Tek Oturum Açma (SSO)
Tek Oturum Açma (SSO), ekip üyelerinizin kuruluşunuzun mevcut kimlik sağlayıcısı (IdP) aracılığıyla SetGet'e kimlik doğrulaması yapmasına olanak tanır. SetGet, Okta, Azure Active Directory, Google Workspace, OneLogin, PingIdentity ve diğer kimlik sağlayıcılarıyla entegre olan SSO için SAML 2.0'ı destekler.
SSO neden kullanılır
| Fayda | Açıklama |
|---|---|
| Merkezileşmiş kimlik doğrulama | Tüm kullanıcı erişimini IdP'nizden yönetin — provizyon, deprovizyon ve politika uygulama için tek bir yer |
| Azaltılmış parola yorgunluğu | Kullanıcılar kurumsal kimlik bilgileriyle giriş yapar; ayrı bir SetGet parolası hatırlamaya gerek yoktur |
| Daha güçlü güvenlik | IdP'nizin güvenlik politikalarından yararlanın: MFA, koşullu erişim, cihaz güveni |
| Otomatik provizyon | Yeni kullanıcılar ilk SSO girişinde otomatik olarak SetGet'te oluşturulur |
| Uyumluluk | Merkezileşmiş kimlik doğrulama kayıtlarıyla kurumsal denetim gereksinimlerini karşılayın |
Ön koşullar
SSO yapılandırmadan önce şu koşulları sağlayın:
- Sahip veya Yönetici rolüne sahip bir SetGet çalışma alanı
- Kuruluşunuzun SAML 2.0 kimlik sağlayıcı yönetim konsoluna erişim
- IdP'nizde yeni bir SAML uygulaması oluşturma yetkisi
SetGet SP metadata
SetGet, SAML Servis Sağlayıcı (SP) olarak görev yapar. IdP'nizde SAML uygulamasını yapılandırırken aşağıdaki değerlere ihtiyacınız olacaktır:
| Alan | Değer |
|---|---|
| Varlık Kimliği (SP Entity ID) | https://setget-alaniniz.com/auth/saml/metadata |
| ACS URL (Assertion Consumer Service) | https://setget-alaniniz.com/auth/saml/callback |
| SLO URL (Tek Çıkış) | https://setget-alaniniz.com/auth/saml/logout (isteğe bağlı) |
| Ad Kimliği formatı | urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress |
| Bağlama | HTTP-POST |
İPUCU
setget-alaniniz.com yerine gerçek SetGet sunucu alan adınızı yazın. Tam URL'lerden emin değilseniz, SP metadata değerlerinin gösterildiği Çalışma Alanı Ayarları > Güvenlik > SSO bölümünü kontrol edin.
Kimlik sağlayıcı kurulumu
Tam adımlar IdP'ye göre değişir, ancak genel süreç şu şekildedir:
Adım 1: SAML uygulaması oluşturun
IdP yönetim konsolunuzda yeni bir SAML 2.0 uygulaması oluşturun. Yaygın IdP talimatları:
| Kimlik Sağlayıcı | Nerede oluşturulur |
|---|---|
| Okta | Uygulamalar > Uygulama Entegrasyonu Oluştur > SAML 2.0 |
| Azure AD | Kurumsal Uygulamalar > Yeni Uygulama > Kendi uygulamanızı oluşturun |
| Google Workspace | Uygulamalar > Web ve mobil uygulamalar > Uygulama ekle > Özel SAML uygulaması ekle |
| OneLogin | Uygulamalar > Uygulama Ekle > SAML Özel Bağlayıcı |
| PingIdentity | Bağlantılar > Uygulamalar > Uygulama Ekle |
Adım 2: SAML ayarlarını yapılandır
Yukarıdaki tablodaki SetGet SP metadata değerlerini girin:
- ACS URL'yi ayarlayın (Yanıt URL veya Tek Oturum Açma URL olarak da adlandırılır).
- Varlık Kimliği'ni ayarlayın (Hedef Kitle URI veya Tanımlayıcı olarak da adlandırılır).
- Ad Kimliği formatı'nı E-posta olarak ayarlayın.
- Bağlama'yı HTTP-POST olarak ayarlayın.
