Osmaniye’deki bir üniversite, eski on-prem Active Directory + ADFS yapısını Microsoft Entra ID (yeni adı, eskiden Azure AD) ile modernleştirdi. 14.000 kullanıcı (akademisyen, idari, öğrenci, mezun, dış kurumlar). 8 ay sürdü. Bu yazı sahadaki teknik notları paylaşıyor.
Entra ID Nedir?
Microsoft’un cloud-native identity & access management platformu. Eski adı Azure AD; 2023’te Entra ID oldu. M365, Azure ve binlerce SaaS uygulamasına SSO sağlar.
Entra ID vs On-Prem AD
| Konu | On-Prem AD | Entra ID |
|---|---|---|
| Protokol | LDAP, Kerberos, NTLM | SAML, OAuth, OIDC, WS-Fed |
| Hedef | On-prem app + dosya server | SaaS, M365, Azure, web app |
| Group Policy | Var | Yok (Intune kullan) |
| Computer object | Var (domain-joined) | Entra-joined / Hybrid-joined |
| OU structure | Hierarchical | Flat (admin unit ile mimic) |
| Conditional access | Sınırlı | Güçlü |
Tenant Mimarisi
Tenant: uni.onmicrosoft.com (custom domain: uni.edu.tr)
Edition: Entra ID P2 (Identity Protection + PIM)
Domain'ler:
- uni.edu.tr (federated → ADFS, sonra direct cloud)
- alumni.uni.edu.tr (mezun B2C)
- guest.uni.edu.tr (dış kurum B2B)
User türleri:
- Member (iç kullanıcı): 14.000 (akad + idari + öğrenci)
- Guest (B2B): ~~~~840 (ortak proje üniversiteler, sanayi)
- External (B2C): ~~~~32.000 (mezun portal)Federation → Cloud-Only Geçiş
| Aşama | Yöntem | Süre |
|---|---|---|
| Önce | ADFS federated | 5 yıl |
| Geçiş 1 | Pass-through Authentication (PTA) | 2 ay |
| Geçiş 2 | Password Hash Sync (PHS) + Seamless SSO | 1 ay |
| Hedef | Cloud-only (Entra Connect Sync minimal) | Final |
ADFS sunucu ve maliyet ortadan kalktı. Cloud-managed identity daha güvenli + maintenance yok.
B2B (Guest Erişim)
Use case:
- Ortak proje çalışan dış üniversite akademisyen
- Sanayi danışman
- Konferans organizasyon partner
Onboarding:
- Davet (e-posta linkli)
- Guest kendi Entra/Google/Microsoft account ile login
- Sponsorluk (host akademisyen)
- 90 gün inaktif ise auto-delete (Entitlement Mgmt)
Erişim:
- SharePoint site (proje)
- Teams (kanal)
- Belirli SaaS app
- File share (OneDrive)B2C (Mezun Portal)
Tenant ayrı: uni-alumni.b2clogin.com
User journey:
- Sign-up (sosyal giriş: Google, Apple, LinkedIn)
- Profile completion (mezuniyet bilgisi)
- MFA optional
Custom branding:
- Üniversite logo
- Kendi domain (login.uni.edu.tr)
Custom policy:
- Diploma doğrulama (web service call)
- Self-service password resetConditional Access (CA) Politikaları
| Policy | Hedef |
|---|---|
| All users + MFA | Tüm kullanıcı |
| Admin + compliant device | 14 IT admin |
| Risky sign-in block | High risk → block |
| Legacy auth block | POP/IMAP/eski SMTP |
| Country block (high-risk) | Sign-in from KP/IR → block |
| Öğrenci student-info app | MFA on registration only |
| Guest access | MFA + session timeout 1h |
Privileged Identity Management (PIM)
Eligible role assignment (statik admin yok):
- Global Admin: 0 statik (5 eligible, max 8h activate)
- Application Admin: 3 eligible
- User Admin: 5 eligible
- Helpdesk Admin: 12 eligible
Activate flow:
1. Admin "Activate role" tıklar
2. Justification yaz
3. MFA approve
4. (opsiyonel) Approval workflow (örn Global → 2 sponsor)
5. Belirli süre (max) aktif
6. Süre bitince otomatik deactivate
Audit:
- Tüm activate/deactivate Entra audit log
- Sentinel'a syncIdentity Protection (P2)
| Risk tipi | Otomatik aksiyon |
|---|---|
| Atypical travel | MFA challenge |
| Anonymous IP | MFA challenge |
| Leaked credentials | Password reset zorunlu |
| Malware-linked IP | Block |
| Suspicious sign-in pattern | Risk score → CA enforce |
SaaS App Federation (SSO)
Federe edilmiş 38 uygulama:
- M365 (built-in)
- Salesforce CRM
- Workday HR
- Yöksis (TR yükseköğretim)
- Library system (proxy SSO)
- Zoom (eğitim)
- Adobe Creative Cloud
- GitHub Enterprise (mühendislik fakültesi)
- …
Entitlement Management
Access Package: “Yeni Akademisyen Paketi”
- SharePoint site (departman)
- Teams (departman + university-wide)
- Library (proxy)
- Yöksis (read)
- 360-day review
İK yeni akademisyen kaydeder → otomatik bu paket tetiklenir, yeni hesap her şeye erişimli olur.
Sonuçlar (8 Ay)
| Metrik | Önce | Sonra |
|---|---|---|
| ADFS sunucu (yönetim yükü) | 4 sunucu + 2 admin | 0 (kapatıldı) |
| SSO app sayısı | ~~12 | ~~38 |
| MFA enabled | %~~12 | %~~99 |
| Standing admin rights | ~~28 user kalıcı | 0 (PIM eligible) |
| Compromised account incident | ~~aylık 4-6 | ~~yıllık 1-2 |
| Yeni akad. onboarding | ~~3 gün manuel | ~~30 dk (otomatik) |
Sahada Düşülen Üç Tuzak
- ADFS’i tutmaya devam etmek: Cloud-only daha güvenli + maintenance yok. ADFS kapatma planı erken yapılmalı.
- PIM olmadan static admin role vermek: 28 kalıcı admin = hesap çalınınca felaket. PIM eligible + MFA + approval şart.
- B2C’i ayrı tenant düşünmemek: Member tenant’ta external user yönetmek karışık. B2C ayrı tenant best practice.
CloudSpark olarak Microsoft Entra ID (eski Azure AD) tenant tasarımı, ADFS’ten cloud-only geçiş, B2B/B2C, Conditional Access, PIM, Identity Protection ve Entitlement Management için danışmanlık veriyoruz.
