ChromeOS cihazlarda SAML tek oturum açma özelliğini yapılandırma

ChromeOS cihazlar için Güvenlik Onayı Biçimlendirme Dili (SAML) tek oturum açma (TOA) desteği, kullanıcıların kuruluşunuzun geri kalanında kullandığınız kimlik doğrulama mekanizmalarıyla bir cihazda oturum açmasına olanak tanır. Kullanıcıların şifreleri kuruluşunuzun Kimlik Sağlayıcısı (IdP) içinde kalabilir. Oturum açma işlemi, bir tarayıcıdan SAML TOA kullanılarak Google Workspace hesabında oturum açmaya çok benzer. Ancak, kullanıcı cihazda oturum açtığı için dikkat edilmesi gereken başka noktalar da vardır.

Daha fazla bilgi için Üçüncü taraf Kimlik sağlayıcıları kullanan yönetilen Google hesapları için tek oturum açma ayarlarını yapma başlıklı makaleye bakın.

Şartlar

Sürüm 36 veya sonraki bir sürümü çalıştıran ChromeOS cihaz
Google Workspace için SAML TOA'ya uygun şekilde yapılandırılmış alan
HTTPS (HTTP değil) kullanan SAML URL'si
Cihazlarınız için ChromeOS lisansları

1. adım: TOA ayarlarını yapın

Henüz yapmadıysanız üçüncü taraf kimlik sağlayıcıların kullanıldığı yönetilen Google Hesapları için tek oturum açma ayarlarını yapın.

2. adım: TOA'yı test edin

Sahibi olduğunuz bir test alanına SAML TOA'yı kurup test edin. Test alanınız yoksa bir test grubu oluşturun ve TOA'yı sadece bu gruptaki kullanıcılar için etkinleştirin. Böylece, SAML TOA'yı az sayıda kullanıcıyla test edebilirsiniz. SAML TOA'yı az sayıda kullanıcıyla test ettikten sonra, kullanıcılarınızın yaklaşık %5'inin kullanımına sunun.

Google Yönetici konsolu hesabınızda oturum açın.
Yönetici hesabınızı (@gmail.com ile bitmeyen hesap) kullanarak oturum açın.
Yönetici Konsolu'nda Menü CihazlarChromeAyarlar'a gidin. Kullanıcı ve tarayıcı ayarları sayfası varsayılan olarak açılır.
Chrome Tarayıcı Bulut Yönetimi'ne kaydolduysanız Menü Chrome TarayıcıAyarlar'a gidin.
Ayarı tüm kullanıcılara ve kayıtlı tarayıcılara uygulamak için en üstteki kuruluş birimini seçili bırakın. Böyle bir isteğiniz yoksa bir alt kuruluş birimi seçin.
Güvenlik'e gidin.
Tek oturum açma'yı tıklayın.
Chrome cihazlar için SAML tabanlı tek oturum açma hizmetini etkinleştir'i seçin.
Kaydet'i tıklayın.

(İsteğe bağlı) 3. adım: SAML TOA çerezlerini etkinleştirin

Tek oturum açma kullanıcılarının, cihazlarında sonraki oturum açma işlemlerinde aynı IdP'yi kullanan dahili web sitelerine ve bulut hizmetlerine giriş yapmalarına olanak tanımak için SAML TOA çerezlerini etkinleştirebilirsiniz.

Google Yönetici konsolu hesabınızda oturum açın.
Yönetici hesabınızı (@gmail.com ile bitmeyen hesap) kullanarak oturum açın.
Yönetici Konsolu'nda Menü CihazlarChromeAyarlarCihaz ayarları'na gidin.
Ayarı tüm kullanıcılara ve kayıtlı tarayıcılara uygulamak için en üstteki kuruluş birimini seçili bırakın. Böyle bir isteğiniz yoksa bir alt kuruluş birimi seçin.
Oturum açma ayarları'na gidin.
Tek oturum açma çerez davranışı'nı tıklayın.
Oturum açma sırasında, SAML Tek Oturum Açma Çerezlerinin kullanıcı oturumuna aktarılmasını etkinleştir'i seçin. Daha fazla ayrıntı için ChromeOS cihaz politikalarını belirleme başlıklı makaleye bakın.
Kaydet'i tıklayın.

(İsteğe bağlı) 4. adım: Yerel ChromeOS ve SAML TOA şifreleri arasında senkronizasyon sağlayın

ChromeOS cihazın yerel şifrelerini kullanıcıların SAML TOA şifreleriyle senkronize etmeyi seçebilirsiniz.

