# Identity Center ve Active Directory

### Microsoft Active Directory (AD) nedir?

* AD Domain Services yüklü **her Windows Server** üzerinde bulunabilir
* Bir **veritabanıdır**, şu nesneleri (objects) içerir:
  * Kullanıcı Hesapları
  * Bilgisayarlar
  * Yazıcılar
  * Dosya Paylaşımları
  * Güvenlik Grupları
* **Merkezi güvenlik yönetimi** sunar:
  * Hesap oluşturma
  * İzin atama
* Nesneler **ağaç (tree)** yapısında organize edilir
* Birden fazla ağaç → **orman (forest)** yapısını oluşturur
* Temel yapısı Domain Controller (Ana birimin) diğer hizmetlere bağlı olduğu bir ağaç yapısıdır.

## **AWS Managed Microsoft AD**

* AWS üzerinde kendi **Active Directory**’ni oluşturursun
* Kullanıcıları yerel olarak yönetebilirsin
* **MFA desteği vardır**
* Mevcut (on-prem) AD ile **güven ilişkisi (trust)** kurulabilir\
  🡒 Yani tam teşekküllü ve entegre bir AD çözümüdür

***

## **AD Connector**

* On-prem AD’ye yönlendirme yapan bir **proxy / geçit** görevi görür
* Kullanıcı yönetimi **on-prem AD** üzerinde kalır
* **MFA desteği vardır**\
  🡒 Yani AWS üzerinden değil, var olan AD’ni kullanırsın sadece geçit olur

***

##  **Simple AD**

* AWS üzerinde **AD uyumlu** basit bir dizin hizmetidir
* **On-prem AD ile bağlanamaz (trust kurulamaz)**\
  🡒 Küçük / basit senaryolar için uygundur, sınırlı yeteneklidir

<figure><img src="https://898869988-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F9GNfPnZHcJcPKLgWCT7h%2Fuploads%2FbSwWsm9OsE4lz6MG3caB%2Fimage.png?alt=media&#x26;token=25671a06-cf67-44a0-b53e-806d5004466d" alt=""><figcaption><p>3 Yöntemin Diyagramı</p></figcaption></figure>

## Yöntemler

### 1. **AWS Tarafından Yönetilen Microsoft AD'ye Bağlan**

* AWS Managed Microsoft AD'ye **doğrudan ve hazır entegrasyon** yapılır
* Kurulumdan sonra **ekstra yapılandırmaya gerek yoktur**\
  🡪 IAM Identity Center doğrudan bu hizmete bağlanır

<figure><img src="https://898869988-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F9GNfPnZHcJcPKLgWCT7h%2Fuploads%2FlD3iFWRElUQlog2Wf6nV%2Fimage.png?alt=media&#x26;token=27fd1551-b0f1-4f4c-9fb4-6f2d756c4605" alt=""><figcaption></figcaption></figure>

### 2. **Kendi Yönetiminizdeki (Self-Managed) AD'ye Bağlan**

* Önce bir **AWS Managed Microsoft AD** kurulur
* Ardından:
  * **İki yönlü güven ilişkisi (two-way trust relationship)** oluşturulur
  * **AD Connector** kullanılarak yerel AD'ye proxy bağlantısı kurulur\
    🡪 IAM Identity Center, bu zincir üzerinden on-prem AD’ye bağlanır

<figure><img src="https://898869988-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F9GNfPnZHcJcPKLgWCT7h%2Fuploads%2FCg6wYiqI8U8ogEANU335%2Fimage.png?alt=media&#x26;token=4dfe7283-f0c1-43d1-903e-dacf95eab376" alt=""><figcaption></figcaption></figure>

| Açıklama                     | Microsoft AD’nin tam yönetilen versiyonu          | Active Directory Proxy hizmeti                                  | Linux tabanlı (Samba 4) yönetilen dizin hizmeti | Amazon Cognito üzerinde kullanıcı dizini sunar                                          |
| ---------------------------- | ------------------------------------------------- | --------------------------------------------------------------- | ----------------------------------------------- | --------------------------------------------------------------------------------------- |
| Sürümler                     | Standard & Enterprise                             | Small & Large                                                   | Small & Large                                   | Kullanıcı havuzu yapılandırılır                                                         |
| Ölçek                        | Standard: 30k obje, Enterprise: 500k obje         | Small: 500 kullanıcıya kadarLarge: 5000 kullanıcıya kadar       | Small: 2000 objeLarge: 20000 obje               | Web ve mobil uygulamalarda kullanıcı giriş ve kayıt işlemleri                           |
| Trust (Güven ilişkileri)     | Tam destekli                                      | Mevcut AD’ye bağlanır, trust ilişkisi on-prem AD ile sürdürülür | **Desteklemez**                                 | **SAML** sağlayıcılarıyla (Google, Facebook, Amazon vb.) giriş yapılabilir              |
| Active Directory Özellikleri | Tüm AD özellikleri (Group Policy, Trust, GPO vb.) | Yalnızca proxy katmanı                                          | Kısıtlı özellik seti                            | Cognito ile çok faktörlü kimlik doğrulama, parola politikaları vb.                      |
| Domain Controller            | Her AZ’de 1 Domain Controller, eklenebilir        | Kendi on-prem AD’inizi kullanır                                 | Yönetilen bir DC                                | Kullanıcı dizini Amazon tarafından yönetilir                                            |
| Kullanım Senaryosu           | Tam AD uyumluluğu gereken kurumsal uygulamalar    | Mevcut on-prem Active Directory’yi buluta bağlama               | Basit dizin ihtiyaçları                         | Modern web ve mobil uygulamalarda kullanıcı yönetimi                                    |
| Entegrasyonlar               | Microsoft sistemleriyle yüksek uyum               | On-premises AD sistemleri                                       | Kısıtlı                                         | SAML, OAuth sağlayıcılarıyla federasyon, sosyal giriş entegrasyonları (Google, FB, vs.) |