Güvenlik Genel Bakışı
SetGet, güvenliği temel bir gereksinim olarak tasarlanmıştır. Platform, verilerinizi birden fazla katmanla korur: güçlü kimlik doğrulama, ayrıntılı yetkilendirme, şifreli iletişim, güvenli oturum yönetimi ve yönetimsel kontroller. Bu sayfa güvenlik modeline genel bir bakış sunar ve her alan için ayrıntılı dokümantasyona bağlantılar içerir.
Kimlik Doğrulama
Kimlik doğrulama, bir kullanıcının iddia ettiği kişi olduğunu doğrular. SetGet, farklı kurumsal gereksinimlere uyum sağlamak için birden fazla kimlik doğrulama yöntemini destekler.
E-posta ve parola
Varsayılan kimlik doğrulama yöntemidir. Kullanıcılar bir e-posta adresi ve güçlü bir parola ile kayıt olur. Parolalar saklanmadan önce modern, hesaplama açısından yoğun bir algoritma kullanılarak hashlenir. SetGet parolaları asla düz metin olarak saklamaz.
Parola gereksinimleri:
| Gereksinim | Detay |
|---|---|
| Minimum uzunluk | 8 karakter |
| Karmaşıklık | Büyük harf, küçük harf ve bir sayı veya özel karakter içermelidir |
| Tekrar kullanım engeli | Son 5 parola yeniden kullanılamaz |
| Kaba kuvvet koruması | Tekrarlanan başarısız girişimlerde hesap kilitleme |
Sihirli bağlantı ile kimlik doğrulama
Kullanıcılar parola kullanmadan, e-postaya gönderilen tek kullanımlık bir doğrulama kodu ile giriş yapabilir. Kod süreli ve tek kullanımlıktır. Bu yöntem, parola yönetmeyi tercih etmeyen kullanıcılar için kullanışlıdır.
OAuth sağlayıcıları
SetGet, OAuth 2.0 sağlayıcıları aracılığıyla üçüncü taraf kimlik doğrulamasını destekler:
- Google — Google hesabı ile giriş
- GitHub — GitHub hesabı ile giriş
- GitLab — GitLab hesabı ile giriş
- Gitea — Gitea hesabı ile giriş
Her sağlayıcı, bir çalışma alanı veya sunucu yöneticisi tarafından yapılandırılmalıdır. Kurulum talimatları için OAuth Sağlayıcıları sayfasına bakın.
Tek Oturum Açma (SSO)
Kurumsal ekipler, kullanıcıları kurumsal kimlik sağlayıcıları (IdP) aracılığıyla doğrulamak için SAML tabanlı SSO yapılandırabilir. SSO, kimlik doğrulama yönetimini merkezileştirer ve izin verilen tek giriş yöntemi olarak zorunlu kılınabilir. Yapılandırma detayları için SSO sayfasına bakın.
Çok Faktörlü Kimlik Doğrulama (MFA)
MFA, parola doğrulamasından sonra ikinci bir doğrulama adımı ekler. SetGet, Google Authenticator, Authy veya 1Password gibi kimlik doğrulama uygulamalarını kullanarak TOTP (Zaman Tabanlı Tek Kullanımlık Parola) destekler. Çalışma alanı yöneticileri tüm üyeler için MFA'yı zorunlu kılabilir. Kurulum ve zorunluluk için MFA sayfasına bakın.
Yetkilendirme
Yetkilendirme, kimlik doğrulanmış bir kullanıcının ne yapmasına izin verildiğini belirler. SetGet, birden fazla düzeyde roller içeren rol tabanlı erişim kontrolü (RBAC) sistemi kullanır.
