Google, 2019'da, Haziran 2020'de Google Workspace (eski adıyla G Suite) hesaplarına daha az güvenli uygulama erişimini (Google'ın Temel Kimlik Doğrulama karşılığı) kapatacaklarını duyurdu. COVID-19 salgını nedeniyle son tarih bir sonraki duyuruya kadar ertelenmiştir. Microsoft ise nihayet 1 Ekim 2022'de Temel Kimlik Doğrulamayı sonlandıracak. Microsoft 365 müşterileri için Exchange Online'a erişim yalnızca Modern Kimlik Doğrulaması ile mümkün olacaktır.
Temel Kimlik Doğrulaması, Ekim 2020'den bu yana kayıtlı kullanımı olmayan yeni Microsoft 365 kiracıları ve mevcut Microsoft 365 kiracıları için varsayılan olarak zaten devre dışı bırakılmıştır.
Modern Kimlik Doğrulaması'na geçiş, kullanıcı hesaplarının ve içerdikleri verilerin Temel Kimlik Doğrulaması'ndan çok daha iyi korunmasını sağlar. Buna ek olarak, Modern Kimlik Doğrulaması kullanıcı deneyimini iyileştirebilir. Aşağıda, Temel Kimlik Doğrulaması ile Modern Kimlik Doğrulama arasındaki farkı, Temel Kimlik Doğrulama'nın neden yeterli koruma sağlamadığını ve Modern Kimlik Doğrulama'dan elde edilecek avantajları açıklıyoruz.
Temel Kimlik Doğrulaması'nın gerçekte nasıl çalıştığını anlamak için burada bir benzetme verilmiştir. Şu senaryoyu hayal edin: Yurtdışına uçuyorsunuz, uçağı terk ediyorsunuz ve sınır kontrolüne gidiyorsunuz. Ve şimdi sürecin alıştığınızdan biraz farklı işlediğini varsayalım. Pasaportunuzu göstermek yerine güvenlik görevlisine "Merhaba, benim adım John Doe, şifrem XYZ ve aslen Almanyalıyım" diyorsunuz. Bu bilgiyle güvenlik görevlisi Almanya'daki ulusal makamları arar ve şunları açıklar: "Masamda ülkemize girmek isteyen bir adam var. Almanya'dan geldiğini, adının John Doe ve şifresinin XYZ olduğunu söylüyor. Bu doğru mu?". Yetkililer bilgileri kontrol eder ve onaylar. Bu nedenle, güvenlik görevlisi size bilgilerinizin doğru olduğunu ve ülkeye girmenize izin verildiğini söylemekten mutluluk duyar. Sınır kontrolünde böyle bir prosedür pek doğru olmazdı, değil mi? Peki, bu yaklaşımın nesi yanlış? İlk olarak, fotoğraf vb. gibi ek bilgiler içeren pasaport gibi ek kontroller yoktur. Güvenlik görevlisi, iddia ettiğiniz kişi olduğunuzu nasıl bilebilir? Adınızı ve şifrenizi bilen herkes sizmişsiniz gibi davranabilir. İkincisi, gizli olması gereken bilgileri başka bir kişiye ifşa etmeniz ve güvenlik görevlisine güvenmeniz gerekir. Dijital dünyada Temel Kimlik Doğrulama temel olarak bu şekilde çalışır.
Başlangıçta, "Temel Kimlik Doğrulama" terimi, RFC 7617'de tanımlanan ve başlangıçta HTTP kimlik doğrulaması için oluşturulan bir kimlik doğrulama şemasını tanımlamaktadır. Bir web sitesine giderseniz ve bir tarayıcı açılır penceresi sizden kullanıcı adınızı ve şifrenizi girmenizi isterse, başlangıçta "Temel Kimlik Doğrulama" ile açıklanan şey budur. Bu tür bir kimlik doğrulaması, Microsoft Exchange Server'larda bir kimlik doğrulama şeması olarak da kullanılır. Basit kimlik doğrulaması, düz metin kimlik doğrulaması veya daha az güvenli uygulamalar (Google) olarak da bilinir. Bu nedenle, tanımı özetlemek gerekirse: Temel Kimlik Doğrulama, düz kullanıcı adlarına ve parolalara dayalı herhangi bir kimlik doğrulamasıdır.
