Kullanıcı onay ekranına giriş
Kullanıcı onay ekranı nedir ve nasıl çalışır? Bu makale, kullanıcı onay ekranının arkasındaki temel fikirleri açıklar ve nasıl kullanılması gerektiğini anlatır.
Developer
Kullanıcı onay ekranı nedir?
Google hesabınızı kullanarak yeni bir sosyal uygulamaya kayıt olduğunuzu hayal edin. "Google ile Giriş Yap" düğmesine tıklarsınız ve giriş sürecini tamamlamak için Google’a yönlendirilirsiniz. Google ile başarılı bir şekilde kimlik doğruladıktan sonra, bu uygulamanın Google hesabınızın profil bilgilerine erişim izni vermenizi isteyen bir sayfaya yönlendirilirsiniz. Şöyle bir şey:
Bu sayfa, onay sayfası veya onay ekranı olarak adlandırdığımız şeydir. Uygulamalar veya web siteleri tarafından kullanıcı kaydı sırasında gösterilen bir kullanıcı arayüzü öğesidir. Temel amacı, kullanıcıları kişisel verilerinin toplanması, işlenmesi ve kullanımı hakkında bilgilendirmek ve bu faaliyetler için açık bir şekilde onaylarını veya izinlerini istemektir.
Bir onay sayfasında, kullanıcılara genellikle hangi tür verilerin toplanacağı, verilerin nasıl kullanılacağı ve üçüncü taraflarla paylaşılıp paylaşılmayacağı hakkında bilgi verilir. Bu bilgiler, kullanıcıların gizlilikleri ve veri güvenlikleri hakkında bilinçli kararlar alabilmelerini sağlayarak şeffaflık için önemlidir.
Onay sayfaları, özellikle Avrupa Birliği'ndeki Genel Veri Koruma Yönetmeliği (GDPR) veya ABD'deki Kaliforniya Tüketici Gizliliği Yasası (CCPA) gibi gizlilik düzenlemeleri bağlamında önemlidir, çünkü bu düzenlemeler, kuruluşların kullanıcıların kişisel bilgilerini işlemeye başlamadan önce kullanıcılardan açık ve belirgin bir onay almalarını gerektirir.
Ne zaman bir onay ekranına ihtiyaç duyarız?
Bu soruya cevap vermeden önce, kullanıcı kimlik doğrulama ile ilgili bazı temel kavramları anlamamız gerekiyor.
Kimlik Sağlayıcı (IdP) ve Hizmet Sağlayıcı (SP)
Yukarıda belirtildiği gibi, onay ekranının ana amacı, kullanıcılara kişisel verilerinin toplanması, işlenmesi ve kullanımı hakkında bilgi vermek ve bu faaliyetler için açık bir şekilde onaylarını veya izinlerini istemektir. Dolayısıyla, başka bir tarafa ait olan, Google gibi, kişisel verileri topladığımızda, işlediğimizde veya kullandığımızda bir onay ekranına ihtiyaç duyarız.
Kullanıcı kimlik doğrulaması bağlamında, kullanıcı verilerine sahip olan tarafı Kimlik Sağlayıcı (IdP) olarak adlandırırız. Kullanıcı verilerine erişim talebinde bulunan uygulamaya ise Hizmet Sağlayıcı (SP) denir. Yukarıdaki örnekte, Google IdP ve sosyal uygulama SP'dir.
IdP, kullanıcıyı kimlik doğrulaması yapmaktan ve kullanıcının profil bilgilerini SP'ye sağlamaktan sorumludur. SP, hizmetlerini sağlamak için kullanıcının profil bilgilerine ihtiyaç duyan taraftır.
