Self Servis Parola Sıfırlama ve MFA: ManageEngine ADSelfService Plus
arrow_back Blog'a Dön

Self Servis Parola Sıfırlama ve MFA: ManageEngine ADSelfService Plus

Parola sıfırlama çağrılarını yardım masasından kullanıcının kendisine devredin — güvenliği artırarak.

Pazartesi sabahı 08.30: yardım masasının çağrı kuyruğunda bekleyenlerin önemli bir kısmı aynı cümleyi kuracak — "Parolamı unuttum" ya da "Hesabım kilitlendi." Sektör analizleri, yardım masası çağrılarının kayda değer bir bölümünün parola kaynaklı olduğuna işaret ediyor. Her çağrı hem BT ekibinin zamanını hem de o kullanıcının üretken saatlerini tüketiyor; mesai dışı kilitlenmelerde ise iş tamamen bekliyor.

Kısaca: Self servis parola sıfırlama, kullanıcıların unutulan Active Directory parolalarını yardım masasına başvurmadan, kimliklerini çok faktörlü doğrulama (MFA) ile kanıtlayarak kendilerinin sıfırlamasıdır. ManageEngine ADSelfService Plus bu süreci web portalı, Windows oturum açma ekranı ve mobil uygulama üzerinden sunar; ayrıca kurumsal MFA, tek oturum açma (SSO) ve parola politikası güçlendirme yetenekleri içerir.

Parola Çağrıları: BT'nin Görünmez Maliyeti

Parola sıfırlama işlemi tek başına birkaç dakika sürer; sorun ölçekte ve zamanlamadadır. Yüzlerce kullanıcılı bir ortamda bu çağrılar, BT ekibinin gününü bölen sürekli bir arka plan gürültüsüne dönüşür. Uzman mühendisler proje işlerinden kesintiye uğrar; kullanıcılar kuyrukta bekler.

İşin bir de güvenlik boyutu var: telefonla gelen "parolamı sıfırlar mısınız" talebinde arayanın gerçekten o kullanıcı olduğunu doğrulamak zordur. Sosyal mühendislik saldırılarının klasik giriş noktalarından biri tam olarak budur — saldırgan, yardım masasını arayarak başkasının parolasını sıfırlatmayı dener. Self servis modeli bu riski tersine çevirir: sıfırlama ancak kayıtlı MFA faktörleriyle kimliğini kanıtlayan kullanıcının kendisi tarafından yapılabilir.

Self Servis Parola Sıfırlama Nasıl Çalışır?

ManageEngine ADSelfService Plus'ta süreç üç adımda işler.

Kayıt (enrollment): Kullanıcılar sisteme bir kez kaydolur ve doğrulama faktörlerini tanımlar: mobil kimlik doğrulama uygulaması, e-posta veya SMS ile tek kullanımlık kod, güvenlik soruları gibi. Kayıt, zorunlu tutulabilir ve tamamlamayanlar otomatik hatırlatmalarla yönlendirilir.

Doğrulama: Parolasını unutan veya hesabı kilitlenen kullanıcı, self servis kanalından talepte bulunur ve tanımlı faktörlerle kimliğini kanıtlar. Yönetici, hangi kullanıcı grubu için kaç faktörün zorunlu olduğunu politikayla belirler.

Sıfırlama ve senkronizasyon: Doğrulama başarılıysa kullanıcı yeni parolasını belirler; hesap kilidi varsa açılır. İşlem anında Active Directory'ye yansır ve tüm adımlar denetim kaydına işlenir.

Kritik ayrıntı erişim kanallarındadır: Kullanıcı parolasını bilmediği için portala giriş yapamayabilir. ADSelfService Plus bu nedenle Windows oturum açma ekranına "Parola Sıfırla / Hesap Kilidini Aç" bağlantısı ekler (macOS ve Linux oturum ekranları için de ajan mevcuttur); mobil uygulama ve web portalı diğer kanalları oluşturur. Böylece kullanıcı bilgisayarının başında, oturum açamadığı anda bile kendi kendine kurtarma yapabilir.

