Tek Oturum Açma – Nasıl Çalışır ve Parolasız SSO Nedir?

Tek oturum açma (SSO), kullanıcıların tek bir oturum açmayla birden fazla uygulamaya veya web sitesine erişmesine olanak tanıyan bir kimlik doğrulama yöntemidir. SSO, kullanıcı deneyimini kolaylaştırır, güvenliği artırır ve BT maliyetlerini azaltır. Bu yazımızda SSO'nun nasıl çalıştığını, SSO'nun yararlarının ve zorluklarının neler olduğunu anlatacağız ve şifresiz SSO'nun ne olduğunu detaylandıracağız.

SSO nasıl çalışır?

SSO, kullanıcının kimliğini doğrulayan ve IdP'ye dayanan çeşitli hizmet sağlayıcılara (SP'ler) erişim izni veren merkezi bir kimlik sağlayıcı (IdP) kullanarak çalışır. IdP, Active Directory veya LDAP gibi dahili bir sistem veya Google veya Facebook gibi harici bir sistem olabilir. SP'ler web uygulamaları, bulut hizmetleri veya mobil uygulamalar olabilir.

SSO'nun temel adımları şunlardır:

1. Kullanıcı, web uygulaması gibi bir SP'ye erişim ister.
2. SP daha sonra kullanıcıyı kimlik doğrulama için IdP'ye yönlendirir.
3. Kullanıcı kimlik bilgilerini (kullanıcı adı ve şifre gibi) IdP'ye girer.
4. IdP, kullanıcının kimlik bilgilerini doğrular ve kullanıcının kimliğini ve niteliklerini içeren bir güvenlik belirteci oluşturur.
5. IdP, güvenlik belirtecini SP'ye geri gönderir.
6. SP, güvenlik belirtecini doğrular ve kullanıcıya uygulamaya erişim izni verir.

Kullanıcının bir dahaki sefere aynı IdP'yi kullanan başka bir SP'ye erişim isteğinde bulunması durumunda, kimlik bilgilerini tekrar girmesine gerek kalmaz. IdP, SP'ye otomatik olarak bir güvenlik belirteci gönderecek ve kullanıcı oturum açacaktır. Bu işleme tek oturum açma adı verilir.

SAML, OAuth, OpenID Connect, WS-Federation vb. gibi SSO'yu etkinleştiren farklı protokoller ve standartlar vardır. Bu protokoller, IdP ve SP'nin nasıl iletişim kurduğunu ve bilgi alışverişinde bulunduğunu tanımlar. Ayrıca güvenlik belirteçlerinin şifrelenmesi, imzalanması ve doğrulanması için mekanizmalar sağlarlar.

SSO'nun Faydaları

SSO kullanıcılara, yöneticilere ve kuruluşlara aşağıdakiler gibi birçok avantaj sunar:

• Gelişmiş kullanıcı deneyimi : SSO, kullanıcıların farklı uygulamalar için birden fazla şifreyi hatırlama ve girme ihtiyacını ortadan kaldırır.Kullanıcılar tüm uygulamalarına tek bir girişle erişebilir, bu da zamandan tasarruf sağlar ve hayal kırıklığını azaltır.
• İyileştirilmiş güvenlik : SSO, parola ihlalleri, kimlik avı saldırıları ve kimlik bilgileri hırsızlığı riskini azaltır.Kullanıcıların farklı uygulamalar için zayıf veya tekrar kullanılan şifreleri kullanmasına gerek kalmaz. Yöneticiler, IdP için güçlü parola politikaları ve çok faktörlü kimlik doğrulamayı zorunlu kılabilir. SSO ayrıca tüm uygulamalarda kullanıcı erişiminin ve etkinliğinin merkezi olarak kontrol edilmesini ve izlenmesini sağlar.
• Azalan BT maliyetleri : SSO, yardım masası çağrıları, parola sıfırlama, hesap kilitleme vb. gibi parola yönetimiyle ilişkili BT maliyetlerini azaltır. Yöneticiler, kullanıcı hesaplarını ve izinlerini tek bir kontrol panelinden yönetebilir.SSO ayrıca güvenlik ve gizlilik düzenlemelerine uyumu da kolaylaştırır.

