Ana içeriğe geç

Bölüm 9: LDAP / Active Directory Entegrasyonu

LDAP Entegrasyonuna Genel Bakış

Kurumsal ortamlarda kullanıcı yönetimini yerel hesaplarla sınırlı tutmak genellikle yeterli olmaz. Bu nedenle Arceris, LDAP / Active Directory ile entegre çalışarak merkezi kimlik modeline uyum sağlayabilir.

Bu entegrasyonun amacı yalnızca kullanıcı doğrulamak değil; aynı zamanda kurumsal kimlik yapısını ürünün erişim ve yönetim modeline taşımaktır.

LDAP Bağlantı Ayarları

LDAP entegrasyonu, Identity sayfasındaki Active Directory / LDAP sekmesinden yapılandırılır. Sayfanın sağ üstündeki toggle ile LDAP entegrasyonu etkinleştirilir veya devre dışı bırakılır. Ayarlar dört bölümden oluşur:

Connection (Bağlantı):

  • Server URL: LDAP sunucusunun adresini belirtir. İki protokol seçeneği vardır:
  • ldap:// — Port 389 üzerinden bağlanır. Bağlantı kurulduktan sonra STARTTLS yükseltmesi denenir.
  • ldaps:// — Port 636 üzerinden baştan TLS ile bağlanır.
  • Sunucu adresi dc.corp.com:389 biçiminde girilir (şema ön ekleri arayüzden seçilir).
  • Skip TLS Verification: TLS sertifika doğrulamasını atlar. Yalnızca geliştirme ve test ortamlarında kullanılmalıdır. Üretimde kesinlikle kapalı bırakılmalıdır.

Service Account (Servis Hesabı):

  • Bind DN: LDAP dizininde arama yapmak için kullanılan servis hesabının tam distinguished name (DN) değeridir. Örnek: cn=svc-arceris,ou=ServiceAccounts,dc=corp,dc=com. Bu hesap son kullanıcı hesabı değil; sınırlı, salt okunur erişimle tanımlanmış bir entegrasyon hesabı olmalıdır.
  • Bind Password: Servis hesabının parolasıdır. Daha önce kaydedilmişse alan *** olarak gösterilir; değiştirmek için yeni parola girilir.

Directory (Dizin Yapısı):

  • Base DN: Kullanıcı aramalarının başlangıç noktasıdır. Örnek: ou=Users,dc=corp,dc=com. Tüm kullanıcı sorguları bu kök altında gerçekleştirilir. Grup aramaları da grup bazlı ayrı bir arama kökü belirtilmedikçe bu DN'yi kullanır.
  • User Login Search Filter: Kullanıcı girişi sırasında dizinde kullanıcıyı bulmak için kullanılan LDAP filtresidir. %s yer tutucusu girilen kullanıcı adı ile değiştirilir. Active Directory için tipik değer: (sAMAccountName=%s).
  • Group Search Base DN: Grup aramaları için ayrı bir arama kökü belirtir. Örnek: ou=Groups,dc=corp,dc=com. Boş bırakılırsa Base DN kullanılır.
  • Group Import Search Filter: Access Management içinde LDAP grubu aranırken kullanılan filtre. %s yer tutucusu yazılan sorgu ile değiştirilir. Tipik değer: (cn=%s).
  • Imported Group Display Attribute: İçeri aktarılan grupların arayüzde hangi LDAP niteliğiyle görüntüleneceğini belirler. Varsayılan: cn.
  • User Membership Attribute: Kullanıcının ait olduğu grup DN'lerini barındıran çok değerli (multi-value) niteliktir. Active Directory için varsayılan: memberOf. Giriş izin kontrolleri bu nitelikteki DN'leri içeri aktarılmış LDAP grup hedefleriyle karşılaştırır.