Adım 3: Öznitelik eşlemesini yapılandır
SetGet, doğrulamada (assertion) aşağıdaki SAML özniteliklerini bekler:
| SAML özniteliği | Eşleştiği alan | Zorunlu |
|---|---|---|
email veya NameID | Kullanıcı e-posta adresi | Evet |
first_name veya givenName | Kullanıcının adı | Önerilen |
last_name veya surname | Kullanıcının soyadı | Önerilen |
display_name | Kullanıcının görünen adı | İsteğe bağlı (ad + soyad'dan oluşturulur) |
UYARI
email özniteliği (veya e-posta formatında NameID) zorunludur. Bu olmadan SetGet kullanıcıyı tanımlayamaz. IdP'nizin SAML doğrulamasında e-postayı gönderdiğinden emin olun.
Adım 4: IdP metadata'sını indirin
IdP'nizden aşağıdakileri indirin veya kopyalayın:
| Öge | Açıklama |
|---|---|
| IdP Varlık Kimliği | Kimlik sağlayıcınız için benzersiz tanımlayıcı |
| SSO URL | SetGet'in SAML kimlik doğrulama isteklerini gönderdiği URL |
| Sertifika | SAML doğrulama imzalarını doğrulamak için kullanılan X.509 sertifikası |
| Metadata XML (isteğe bağlı) | Yukarıdakilerin tümünü içeren tek bir XML dosyası |
SetGet'te SSO yapılandırması
- SetGet'e çalışma alanı Sahibi veya Yöneticisi olarak giriş yapın.
- Çalışma Alanı Ayarları > Güvenlik > SSO bölümüne gidin.
- SSO Yapılandır veya SSO Yapılandırmasını Düzenle'ye tıklayın.
- IdP detaylarını girin:
| Alan | Ne girilmeli |
|---|---|
| IdP Varlık Kimliği | IdP'nizdeki varlık kimliği |
| SSO URL | IdP'nizdeki tek oturum açma URL'si |
| Sertifika | X.509 sertifikasını yapıştırın (PEM formatı) |
| Metadata XML | Alternatif olarak, tüm alanları otomatik doldurmak için metadata XML'yi yükleyin veya yapıştırın |
- Yapılandırmayı Kaydet'e tıklayın.
- Bağlantıyı doğrulamak için SSO'yu Test Et'e tıklayın.
Test, yeni bir tarayıcı sekmesinde bir SAML akışı başlatır. Başarılı olursa, kimlik doğrulanmış kullanıcının öznitelikleriyle bir onay mesajı görürsünüz.
UYARI
SSO'yu zorunlu kılmadan önce her zaman test edin. SSO yanlış yapılandırılmış ve zorunlu kılınmışsa, çalışma alanı üyeleri (yöneticiler dahil) kilitlenebilir.
Öznitelik eşleme
Temel yapılandırmayı kaydettikten sonra, öznitelik eşlemesinin doğru olduğunu doğrulayın:
- SSO ayarlarında Öznitelik Eşleme'ye tıklayın.
- Eşlemeleri gözden geçirin:
| SetGet alanı | Beklenen SAML özniteliği | Yedek |
|---|---|---|
| E-posta | email, NameID | Yok (zorunlu) |
| Görünen ad | display_name, displayName | Ad + soyad'dan oluşturulur |
| Ad | first_name, givenName | Görünen addan çıkarılır |
| Soyad | last_name, surname, sn | Görünen addan çıkarılır |
- IdP'niz farklı öznitelik adları kullanıyorsa, eşlemeleri buna göre güncelleyin.
- Kaydet'e tıklayın.
SSO zorunluluğu
Varsayılan olarak, SSO, e-posta/parola ve OAuth ile birlikte isteğe bağlı bir giriş yöntemi olarak mevcuttur. Tüm üyelerin IdP aracılığıyla kimlik doğrulaması yapmasını gerektirmek için SSO'yu zorunlu kılabilirsiniz:
Zorunluluğu etkinleştir
- Çalışma Alanı Ayarları > Güvenlik > SSO bölümüne gidin.
- SSO'yu Zorunlu Kıl seçeneğini açın.
- İşlemi onaylayın.