Tek oturum açma (SSO)
Yukarıdaki örnekte, sosyal uygulama Google'ı IdP olarak kullanıyor. Bu, sektörde yaygın bir senaryodur. Pek çok uygulama Google, Facebook veya diğer üçüncü taraf hizmetleri IdP olarak kullanır. Buna Tek Oturum Açma (SSO) denir. SSO, birbirleriyle ilişkili, ancak bağımsız olan birçok yazılım sisteminin erişim kontrolü özelliğidir. Bu özellik ile kullanıcı, bir veya birden fazla ilişkili uygulamaya tek bir kimlik ve şifre ile giriş yapar. Daha fazla detay için CIAM 101: Kimlik Doğrulama, Kimlik, SSO adresine başvurabilirsiniz.
Birinci taraf ve Üçüncü taraf IdP
Birinci taraf IdP, SP ile aynı organizasyona ait olan bir IdP'dir. SP, IdP ile aynı alan adına bile sahip olabilir. Yani SP, aynı organizasyona ait olan kullanıcı verilerine erişim talep eder. Örneğin, Google Workspace kullanıyorsanız, Google sizin birinci taraf IdP'nizdir.
Öte yandan, üçüncü taraf IdP, SP'den farklı bir organizasyona ait olan bir IdP'dir. SP, kendisine ait olmayan kullanıcı verilerine erişim talep eder. Örneğin, Google'ı IdP olarak kullanıyorsanız ve yukarıdaki örnekteki gibi bir sosyal uygulamaya giriş yapıyorsanız, Google sosyal uygulama için üçüncü taraf IdP'dir.
%3btext-align:center%3b%7d%23mermaid-0 .edgeLabel p%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 .edgeLabel rect%7bopacity:0.5%3bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bfill:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 .labelBkg%7bbackground-color:rgba(232%2c 232%2c 232%2c 0.5)%3b%7d%23mermaid-0 .cluster rect%7bfill:%23ffffde%3bstroke:%23aaaa33%3bstroke-width:1px%3b%7d%23mermaid-0 .cluster text%7bfill:%23333%3b%7d%23mermaid-0 .cluster span%7bcolor:%23333%3b%7d%23mermaid-0 div.mermaidTooltip%7bposition:absolute%3btext-align:center%3bmax-width:200px%3bpadding:2px%3bfont-family:arial%2csans-serif%3bfont-size:12px%3bbackground:hsl(80%2c 100%25%2c 96.2745098039%25)%3bborder:1px solid %23aaaa33%3bborder-radius:2px%3bpointer-events:none%3bz-index:100%3b%7d%23mermaid-0 .flowchartTitleText%7btext-anchor:middle%3bfont-size:18px%3bfill:%23333%3b%7d%23mermaid-0 rect.text%7bfill:none%3bstroke-width:0%3b%7d%23mermaid-0 .icon-shape%2c%23mermaid-0 .image-shape%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3btext-align:center%3b%7d%23mermaid-0 .icon-shape p%2c%23mermaid-0 .image-shape p%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bpadding:2px%3b%7d%23mermaid-0 .icon-shape rect%2c%23mermaid-0 .image-shape rect%7bopacity:0.5%3bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bfill:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 :root%7b--mermaid-font-family:arial%2csans-serif%3b%7d%3c/style%3e%3cg%3e%3cmarker orient='auto' markerHeight='8' markerWidth='8' markerUnits='userSpaceOnUse' refY='5' refX='5' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-pointEnd'%3e%3cpath style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 0 0 L 10 5 L 0 10 z'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='8' markerWidth='8' markerUnits='userSpaceOnUse' refY='5' refX='4.5' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-pointStart'%3e%3cpath style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 0 5 L 10 10 L 10 0 z'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5' refX='11' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-circleEnd'%3e%3ccircle style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' r='5' cy='5' cx='5'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5' refX='-1' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-circleStart'%3e%3ccircle style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' r='5' cy='5' cx='5'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5.2' refX='12' viewBox='0 0 11 11' class='marker cross flowchart-v2' id='mermaid-0_flowchart-v2-crossEnd'%3e%3cpath style='stroke-width: 2%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 1%2c1 l 9%2c9 M 10%2c1 l -9%2c9'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5.2' refX='-1' viewBox='0 0 11 11' class='marker cross flowchart-v2' id='mermaid-0_flowchart-v2-crossStart'%3e%3cpath style='stroke-width: 