Etki alanı mimarisi şirketimiz için bir kütüphane görevini üstlenmektedir. Mevcut bir etki alanı içine yeni bir Domain Controller kurduğumuz zamanda, kurulum sırasında görmüş olduğumuz simge de bir kitaptır ve kalemdir.
Bu kütüphane içinde her bir kullanıcı her bir bilgisayar ve her bir nesne için binlerce nitelik (active directory attribute) saklanmaktadır. Biz bu nitelikler ile yönetim ve operasyon tarafında kolaylıklar elde edebilir ve bu nitelikleri ihtiyaçlarımız çerçevesinde kullanabiliriz.
Bu bilgi, Onpremise olarak adlandırmış olduğumuz yerel etki alanı mimarisinde geçmişten beri var olan en temel bilgidir ve özelliktir.
Bulut Bilgi işlemin hayatımıza girmesi, Azure Bilgi işlem ve Office 365 ile birlikte yeni kimlik modelleri de devreye girdi. Microsoft 365 Kimlik ve Azure Active Directory Kimlikeri de artık bulunmakta.
Microsoft Office 365 Kimlikleri aslında Azure Active Directory üzerinde tutulmakta ve Office 365 özelinde limitli kullanıma sahip bir Azure Active Directory özelliğidir. Bu kimlikler Bulut tabanlı kimlik olarak bilinmekte ve Cloud-only identity olarak adlandırılmaktadır.
Cloud-only identity
Cloud-only identity kullanıldığı zaman onpremise veri merkezi içinde bulunan etki alanı mimarisi ile bir bağlantı kurulmakta. Aslında onpremise içinde etki alanına sahip olmamızı gerektiren bir durum yok ve ihtiyaç bulunmamaktadır.
Kullanıcılar ve ihtiyaç duymuş olduğu bütün öz nitelikler Azure Active Directory üzerinde oluşturulmakta ve bu oluşturma ve düzenleme işlemleri de basit, esnek bir arayüz olan Office 365 yönetim arayüzünden yapılmaktadır.
Ufak kuruluşlar için kolay, derin bilgilere ihtiyaç duymadan çok hızlı ve güvenli bir şekilde oluşturulabilecek bir kimlik yönetimidir. Bizler bu kimlik yönetimi üzerinden aynı onpremise Active Directory ortamında yapmış olduğumuz gibi kullanıcı oluşturabilir, mail adresi verebilir, parola değiştirebilir, yenileyebilir, sıfırlayabiliriz. Temel kullanım senaryolarımız için uygundur.
Cloud-only identity, küçük işletmeler için uygun bir çözüm olsa bile sahip olduğumuz organizasyon büyüdüğü zaman ve ihtiyaçlar çeşitlilik kazandığı zaman Onpremise olarak bilinen Active Directory Domain Services mimarisi vazgeçilmez olmakta.
Hybrid identity
Active Directory Domain Services mimarisi, Onpremise Active Directory mimarisinin özüdür ve Bulut ‘da açmış olduğumuz temel işlemlerin çok daha fazlasını Onpremise Active Directory ‘de yapabiliriz ve bu işleme Hybrid identity demekteyiz.
The target mailbox doesn’t have an SMTP proxy matching konu başlığı ile paylaşmış olduğumuz günlükte bu mimari için örnek bir senaryoyu sizlere paylaşmıştık.
Hybrid identity ‘i Office 365 yada Azure Bilgi işlem üzerinde bulut kaynakları için kullanabilir ve Office 365 ve Azure bilgi işlem üzerinde kullanılacak bulut kaynaklarının yönetimini buradan besleyebiliriz.
Onpremise Active Directory içinde bulunan kullanıcılar, Office 365 kaynaklarını kullanırken yeni kullanıcı oluşturmaz, yeni parolalar vermez ve mevcut bilgileri Azure Bulut Bilgi işlem üzerinde kullanılmasını sağlayabiliriz.
Azure AD Connect
Bu hizmeti kullanabilmemiz için Azure AD Connect sunucularına ihtiyacımız bulunmaktadır. Yerel veri merkezi içinde bulunan Active Directory miamrisini Azure Bulut bilgi işleme genişletmek için bu sunucuyu kullanmaktayız.
Azure AD Connect sunucusu yerel Active Directory içinde bulunan kullanıcı ve sahip oldukları öz nitelikleri Azure Active Directory ‘e paylaşmaktadır
Attributes to synchronize
Yerel Active Directory üzerinde her bir nesne için tanımlı ve özelleştirebileceğimiz binlerce nitelik olsa bile bu niteliklerin her birisi Azure Active Directory ‘e eşitlenmez. Eşitleyebilecek olduğumuz öz nitelik bilgilerini Azure AD Connect sync: Attributes synchronized to Azure Active Directory burada öğrenebilirsiniz.
Unable to update the specified propertiesHybrid identity kullanıldığı zaman Azure üzerinde ki yönetim panelleri ve Office 365 Admin Center yönetim panelleri kullanıcı nitelik değişiklikleri için kullanılmayacaktır. Eğer kullanılmak istenildiği zaman yukarıda ki gibi hata alınacaktır ve yapılmak istenilen değişikliklerin Onpremise Active Directory üzerinden yapılması gerektiğinin bilgisi verilecektir.
Eğer, Directory Sync User kullanımı yapıyorsak ve Exchange Online üzerinde bir kullanıcı niteliğini değiştirmek istiyorsak yukarıda ki hatayı alacağız.
An Azure Active Directory call was made to keep object in sync between Azure Active Directory and Exchange Online. However, it failed. Detailed error message:Unable to update the specified properties for on-premises mastered Directory Sync objects or objects currently undergoing migration. The issue may be transient and please retry a couple of minutes later. If issue persists, please see exception members for more information.
İhtiyaç duyulan değişiklikler Onpremise veri merkezi içinde bulunan yerel Active Directory üzerinde yapılacak, değişiklikler Azure AD Connect ile Azure Active Directory ‘e eşitlenecekir.