Yalnızca Parola Yetmez: Kurumsal MFA Katmanı

ADSelfService Plus'ın kapsamı parola sıfırlamayla sınırlı değildir; aynı platform kurumsal kaynaklara girişte çok faktörlü kimlik doğrulama katmanı sağlar. Windows, macOS ve Linux makine oturumları, VPN bağlantıları, Outlook Web Access ve SAML destekli bulut uygulamaları MFA ile korunabilir.

Desteklenen doğrulama yöntemleri geniş bir yelpazeye yayılır: Google Authenticator ve Microsoft Authenticator gibi TOTP uygulamaları, YubiKey donanım anahtarları, biyometrik doğrulama, e-posta/SMS ile tek kullanımlık kodlar ve RADIUS tabanlı entegrasyonlar. Koşullu erişim politikalarıyla doğrulama gereksinimleri bağlama göre ayarlanabilir: örneğin kurum ağındaki bir giriş için tek faktör yeterliyken, ağ dışından gelen VPN bağlantısı ek doğrulama ister.

Kimlik güvenliğinin izleme tarafı da ihmal edilmemelidir: parola sıfırlama ve hesap kilitlenme olaylarının denetimi, anormal desenlerin yakalanması için ManageEngine ADAudit Plus ile tamamlanır. Active Directory'yi hedef alan saldırı tekniklerini Active Directory zafiyetleri yazımızda ayrıntılı ele almıştık; self servis + MFA + denetim üçlüsü bu zafiyetlerin önemli bölümünü kapatır.

Parola Politikalarını Güçlendirme

Klasik Active Directory parola politikası, uzunluk ve karmaşıklık gibi temel kuralları destekler ancak modern tehditlere karşı sınırlıdır. ADSelfService Plus'ın Parola Politikası Güçlendirici özelliği; sözlük kelimelerinin, ardışık karakter dizilerinin ve daha önce sızmış (breach edilmiş) parolaların kullanımını engelleyebilir, grup bazlı farklı politikalar tanımlanmasına imkân verir.

Parola süre dolumu bildirimleri de pratikte küçük ama etkili bir özelliktir: parolasının süresi yaklaşan kullanıcılara e-posta veya SMS ile otomatik hatırlatma gider. Özellikle VPN üzerinden çalışan ve oturum açma uyarısını görmeyen uzak kullanıcılarda, süre dolumu kaynaklı kilitlenmeler belirgin biçimde azalır.

Tek Oturum Açma ve Parola Senkronizasyonu

Kurumlar ortalama onlarca bulut uygulaması kullanıyor; her uygulama için ayrı parola, hem kullanıcı deneyimini hem güvenliği zayıflatır. ADSelfService Plus, SAML tabanlı tek oturum açma (SSO) ile kullanıcıların Active Directory kimlikleriyle bulut uygulamalarına tek girişle erişmesini sağlar.

Parola senkronizasyonu ise hibrit ortamların sessiz kahramanıdır: kullanıcı AD parolasını değiştirdiğinde, aynı parola Microsoft Entra ID (Azure AD), Google Workspace, IBM i ve benzeri bağlı sistemlere otomatik yansıtılır. Tek kimlik, tek parola, tek politika — yönetilebilir bir kimlik altyapısının temel formülü budur.

Bu sadeleşmenin güvenlik etkisi de doğrudandır: kullanıcı hatırlaması gereken parola sayısı azaldıkça, parolaları yazıya dökme, tarayıcıda güvensiz biçimde saklama ve uygulamalar arasında aynı zayıf parolayı tekrarlama alışkanlıkları da azalır. Parola yorgunluğu bir kullanıcı deneyimi sorunu gibi görünse de, gerçekte bir saldırı yüzeyidir.

