Türkçe
  • SAML
  • SSO
  • Kimlik Sağlayıcı

Geliştiriciler için SAML kimlik doğrulama entegrasyonunu basitleştirin

SAML'in ne olduğunu, SSO'nun nasıl uygulanacağını ve kimlik sağlayıcı (IdP) veya hizmet sağlayıcı (SP) olarak SAML kimlik doğrulamayı entegre etmenin hızlı adımlarını öğrenin.

Ran
Ran
Product & Design

Kullanıcı kimlik doğrulamasına haftalar harcamayı bırakın
Logto ile güvenli uygulamaları daha hızlı yayınlayın. Kullanıcı kimlik doğrulamasını dakikalar içinde entegre edin ve temel ürününüze odaklanın.
Başlayın
Product screenshot

Tek Oturum Açma (SSO), modern uygulamalar için anahtardır ve SAML, kurumsal kimlik sistemleri arasında güvenli, kullanıcı dostu kimlik doğrulama sağlar. Bu rehber, geliştiriciler ve tasarımcılar için SAML'i net adımlar ve pratik örneklerle basitleştirir; böylece uygulamanızı verimli şekilde hayata geçirebilirsiniz.

SAML kimlik doğrulama ve SAML uygulamaları nedir?

Güvenlik Bildirimi İşaretleme Dili (SAML) XML tabanlı bir standarttır ve kimlik doğrulama ile yetkilendirme verilerini iki önemli oyuncu arasında paylaşmak için kullanılır: Kimlik Sağlayıcı (IdP) ve Hizmet Sağlayıcı (SP). Kuruluşlarda yaygın bir Tek Oturum Açma (SSO) çözümüdür ve kurumsal kullanıcıların tek bir kez oturum açıp birden fazla uygulamaya erişmesini sağlar.

Kimlik Sağlayıcı (IdP) kullanıcı kimlik bilgilerini (kullanıcı adı ve şifre gibi) yönetip doğrulamaktan sorumludur. Bir kullanıcı korumalı bir hizmete erişmek istediğinde, IdP kullanıcının kimliğini doğrular ve bu onayı hizmete gönderir.

  • Örnek: Büyük bir şirkette çalıştığını ve çalışan hesaplarını yönetmek için Microsoft Azure AD kullandıklarını düşün. Salesforce'a giriş yapmak istediğinde Azure AD, IdP olarak hareket eder. Kimlik bilgilerini kontrol eder ve Salesforce'a bu hizmeti kullanmaya yetkili olduğunu bildirir.

Hizmet Sağlayıcı (SP) gerçek anlamda kullanıcıların erişmeye çalıştığı uygulama veya servistir. Kimlik doğrulama işini IdP'ye bırakır.

  • Örnek: Yukarıdaki senaryoya devam edersek, Salesforce SP'dir. Kimliğini doğrulamak için Microsoft Azure AD'ye (IdP) güvenir. Azure AD kim olduğuna kefil olduktan sonra, Salesforce seni içeri alır.

SAML uygulaması” denildiğinde genellikle SP kastedilir.

SAML protokolünü kullanarak, hizmetinizi IdP olarak kurabilir (Azure AD / Google Workspace gibi uygulama entegrasyonları için); ya da SP (Salesforce / Slack gibi) olarak kurabilir ve kullanıcılar için SSO sağlayabilirsiniz.

Bir SAML Bildirimi, SAML protokolünün kalbidir. Bu, IdP tarafından oluşturulan ve SP'ye gönderilen dijital bir "not"tur ve şöyle der: "Bu kullanıcının kimliğini doğruladım." Şimdi IdP ve SP için sürecin nasıl işlediğine değineceğiz.

SAML Kimlik Sağlayıcı olarak davranırken

Hizmetin IdP olarak çalıştığında, birden fazla uygulamada SAML kimlik doğrulamasına olanak tanırsın. Bu da kullanıcıların farklı hizmetlere tek bir kurumsal kimlik ile erişmesini sağlar.

as_saml_identity_provider_idp.png

Bir IdP için tipik SAML SSO iş akışı şöyledir:

  1. Kullanıcı, Salesforce gibi bir uygulamaya (SP) erişmeye çalışır.
  2. Uygulama, kullanıcıyı kimlik doğrulama için IdP'ne yönlendirir.
  3. Kullanıcı, IdP'nin giriş sayfasında kimlik bilgilerini girer.
  4. IdP kimlik bilgilerini kontrol eder.
  5. Kimlik bilgileri doğrulanırsa, IdP SAML bildirimi SP'ye gönderir.
  6. SP bildirimi işler, geçerliliğini doğrular ve kullanıcıya erişim izni verir.

