Türkçe
  • hizmet sağlayıcı
  • sso
  • b2b
  • kimlik
  • auth
  • kimlik doğrulama
  • tek oturum açma

B2B uygulamaları için SP başlatmalı SSO'yu öğrenin

Hizmet sağlayıcı başlatmalı (SP başlatmalı) tek oturum açma (SSO) nedir ve işletmeden işletmeye (B2B) ürününüze nasıl yardımcı olabileceğini öğrenin.

Ran
Ran
Product & Design

Kimlik modelleri söz konusu olduğunda, B2B ürünleri kendi ligindedir. Hem çok kiracılığın karmaşıklıklarını yönetmeleri hem de geniş bir hizmet ve uygulama yelpazesinde çalışan kimliği ve erişim yönetiminin birleştirilmesi talebini karşılamaları gerekir. Logto da müşteri talepleriyle karşılaştı. Bu makalede, SP başlatmalı SSO'yu anlamak ve müşterilerinizin ihtiyaçlarını nasıl karşıladığını görmek için ürün odaklı bir yaklaşım benimseyeceğiz.

Kavram

Başlamadan önce anlamanız gereken bazı temel unsurları tanıtalım:

  • Hizmet sağlayıcı (SP): Tek bir kimlik sistemi paylaşan bir veya birden fazla uygulama olabilecek uygulamalarınız veya hizmetleriniz.
  • Kurumsal kimlik sağlayıcı (IdP): Kurumsal müşterilerinizin çalışan kimliklerini ve uygulama izinlerini yönetmek için güvendiği kimlik sağlayıcı. Okta, Azure AD, Google Workspace veya özel olarak oluşturulmuş IdP'ler gibi farklı sağlayıcılar kullanabilirler.
  • Hizmet sağlayıcının organizasyonu (SP Org): B2B uygulamaları genellikle farklı müşteri organizasyonları için çok kiracılılığı destekler.
  • Kimlik sağlayıcının organizasyonu (IdP Org): IdP'ler de farklı müşteri organizasyonları için çok kiracılılığı destekler. İdeal olarak, bir kurumsal şirketin, çalışan kimliklerini replik ederken IdP Org'sini bir SP Org'ye bağlayabilmesi gerekir, ancak gerçeklik daha karmaşık olabilir.
  • Kurumsal kullanıcı hesabı: Genellikle giriş için bir şirket e-posta alanı kullanılarak tanımlanır. Bu kurumsal e-posta hesabı nihayetinde şirkete aittir.

Daha sonra SSO ve iki ana protokole dalalım:

  • Tek oturum açma (SSO): SSO, kullanıcıların tek bir kimlik bilgisiyle birden çok hizmet veya uygulamaya erişmesini sağlar. Erişim yönetimini basitleştirir ve güvenliği artırır.
  • SAML ve OIDC protokolleri: SSO, her biri kendi avantaj ve dezavantajlarına sahip olan, kimlik doğrulama ve yetkilendirme için bu protokollere dayanır.

Dikkate almanız gereken iki ana SSO tetikleme mekanizması vardır:

  • IdP başlatmalı SSO: IdP başlatmalı SSO'da, Kimlik Sağlayıcı (IdP), tek oturum açma sürecini kontrol eder. Kullanıcılar, kimlik doğrulamaya IdP'nin arayüzünden başlar.
  • SP başlatmalı SSO: SP başlatmalı SSO'da, Hizmet Sağlayıcı (SP), tek oturum açma sürecini başlatma ve yönetme konusunda öncüdür; B2B senaryolarında genellikle tercih edilir.

Şimdi, SP başlatmalı SSO'yu detaylı inceleyelim.

Yüzey seviyesi: kullanıcı deneyimi

Belirli sosyal IdP oturum açma butonları sunabilen B2C ürünlerinin aksine, B2B ürünleri her müşterinin kullandığı belirli Kurumsal IdP'yi dikte edemez. Bu nedenle, kullanıcıların önce kimliklerini beyan etmeleri gerekir. SSO için etkinleştirilmiş bir şirket üyesi olduklarını onayladıktan sonra, giriş yapmak için ilgili Kurumsal IdP'ye yönlendirilirler.

