaklardaki roller de bu arayüzde tanımlanır. Kaynaklar bölümünde kullanıcılara gruplar ve Teams ekipleri, uygulamalar ve SharePoint siteleri atanabilir. Gruplar ve Teams ekiplerine atamak için “Gruplar ve Takımlar” seçilir. Yeni katalog oluşturulduğu ve katalogda herhangi grup ya da ekip yer almadığı durumlarda “Demo Katalog(örnekteki yeni katalog adı) kataloğunda olmayan tüm Grup ve Takım öğelerini görüntüleyin” seçeneği seçilerek gruplar ve ekipler görüntülenir. Burada erişim paketinde yer alacak gruplar seçilir.
“Kaynak rolleri” bölümünde uygulama eklemek için “Uygulamalar”a tıklanır. Yeni katalog oluşturulduğu ve katalogda uygulama yer almadığı durumlarda “Demo Katalog(demodaki yeni katalog adı) kataloğunda olmayan tüm Uygulama öğelerini görüntüleyin” seçeneği işaretlenir. Böylelikle Azure Active Directory’e eklene uygulamalar listelenir. Erişim paketine eklenmek istenilen uygulama buradaki listeden seçilir.
“Kaynak rolleri” bölümünde SharePoint siteleri için “SharePoint siteleri”ne tıklanır. Yeni katalog oluşturulduğu ve katalogda uygulama yer almadığı durumlarda “Demo Katalog(örnekteki yeni katalog adı) kataloğunda olmayan tüm SharePoint Sitesi öğelerini görüntüleyin” seçeneği işaretlenir. Böylelikle SharePoint siteleri listelenir. Erişim paketine eklenmek istenilen SharePoint sitesi seçilir.
“Kaynak rolleri” bölümünde eklenen kaynaklara roller atanır. Bu roller kullanıcıların kaynak için atanmaları istenilen rollerdir. Kaynaklara göre farklı roller listelenir ve bu listeden ilgili roller seçilir. Kaynak ekleme ve kaynaklara rol atama işlemleri tamamlandıktan sonra “Sonraki istekler” tıklanarak erişim paketi oluşturma işlemine devam edilir.
“İstekler” bölümünde erişim isteyecek kullanıcılar, istekleri onaylayacak kullanıcılar ve erişimin sonra erme zamanı gibi ayarlar yapılandırılır. “Erişim isteyebilecek kullanıcılar” başlığında erişim paketine erişecek kullanıcılar belirlenir. Burada Active Directory dizinindeki kullanıcılar, dizinde olmayan kullanıcılar ya da yalnızca yöneticilerin doğrudan atadığı belirli kullanıcıların erişim paketini kullanabilir. Dizindeki herhangi kullanıcıyı eklemek için “Dizininizdeki kullanıcılar için” seçilir. Burada istenirse belirli kullanıcılar ve gruplar, konuklar hariç tüm üyeler veya konuklarında dahil olduğu tüm kullanıcıların eklenebileceği seçenekler yer alır. Active Directory’deki belirli kullanıcıları eklemek için “Belirli kullanıcılar ve gruplar” işaretlenerek, “+ Kullanıcı ve grup ekle” seçeneğine tıklanır. Eklenmek istenilen kullanıcı ve gruplar seçilir. Görüldüğü üzere erişim paketlerine erişim sağlayacak kullanıcılar ile ilgili birçok seçenek sunulmuş olup, İhtiyaca göre ilgili ayarlar yapılandırılır.
“İstekler” bölümünde yer alan ayarlardan biri de erişim paketini onaylayacak kullanıcılar ile ilgilidir. “Onay” başlığında erişim paketi ile ilgili onay istenilip istenmeyeceği, onay istenmesi durumunda istek sahibinin gerekçesinin gerekli olup olmadığı, kaç aşamalı onay olacağı belirlenir. Onay istenmesi durumunda onaylayacak kullanıcılar belirlenir. “Kaç aşamalı olmalı” bölümünde 2 seçilmiş ise 2 farklı onaylayacak kullanıcı ayarı yapılandırılır. “İlk onaylayan” bölümündeki “Onaylayan ekle” seçeneği ile erişim paketi isteklerini onaylayacak kullanıcı belirlenir. “Karar kaç gün içinde alınmalı” seçeneği ile istek gelmesi durumunda onay verilmesi ile ilgili kararın kaç gün içinde alınacağı belirlenir. Bu süre aşması durumunda erişim paketine erişim isteği otomatik olarak reddedilir. “Onaylayandan gerekçe iste” seçeneği ile onaylayan kullanıcının onayı ile gerekçe belirtmesi istenilir. Burada girilen gerekçeleri istek sahipleri ve diğer onaylayanlar görüntüler. “Hiçbir şey yapılmazsa, alternatif onaylayanlara mı iletilsin” seçeneği isteğin gözden geçirilmediği durumlarda ek onaylayanlara isteklerin iletilmesini sağlar.
Yeni istekler ve atamaları etkinleştirmek için “Etkinleştir” başlığı altındaki “Yeni istekleri ve atamaları etkinleştir” “Evet” olarak ayarlanır. “İstekler” bölümündeki ayarlar yapılandırıldıktan sonra “Sonraki İstek Sahibi Bilgileri” ile devam edilir.
“İstek sahibi bilgileri” bölümünde istek sahibinden bilgiler ya da öznitelikler toplanmak için ayarlar yapılır. İstek yapan kullanıcıya sorular sorulabilir. Bu sorulara yanıtlar uzun ya da kısa metin veya çoktan seçmeli olarak ayarlanabilir. Soruların istenirse gerekli seçeneği işaretlenerek zorunlu kılınabilir. Gerekli ayarlar yapıldıktan sonra “Sonraki:Yaşam döngüsü”ne tıklanarak erişim paketi oluşturma işlemine devam edilir.
“Yaşam döngüsü” başlığında erişim paketinin atamalarının süre sonu belirli tarihe kadar, belirli güne kadar ya da hiçbir zaman olacak şekilde ayarlanır. Aynı zamanda kullanıcıların erişim paketine erişimlerini uzatması ile ilgili ayarlar yapılır. Burada kullanıcılar erişimi uzatıp uzatmayacağı ve bu erişim uzatması ile ilgili onay istenip istenilmeyeceği belirlenir. Bu arayüzde aynı zamanda erişim gözden geçirilip geçirilmeyeceği belirlenir. Gerekli ayarlar yapıldıktan sonra “Sonraki: Gözden Geçir + Oluştur” ile devam edilir.
“Gözden Geçir + Oluştur” bölümünde erişim paketi için yapılan ayarların ve politikaların özeti görüntülenir. Düzeltilmek ya da Eklenmek istenilen ayar söz konusu olduğunda ilgili ayar başlığına tıklanır ve gerekli düzenlemeler yapılabilir. “Oluştur” seçeneği ile erişim paketi belirlenen kurallar ile oluşturulur.
Azure Active Directory’deki “Identity Governance” arayüzündeki “Erişim paketleri” başlığında oluşturulan erişim paketleri listelenir. Oluşturulan erişim paketine tıklandığında yapılan ayarlarla ilgili sol taraftaki “Yönet” bölümünde sekmeler yer alır. Her bölümde erişim paketi ile ilgili kendine ait ayarlar yer alır. İstenirse ilgili erişim paketi “Düzenle” seçeneği ile ayarları değiştirilebilir. “Sil” seçeneği ile de erişim paketi silinebilir. “Genel Bakış” arayüzünde erişim paketine erişmek için gerekli olan portalın bağlantı bilgileri yer alır.
