Azure Privileged Identity Management (PIM) aslında adından da anlaşıldığı gibi Ayrıcalıklı Kimlik Yönetimi servisidir. Azure Privileged Identity Management (PIM) servisi kuruluşunuzdaki önemli kaynaklara erişimi yönetmenize, denetlemenize ve izlemenize olanak tanıyan bir Azure Active Directory hizmetidir. Bu servisin yeteneklerinden önce lisans gereksiniminden bahsetmek faydalı olacaktır. Azure Privileged Identity Management (PIM) servisini kullanabilmek için Azure AD Premium P2 lisansına sahip olmak gerekmektedir.
Bu servis ile birlikte kullanıcılarımıza kalıcı yetkiler vermek yerine geçici yetkiler verebiliyoruz. Vereceğimiz yetkileri belirli bir onay mekanızdan geçirebileceğimiz gibi onay beklemeden verebiliyoruz ve bu yetkilerin expire sürelerini belirleyebiliyoruz. Örnek vermek gerekirse bir günlük çalışma için kullanıcımıza Security Administrator yetkisi vermemiz gerekiyor. Bu yetkiyi Office 365 Admin Portal veya Azure IAM üzerinden vermemiz durumunda çalışma bittikten sonra manuel olarak geri almamız gerekiyor. Verdiğimiz yetkiyi geri almayı unutursak ne oluyor peki ? Kullanıcı üzerinde yetki kalmaya devam ediyor ve oltalama saldırılarının sonuçlarının daha ağır olmasına neden oluyor. Eğer bu yetkiyi PIM üzerinden vermis olsaydık belirlediğimiz tarih ve saatte expire olacaktı ve manuel takibe gerek kalmayacaktır.
Hızlıca ortamımızda PIM ‘I nasıl aktif edeceğimize bakalım. İlgili servise portal.azure.com adresi üzerinden erişim sağlayabiliriz.
PIM servisine eriştikten sonra sol tarafta bulunan menu üzerinden mevcut rollerinizi, taleplerinizi ve onay için bekleyen yetki taleplerini görebilirsiniz. Demo olarak bir kullanıcımız için geçici olarak Security Administrator yetkisi atayalım istiyorum. Bunun için Manage Access üzerinden “Manage” ile ilerliyoruz ve bizleri “Assignment” ekranı karşılıyor. Bu ekran üzerinde Assign etmek istediğimiz istediğimiz kullanıcıyı ve yetkiyi seçiyoruz.
İlgili seçimleri yaptıktan sonra Next ile devam ediyoruz. Bu ekran üzerinde yetkinin kalıcı veya geçici olmasını belirliyoruz. Yapınızın durumuna göre yetkiyi “Eligible” duruma getirerek seçtiğiniz kullanıcının onay mekanızmasına takılmadan istediği zaman Security Administrator yetkisinin kendisi üzerinde aktif etmesine izin verebilirsiniz. Tabii ki yetki sizin izin verdiğiniz süre boyunca geçirli olacaktır.
Ben yukarıda gördüğünüz gibi Assign işlemini “Eligible” olarak tamamlıyorum. Ayrıca PIM dashboard üzerinde bulunan “Assignments” içerisinde yapınız üzerindeki yetki dağılımları görebilir, isterseniz yetkiyi otomatik expire tarihinden önce kaldırabilir veya expire tarihini değiştirebilirsiniz.
PIM servisi üzerinde yetki tanımlama işlemini yukarıdaki işlemler ile birlikte tamamladık. Peki yetki ataması yaptığımız kullanıcının ne yapması gerekiyor? Hatırladığınız gibi yetki atamasını “Eligible” olarak atadık ve bu durumda kullanıcının bu yetkiyi aktif etmesi gerekiyor. Yetki atamasını direkt olarak “Active olarak tamamlasaydık herhangi bir işlem yapmadan kullanıcımız ilgili yetkiye sahip olacaktı. Eligible durumdaki kullanıcımızın aynı şekilde portal.azure.com adresi üzerinden PIM servisine erişmesi gerekiyor.
PIM üzerinde My Roles üzerinden kullanıcımız üzerinde “Eligible” , “Active” ve “Expire” yetkileri görebiliriz. Biz Adele için “Eligible” yetki tanımlaması yaptığımız için yukarıdaki gibi görünüyor. Yapmamız gereken tek işlem “Active” diyerek “Eligible” olan yetkimizi üzerimize almamız ve açıklama girmemiz.
Yukarıdaki adımları uyguladıktan sonra kullanıcımız için yetki aktif hale gelmiş oldu. Artık Adele kullanıcımız Security Administrator yetkilerine bizim izin verdiğimiz süre boyunca sahip olacaktır.
Azure PIM servisi bir yapının güvenli hale gelmesi için olmazsa olmaz servislerden bir tanesidir. Gereksiz yetkilendirmenin önüne geçtiği gibi unutulmuş yetkileri de ortadan kaldıracaktır.
Faydalı olması dileğimle.