Bildirim

Duet AI'ın adı Google Workspace için Gemini olarak değişti. Daha fazla bilgi

SAML tabanlı TOA'ya teknik genel bakış

Tek oturum açma (TOA) sayesinde kullanıcılar, her uygulamaya ayrı ayrı kullanıcı adı ve şifre girmek zorunda kalmadan birçok uygulamaya erişebilir. Güvenlik Onayı Biçimlendirme Dili (SAML) güvenli web alanlarının, kullanıcı kimlik doğrulaması ve kullanıcı yetkilendirme verilerinin alışverişini yapmasını sağlayan bir standarttır.

Servis sağlayıcıların ve kimlik sağlayıcıların rolleri

Google, iş ortağı şirketlerinin güvenli içeriklere erişmeye çalışan barındırılan kullanıcıları yetkilendirmelerine ve kimliklerini doğrulamalarına olanak tanıyan SAML tabanlı bir TOA hizmeti sunar. Google, çevrimiçi servis sağlayıcı rolünün yanı sıra Google Takvim ve Gmail gibi hizmetleri de sağlar. Google iş ortakları ise çevrimiçi kimlik sağlayıcıları rolünü üstlenerek, Google tarafından barındırılan web uygulamalarında kullanıcıları tanımlamak, kullanıcıların kimliklerini doğrulamak ve kullanıcıları yetkilendirmek için kullanıcı adlarını, şifreleri ve diğer bilgileri kontrol etmektedir.

Açık kaynaklı ve ticari birçok kimlik sağlayıcı, Google'da TOA'yı uygulamanıza yardımcı olabilir.

Masaüstü istemcilerinde hâlâ oturum açılması gerekiyor

TOA çözümünün yalnızca web uygulamalarında geçerli olduğu unutulmamalıdır. Kullanıcılarınızın masaüstü istemcilerle Google hizmetlerine erişmesini sağlayabilirsiniz. Örneğin, Outlook kullanarak Gmail'e POP erişimi sağlamak için kullanıcılarınıza kullanılabilir şifreler sağlamanız ve bu şifreleri Yönetici SDK'sindeki Directory API'sini kullanarak kurum içi kullanıcı veritabanınızla senkronize etmeniz gerekir. Şifrelerinizi senkronize ederken, yönetici denetim masası giriş URL'si kullanılarak kullanıcıların kimliklerinin nasıl doğrulandığını anlamalısınız.

İş ortağı tarafından sağlanan SAML tabanlı TOA 

1. Şekil, bir kullanıcının iş ortağı tarafından işletilen SAML tabanlı bir TOA hizmeti aracılığıyla Gmail gibi bir Google uygulamasında oturum açma işlemini göstermektedir. Resmi takip eden numaralı liste her adımı detaylı şekilde anlatmaktadır.

Önemli: Bu işlem gerçekleşmeden önce, iş ortağının Google'a, TOA hizmetinin URL'si ile birlikte Google'ın SAML yanıtlarını doğrulamak için kullanması gereken genel anahtarı da sağlaması gereklidir.

1. Şekil: Bu, SAML tabanlı bir TOA hizmetini kullanarak Google'da oturum açma işlemini göstermektedir. 

Bu resimde şu adımlar gösterilmektedir.

  1. Kullanıcı; Gmail, Google Takvim veya başka bir Google hizmeti gibi barındırılan bir Google uygulamasına erişmeye çalışır.
  2. Google, iş ortağının TOA hizmetinin URL'sine kodlanan ve yerleştirilen bir SAML kimlik doğrulama isteği oluşturur. Kullanıcının ulaşmaya çalıştığı Google uygulamasının kodlanmış URL'sini içeren RelayState parametresi de TOA URL'sine yerleştirilir. Bu RelayState parametresi, herhangi bir değişiklik veya inceleme yapılmadan geri aktarılan opak bir tanımlayıcıdır.
  3. Google, kullanıcının tarayıcısına bir yönlendirme URL'si gönderir. Yönlendirme URL'si, iş ortağının TOA hizmetine gönderilmesi gereken kodlanmış SAML kimlik doğrulama isteğini içerir.
  4. Tarayıcı, TOA URL'sine yönlendirir.
  5. İş ortağı, SAML isteğinin kodunu çözer ve hem Google'ın ACS'si (Onaylama Tüketici Hizmeti) hem de kullanıcının hedef URL'si (RelayState parametresi) için URL'yi ayıklar. 
  6. Ardından iş ortağı, kullanıcının kimliğini doğrular. İş ortakları, kullanıcı kimliklerini, geçerli giriş kimlik bilgilerini isteyerek veya geçerli oturum çerezlerini kontrol ederek doğrulayabilir.
  7. İş ortağı, kimliği doğrulanan kullanıcının adın içeren bir SAML yanıtı oluşturur. SAML v2.0 spesifikasyonuna uygun şekilde bu yanıt, iş ortağının genel ve gizli DSA/RSA anahtarlarıyla dijital olarak imzalanır.
  8. İş ortağı SAML yanıtını ve RelayState parametresini kodlar ve bu bilgiyi kullanıcının tarayıcısına döndürür. İş ortağı, tarayıcının bu bilgileri Google'ın ACS'sine iletebilmesi için bir mekanizma sağlar. Örneğin, iş ortağı, SAML yanıtını ve hedef URL'yi bir forma yerleştirebilir ve kullanıcının formu Google'a göndermek için tıklayabileceği bir düğme koyabilir. İş ortağı ayrıca sayfaya, formu Google'a gönderen bir JavaScript de ekleyebilir.
  9. Tarayıcı, ACS URL'sine bir yanıt gönderir. Google'ın ACS'si, SAML yanıtını iş ortağının genel anahtarını kullanarak doğrular. Yanıt başarıyla doğrulandıysa ACS, kullanıcıyı hedef URL'sine yönlendirir. 
  10. Kullanıcı Google uygulamasında oturum açar.

İlgili konu

SAML v2.0 spesifikasyonları

Bu size yardımcı oldu mu?

Bunu nasıl iyileştirebiliriz?

Daha fazla yardıma mı ihtiyacınız var?

Bir sonraki adımları deneyin:

Yardım topluluğunda yayınlayın Topluluk üyelerinden sorularınıza cevap alın
Bize ulaşın Bize daha fazla bilgi verin, size yardımcı olalım
true
14 günlük ücretsiz deneme sürümünüzü hemen kullanmaya başlayın

Profesyonel e-posta, çevrimiçi depolama, paylaşılan takvimler, video toplantılar ve daha fazlası. G Suite ücretsiz deneme sürümünüzü hemen kullanmaya başlayın.

Arama
Aramayı temizle
Aramayı kapat
Ana menü
9866935039766695763
true
Yardım Merkezinde Arayın
true
true
true
true
true
73010
false
false