Devreye Alma: Başarılı Bir Self Servis Projesinin Adımları

Self servis parola yönetimi teknik olarak hızlı kurulan bir çözümdür; projenin asıl başarı ölçütü kullanıcı benimsemesidir. Kayıt oranı düşük kalırsa çağrılar yardım masasına dönmeye devam eder.

Sahada işleyen yaklaşım kademelidir: önce BT ekibinin kendisi ve gönüllü bir pilot departmanla başlanır, kayıt akışı ve MFA politikaları bu grupta rafine edilir. Ardından kayıt kampanyası kurum geneline yayılır: duyuru e-postaları, oturum açılışında yönlendirme ve belirli bir tarihten sonra kaydın zorunlu tutulması, benimseme oranını hızla yükseltir. Yardım masası tarafında da süreç güncellenir: parola çağrısı gelen kullanıcı, sıfırlama yapılarak değil self servis kanalına yönlendirilerek karşılanır.

Uyumluluk tarafında da kazanım vardır: tüm sıfırlama, kilit açma ve MFA olayları zaman damgalı denetim kaydına işlenir. "Bu parolayı kim, ne zaman, hangi doğrulamayla değiştirdi" sorusu, KVKK ve iç denetim süreçlerinde raporla yanıtlanabilir hale gelir.

Sıkça Sorulan Sorular

Kullanıcılar sisteme nasıl kaydolur?

Kullanıcılar web portalı üzerinden bir kez kaydolarak doğrulama faktörlerini (kimlik doğrulama uygulaması, e-posta/SMS kodu, güvenlik soruları) tanımlar. Kayıt zorunlu tutulabilir; tamamlamayan kullanıcılar otomatik hatırlatmalarla, gerekirse oturum açılışında yönlendirme ile kayda teşvik edilir.

Windows oturum açma ekranından parola sıfırlanabilir mi?

Evet. ADSelfService Plus'ın oturum açma ajanı, Windows giriş ekranına "Reset Password / Unlock Account" bağlantısı ekler. Kullanıcı, parolasını bilmediği için oturum açamadığı anda bile MFA doğrulamasıyla parolasını sıfırlayabilir. macOS ve Linux oturum ekranları için de destek mevcuttur.

Hangi MFA yöntemleri destekleniyor?

Google Authenticator ve Microsoft Authenticator gibi TOTP uygulamaları, YubiKey donanım anahtarları, biyometrik doğrulama, e-posta/SMS tek kullanımlık kodları ve RADIUS entegrasyonları dahil geniş bir faktör yelpazesi sunulur. Faktör zorunlulukları kullanıcı grubu ve erişim bağlamına göre politikayla belirlenir.

ADSelfService Plus yalnızca Active Directory ile mi çalışır?

Merkezinde Active Directory bulunur ancak kapsamı hibrittir: parola senkronizasyonu ve SSO ile Microsoft Entra ID, Google Workspace ve SAML destekli bulut uygulamaları da aynı kimlik akışına dahil edilir. Böylece şirket içi ve bulut kimlikleri tek noktadan yönetilir.

Sonuç

Parola sıfırlama çağrıları, otomasyona en uygun BT süreçlerinin başında geliyor: tekrarlayan, kurallı ve kimlik doğrulamaya dayalı. ManageEngine ADSelfService Plus bu süreci kullanıcıya devrederken güvenliği MFA ile yükseltiyor; SSO ve parola senkronizasyonuyla da kimlik yönetimini sadeleştiriyor.

Technodus olarak ADSelfService Plus'ın konumlandırılması, MFA politikalarının tasarımı ve mevcut Active Directory altyapınızla entegrasyonu konusunda uçtan uca destek veriyoruz. Kimlik ve parola yönetimi ihtiyacınızı birlikte değerlendirmek için bizimle iletişime geçebilirsiniz; ManageEngine portföyünün tamamı için çözüm sayfamızı inceleyebilirsiniz.

lightbulb İlgili Çözüm

Bu konuda Technodus'un sunduğu çözümü inceleyin: ManageEngine Türkiye Çözümleri.

ManageEngine Türkiye Çözümleri arrow_forward