Varsayılan olarak, kullanıcılar online olarak her oturum açtığında yerel şifre güncellenir. Kullanıcıların SAML tek oturum açma giriş sıklığı veya SAML tek oturum açma kilit açma sıklığı ayarlarını kullanarak ne sıklıkla online olarak oturum açması gerektiğini yapılandırabilirsiniz. Ancak bazı kullanıcılar tekrar online olarak oturum açmaları gerekmeden önce SAML TOA şifrelerini değiştirebilir. Bu durumda, kullanıcılar tekrar online olarak oturum açana kadar eski yerel ChromeOS şifrelerini kullanmaya devam eder.

Yerel ChromeOS şifresini SAML TOA şifresiyle senkronize halde tutmak için kullanıcıların SAML TOA şifreleri değiştiğinde online olarak hemen oturum açmalarını zorunlu kılabilirsiniz. Bu şekilde, ChromeOS şifrelerini neredeyse anında güncellerler.

Kullanıcı şifresi değişiklikleri konusunda Google'ı bilgilendirmek için aşağıdakilerden herhangi birini kullanabilirsiniz:
1. IdP entegrasyonu: Örneğin, Okta kullanıyorsanız Okta iş akışlarını kullanabilirsiniz. Ayrıntılar için GitHub belgelerini inceleyin.
2. Microsoft Entra ID entegrasyonu: Change Password Notifier (Microsoft Entra ID için CPN), Microsoft Entra ID şifre değişikliklerini Google'a bildirir. Ayrıntılı bilgi için Change Password Notifier for Microsoft Entra ID'yi kullanarak ChromeOS şifrelerini senkronize etme başlıklı makaleyi inceleyin.
3. AD entegrasyonu: Change Password Notifier for Active Directory (CPN for AD), Microsoft AD şifre değişikliklerini Google'a bildirir. Ayrıntılı bilgi için Change Password Notifier for Active Directory'yi kullanarak ChromeOS şifrelerini senkronize etme başlıklı makaleye göz atın.
4. API entegrasyonu: IdP'nizi, cihaz jetonu API'siyle entegre edin. Chrome cihaz jetonu API'sini buradan alabilirsiniz. Ayrıntıları Bulut projesi için API paketini etkinleştirme bölümünde bulabilirsiniz.
İlgili ayarları yapılandırın:
1. SAML tek oturum açma şifre senkronizasyonu akışları: Online olarak oturum açmayı yalnızca giriş ekranı için mi, yoksa hem giriş hem de kilit ekranı için mi zorunlu kılmak istediğinizi seçin. Ayrıntılı bilgi için Kullanıcılar veya tarayıcılar için Chrome politikaları belirleme başlıklı makaleyi inceleyin.
2. SAML tek oturum açma şifre senkronizasyonu: TOA sağlayıcılarla şifre senkronizasyonu için kimlik doğrulama akışlarını tetikle'yi seçin. Ayrıntılı bilgiyi Kullanıcılar veya tarayıcılar için Chrome politikaları belirleme başlıklı makalede bulabilirsiniz.

(İsteğe bağlı) 5. adım: Kullanıcılarınızı yaklaşan şifre değişikliği tarihleri hakkında bilgilendirin

ChromeOS cihazlarında yakında yapılacak şifre değişiklikleri hakkında kullanıcıların bilgilendirilmesini sağlayabilirsiniz.

Şu anda Microsoft Entra ID için şifre geçerlilik sonu bildirimleri desteklenmemektedir.

Not: İkisini birden yapmak yerine ya 4. adım: Yerel ChromeOS ve SAML TOA şifreleri arasında senkronizasyon sağlayın ya da 5. adım: Kullanıcılarınızı yaklaşan şifre değişiklikleri hakkında bilgilendirin bölümünde açıklanan işlemleri yapmanızı öneririz.

Kullanıcıları yakında yapılacak şifre değişiklikleri hakkında bilgilendirmek için;

