cub-e.net

just coding...

IFD Tabanlı Güvenlik Mekanizması Oluşturulması Hakkinda

CRM, ADFS Server kullanarak Security Token Service (STS) mimarisi altında daha fazla güvenlik içeren bir doğrulama mekanizmasına kavuşmaktadır.

Daha pratik bir şekilde anlatmak gerekirse normal şartlar altında kullanıcı internetten bir talepte bulunduğunda güvenlik mekanizmasından geçen talep direkt CRM sunucusuna ulaşmakta ve CRM sunucusu içeride güvenlik kontrolünü yapmaktadır. CRM sunucu DC ve SQL Server ile iletişime geçerek güvenlik kontrolünü yapmakta ve sonucunda kullanıcıya ya hata ya da içeriği döndürmektedir.


Eğer aynı senaryo IFD yapılandırılmış bir CRM için geçerli olsaydı, güvenlik sisteminden (ISA, Firewall) sonra CRM’e ulaşan kullanıcı güvenlik kontrolü için ADFS’e sunucusuna gönderilecek ve burada doğrulama işlemi gerçekleştikten sonra tekrar CRM sunucuna dönülecek ve içeriği iletmesi istenecektir. Eğer kullanıcı bilgileri yanlışsa IFD kullanıcıya hata döndürecektir.

Daha ayrıntılı bakacak olursak;


Görüldüğü gibi 3 adımlı doğrulama mekanizması IFD sayesinde 10 adımlı bir yapıya dönüşmektedir. Bu yüzden IFD CRM sisteminin güvenliğini arttırmaktadır.

IFD’nin bir diğer avantajı ise CRM sistemiyle aynı domainde olmayan kullanıcının sanki domain içinde bir kullanıcıymış gibi sistem üzerinde hareket etmesini sağlamaktadır.

Bu giriş bilgisinden sonra IFD yapılandırmasının adımlarından ve zorunluluklarından bahsedelim. Öncelikle ADFS ile CRM aynı sunucuya kurulabilse dahi bu pek önerilen bir yöntem değildir. Bu yüzden her zaman ADFS sunucusunu ayrı bir sunucu olarak düşünmek en mantıklısıdır.

Adımlar ise şu şekildedir;

1.       CRM standart bir şekilde kurulur.

2.       ADFS 2.0 default web site’da olacak şekilde ADFS sunucusuna kurulur.

3.       *.domainadı.com şeklinde wildcard sertifika alınır ve CRM ve ADFS sunucularına yüklenir.

4.       Sistem kontrol için iki sunucu kullanacağından bu iki sunucuya dışarıdan erişmek gerekmektedir. İstemci tarafından sunuculara erişilirken aşağıda belirtilen subdomain yönlendirmelerin Firewall ve public dns’de yapılmış olması gerekmektedir (Sistem ssl sertifikası kullandığından 443 nolu port düşünülerek işlem yapılmalıdır);

a.       Organizasyonadı.domainadı.com -> CRM sunucusuna

b.      Auth.domainadı.com -> CRM sunucusuna

c.       Dev.domainadı.com -> CRM sunucusuna

d.      Adfs.domainadı.com -> ADFS sunucusuna

e.      İnternalcrm.domain.com -> CRM sunucusuna (bu subdomain sadece sistemin içindeki DNS’de açılacaktır. Diğerleri gibi dış dünyaya açılmayacaktır.)

Yukarıda da görüldüğü gibi dışarıdan erişilmesi gereken 2 sunucumuz olduğuna göre 2 adet ip adresine ihtiyacımız olacaktır subdomainlerin yönlendirilmesi için.

5.      Bu işlemler yapıldıktan sonra CRM sunucusu üzerinde Deployment Manager ile gerekli yapılandırma ayarları yapılmalı

6.      ADFS Sunucu üzerinde de Primary SID, UPN ve AccountName ayarlarının yapılması gerekemektedir.

Eğer bir sistem sağlayıcıyla iş bölümü yapılacaksa sunucuların kurulması, 2. , 3. ve 4. Adımlar bu firma tarafından yapılmalıdır.

Loading