2%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 1%2c1 l 9%2c9 M 10%2c1 l -9%2c9'/%3e%3c/marker%3e%3cg class='root'%3e%3cg class='clusters'%3e%3cg data-look='classic' id='subGraph1' class='cluster'%3e%3crect height='178' width='201.58203125' y='8' x='8' style=''/%3e%3cg transform='translate(55.869140625%2c 8)' class='cluster-label'%3e%3cforeignObject height='24' width='105.84375'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eOrganization B%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg data-look='classic' id='subGraph0' class='cluster'%3e%3crect height='178' width='200.69140625' y='8' x='229.58203125' style=''/%3e%3cg transform='translate(277.451171875%2c 8)' class='cluster-label'%3e%3cforeignObject height='24' width='104.953125'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eOrganization A%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3c/g%3e%3cg class='edgePaths'%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_IdPA_SPA_0' d='M330.144%2c72.5L330.997%2c76.583C331.85%2c80.667%2c333.556%2c88.833%2c334.479%2c96.5C335.402%2c104.167%2c335.543%2c111.334%2c335.613%2c114.917L335.683%2c118.501'/%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_IdPB_SPB_1' d='M109.575%2c72.5L108.555%2c76.583C107.536%2c80.667%2c105.496%2c88.833%2c104.547%2c96.5C103.598%2c104.167%2c103.738%2c111.334%2c103.808%2c114.917L103.879%2c118.501'/%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-dotted edge-thickness-normal edge-pattern-solid flowchart-link' id='L_IdPA_SPB_2' d='M309.18%2c72.5L305.554%2c76.583C301.927%2c80.667%2c294.675%2c88.833%2c270.008%2c98.107C245.341%2c107.38%2c203.26%2c117.76%2c182.219%2c122.95L161.179%2c128.14'/%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-dotted edge-thickness-normal edge-pattern-solid flowchart-link' id='L_IdPB_SPA_3' d='M130.636%2c72.5L134.117%2c76.583C137.597%2c80.667%2c144.558%2c88.833%2c169.276%2c98.121C193.994%2c107.409%2c236.468%2c117.819%2c257.706%2c123.023L278.943%2c128.228'/%3e%3c/g%3e%3cg class='edgeLabels'%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3c/g%3e%3cg class='nodes'%3e%3cg transform='translate(325.26171875%2c 52.5)' id='flowchart-IdPA-0' class='node default'%3e%3cpolygon transform='translate(-60.6796875%2c19.5)' class='label-container' points='9.75%2c0 111.609375%2c0 121.359375%2c-19.5 111.609375%2c-39 9.75%2c-39 0%2c-19.5'/%3e%3cg transform='translate(-43.4296875%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='86.859375'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eIdP Servis A%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(335.26171875%2c 141.5)' id='flowchart-SPA-1' class='node default'%3e%3cpolygon transform='translate(-59.34375%2c19.5)' class='label-container' points='9.75%2c0 108.9375%2c0 118.6875%2c-19.5 108.9375%2c-39 9.75%2c-39 0%2c-19.5'/%3e%3cg transform='translate(-42.09375%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='84.1875'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eSP Servis A%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(113.45703125%2c 52.5)' id='flowchart-IdPB-4' class='node default'%3e%3cpolygon transform='translate(-61.125%2c19.5)' class='label-container' points='9.75%2c0 112.5%2c0 122.25%2c-19.5 112.5%2c-39 9.75%2c-39 0%2c-19.5'/%3e%3cg transform='translate(-43.875%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='87.75'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eIdP Servis B%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(103.45703125%2c 141.5)' id='flowchart-SPB-5' class='node default'%3e%3cpolygon transform='translate(-59.7890625%2c19.5)' class='label-container' points='9.75%2c0 109.828125%2c0 119.578125%2c-19.5 109.828125%2c-39 9.75%2c-39 0%2c-19.5'/%3e%3cg transform='translate(-42.5390625%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='85.078125'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eSP Servis B%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/svg%3e)
Kullanıcı onayı
Bir kullanıcı bir uygulamaya giriş yaptığında, hangi verilerin toplandığı ve nasıl kullanılacağı konusunda kullanıcının bilgilendirilmesi önemlidir.