Bunu başarmak için oturum açma sayfasında, kullanıcının SSO yoluyla giriş yapması gerekip gerekmediğini ve hangi IdP'ye yönlendirilmesi gerektiğini belirlemeniz gerekir. Yaygın yöntemler şunlardır:

  1. E-posta alanı eşleme: Bir e-posta alanını belirli bir IdP bağlayıcısıyla ilişkilendirin. Bu, o alan altındaki e-posta adreslerine sahip kullanıcıları etkiler. Kötü niyetli yapılandırmaları önlemek için alan sahipliğini doğruladığınızdan emin olun.
  2. Organizasyon adı eşleme: Bir kuruluşun adını bir IdP bağlayıcısıyla ilişkilendirerek, kullanıcıların kuruluşlarının adını hatırlamalarına güvendirin.
  3. Kullanıcı kişisel e-posta eşleme: Bu, kullanıcı hesabının SSO için etkin olup olmadığını doğrudan belirlemenize olanak tanır, E-posta alanlarına veya Org isimlerine bağlı kalmadan. Kullanıcıları manuel olarak davet ederek, gerekli SSO kurallarını özelleştirerek veya dizin eşitleme yoluyla hesaplarını otomatik olarak senkronize ederek bunu başarabilirsiniz.

Oturum açma ana sayfasının tasarımında, ürününüzün işine bağlı olarak iki form tipik olarak seçilebilir:

  1. B2B ürünleri: SSO kullanması gereken kurumsal müşteri üyeleriniz için doğrudan SSO düğmelerini görsel olarak tavsiye ederiz.
  2. Hem B2C hem de B2B ile uyumlu ürünler: Çoğu kullanıcı SSO kullanmayacağından, SSO gerekip gerekmediğini belirlemek için e-posta alanlarını değerlendirin. Kimlik doğrulamasını sunmayı geciktirin, kullanıcı kimliği doğrulandıktan sonra göstermeyin ve başlangıçta güvenlik bilgilerini gizleyin.

Altındaki karmaşıklık: kullanıcı kimlik modeli

Ancak, kimlik sisteminize SSO'yu bütünleştirmek, sadece oturum açma sayfasına bir SSO düğmesi eklemekten çok daha fazla karmaşıklık içerir. Çok daha fazla faktör düşünmeniz gerekir.

Anahtar öğeler arasındaki ilişkiler nadiren bire bir'dir; bire çok ve hatta çoktan çoka senaryolarını düşünmeniz gerekir. Bu varyasyonları kademeli olarak keşfetmek için:

  • Birden çok e-posta alanıyla bir IdP Org: Kullanıcı kimliğini belirlemek için e-posta alanlarına güveniyorsanız, birden çok alan bağlamalarını desteklemeniz gerekir.
  • Bir e-posta alanının birden fazla IdP Org'ye karşılık gelmesi: Bir alanın birden çok IdP Org'ye ait olabileceği durumlarda, kullanıcıların tek oturum açma için istedikleri IdP'yi seçmeleri gerekir.
  • Birden çok SP Org ile bağlantılı bir IdP Org: Bir IdP'yi birden çok SP Org'ye hızlı bağlama yeteneği sunmayı düşünün.
  • Birden çok IdP Org ve SP Org'de bir kullanıcı hesabı: Farklı SP Org'ler, farklı IdP'lerden doğrulama gerektirebilir.

Bir kurumsal şirket içinde SSO'yu etkinleştirip devre dışı bırakmak, kullanıcıların kimlik doğrulama yöntemini değiştirebilir ve güvenli ve sorunsuz bir geçiş gerektirir.

  • SSO aktivasyonu için karar verme: SSO'nun yalnızca belirli kiracı SP Org'leri mi, yoksa tüm kiracı SP Org'lerini mi etkilediğine dair kararlar alınmalıdır. İlki esneklik sunar, ikincisi ise kurumsal çapta kimlik ve erişim kontrolü trendiyle uyumludur.
  • Geçiş dönemi dikkate alınması: Bir SP olarak, üçüncü taraf IdP hizmet belirsizliklerine uyum sağlamalısınız. Kurumsal yöneticiler her zaman uygulamanıza SSO veya kimlik bilgileriyle erişim seçeneğine ihtiyaç duyar ve kurumsal üyeler geçiş sırasında onlara ihtiyaç duyabilir.

Bu, çeşitli senaryoları ele almak için bazı noktalardır; keşfedilecek daha birçok yetenek ve ayrıntı vardır.

Sonuç

SP başlatmalı SSO hakkındaki bu analizimizin size kurumsal kimlik çözümleri için yeni bakış açıları sunduğunu umuyoruz. İyi haber şu ki, Logto, basit yapılandırma ve kullanıma hazır SSO kimlik doğrulama deneyimleri sunan çözümler geliştirmek için titizlikle çalışıyor. Yakında çıkacak olan yayınımızda, belirli SP başlatmalı SSO çözümlerini daha derinlemesine inceleyeceğiz.

Logto ile kimlik sisteminizi geliştirin