Grup Senkronizasyonu
Grup senkronizasyonu, kimlik sağlayıcınızdan (IdP) gelen grupları SetGet'teki çalışma alanı rolleriyle otomatik olarak eşler. Bir kullanıcı SSO aracılığıyla kimlik doğrulaması yaptığında, SetGet SAML doğrulamasından grup üyeliğini okur ve ilgili çalışma alanı rolünü atar. Bu, manuel rol atamasını ortadan kaldırır ve erişim izinlerinin kuruluşunuzun diziniyle senkronize kalmasını sağlar.
Ön koşullar
Grup senkronizasyonunu yapılandırmadan önce şu koşullar gereklidir:
- SSO yapılandırılmış ve çalışıyor olmalı (SSO sayfasına bakın)
- IdP'niz SAML doğrulamasına grup üyeliği bilgisini dahil edecek şekilde yapılandırılmış olmalı
- SetGet'te çalışma alanı Sahibi veya Yöneticisi rolüne sahip olmalı
Grup senkronizasyonu nasıl çalışır
- Bir kullanıcı SAML SSO aracılığıyla giriş yapar.
- IdP, kullanıcının grup üyeliklerini SAML doğrulamasına dahil eder.
- SetGet, doğrulamadaki grup özniteliğini okur.
- SetGet, grup adlarını yapılandırılmış rol eşlemeleriyle karşılaştırır.
- Kullanıcının çalışma alanı rolü, eşleşen eşlemeye göre ayarlanır (veya güncellenir).
IdP Grupları Rol Eşlemeleri SetGet Rolü
───────── ───────────── ──────────
"Mühendislik" ─────> Mühendislik → Üye ─────> Üye
"BT-Yöneticiler" ──> BT-Yöneticiler → Yönetici ──> Yönetici
"Üst Yönetim" ─────> Üst Yönetim → Sahip ─────> SahipIdP'nizde grup özniteliğini yapılandırın
IdP'niz SAML doğrulamasında grup bilgisini göndermelidir. Yapılandırma sağlayıcıya göre değişir:
| Kimlik Sağlayıcı | Nasıl yapılandırılır |
|---|---|
| Okta | SAML uygulamasında, groups adıyla bir Grup Öznitelik Bildirimi ekleyin ve istenen grupları filtreleyin |
| Azure AD | Kurumsal Uygulamada, Token Yapılandırması altında "Gruplar Talebi"ni yapılandırın |
| Google Workspace | Özel bir öznitelik veya organizasyonel birim eşlemesi kullanın |
| OneLogin | SAML uygulama yapılandırmasına bir "Gruplar" parametresi ekleyin |
SAML doğrulaması şu şekilde bir öznitelik içermelidir:
<saml:Attribute Name="groups">
<saml:AttributeValue>Mühendislik</saml:AttributeValue>
<saml:AttributeValue>Ürün-Ekibi</saml:AttributeValue>
</saml:Attribute>SetGet'te grup senkronizasyonunu yapılandırın
- Çalışma Alanı Ayarları > Güvenlik > SSO bölümüne gidin.
- Grup Senkronizasyonu sekmesine tıklayın.
- Grup öznitelik adı'nı ayarlayın — grup üyeliklerini içeren SAML özniteliği (varsayılan:
groups). - Rol eşlemelerini ekleyin:
| Alan | Açıklama |
|---|---|
| IdP Grup Adı | SAML doğrulamasında göründüğü şekliyle tam grup adı |
| SetGet Rolü | Atanacak çalışma alanı rolü: Sahip, Yönetici, Üye veya Misafir |
- Her grup-rol çifti için Eşleme Ekle'ye tıklayın.
- Kaydet'e tıklayın.
Örnek eşlemeler
| IdP Grubu | SetGet Rolü | Notlar |
|---|---|---|
setget-sahipleri | Sahip | Tam çalışma alanı kontrolü |
setget-yöneticileri | Yönetici | Faturalama olmadan çalışma alanı yönetimi |
mühendislik | Üye | Standart proje erişimi |
yükleniciler | Misafir | Sınırlı, yalnızca davetle erişim |
UYARI
Sahip rolüne grup eşleme yaparken dikkatli olun. Eşlenen IdP grubundaki herhangi bir kullanıcı, faturalama ve üye yönetimi dahil olmak üzere çalışma alanı üzerinde tam kontrole sahip olacaktır.
Rol atama kuralları
Bir kullanıcı farklı rollere eşlenen birden fazla IdP grubuna aitse, SetGet en yüksek yetkili rolü uygular:
| Kullanıcının IdP grupları | Eşlenen roller | Atanan rol |
|---|---|---|
mühendislik | Üye | Üye |
mühendislik, setget-yöneticileri | Üye, Yönetici | Yönetici |
mühendislik, setget-yöneticileri, setget-sahipleri | Üye, Yönetici, Sahip | Sahip |
Eşleşen grubu olmayan kullanıcılar
| Senaryo | Davranış |
|---|---|
| Kullanıcının grupları hiçbir eşlemeyle eşleşmez, kullanıcı yeni | Kullanıcı varsayılan rol (Üye) ile oluşturulur |
| Kullanıcının grupları hiçbir eşlemeyle eşleşmez, kullanıcı mevcut | Kullanıcının rolü değişmez (mevcut rol korunur) |
| Kullanıcı tüm eşlenen gruplardan çıkarılır | Sonraki SSO girişinde rol düşürülür (düşürme etkinse) |
Rol düşürme
Varsayılan olarak, grup senkronizasyonu yalnızca rolleri yükseltir. Grup üyelikleri değiştiğinde rolleri de düşürmek için rol düşürmeyi etkinleştirebilirsiniz:
- Grup Senkronizasyonu ayarlarında Rol düşürmeyi etkinleştir seçeneğini açın.
