TOA hakkında

Tek Oturum Açma (TOA), kullanıcıların tek bir kimlik bilgisi grubunu kullanarak birçok kurumsal bulut uygulamasında oturum açmasına olanak tanır. Workspace (ve Google Cloud Platform), üçüncü taraf kimlik sağlayıcılardan (IdP'ler) gelen TOA'yı destekler. 

Workspace, hem SAML hem de OIDC TOA protokollerini destekler. SAML TOA, tüm IdP'leri destekler. OIDC şu anda yalnızca Microsoft Entra kimliğini destekler.

TOA'yı kullanmak için TOA profillerini yapılandırıp kullanıcı gruplarına veya kuruluş birimlerine atarsınız. Bu sayede birden fazla IdP'yi destekleyebilir ve TOA yapılandırmalarını test edebilirsiniz. Bu, TOA için önerilen sistemdir. Kuruluşlar için eski TOA profilimizi de kullanabilirsiniz (yalnızca SAML için).

TOA özelliği Chrome cihazlarda da kullanılabilir. Ayrıntılar için Chrome cihazlarda SAML Tek Oturum Açma özelliğini yapılandırma başlıklı makaleyi inceleyin.

TOA sonrası ek doğrulama

TOA ayarlandığında, üçüncü taraf IdP'lerinde oturum açan kullanıcılar aşağıdaki istisnalar dışında ek doğrulama olmadan Google uygulamalarına erişebilir:

  • Ek bir güvenlik önlemi olarak, IdP'lerinde oturum açmış olsalar bile Google bazen kullanıcılardan kimlik doğrulaması ister. Daha fazla bilgi (ve gerekirse bu doğrulamanın nasıl devre dışı bırakılacağıyla ilgili ayrıntılar) için SAML güvenli oturum açmayı anlama başlıklı makaleyi inceleyin.
  • Google hizmetlerine erişen kullanıcılar için iki adımlı doğrulama özelliğini de ayarlayabilirsiniz. TOA etkinleştirildiğinde, normalde iki adımlı doğrulama atlanır. Daha fazla bilgi edinmek için TOA ile birlikte kullanılan giriş sorgulamalarını etkinleştirme başlıklı makaleyi inceleyin.
İş ortağı tarafından sağlanan SAML tabanlı TOA'yı anlama

1. Şekil, bir kullanıcının iş ortağı tarafından işletilen SAML tabanlı bir TOA hizmeti aracılığıyla Gmail gibi bir Google uygulamasında oturum açma işlemini göstermektedir. Resmi takip eden numaralı liste her adımı detaylı şekilde anlatmaktadır.

Önemli: Bu işlem gerçekleşmeden önce, iş ortağının Google'a, TOA hizmetinin URL'si ile birlikte Google'ın SAML yanıtlarını doğrulamak için kullanması gereken genel anahtarı da sağlaması gereklidir.

1. Şekil: Bu, SAML tabanlı bir TOA hizmetini kullanarak Google'da oturum açma işlemini göstermektedir. 

Bu resimde şu adımlar gösterilmektedir.

  1. Kullanıcı; Gmail, Google Takvim veya başka bir Google hizmeti gibi barındırılan bir Google uygulamasına erişmeye çalışır.
  2. Google, iş ortağının TOA hizmetinin URL'sine kodlanan ve yerleştirilen bir SAML kimlik doğrulama isteği oluşturur. Kullanıcının ulaşmaya çalıştığı Google uygulamasının kodlanmış URL'sini içeren RelayState parametresi de TOA URL'sine yerleştirilir. Bu RelayState parametresi, herhangi bir değişiklik veya inceleme yapılmadan geri aktarılan opak bir tanımlayıcıdır.
  3. Google, kullanıcının tarayıcısına bir yönlendirme URL'si gönderir. Yönlendirme URL'si, iş ortağının TOA hizmetine gönderilmesi gereken kodlanmış SAML kimlik doğrulama isteğini içerir.
  4. Tarayıcı, TOA URL'sine yönlendirir.
  5. İş ortağı, SAML isteğinin kodunu çözer ve hem Google'ın ACS'si (Onaylama Tüketici Hizmeti) hem de kullanıcının hedef URL'si (RelayState parametresi) için URL'yi ayıklar. 
  6. Ardından iş ortağı, kullanıcının kimliğini doğrular. İş ortakları, kullanıcı kimliklerini, geçerli giriş kimlik bilgilerini isteyerek veya geçerli oturum çerezlerini kontrol ederek doğrulayabilir.
  7. İş ortağı, kimliği doğrulanan kullanıcının adın içeren bir SAML yanıtı oluşturur. SAML v2.0 spesifikasyonuna uygun şekilde bu yanıt, iş ortağının genel ve gizli DSA/RSA anahtarlarıyla dijital olarak imzalanır.
  8. İş ortağı SAML yanıtını ve RelayState parametresini kodlar ve bu bilgiyi kullanıcının tarayıcısına döndürür. İş ortağı, tarayıcının bu bilgileri Google'ın ACS'sine iletebilmesi için bir mekanizma sağlar. Örneğin, iş ortağı, SAML yanıtını ve hedef URL'yi bir forma yerleştirebilir ve kullanıcının formu Google'a göndermek için tıklayabileceği bir düğme koyabilir. İş ortağı ayrıca sayfaya, formu Google'a gönderen bir JavaScript de ekleyebilir.
  9. Tarayıcı, ACS URL'sine bir yanıt gönderir. Google'ın ACS'si, SAML yanıtını iş ortağının genel anahtarını kullanarak doğrular. Yanıt başarıyla doğrulandıysa ACS, kullanıcıyı hedef URL'sine yönlendirir. 
  10. Kullanıcı Google uygulamasında oturum açar.

Kullanıcı hesaplarını IdP'niz ile Google arasında senkronize etme

TOA kullanan çoğu kuruluş, kullanıcı yaşam döngüsü yönetimini basitleştirmek için kullanıcı dizinlerini IdP'den Google'a da senkronize eder. Senkronizasyon etkinken, IdP tarafındaki yeni (veya silinmiş) kullanıcılar otomatik olarak Workspace kullanıcısı olarak eklenir veya silinir. Google'ın Directory Sync aracı, Active Directory ve Entra ID'yi destekler. Çoğu IdP, Google ile senkronizasyonu destekler. Kurulum talimatları için IdP'nizin belgelerine bakın. 

TOA ve Güvenli LDAP

Güvenli LDAP, Google şifresi gerektirir ve TOA ile uyumlu değildir.

Bu size yardımcı oldu mu?

Bunu nasıl iyileştirebiliriz?

Daha fazla yardıma mı ihtiyacınız var?

Bir sonraki adımları deneyin:

Yardım topluluğunda yayınlayın Topluluk üyelerinden sorularınıza cevap alın
Bize ulaşın Bize daha fazla bilgi verin, size yardımcı olalım
true
14 günlük ücretsiz deneme sürümünüzü hemen kullanmaya başlayın

Profesyonel e-posta, çevrimiçi depolama, paylaşılan takvimler, video toplantılar ve daha fazlası. G Suite ücretsiz deneme sürümünüzü hemen kullanmaya başlayın.

Arama
Aramayı temizle
Aramayı kapat
Ana menü
87284521921413531
true
Yardım Merkezinde Arayın
true
true
true
true
true
73010
false
false