Role Mapping (Rol Eşleme):

  • Group → Role Map (JSON): LDAP grup DN'lerini Arceris rollerine eşleyen JSON nesnesidir. Kullanılabilir roller: admin, developer, auditor, user. Eşleşme bulamayan kullanıcılar varsayılan olarak user rolünü alır. Örnek: 
    {
  "CN=AI-Admins,OU=Groups,DC=corp,DC=com": "admin",
  "CN=AI-Developers,OU=Groups,DC=corp,DC=com": "developer",
  "CN=AI-Viewers,OU=Groups,DC=corp,DC=com": "user"
}

Test Connection: Ayarları kaydetmeden önce bağlantıyı doğrulamak için kullanılır. Servis hesabı ile bağlanıp dizin sorgusunun başarılı olup olmadığını gösterir. Başarılı veya başarısız sonuç arayüzde görüntülenir.

Tüm değişiklikler kaydedildiğinde Arceris'i yeniden başlatmaya gerek olmadan anında etkili olur.

Servis Hesabı Doğrulaması

LDAP entegrasyonunda kullanılan servis hesabı, ürünün dizin içinde sorgu yapabilmesini sağlar. Bu hesap son kullanıcı hesabı değil; kontrollü, sınırlı amaçlı bir entegrasyon hesabı olarak düşünülmelidir.

Operasyon ekipleri bu hesabın izin kapsamını mümkün olduğunca dar ve güvenli tutmalıdır.

Kullanıcı Arama ve Grup Eşleme Mantığı

LDAP entegrasyonunun asıl değeri, kullanıcıyı yalnızca bulmak değil; aynı zamanda kurumsal grup ve rol bağlamını ürün tarafına taşıyabilmektir. Böylece kurumun mevcut dizin yapısı, Arceris içindeki yönetim ve erişim kararlarının temel girdilerinden biri haline gelir.

Bu yapı özellikle büyük kurumsal ortamlarda manuel kullanıcı yönetimi ihtiyacını ciddi ölçüde azaltır.

LDAP Kullanıcılarının İlk Oturum Davranışı

LDAP kullanıcıları ilk kez giriş yaptığında ürün tarafında ilgili kullanıcı kaydının nasıl ele alınacağı önemlidir. Bu alan operasyon açısından "ilk temas davranışı" olarak düşünülmelidir.

Kurumlar burada, kullanıcının yalnızca kimliğinin doğrulanmasını değil; ürün tarafında görünür, yönetilebilir ve politika uygulanabilir bir kullanıcı nesnesine dönüşmesini bekler.

LDAP Grup Import Süreci

Access Management içinde kullanılacak LDAP grup hedefleri, ürünün dizin yapısı ile hedef bazlı erişim modeli arasında köprü kurar. Bu nedenle grup import yaklaşımı, yalnızca dizin bilgisini göstermek değil; operasyonel hedef oluşturmak için kullanılır.

Bu yapı, kullanıcılar sisteme giriş yapmadan önce bile grup bazlı politika hazırlığı yapılabilmesini sağlar.

LDAP Grup Bazlı Giriş Kısıtları

Bazı kurumlar için yalnızca başarılı LDAP doğrulaması yeterli değildir. Kullanıcının belirli kurumsal gruplara ait olması da erişim kararı için zorunlu olabilir. Arceris bu tür kontrollü giriş modelini destekleyecek şekilde tasarlanmıştır.

Bu yaklaşım özellikle geniş dizin ortamlarında yetkisiz kullanıcıların ürüne erişmesini sınırlandırmak açısından değerlidir.

Captive Portal ve LDAP Birlikte Çalışma

Transparent kullanım senaryolarında captive portal ile LDAP entegrasyonunun birlikte tutarlı çalışması önemlidir. Kullanıcının normal giriş akışı ile captive erişim akışı arasında farklı davranış görmesi operasyonel karmaşa yaratır.

Bu nedenle kurumlar captive portal kullandığında LDAP davranışını da aynı bütünlük içinde doğrulamalıdır.