Tek oturum açma (SSO) neden daha iyi

Tek oturum açma (SSO), kullanıcıların bir kez kimlik doğrulaması yaparak birden fazla uygulamaya erişebilmesini sağlayan bir teknolojidir. Eğer sadece bir uygulamanız varsa, bu abartılı gelebilir. Ancak, baştan itibaren SSO kullanmaya başlamak ileride birçok sorunu önleyebilir ve SSO uygulamak düşündüğünüzden daha kolaydır.

Başlamadan önce, iki tür SSO olduğuna dikkat etmeliyiz:

• İlk tür, aynı kullanıcı veritabanını paylaşan birden fazla uygulamanızın olduğu türdür. Bu makalede tartışacağımız SSO türü budur.
• İkinci tür, müşterinizin merkezi bir kimlik sağlayıcısı (IdP) var ve sizin onunla entegre olmanız gerektiği durumdur. Bu makalenin kapsamı dışındadır.

Neden SSO?#

Kimlik doğrulama modelini basitleştirin#

SSO'nun en bariz faydası, kimlik doğrulama modelini basitleştirmesidir. Bir çevrimiçi mağaza ile başladığınızı düşünün, başlangıçta kimlik doğrulama modeli basittir:

İşletmeniz büyüdüğünde, mağaza sahiplerinin mağazalarını yönetmesine olanak tanıyan bir mağaza yönetim uygulaması eklemeye karar verirsiniz. Artık kullanıcıları kimlik doğrulamaya ihtiyaç duyan iki uygulamanız var.

İşte bazı seçenekleriniz:

1. Mağaza yönetim uygulaması için ayrı bir kullanıcı veritabanı oluşturabilirsiniz.

Bu en basit çözümdür, ancak mağaza yönetim uygulaması için kimlik doğrulama sürecini uygulamanız ve kullanıcıların uygulamayı kullanmak için yeni bir hesap oluşturmaları gerektiği anlamına gelir.

2. Her iki uygulama için aynı kullanıcı veritabanını kullanabilirsiniz.

Bu, daha iyi bir çözümdür çünkü kullanıcıların yeni bir hesap oluşturmalarına gerek yoktur. Ancak, yine de mağaza yönetim uygulaması için kimlik doğrulama sürecini uygulamanız gerekir.

3. SSO kullanabilirsiniz.

Bu şimdiye kadarki en iyi çözümdür. Başka bir kimlik doğrulama süreci uygulamanıza gerek kalmaz ve kullanıcıların mağaza yönetim uygulaması için yeni bir hesap oluşturmalarına gerek kalmaz. Dahası, kimlik doğrulama modelini veya kullanıcı deneyimini değiştirmeden daha fazla uygulama ve giriş yöntemi ekleyebilirsiniz.

Kullanıcı deneyimini iyileştirin#

SSO, kullanıcı deneyimini iki şekilde iyileştirir:

• Kullanıcılar, birden fazla uygulamada aynı hesabı paylaşabilir.
• Kullanıcılar bir uygulamada oturum açtıktan sonra, aynı cihazda diğer uygulamalarda tekrar oturum açmalarına gerek yoktur.

Burada bazı endişeler ortaya çıkabilir, ancak hepsi çözülebilir.

1. Uygulamaları nasıl ayırt edebilirim?

Tek oturum açma, tüm uygulamaları aynı şekilde ele aldığımız anlamına gelmez. İyi bilinen bir açık standart olan OpenID Connect 'te, her uygulama bir müşteri olarak adlandırılır ve kimlik doğrulama akışları, müşteri türüne bağlı olarak farklılık gösterir. Son kullanıcıların bu farkı bilmeleri gerekmezken, kimlik doğrulama sunucusunun kimlik doğrulama akışını belirlemesi için müşteri türü önemlidir.

2. Kullanıcılar aynı hesabı paylaşmak istemiyorsa ne olur?

Bu geçerli bir endişedir ancak SSO ile ilgili bir sorun değildir. Kullanıcılar aynı hesabı paylaşmak istemiyorsa, yeni uygulama için yeni bir hesap oluşturabilirler. Anahtar, kullanıcılara seçim yapma seçeneği sunmaktır.