Çalışma alanı rolleri
| Rol | Açıklama |
|---|---|
| Sahip | Çalışma alanı üzerinde tam kontrol: faturalama, ayarlar, üye yönetimi, tüm projeler |
| Yönetici | Çalışma alanı ayarlarını, üyeleri ve tüm projeleri yönetir; sahiplik transferi veya faturalama yönetimi yapamaz |
| Üye | Atandığı projelere erişir, iş ögeleri oluşturur, sohbete katılır |
| Misafir | Yalnızca açıkça davet edildiği belirli projelere ve kanallara sınırlı erişim |
Proje rolleri
Her proje içinde üyeler ek rol tabanlı izinlere sahip olabilir:
| Rol | Açıklama |
|---|---|
| Yönetici | Proje üzerinde tam kontrol: ayarlar, durumlar, etiketler, üyeler |
| Üye | İş ögeleri oluşturma ve düzenleme, proje tartışmalarına katılma |
| Görüntüleyen | Proje iş ögeleri ve sayfalarına salt okunur erişim |
İzin kalıtımı
- Çalışma alanı sahipleri ve yöneticileri otomatik olarak tüm projelere yönetici erişimi alır.
- Proje düzeyindeki roller yalnızca ilgili proje içinde geçerlidir.
- Misafir kullanıcılarının otomatik erişimi yoktur — her izin açıkça verilmelidir.
Tam izin matrisi için Roller ve İzinler sayfasına bakın.
Veri koruma
Aktarım sırasında şifreleme
İstemci (tarayıcı) ile SetGet sunucusu arasındaki tüm iletişim TLS (HTTPS) kullanılarak şifrelenir. Bu şunları içerir:
- Web uygulaması trafiği
- API istek ve yanıtları
- Gerçek zamanlı özellikler için WebSocket bağlantıları
- Dosya yüklemeleri ve indirmeleri
SetGet, HTTPS'yi zorunlu kılar ve üretim ortamında şifrelenmemiş HTTP üzerinden içerik sunmaz.
Durağan halde şifreleme
Veritabanında ve dosya depolamada saklanan veriler şu şekilde korunur:
| Katman | Koruma |
|---|---|
| Veritabanı | MongoDB durağan halde şifreleme (altyapı düzeyinde etkinleştirilmişse) |
| Dosya depolama | Saklanan nesneler için MinIO sunucu tarafı şifreleme |
| Yedekler | Şifreli yedek depolama (altyapıya bağımlı) |
| Parolalar | bcrypt ile tek yönlü hashlenir; asla düz metin olarak saklanmaz |
| Tokenlar | Oturum tokenları kriptografik olarak rastgele ve hashlenmiş olarak saklanır |
Veri izolasyonu
Her çalışma alanının verileri mantıksal olarak izole edilir:
- Çalışma alanı verileri, tüm veritabanı sorgularında çalışma alanı kimliğine göre kapsamlanır.
- API aracılığıyla çalışma alanları arası veri sızıntısı olmaz.
- Dosya depolama, çalışma alanı kapsamlı yollar ve erişim kontrolleri kullanır.
Oturum yönetimi
SetGet, kimlik doğrulanmış erişimi yönetmek için token tabanlı oturumlar kullanır:
- Başarılı kimlik doğrulama üzerine oturumlar oluşturulur.
- Her oturum belirli bir cihaz ve IP adresine bağlıdır.
- Oturumların yapılandırılabilir bir zaman aşımı süresi vardır.
- Kullanıcılar aktif oturumlarını görüntüleyebilir ve iptal edebilir.
- Yöneticiler herhangi bir çalışma alanı üyesi için oturumları iptal edebilir.
Oturumları görüntüleme, iptal etme ve yapılandırma detayları için Oturum Yönetimi sayfasına bakın.