SSO'nun Zorlukları

SSO ayrıca kullanıcılar, yöneticiler ve kuruluşlar için aşağıdaki gibi bazı zorluklar da doğurur:

• IdP'ye bağımlılık : SSO, IdP'nin kullanılabilirliğine ve performansına bağlıdır.IdP kapalıysa veya güvenliği ihlal edilmişse kullanıcılar hiçbir uygulamasına erişemeyebilir. Yöneticilerin IdP'nin güvenli, güvenilir ve ölçeklenebilir olduğundan emin olması gerekir.
• Entegrasyon karmaşıklığı : SSO, uyumlu protokoller ve standartlar kullanılarak IdP ile SP'ler arasında entegrasyon gerektirir.Bu, yapılandırma, bakım ve sorun giderme gibi teknik ve operasyonel zorlukları içerebilir.
• Kullanıcı eğitimi : SSO, kullanıcıların oturum açmanın ve hesaplarını yönetmenin yeni yollarını öğrenmesini gerektirebilir.Kullanıcılar farklı uygulamalar veya cihazlar arasında geçiş yaparken de karışıklık veya hatalarla karşılaşabilirler. Yöneticilerin, kullanıcıların SSO'yu etkili bir şekilde benimsemeleri ve kullanmaları için açık rehberlik ve destek sağlaması gerekir.

Parolasız SSO nedir?

Parolasız SSO, parolaları tamamen ortadan kaldıran ve biyometri, belirteçler veya kodlar gibi diğer kimlik doğrulama yöntemlerini kullanan bir SSO türüdür. Bu tür SSO, birden fazla uygulamaya erişmenin daha rahat, güvenli ve uygun maliyetli bir yolunu sağlayarak SSO'nun avantajlarını artırır ve zorluklarını azaltır.

Parolasız bir SSO, kullanıcının kimliğini doğrulayan ve IdP'ye dayanan çeşitli hizmet sağlayıcılara (SP'ler) erişim izni veren parolasız bir kimlik sağlayıcı (IdP) kullanılarak çalışır.

Parolasız IdP, aşağıdakiler gibi farklı kimlik doğrulama yöntemlerini kullanabilir:

• Biyometri : Kullanıcı, parmak izi, yüz veya ses tanıma gibi fiziksel özelliklerini kullanarak kimlik doğrulaması yapar.
• Jetonlar : Kullanıcı, akıllı kart, USB anahtarı veya akıllı telefon uygulaması gibi fiziksel bir cihazı kullanarak kimlik doğrulaması yapar.
• Kodlar : Kullanıcı, e-postasına veya telefon numarasına gönderilen tek seferlik bir kodu kullanarak kimlik doğrulaması yapar.

Kullanıcının bir dahaki sefere aynı şifresiz IdP'yi kullanan başka bir SP'ye erişim isteğinde bulunması durumunda, tekrar herhangi bir bilgi sağlamasına gerek yoktur. Parolasız IdP, SP'ye otomatik olarak bir güvenlik belirteci gönderecek ve kullanıcı oturum açacaktır. Bu işleme parolasız SSO adı verilir.

Beyond Identity, Okta FastPass, Microsoft Entra ID vb. gibi parolasız SSO'yu etkinleştiren farklı platformlar ve çözümler vardır. Bu platformlar ve çözümler, parolasız SSO'yu uygulamak için FIDO2, WebAuthn, CTAP vb. gibi farklı protokoller ve standartlar kullanır. protokoller ve standartlar, parolasız IdP'nin ve SP'lerin nasıl iletişim kuracağını ve bilgi alışverişinde bulunacağını tanımlar. Ayrıca güvenlik belirteçlerinin şifrelenmesi, imzalanması ve doğrulanması için mekanizmalar sağlarlar.

Çözüm

Sonuç olarak, SSO'nun kullanıcıların tek bir oturum açmayla birden fazla uygulamaya veya web sitesine erişmesine olanak tanıdığını vurgulamak isterim. Ancak SSO, IdP'ye bağımlılık, entegrasyonun karmaşıklığı ve kullanıcı eğitimi gibi bazı zorlukları da beraberinde getirir.

Öte yandan Parolasız SSO, parolaları tamamen ortadan kaldırır ve biyometri, belirteçler veya kodlar gibi diğer kimlik doğrulama yöntemlerini kullanır. Bu nedenle Parolasız SSO, SSO'nun zorluklarını azaltırken faydaları artırır ve banka hesabınızı zorlamadan birden fazla uygulamaya güvenli bir şekilde erişmenin daha rahat bir yolunu sunar.