SAML Hizmet Sağlayıcı olarak davranırken

Eğer hizmetin SP ise, kullanıcılarına SSO özelliği sunmak için çeşitli kimlik sağlayıcılarla entegre olman gerekir. Bu, farklı kurumlardan veya kiracılardan gelen kurumsal kullanıcıların uygulamana güvenli ve verimli biçimde erişmesini sağlar.

as_saml_service_provider_sp.png

SP başlatmalı SSO iş akışı:

  1. Kullanıcı, uygulamana giriş yapmaya çalışır.
  2. Uygulaman, bir SAML isteği oluşturup kullanıcıyı IdP'nin giriş sayfasına yönlendirir.
  3. Kullanıcı IdP'de oturum açar (veya zaten açık ise bu adımı atlar).
  4. IdP kullanıcının kimliğini doğrular, onayladıktan sonra kullanıcının bilgilerini SAML bildirimine ekler.
  5. IdP bildirimi tekrar uygulamana gönderir.
  6. Hizmetin bildirimi doğrular; geçerliyse kullanıcı uygulamana erişir.

SAML SSO'daki temel parametreler

Başarılı bir SAML SSO entegrasyonu için hem IdP'lerin hem de SP'lerin belirli parametreleri paylaşması gerekir. Temel öğelere bakalım:

IdP'den gelen parametreler

  1. IdP Varlık Kimliği (Entity ID): SAML iletişimlerinde IdP'yi benzersiz olarak tanımlayan kimlik.
  2. SSO URL: SP'nin kimlik doğruma için kullanıcıları yönlendirdiği oturum açma adresi.
  3. X.509 Sertifikası: SAML bildiriminin imzalanması için kullanılan açık anahtar. Bu da bildirimin güvenli ve kimliğinin doğrulanmış olmasını sağlar.

İpucu: Eğer IdP'nin SAML Metadata URL'i varsa, her şey kolaylaşır. Bu URL, gerekli tüm bilgileri (sertifikalar, SSO URL'leri ve IdP Entity ID gibi) içerir. Böylece manuel kopyala-yapıştır hatalarını ve sertifika dosyası güncellemelerini azaltır.

SP'den gelen parametreler

  1. SP Varlık Kimliği (Entity ID): Tıpkı IdP Entity ID gibi SP'yi benzersiz tanımlar.
  2. Doğrulama Tüketici Hizmeti (ACS) URL'si: IdP'den gelen SAML bildirimini alacak SP'nin adresi.
  3. RelayState (İsteğe bağlı): SAML işlemi sırasında veri aktarmak için kullanılır (örneğin, kullanıcının ilk ziyaret etmek istediği adres).

SAML öznitelik eşlemesi ve şifreleme

  1. NameID Formatı: Kullanıcıyı tanımlayan biçimi tanımlar (ör. e-posta adresi ya da kullanıcı adı).
  2. SAML Öznitelikleri: IdP'nin SP'ye gönderdiği fazladan kullanıcı bilgileri (ör. roller, e-posta, departman).
    • Örnek: IdP'nin imzaladığı SAML bildiriminde email ([email protected]), role (admin) ve department (engineering) öznitelikleri yer alıyor olsun. SP, role ile admin yetkisi atayabilir veya department ile kullanıcıyı uygun ekibe dahil edebilir. Bu kritik kullanıcı verilerinin elde edilebilmesi için IdP ve SP'nin öznitelik eşleme konusunda anlaşması gerekir. Mesela, IdP "department"ı "team" olarak tanımlayabilir, SP ise bunu "group" olarak bekleyebilir. Doğru eşleme, sorunsuz iletişim sağlar.
  3. Şifrelenmiş Bildirimler (İsteğe bağlı): Hassas kimlik doğrulama verisini korumak için SAML bildirimleri şifrelenebilir.
    • IdP'nin rolü: Bildirimi SP'nin açık anahtarıyla şifreler.
    • SP'nin rolü: Özel anahtarını kullanarak bildirimi çözümler ve kullanıcı ayrıntılarını okur.

Artık bir SAML bağlantısı kurmak için gereken bilgilere sahipsin. Salesforce (SP) ile Azure AD (IdP)'yi entegre etmek için adımlar:

  • Azure AD'den IdP Entity ID, SSO URL ve sertifikayı alıp Salesforce'a ekle.
  • Salesforce'un SP Entity ID ve ACS URL'sini Azure AD'ye ilet.