Dijital dünyada, kimlik bilgilerine sahip olmak, temel olarak bu kimlik bilgileriyle erişmek istediğiniz kaynağa sahip olmak anlamına gelir. Kaynağın depolandığı hizmet, siz ve kimlik bilgilerinize sahip olan diğer kişiler arasında ayrım yapamaz. Microsoft 365 veya Google Workspace ile ilgili olarak bu, birisine posta kutunuza erişim izni vermek istiyorsanız, Microsoft veya Google kiracınızdaki Microsoft SharePoint, Teams ve diğer hizmetlere erişmek için aynı kimlik bilgilerini kullanabilecekleri anlamına gelir. Temel Kimlik Doğrulamaya dayalı teknolojiyle, aynı kimlik bilgileriyle erişilebilen diğer kaynaklara erişimi sınırlamak neredeyse imkansızdır. Bu, Temel Kimlik Doğrulama ile verilerinize yönelik ağ geçitlerinin tamamen açık olduğu ve korunmaları gerektiği anlamına gelir. Peki, tüm bunlar kulağa bu kadar riskli ve güvensiz geliyorsa, neden dijital dünyada bu tür bir kimlik doğrulamayı bu kadar uzun süredir kullanıyoruz?
Modern Kimlik Doğrulaması, başlangıçta Microsoft tarafından tanımlanan bir şemsiye terimdir, ancak diğer birçok şirket de bunu aşağıdakilerin bir kümesini tanımlamak için kullanır:
Yetkilendirme ve kimlik doğrulama yöntemleri dijital dünyada standartlaştırılmıştır. Yetkilendirme için endüstri standardı OAuth2'dir. Kimlik doğrulama için endüstri standardı yoktur, ancak en yaygın kullanılan standart OpenID Connect'tir. Farklı amaçlara hizmet etseler de, bu standartlar teknoloji açısından çok ilişkilidir. OpenID Connect protokol paketi, OAuth protokolünü genişletir ve aynı teknolojileri temel alır. OAuth hiçbir zaman kullanıcıların veya kişilerin kimliğini doğrulamak için tasarlanmamıştır, yalnızca hizmetlerin kimliğini doğrulamak için tasarlanmıştır. OpenID Connect'in oluşturulmasının nedeni budur.
Modern Kimlik Doğrulama, havaalanı benzetmemizde nasıl görünür? Modern Kimlik Doğrulama ile prosedür oldukça tanıdık geliyor: Yurtdışına uçuyorsunuz, uçağı terk ediyorsunuz ve sınır kontrolündeki güvenlik görevlisine gidiyorsunuz. Memur, kim olduğunuzu ve nereli olduğunuzu belirlemek için gereken tüm önemli bilgileri bulabileceği pasaportunuzu görmek ister. Bu bilgiler sahteciliğe karşı mekanizmalarla korunmaktadır. Dijital kelimede pasaport, kimlik belirteci dediğimiz şeydir. Bu belirteç önemli bilgiler içerir: kim olduğunuz, belirteci kimin oluşturduğu, ne kadar süreyle geçerli olduğu vb.
İki Faktörlü Kimlik Doğrulama (2FA) ve Çok Faktörlü Kimlik Doğrulama (MFA), kimlik doğrulama sürecinin bir parçasıdır. İşlem şu şekildedir: Bir kullanıcı olarak, bağlanmaya çalışanın gerçekten siz olduğunuzu doğrulaması gereken kimlik sağlayıcınıza bağlanırsınız. Yönetici tarafından tanımlanan koşullu erişim ilkelerine bağlı olarak, kimlik sağlayıcınız sizden daha fazla bilgi isteyebilir. Kimlik bilgilerinizi girmenin kimliğinizi doğrulamak için yeterli olmadığına inanıyorsa, örneğin bilinmeyen bir ağdan bağlanıyorsanız, sizden cep telefonunuza gönderilen bir kod gibi ek bilgiler isteyebilir. Microsoft bunu çok dinamik bir şekilde uyguladı. Sistemleri sürekli olarak öğrenir ve neyin güvenli bir sistem olup olmadığına karar verir. Ayrıca, örneğin iş dizüstü bilgisayarınız gibi bir cihazı güvenli olarak tanımlama imkanı da vardır. Bir cihaz güvenli olarak tanımlanırsa, kimlik bilgileriniz yalnızca bir kez istenir ve ardından tarayıcınızda bir çerez saklanır, böylece bir sonraki oturum açışınızda, kimlik bilgilerinizi veya daha fazla ayrıntıyı tekrar sormadan hemen oturum açarsınız. Bunlar, bir yöneticinin tanımlayabileceği ek politikalardır ve bu, özellikle birçok kişinin evden çalıştığı zamanlarda geçerlidir (örneğin, evde kurumsal bir VPN yerine güvenli olmayan bir ağ kullanırken).