Google Yönetici Konsolu'nu kullanarak üçüncü taraf kimlik sağlayıcıları kullanan yönetilen Google hesapları için tek oturum açma ayarlarını yapın.
SAML TOA sağlayıcınızın şifre geçerliliği süre sonu için SAML onayını yapılandırın. Aşağıdaki örneği inceleyin.
Yönetici konsolunu kullanarak ayarları yapılandırın.
1. SAML tek oturum açma giriş sıklığı: Şifre süre sonu tarihi değerinden küçük bir değer girin. ChromeOS, onaylamalarını yalnızca online girişler sırasında günceller. Ayrıntılar için Kullanıcılar veya tarayıcılar için Chrome politikaları belirleme başlıklı makaleyi inceleyin.
2. SAML tek oturum açma şifre senkronizasyonu: TOA sağlayıcılarla şifre senkronizasyonu için kimlik doğrulama akışlarını tetikle'yi seçin. Kullanıcıların kaç gün önceden bilgilendirileceğini belirtin. 0 ile 90 gün arasında bir değer girebilirsiniz. Bu alan boş bırakıldığında, varsayılan 0 değeri kullanılır ve kullanıcılar yalnızca şifrelerinin süre sonunda bilgilendirilir. Bu tarihin öncesinde bilgilendirilme yapılmaz. Ayrıntılar için Kullanıcılar veya tarayıcılar için Chrome politikaları belirleme başlıklı makaleyi inceleyin.

Örnek AttributeStatement

Örnekte:

Özellik adı passwordexpirationtimestamp ifadesini içeriyor: Kimlik doğrulaması yapılan kullanıcının şifresinin süresinin dolacağı zaman damgası. Şifrenin süresi sona ermediyse boş, sona erdiyse geçmiş bir tarih olabilir. İsterseniz bunun yerine passwordmodifiedtimestamp ifadesini kullanabilirsiniz.
Özellik değeri olarak NTFS filetime girilmiş: 1 Ocak 1601 UTC tarihinden bu yana olan 100 ns tik sayısı. Dilerseniz bunun yerine Unix saatini veya ISO 8601 tarih ve saat standardını belirleyebilirsiniz. Diğer biçimler kabul edilmez.

<AttributeStatement> <Attribute Name="http://schemas.google.com/saml/2019/passwordexpirationtimestamp"> <AttributeValue>132253026634083525</AttributeValue> </Attribute> </AttributeStatement>

(İsteğe bağlı) 6. adım: SAML TOA IdP Yönlendirmesi'ni etkinleştirin

Tek oturum açma kullanıcılarının, önce e-posta adreslerini yazmaları gerekmeden doğrudan SAML IdP sayfasına gitmesini izin vermek için SAML TOA IdP Yönlendirmesi'ni etkinleştirebilirsiniz.

Google Yönetici konsolu hesabınızda oturum açın.
Yönetici hesabınızı (@gmail.com ile bitmeyen hesap) kullanarak oturum açın.
Yönetici Konsolu'nda Menü CihazlarChromeAyarlarCihaz ayarları'na gidin.
Ayarı tüm kullanıcılara ve kayıtlı tarayıcılara uygulamak için en üstteki kuruluş birimini seçili bırakın. Böyle bir isteğiniz yoksa bir alt kuruluş birimi seçin.
Oturum açma ayarları'na gidin.
Tek oturum açma IdP yönlendirmesi'ni tıklayın.
Kullanıcıların doğrudan SAML TOA IdP sayfasına gitmesine izin ver'i seçin. Daha fazla ayrıntı için ChromeOS cihaz politikalarını belirleme başlıklı makaleye bakın.
Kaydet'i tıklayın.

(İsteğe bağlı) 7. adım: Kullanıcı adı geçişi

Kullanıcıların iki kez yazmasını önlemek için, kullanıcı adlarını Google Identity'den 3. taraf IdP'ye otomatik olarak aktarabilirsiniz.

Başlamadan önce

Bu özellik yalnızca SAML sorgusunun bir parçası olarak kullanıcı adı aktarımına izin veren IdP'ler tarafından kullanılabilir. Ayrıntılar için SAML IdP giriş sayfasında kullanıcı adını otomatik olarak doldur ayarını inceleyin.
7. adımı tamamlayarak kullanıcıları her zaman üçüncü taraf kimlik sağlayıcıya (3. taraf IdP) yönlendiriyorsanız kullanıcı adı geçişi, yeniden kimlik doğrulama akışlarıyla sınırlıdır. Ayrıntılar için SAML tek oturum açma giriş sıklığı veya SAML tek oturum açma kilit açma sıklığı ayarını inceleyin.

Google Yönetici konsolu hesabınızda oturum açın.
Yönetici hesabınızı (@gmail.com ile bitmeyen hesap) kullanarak oturum açın.
Yönetici Konsolu'nda Menü CihazlarChromeAyarlarCihaz ayarları'na gidin.
Ayarı tüm kullanıcılara ve kayıtlı tarayıcılara uygulamak için en üstteki kuruluş birimini seçili bırakın. Böyle bir isteğiniz yoksa bir alt kuruluş birimi seçin.
Oturum açma ayarları'na gidin.
SAML IdP giriş sayfasında kullanıcı adını otomatik olarak doldur'u tıklayın.
URL parametresinin adını girin.
Kaydet'i tıklayın.