Oturum güvenlik özellikleri
| Özellik | Açıklama |
|---|---|
| Oturum bağlama | Oturumlar kaynak IP ve kullanıcı ajanlarına bağlıdır |
| Otomatik süre dolumu | Oturumlar yapılandırılabilir bir etkisizlik süresinden sonra sona erer |
| Eş zamanlı oturum sınırı | Yöneticiler kullanıcı başına maksimum eş zamanlı oturum sayısı belirleyebilir |
| İptal | Kullanıcılar ve yöneticiler herhangi bir aktif oturumu anında iptal edebilir |
| Güvenli çerezler | Oturum tokenları HttpOnly, Secure, SameSite çerezlerinde saklanır |
API güvenliği
SetGet API'si her istekte kimlik doğrulama ve yetkilendirme uygular:
| Koruma | Detay |
|---|---|
| Kimlik doğrulama gerekli | Tüm API uç noktaları (genel sayfalar ve kimlik doğrulama rotaları hariç) geçerli bir oturum gerektirir |
| Hız sınırlaması | API uç noktaları kötüye kullanımları önlemek için hız sınırlıdır |
| Girdi doğrulama | Tüm girdiler işlenmeden önce doğrulanır ve temizlenir |
| CORS politikası | Çapraz kaynak istekleri izin verilen kaynaklarla sınırlıdır |
| CSRF koruması | Durum değiştiren istekler CSRF tokenları gerektirir |
Denetim ve uyumluluk
Etkinlik kaydı
SetGet, denetim amaçlı güvenlikle ilgili olayları kaydeder:
| Olay | Kaydedilen detaylar |
|---|---|
| Kullanıcı girişi | Zaman damgası, IP adresi, kimlik doğrulama yöntemi |
| Kullanıcı çıkışı | Zaman damgası |
| Başarısız giriş denemesi | Zaman damgası, IP adresi, denenen e-posta |
| Parola değişikliği | Zaman damgası, kullanıcı |
| MFA etkinleştirme/devre dışı bırakma | Zaman damgası, kullanıcı |
| Oturum iptali | Zaman damgası, iptal eden, hangi oturum |
| Üye rol değişikliği | Zaman damgası, değiştiren, eski rol, yeni rol |
| Çalışma alanı ayar değişikliği | Zaman damgası, değiştiren, hangi ayar |
Veri dışa aktarımı
Kullanıcılar kişisel verilerinin bir kopyasını talep edebilir, bunlar şunları içerir:
- Profil bilgileri
- Oluşturduğu iş ögeleri
- Gönderdiği mesajlar
- Yüklediği dosyalar
Bu, GDPR ve benzer veri koruma mevzuatı uyumluluğunu destekler.
Güvenlik yapılandırma kontrol listesi
Güvenli bir ortam kuran çalışma alanı yöneticileri için:
| Adım | Öncelik | Dokümantasyon |
|---|---|---|
| HTTPS'yi etkinleştir | Kritik | Altyapı kurulumu |
| OAuth sağlayıcıları yapılandır | Yüksek | OAuth Sağlayıcıları |
| SSO kur | Yüksek (kurumsal) | SSO |
| MFA'yı zorunlu kıl | Yüksek | MFA |
| Oturum zaman aşımını yapılandır | Orta | Oturum Yönetimi |
| Grup senkronizasyonu kur | Orta | Grup Senkronizasyonu |
| Üye rollerini gözden geçir | Orta | Roller ve İzinler |
| Bildirim tercihlerini yapılandır | Düşük | Bildirim Tercihleri |
UYARI
Güvenlik, en zayıf halkası kadar güçlüdür. MFA'yı etkinleştirmek, SSO yapılandırmak ve aktif oturumları düzenli olarak gözden geçirmek, çalışma alanınızı güvenli hale getirmek için yapabileceğiniz en etkili adımlardır.
İlgili sayfalar
- SSO — SAML tabanlı tek oturum açma yapılandırması
- Grup Senkronizasyonu — IdP gruplarını çalışma alanı rolleriyle eşlestirme
- MFA — Çok faktörlü kimlik doğrulama kurulumu ve zorunluluk
- Oturum Yönetimi — Aktif oturumları görüntüleme ve iptal etme
- OAuth Sağlayıcıları — Üçüncü taraf kimlik doğrulama yapılandırması
- Roller ve İzinler — Çalışma alanı ve proje rol tanımları
- Çalışma Alanı Üyeleri — Üye erişimini yönetme