Yöneticiler için en büyük avantajlardan biri, tüm bu ilkelerin yalnızca kimlik sağlayıcısında bulunan tek bir merkezi konumda yapılandırılmasıdır. Bu, kimlik sağlayıcısına ne kadar çok uygulama bağlanırsa, örneğin Microsoft Azure Active Directory ve Microsoft tarafından sağlanan kimlik hizmetleri, tüm bu uygulamalar için koşullu erişim ilkelerini yapılandırmanın o kadar kolay olduğu anlamına gelir. Bu şekilde, yöneticinin her uygulama için ayrı oturum açma ilkeleri ve güvenlik ayarları yapılandırması gerekmez. Yöneticinin, kimlik sağlayıcısıyla tümleştirilmiş tüm uygulamalar için oturum açma ilkelerini tanımlayabileceği tek bir konum vardır. Uzun vadede, bu tür bir kimlik doğrulamayı destekleyen ne kadar çok uygulama olursa, yönetici için o kadar kullanıcı dostu ve kolay olur. Ve elbette, Modern Kimlik Doğrulama, Temel Kimlik Doğrulama'dan çok daha güvenlidir.
MailStore Server ve MailStore Servis Sağlayıcı Sürümü (SPE), kullanıcılar bir dizin hizmetinden senkronize edildiğinde, posta kutularına erişmek, mesajları arşivlemek veya dışa aktarmak için ve kullanıcılar e-postalara erişmek için MailStore arşivlerinde oturum açmak istediklerinde kimlik doğrulamasına ihtiyaç duyar. Aşağıda, Microsoft 365 ve Google Workspace (eski adıyla G Suite) ile kimlik doğrulamanın Temel Kimlik Doğrulama ile nasıl çalıştığını ve MailStore Server veya MailStore SPE kullanırken Modern Kimlik Doğrulama ile nasıl çalıştığını açıklayacağız. Bundan sonra, okunabilirliği artırmak için, aşağıdakilerin tümü aslında MailStore SPE için de geçerli olsa da, yalnızca MailStore Sunucusuna başvuracağız.
Geçmişte Microsoft 365 ve Google Workspace ile kimlik doğrulaması nasıl çalışıyordu? Başlangıçta, bir kullanıcı istemci uygulamasını (MailStore İstemcisi, MailStore Outlook Eklentisi veya MailStore Web Erişimi) açar, kimlik bilgilerini girer ve bunları MailStore Sunucusuna gönderir. Ardından, MailStore Sunucusu bu kullanıcının uzak bir dizin hizmetinden senkronize edildiğini fark eder. Bu durumda, MailStore Sunucusu dizin hizmetinin kendisine bağlanır (bu hizmet bir kimlik doğrulama arabirimi sağladıysa) veya Microsoft 365 söz konusu olduğunda, verilen kimlik bilgileriyle kullanıcının Exchange Online posta kutusunda oturum açmayı dener. Posta kutusuna giriş başarılı olduysa, bu MailStore Server'a iletildi. Ardından, MailStore Sunucusu istemci uygulamasına kimlik bilgilerinin doğru olduğunu ve kullanıcının oturum açtığını ve arşivde arama yapabileceğini söyler.
Microsoft 365 profili Temel Kimlik Doğrulaması ile bu şekilde çalıştı.