(İsteğe bağlı) 8. adım: Oturum açma ve kilit ekranlarındaki içeriği kontrol edin

Kullanıcı kimlik doğrulaması için SAML veya OpenID Connect Tek Oturum Açma kullanırken ya da kullanıcı oturumları dışında giriş portalları ile ağ bağlantıları yapılandırırken, DeviceAuthenticationURLBlocklist ve DeviceAuthenticationURLAllowlisti politikalarından yararlanarak kullanıcıların oturum açma işlemlerinde ve kilit ekranlarında URL'lere izin verebilir veya URL'leri engelleyebilirsiniz.

Daha fazla bilgi için Oturum açma/kilit ekranlarında engellenen URL'ler ve Oturum açma/kilit ekranlarında URL engelleme istisnaları bölümlerine göz atın.

Google Yönetici konsolu hesabınızda oturum açın.
Yönetici hesabınızı (@gmail.com ile bitmeyen hesap) kullanarak oturum açın.
Yönetici Konsolu'nda Menü CihazlarChromeAyarlarCihaz ayarları'na gidin.
Ayarı tüm kullanıcılara ve kayıtlı tarayıcılara uygulamak için en üstteki kuruluş birimini seçili bırakın. Böyle bir isteğiniz yoksa bir alt kuruluş birimi seçin.
Oturum açma ayarları'na gidin.
Oturum açma/kilit ekranlarında engellenen URL'ler'i tıklayın.
1. Oturum açma ve kilit ekranlarında hangi URL'lerin engelleneceğini belirtin.
2. Kaydet'i tıklayın.
Oturum açma/kilit ekranlarında URL engelleme istisnaları'ni tıklayın.
1. Oturum açma ve kilit ekranlarında hangi URL'lere izin verileceğini belirtin.
2. Kaydet'i tıklayın.

9. adım: Cihazlar için SAML TOA'yı kullanıma sunun

Cihazlar için SAML TOA'yı kuruluşunuzun %5'inde test ettikten sonra, aynı politikayı başka gruplar için de etkinleştirerek herkesin kullanımına sunabilirsiniz. Sorun yaşarsanız Google Cloud Destek Ekibi ile iletişime geçebilirsiniz.

SAML tek oturum açma özelliğini kullanarak ChromeOS cihazda oturum açma

Kuruluşunuzdaki cihazlarda SAML TOA yapılandırıldıktan sonra, kullanıcılar bir cihazda oturum açtığında aşağıdaki adımları görür.

Şartlar

Yukarıda açıklanan tüm adımları tamamlamanız gerekir.

Oturum Açma Sırası:

Kullanıcılardan kendi cihazında ilk kez oturum açarken aşağıdakileri yapmasını isteyin. Not: Kuruluşunuzda kullanıma sunmadan önce bunu kendiniz test etmelisiniz.

ChromeOS cihazın oturum açma sayfasında kullanıcı adınızı (tam e-posta adresi) girin. Bu adımda bir şifreye ihtiyaç yoktur.
Kuruluşunuzun SAML TOA sayfasına yönlendirilirsiniz. SAML sağlayıcısı giriş sayfasında SAML kimlik bilgilerinizi girin.
İstenirse, oturum açma işlemini tamamlamak üzere şifrenizi tekrar girin. Bu adım, yalnızca Kimlik Sağlayıcınız Credentials Passing API'sini uygulamadıysa gereklidir. Bu, cihazınızda çevrimdışı erişime izin vermek ve cihazınızın kilidini açabilmek için gereklidir.
Başarıyla oturum açtıktan sonra oturumunuz başlar ve tarayıcı açılır. Bir sonraki oturum açma işleminizde, cihazınızı başlattıktan sonra yalnızca şifrenizi girmeniz gerekecektir. Sorunlarla karşılaşırsanız lütfen BT yöneticinize başvurun.

SSS

Kullanıcıların kullanıcı adı ve şifrelerini manuel olarak girmeleri gerekmeden tarayıcı tabanlı uygulamalarda ve intranette oturum açmasına izin vermek için Windows Tümleşik Kimlik Doğrulaması (WIA) özelliğini kullanabilir miyim?

Hayır. Active Directory Federasyon Hizmetleri'nde (AD FS) artık WIA desteklenmiyor. Daha fazla bilgi için Bulut tabanlı Chrome yönetimine geçme başlıklı makaleye bakın.

