Authentication Mechanism Assurance

Authentication mechanism assurance (AMA) bileşeni ile uygulamaların kaynaklara erişimini kimlik doğrulama gücü ve metoduna göre belirlenebiliyor.  Kimlik doğrulama esnasında kullanıcının sertifika-tabanlı logon methodu ile logon olup olmadığı, logon olurken kullandığı sertifika tipi vb. gibi kullanıcıdan toplanan bilgiler kullanıcıya verilen Kerberos ticket içerisine eklenerek, uygulamalar için kullanılıyor. Authentication mechanism assurance sayesinde kullanıcıların smart kard ile logon olurken erişebileceği kaynaklar ile, smart kart kullanmadan erişebilecekleri kaynaklar birbirinden farklı olabiliyor.

 


AMA özelliği varsayılan olarak kapalı gelir. AMA özelliğinin kullanılabilmesi için domain fonksiyonel seviyesinin Windows Server 2008 R2’de olmasi, sertifika-tabanlı kimlik doğrulama altyapısının kurulu olması ve ilave konfigürasyonları gerektiriyor. Bu da demek oluyor ki, öncelikle tüm domain controller ve additional domain controller sunucularınızı Windows Server 2008 R2 versiyonuna yükseltmeniz ve ortama Active Directory Certificate Servislerini yapılandırmanız gerekiyor.

 


Authentication mechanism assurance özelliğinin aktifleştirilmediği durumlarda sertifika-tabanlı logon olurken kullanıcıya atanan erişim jetonu (Access token) ile sertifika kullanmadan normal kimlik doğrulama yöntemleri ile yapılan logon süreçlerinde kullanıcıya atanan erişim jetonu yapısı aynıdır. Authentication mechanism assurance özelliğinin aktifleştirilmesi ile sertifika-tabanlı kimlik doğrulama yöntemleri ile yapılan girişlerde kullanıcıya atanan erişim jetonu yapısı farklılaşmaktadır.

 


 


Bu özellik varsayılan olarak aktif değildir, aktif edildikten sonra bir universal grup oluşturulur ve bu grup çok özel verilere ulaşmak için kullanılabilir. Örneğin hakan kullanıcısı muhasebe çalışanı ise siz beni muhasebe grubuna üye yapıyor ve daha sonra file server üzerinde muhasebe grubuna ilgili dosyalar veya dizinler için izin veriyorsunuz, ancak bazı belgeler var ki çok özel ve bunlar daha korunaklı olsun istiyorsunuz. Bu durumda yapacağınız bir alternatif yok, ancak AMA aktif edilir ise kullanıcı sadece kullanıcı adı ve şifre ile sisteme girdiğinde bu dosyalara erişemiyorken, smart card ile sisteme girdiğinde bu kaynaklara erişmesini sağlayabilirsiniz, bunun için AMA aktif edildikten sonra oluşan grup için buraya izin vermeniz gerekli, bu grubun üyesi olması için yani bu hakları kullanması için hakan' ın mutlaka smart card ile logon olması gerekli, eğer smart card ile logon olmaz ise standart muhasebe grubu üyesi gibi çalışırken smart card ile logon olursam daha gizli olan belgelere erişecek bu grup üyesi olarak sisteme girmiş oluyor. Çok kabaca Authentication mechanism assurance bu işi yapıyor.

Bu işlemin nasıl yapıldığına dair adım adım anlatım yapan aşağıdaki makaleyi inceleyebilirsiniz

 

http://technet.microsoft.com/en-us/library/dd378897%28WS.10,printer%29.aspx