- Etkinleştirildiğinde, bir kullanıcı "Yönetici" IdP grubundan çıkarılırsa, SetGet rolü kalan grup üyeliklerine uygun şekilde düşürülür.
UYARI
Rol düşürmeyi etkinleştirmek, IdP grup değişikliklerinin çalışma alanı erişimini anında etkilemesi anlamına gelir. Bu özelliği etkinleştirmeden önce IdP grup üyeliklerinizin doğru olduğundan emin olun.
Senkronizasyon sıklığı
Grup senkronizasyonu belirli tetikleme noktalarında gerçekleşir:
| Tetikleyici | Ne zaman çalışır |
|---|---|
| SSO girişi | Bir kullanıcı SSO aracılığıyla her kimlik doğrulama yaptığında |
| Periyodik senkronizasyon | Yapılandırılabilir aralık (örneğin her 1 saat, 6 saat veya 24 saat) |
| Manuel senkronizasyon | Yönetici tarafından Grup Senkronizasyonu ayarlar sayfasından tetiklenir |
Periyodik senkronizasyonu yapılandırın
- Grup Senkronizasyonu ayarlarında Senkronizasyon aralığı'nı ayarlayın.
- Mevcut aralıklar:
| Aralık | Kullanım senaryosu |
|---|---|
| 1 saat | Sık grup değişiklikleri olan kuruluşlar |
| 6 saat | Çoğu kuruluş için standart |
| 24 saat | Düşük değişiklik ortamları |
| Devre dışı | Yalnızca giriş sırasında senkronizasyon |
İPUCU
Çoğu kuruluş için her SSO girişinde senkronizasyon yeterlidir. Periyodik senkronizasyonu yalnızca giriş olayları arasında rol değişikliklerinin geçerli olmasını istiyorsanız etkinleştirin.
Manuel senkronizasyon
- Çalışma Alanı Ayarları > Güvenlik > Grup Senkronizasyonu bölümüne gidin.
- Şimdi Senkronize Et'e tıklayın.
- SetGet tüm SSO kullanıcıları için en son grup üyeliklerini alır ve rolleri buna göre günceller.
Senkronizasyon sonuçları gösterilir ve kaç kullanıcının güncellendiğini gösterir.
Senkronizasyon durumunu görüntüle
Grup Senkronizasyonu ayarlar sayfası şu bilgileri gösterir:
| Alan | Açıklama |
|---|---|
| Son senkronizasyon zamanı | En son senkronizasyonun ne zaman gerçekleştiği |
| Senkronize edilen kullanıcılar | Son senkronizasyonda işlenen kullanıcı sayısı |
| Güncellenen roller | Uygulanan rol değişikliği sayısı |
| Hatalar | Senkronizasyon hataları (örneğin eksik grup özniteliği) |
Sorun giderme
| Sorun | Olası neden | Çözüm |
|---|---|---|
| SAML doğrulamasında gruplar tespit edilmiyor | IdP grup gönderecek şekilde yapılandırılmamış | IdP SAML uygulama yapılandırmasına grup özniteliği ekleyin |
| Yanlış öznitelik adı | Öznitelik adı uyumsuzluğu | SAML öznitelik adının yapılandırılmış "Grup öznitelik adı" ile eşleştiğini doğrulayın |
| Kullanıcı yanlış rol alıyor | Birden fazla grup eşleme çakışması | Öncelik kurallarını kontrol edin (en yüksek yetki kazanır); grup üyeliklerini gözden geçirin |
| Girişte rol güncellenmiyor | Grup senkronizasyonu devre dışı veya eşleme eksik | Grup senkronizasyonunu etkinleştirin ve uygun eşlemeyi ekleyin |
| Rol düşürülmüyor | Düşürme etkin değil | Ayarlarda "Rol düşürmeyi etkinleştir" seçeneğini açın |
| Senkronizasyon hata gösteriyor | IdP bağlantı sorunu veya bozuk doğrulama | IdP yapılandırmasını kontrol edin ve tarayıcı geliştirici araçlarında SAML yanıtını inceleyin |
SAML doğrulamalarında hata ayıklama
IdP'nizin hangi grup verilerini gönderdiğini görmek için:
- Tarayıcı geliştirici araçlarını açın (F12).
- SSO aracılığıyla giriş yapın.
- Ağ sekmesinde SAML geri çağrı isteğini bulun.
- SAML yanıtının kodunu çözün (Base64) ve grup öznitelik değerlerini inceleyin.
Bu, IdP'nin gönderdiği ile SetGet'in beklediği arasındaki uyumsuzlukları tanılamanıza yardımcı olur.
İlgili sayfalar
- Güvenlik Genel Bakışı — Kimlik doğrulama ve yetkilendirme genel bakışı
- SSO — SAML SSO yapılandırması
- Roller ve İzinler — Çalışma alanı rol tanımları
- Çalışma Alanı Üyeleri — Üye erişimini yönetme