Logto, SAML entegrasyonunu kolaylaştırır

Logto, uygulamaların için SAML SSO desteğinde hem IdP hem de SP olarak çalışabilir.

Logto'yu SAML IdP olarak kullanma

Logto, diğer uygulamaların federasyonlu kimlik doğrulaması için kendisine güvenmesini sağlar ve çok faktörlü kimlik doğrulama (MFA) desteğiyle daha güçlü güvenlik sunar.

  1. Bir Logto Uygulaması Oluştur Logto Konsol > Uygulamalar'a giderek yeni bir SAML uygulaması oluştur.
  2. SAML Parametrelerini Yapılandır Uygulamanı, Hizmet Sağlayıcı'nın (SP) Doğrulama Tüketici Hizmeti URL'si ve SP Varlık Kimliği ile yapılandır.
  3. Metadata URL'si Sağla Logto, SP'lerin otomatik olarak gerekli bilgileri (SSO URL'leri, sertifikalar gibi) alabilmesi için bir IdP Metadata URL sağlar.
  4. Gelişmiş Yapılandırma (İsteğe bağlı)
    • Parmak izi ile yeni sertifikalar oluşturabilir ve geçerlilik tarihleri belirleyebilirsin; aynı anda yalnızca bir sertifika aktif olabilir.
    • Name ID formatını şirketine göre değiştirebilirsin.
    • SAML bildirimi şifrelemeyi etkinleştirmek için SP'nin x509 sertifikasını kopyala/yapıştır ile ekleyebilirsin.
  5. Öznitelik Eşleme (İsteğe bağlı) Kullanıcı özniteliklerinin Hizmet Sağlayıcılar ile nasıl paylaşılacağını kolayca özelleştir.

logto_saml_apps_saml_providers.png

Detaylı rehber için resmi dökümana bakabilirsin: SAML Uygulaması

Logto'yu SAML SP olarak kullanma

Logto, SAML veya OIDC protokolüyle tüm kurumsal IdP'lerle de entegre olur. Tek bir giriş sayfası için SP başlatmalı SSO açmak veya IdP başlatmalı SSO yapılandırmak istersen süreç basittir.

  1. Kurumsal bağlantı oluştur Logto Konsol > Kurumsal SSO'ya gidip yeni bir Kurumsal Bağlantı oluştur. Protokol olarak SAML'i seç.
  2. SAML parametrelerini yapılandır IdP'nden metadata URL veya metadata XML dosyası sağlayabilirsin. Metadata yoksa manuel yapılandırmaya geçip IdP Entity ID, SSO URL girebilir ve imzalama sertifikasını yükleyebilirsin.
  3. ACS URL ve SP Entity ID'sini paylaş Entegrasyonu tamamlamak için Logto'nun ACS URL ve SP Entity ID'sini IdP'ne ilet.
  4. Öznitelik eşlemesi (isteğe bağlı) E-posta veya ad gibi kullanıcı verilerini doğru iletmek için öznitelik eşlemelerini yapılandır.
  5. Kurumsal e-posta alanları ekle Kurumsal bağlantı için "SSO Deneyimi" sekmesinde bir veya daha fazla e-posta alanı ekle. Böylece sadece bu alanlara sahip kullanıcılar SSO ile giriş yapabilir.
  6. IdP başlatmalı SSO'yu etkinleştir (isteğe bağlı) Sadece kurumsal müşterilerin ihtiyaç duyarsa etkinleştir. Bu, kullanıcıların uygulamalarına doğrudan IdP paneli üzerinden giriş yapmasını sağlar.

logto-enterprise-saml-sso.png

Detaylı rehber için resmi dökümanı ziyaret et: Kurumsal SSO dökümantasyonu.

Son düşünceler

SAML, SSO için standart, güvenli bir yöntem sunar ve kimlik doğrulamayı kolaylaştırır. Logto, ister IdP ister SP olarak kurulsun, süreci basitleştirir. Kullanıcı dostu arayüzüyle ve hem bulut hem de açık kaynak sürümlerini desteklemesi sayesinde SAML entegrasyonunu karmaşıklıktan çıkarır. Sadece birkaç parametreyi yapılandırarak hizmetlerini herhangi bir SAML IdP veya SP'ye bağlayabilir ve kullanıcıların için harika deneyimler sunmaya odaklanabilirsin.