3. Belirli uygulamalara erişimi kısıtlamam gerekirse ne olur?

Aslında, SSO kimlik doğrulama için bir tekniktir, erişim kontrolü ise yetkilendirme içindir. SSO, erişim kontrolünden ayrılabilir. Örneğin, SSO'yu kullanarak kullanıcıları kimlik doğrulayabilir, ardından role-based access control (RBAC) ile belirli uygulamalara veya kaynaklara erişimi kısıtlamak için kullanabilirsiniz.

Kimlik doğrulama ve yetkilendirme hakkında daha fazla bilgi edinmek için CIAM 101: Authentication, Identity, SSO 'ya göz atın.

4. SSO, kullanıcıları kimlik doğrulama sunucusuna yönlendirmeyi gerektirir.

Yönlendirme, kimlik doğrulama için standart bir uygulamadır. Kullanıcı deneyimini göz önünde bulundurarak, sürtüşmeyi azaltmak için birçok teknikten yararlanabiliriz:

• Kimlik doğrulama sıklığını azaltmak için yenileme jetonlarını kullanın.
• Tıklama sayısını azaltmak için Google veya Facebook gibi belirli bir giriş yöntemiyle kimlik doğrulama sürecini başlatın.
• Kimlik doğrulama sürecini hızlandırmak için sessiz kimlik doğrulama kullanın.

Güvenliği artırın#

1. Güvenlikle ilgili tüm işlemler için merkezi bir yer

SSO, tüm güvenlikle ilgili işlemleri merkezi bir yerde yönetmenizi sağlar. Örneğin, önceki bölümde bahsettiğimiz gibi, SSO hala uygulamaları ayırt edebilir ve her uygulama için platforma özgü kimlik doğrulama akışlarını uygulayabilir. SSO olmadan, uygulama türüne göre çeşitli kimlik doğrulama akışlarını uygulamanız gerekir.

Ayrıca, çok faktörlü kimlik doğrulama (MFA) gibi gelişmiş güvenlik özellikleri, kimlik doğrulama modelini karıştırmadan SSO ile daha kolay uygulanır.

2. Azaltılmış saldırı yüzeyi

Teorik olarak, SSO saldırı yüzeyini azaltır çünkü birden fazla uygulamadan ziyade sadece bir kimlik doğrulama sunucusunu güvence altına almanız gerekir. Merkezi yaklaşım ayrıca şüpheli etkinlikleri izlemeyi ve tespit etmeyi kolaylaştırır.

3. Savaşta test edilmiş standartlar ve protokoller

OpenID Connect ve OAuth 2.0 gibi açık standartlar ve protokoller, sektörde yaygın olarak kullanılmakta ve yıllardır savaşta test edilmiştir. Her ikisi de SSO kavramıyla uyumludur ve çoğu kimlik sağlayıcısı (IdP) tarafından desteklenir. Bu standartları SSO ile birleştirerek güvenli ve güvenilir bir kimlik doğrulama sistemine sahip olabilirsiniz.

Tamam, SSO'yu uygulayalım#

SSO'yu uygulamak büyük ve karmaşık olabilir, dikkate alınması gereken birçok şey vardır, örneğin:

• Standartlar ve protokollerle uyumluluk
• Farklı müşteri türleri için kimlik doğrulama akışları
• Birden fazla giriş yöntemi
• MFA gibi güvenlik özellikleri
• Kullanıcı deneyimi
• Erişim kontrolü

Bu konuların her biri ayrı bir makale olabilir ve bunaltıcı olabilir. Basitlik uğruna, kutudan çıkar çıkmaz SSO sağlayan yönetilen bir hizmetle başlamak daha iyidir. Ürünümüz Logto böyle bir hizmettir ve uygulamanıza entegre etmeniz sadece birkaç dakikanızı alır.

Yönetilen bir hizmet kullanmanın en yaygın endişelerinden biri tedarikçi bağımlılığıdır. Neyse ki, bu Logto ile bir sorun değildir. Logto, OpenID Connect ve OAuth 2.0 üzerine inşa edilmiştir ve açık kaynak olarak doğmuştur. Müşterilerimize güvence sağlamayı önceliklendiriyoruz ve size seçim özgürlüğü ile güçlendirmeyi amaçlıyoruz.