Birinci taraf IdP için, bu tür bilgiler genellikle organizasyonun gizlilik politikası ve hizmet şartlarında yer alır. Kullanıcı, hizmete kaydolmadan önce genellikle gizlilik politikası ve hizmet şartlarını kabul etmek zorundadır. Bu nedenle, kullanıcı zaten hangi verilerin toplandığının ve nasıl kullanılacağının farkındadır. Bu durumda, kullanıcı onayı düşünülür.
Ancak, IdP'nin sahip olduğu veriler üzerinde sıkı bir kontrol sağlaması önemlidir. IdP, kullanıcıların açık onayı olmadan herhangi bir üçüncü taraf SP'ye kullanıcı verilerine erişim izni vermemelidir. Üçüncü taraf bir SP tarafından herhangi bir veri erişimi, bir veri paylaşım aktivitesi olarak kabul edilir. Kullanıcı, bu veri paylaşım aktivitesi hakkında bilgilendirilmelidir ve açıkça onay vermelidir.
Bu nedenle, üçüncü taraf IdP için kullanıcı onayı her zaman gereklidir. Bu yüzden tüm büyük IdP'ler, Google, Facebook ve Microsoft gibi, SP'nin kullanıcıya, kullanıcı SP'ye giriş yapmadan önce bir onay ekranı göstermesini gerektirir.
Google'ın bir OAuth istemcisi oluşturmayı denediğinizde, ayrıntılı bir onay ekranı yapılandırması sağlamanız istenir.
Bu, kullanıcının veri paylaşım aktivitesi hakkında bilgilendirildiğinden ve açıkça onay verdiğinden emin olmanızı sağlar.
Onay ekranında hangi bilgiler yer almalıdır?
Onay ekranının kullanıcının bilinçli bir karar verebilmesi için yeterli bilgiyi sağlaması önemlidir. Ancak bunlarla sınırlı olmamak üzere:
- Hangi taraf (SP) kullanıcı verilerine erişim talep ediyor?
- Mevcut kullanıcının kimliği nedir?
- Hangi kullanıcı verileri toplanıyor?
- Kullanıcı verileri nasıl kullanılacak?
- Hangi ek IdP sağlanan hizmetler veya API’lar kullanılacak?
- SP'ye hangi ek izinler verilecek?
- SP'nin gizlilik politikası nedir?
Yukarıdaki tüm bilgiler, onay ekranında açıkça ve net bir şekilde yer almalıdır. Kullanıcı, herhangi bir belirsizliğe yer bırakmadan bilgiyi anlayabilmelidir. Toplanan kullanıcı verileri ve nasıl kullanılacağı özellikle önemlidir.
IdP'nin sorumluluğu, kullanıcı verilerinin yalnızca kullanıcının onay verdiği amaç için kullanılmasını sağlamaktır. IdP, SP'nin, kullanıcının açık onayı olmadan, kullanıcı verilerini başka bir amaç için kullanmasına izin vermemelidir.
Sonuç
Özetle, bir onay sayfası, kullanıcıların verilerinin işlenmesiyle ilgili açık izinlerini almak, şeffaflığı teşvik etmek ve gizlilik yasalarına uyumu sağlamak için bir mekanizma olarak hizmet eder. Şu anda tüm büyük IdP’ler tarafından üçüncü taraf SP’ler için gerekli olan bir özelliktir ve kullanıcı gizliliğinin ve veri güvenliğinin korunmasında önemli bir rol oynar. Özellikle üçüncü taraf IdP hizmeti sağlıyorsanız.