SAML sağlayıcımla oturum açtıktan sonra şifremi tekrar girmem isteniyor. Bu, normal mi?

Evet. ChromeOS cihazınıza çevrimdışı erişime izin vermek ve cihazın kilidini açabilmek için bu gereklidir. Bu onay adımına olan ihtiyacı ortadan kaldırmak için SAML tedarikçilerinin uygulayabileceği bir API vardır.

Bir kullanıcı başka bir cihazda şifresini değiştirirse cihaz kilidinin yeni şifreyle açılması için güncellenmesi nasıl sağlanıyor?

Directory API'mizde sağlanan, bir şifre değiştirildiğinde durumu kimlik doğrulama sunucumuza bildiren basit güncelleme yöntemini kullanmanızı öneririz. İstek gövdesine şifre değerini girin. API kullanılmazsa şifre değişikliği bir sonraki çevrimiçi giriş işleminde algılanır. Varsayılan değer, şifre değiştirilmese bile cihazın her 14 günde bir çevrimiçi oturum açmayı gerektirmesidir. Yönetici Konsolu'nda CihazlarChromeAyarlarKullanıcılar ve tarayıcılarSAML tek oturum açma çevrimiçi giriş sıklığı'na giderek bu süreyi değiştirebilirsiniz.

Şifremde özel karakterler var, çalışır mı?

Sadece yazdırılabilir ASCII karakterlerini destekliyoruz.

"Hata! Oturumunuz açılamadı. Güvenli olmayan bir URL kullanmak üzere yapılandırıldığından oturum açma başarısız oldu. Lütfen yöneticinizle iletişime geçin veya tekrar deneyin." ekranını görüyorum. Ne yapmalıyım?

Çalışanlarınız bu hata iletisinin görüntülendiğini söylüyorsa SAML IdP, bir HTTP URL'si kullanmaya çalışıyor demektir ancak sadece HTTPS'ler desteklenmektedir. Oturum açma işleminin her aşamasında sadece HTTPS kullanmak önemlidir. Bu nedenle, ilk oturum açma formu HTTPS üzerinden sunulsa bile, IdP'niz işlemin başka bir aşamasında bir HTTP URL'sine yönlendirme yapıyorsa bu hatayı görebilirsiniz. Bu hatayı düzelttiğiniz halde kullanıcılarınız hata mesajını almaya devam ederse lütfen Google Cloud Destek Ekibi ile iletişime geçin.

BT yöneticisiyim. Neden SAML kimlik sağlayıcıma yönlendirilmiyorum?

Bu durum tasarım gereğidir. Kurulum sırasında bir şeyler ters gitse de yöneticinin giriş yapıp sorunu giderebilmesini isteriz.

TOA özelliği, TLS ve SSL içerik filtreleriyle çalışıyor mu?

Evet. Lütfen kurulum için ChromeOS cihazlarda TLS (veya SSL) denetimini ayarlama sayfasındaki talimatları uygulayın. Barındırıcı adı izin verilenler listesi oluşturma sayfasında belirtilen izin verilen alanlara ek olarak, TOA Kimlik Sağlayıcınızın alan adını ve www.google.com'u da izin verilenler listesine eklemeniz gerekir.

TOA, kamera izinleriyle nasıl çalışır?

TOA kullanıcılarınız adına üçüncü taraf yazılımlarına cihaz kamerasına doğrudan erişim izni vermek için, tek oturum açma kamera izinlerini etkinleştirebilirsiniz.

CihazlarChromeAyarlarCihaz ayarlarıTek oturum açma kamera izinleriTek oturum açma kamera izinlerinin izin verilenler listesi'ne gidin.

Daha fazla ayrıntı için ChromeOS cihaz politikalarını belirleme başlıklı makaleye bakın.

Bu politikanın etkinleştirilmesi yöneticilerin, kendi kullanıcıları adına üçüncü taraflara kullanıcıların kameralarına erişme izni vermesine olanak sağlar. Bu politika aracılığıyla kamera izinleri verildiğinde sistem son kullanıcılara herhangi bir izin formu göstermeyeceği için yöneticinin kullanıcılardan ilgili izin formlarını alması gerekir.

Google ve ilgili markalarla logolar Google LLC'nin ticari markalarıdır. Diğer tüm şirket ve ürün adları, ilişkili oldukları şirketlerin ticari markalarıdır.

Bu size yardımcı oldu mu?

Bunu nasıl iyileştirebiliriz?