Microsoft 365 ve Google Workspace ile Modern Kimlik Doğrulama şimdi MailStore Server ile nasıl çalışıyor? İlk adımda, kullanıcı yalnızca kullanıcı adını girer. Ardından, MailStore Sunucusu, bu kullanıcının kimlik doğrulama özniteliğinin MailStore entegre olarak mı yoksa dizin hizmetlerine mi ayarlandığını ve şu anda ne tür bir dizin hizmetinin yapılandırıldığını kontrol eder. Sonuca bağlı olarak, kullanıcıdan bir parola istenir veya yapılandırılan dizin hizmeti Modern Kimlik Doğrulaması'nı destekliyorsa, üçüncü taraf bir kimlik sağlayıcısına yönlendirilir. Microsoft 365 ile Modern Kimlik Doğrulaması söz konusu olduğunda, MailStore Server kimlik sağlayıcısının oturum açma URI'sini döndürür. MailStore İstemcisini veya MailStore Outlook Eklentisini kullanırken, kimlik sağlayıcınızın oturum açma URL'sini açmak için otomatik olarak bir web tarayıcısı açılır. MailStore Web Access'i kullanırken, kullanıcılar otomatik olarak kimlik sağlayıcılarının oturum açma URL'sine yönlendirilir. Sonra ne olacak? Bu, yönetici tarafından tanımlanan koşullu erişim ilkelerine bağlıdır. Kullanıcı, yöneticinin ek ilkeler tanımlamadığı güvenli bir ağdan oturum açarsa, kimlik bilgilerinin girilmesi genellikle yeterlidir. Yönetici ek ilkeler tanımladıysa, kullanıcıdan ek bilgiler girmesi istenebilir (örneğin, MFA ile). Kimlik sağlayıcı ile kimlik doğrulama başarılı olursa, kimlik sağlayıcı kullanıcının başlangıçta hangi uygulamada oturum açmak istediğini bilir. Böylece, kimlik sağlayıcı kullanıcıyı MailStore Server'a yönlendirir ve MailStore Server'a gönderilen bir kimlik belirteci göndermesini sağlar. Kimlik belirteci MailStore Sunucusu tarafından doğrulanır ve kimlik sağlayıcıdan ek kullanıcı bilgileri istenir (örneğin, takma ad adresi). Bu, MailStore Server'ın MailStore kullanıcısını oturum açmaya çalışan kullanıcıyla eşlemesine yardımcı olur. Ardından, oturum kimliği doğrulanmış olarak işaretlenir ve kullanıcı arşive erişebilir.
Daha fazla gecikmeyin. Hemen Modern Kimlik Doğrulaması'na geçin. Modern Kimlik Doğrulama, yalnızca Temel Kimlik Doğrulama'dan çok daha güvenli olmakla kalmaz, aynı zamanda daha kullanıcı dostudur ve yöneticinin hayatını kolaylaştırır. MailStore Server ve SPE, sürüm 13'ten bu yana OAuth2 ve OpenID Connect aracılığıyla Modern Kimlik Doğrulama'yı destekler ve bu da MailStore'un Microsoft 365 ve Google Workspace'in bulut tabanlı ortamlarına entegrasyonunu önemli ölçüde geliştirir. Mevcut MailStore Sunucu Sürümü ve MailStore Servis Sağlayıcı Sürümü hakkında her şeyi burada bulabilirsiniz.
Microsoft 365 kullanıyorsanız ve MailStore Server'ı kullanmaya başlamak istiyorsanız, Yeni MailStore Server Müşterileri için Microsoft 365 E-postalarını Arşivleme Teknik İpucumuzu öneririz. Bu Teknik İpucu'ndaki iki video, Modern Kimlik Doğrulaması'nı kullanarak MailStore Server'ı Microsoft 365 kiracınıza nasıl bağlayacağınızı, kullanıcıları nasıl eşitleyeceğinizi ve arşivleme profillerini nasıl özelleştireceğinizi gösterir.
Microsoft 365 kullanıyor ancak MailStore Server gibi bir üçüncü taraf e-posta arşivleme çözümü kullanmanın avantajlarının henüz farkında değil misiniz? O zaman pazar araştırma enstitüsü Osterman Research tarafından oluşturulan ücretsiz teknik incelemeye bir göz atın. Microsoft 365'te E-postaları Arşivleme adlı blog makalemizde bu konuda daha fazla bilgi edinebilirsiniz.
Kaynak: Microsoft 365 - 1 Ekim 202'den itibaren Modern Kimlik Doğrulaması'na geçme (mailstore.com)
Çeviri