Zorunluluk davranışı
| Senaryo | Zorunlulukla davranış |
|---|---|
| Mevcut üye giriş yapar | IdP'ye yönlendirilir; e-posta/parola formu gizlenir |
| Yeni kullanıcı giriş sayfasını ziyaret eder | Yalnızca SSO seçeneği gösterilir |
| Parola sıfırlama isteği | Devre dışı (parolalar kullanılmaz) |
| OAuth ile giriş | Devre dışı (yalnızca SSO'ya izin verilir) |
| Sihirli bağlantı ile giriş | Devre dışı (yalnızca SSO'ya izin verilir) |
| API token kimlik doğrulama | Hala izin verilir (tokenlar SSO'yu atlar) |
UYARI
SSO'yu zorunlu kılmadan önce, en az bir çalışma alanı sahibinin IdP aracılığıyla başarıyla kimlik doğrulama yapabildiğinden emin olun. Zorunluluk sonrası SSO yanlış yapılandırılmışsa, zorunluluğu sunucu düzeyinde devre dışı bırakmak için sunucu yöneticinize başvurun.
Acil erişim
SSO zorunluluğu tüm yöneticileri kilitlerse:
- Bir sunucu yöneticisi yönetim paneline doğrudan erişebilir.
- Yönetim panelinde çalışma alanı SSO ayarlarına gidin.
- SSO zorunluluğunu devre dışı bırakın.
- SSO yapılandırmasını düzeltip zorunluluğu yeniden etkinleştirin.
SSO + yerel kimlik doğrulama birlikte kullanımı
SSO zorunlu kılınmadıysa, hem SSO hem de yerel kimlik doğrulama yöntemleri aynı anda çalışır:
| Giriş yöntemi | Mevcut |
|---|---|
| E-posta + parola | Evet |
| Sihirli bağlantı | Evet |
| OAuth (Google, GitHub, vb.) | Evet (yapılandırılmışsa) |
| SSO (SAML) | Evet |
Kullanıcılar tercih ettikleri yöntemi seçebilir. Bir kullanıcı ilk kez SSO ile giriş yapar ve aynı e-postayla oluşturulmuş bir hesap (e-posta/parola ile) zaten varsa, hesaplar otomatik olarak bağlanır.
Hesap bağlama
| Senaryo | Davranış |
|---|---|
| SSO ile yeni e-posta | Yeni hesap otomatik olarak oluşturulur |
| SSO ile mevcut e-posta | Mevcut hesap SSO kimliğine bağlanır |
| SSO kullanıcısı e-posta/parola dener | İzin verilir (zorunluluk kapalıysa) |
| E-posta/parola kullanıcısı SSO dener | İzin verilir; hesaplar birleştirilir |
Anlık provizyon
Bir kullanıcı ilk kez SSO ile kimlik doğrulaması yapar ve mevcut bir SetGet hesabı yoksa, SetGet otomatik olarak bir hesap oluşturur. Buna anlık (JIT) provizyon denir:
- Kullanıcının e-postası, adı ve görünen adı SAML doğrulamasından doldurulur.
- Kullanıcı varsayılan olarak Üye rolüyle çalışma alanına eklenir.
- Manuel davet gerekmez.
Rolleri otomatik olarak atamak için Grup Senkronizasyonu sayfasına bakın.
Sorun giderme
| Sorun | Olası neden | Çözüm |
|---|---|---|
| "Geçersiz SAML yanıtı" hatası | Sertifika uyumsuzluğu | IdP sertifikasını yeniden indirip SetGet'te güncelleyin |
| Kullanıcı öznitelikleri eksik | Öznitelik eşleme hatalı | IdP'deki öznitelik adlarının SetGet beklentileriyle eşleştiğini doğrulayın |
| SSO döngüsü (IdP'ye geri yönlendirir) | ACS URL yanlış yapılandırılmış | IdP'nizdeki ACS URL'nin tam olarak eşleştiğini doğrulayın |
| Kullanıcı adsız oluşturuldu | Ad öznitelikleri gönderilmemiş | IdP öznitelik dağıtımına first_name ve last_name ekleyin |
| Zorunluluk sonrası kilitlenme | SSO yanlış yapılandırılmış | Zorunluluğu devre dışı bırakmak için sunucu yönetim panelini kullanın |
İlgili sayfalar
- Güvenlik Genel Bakışı — Kimlik doğrulama ve yetkilendirme genel bakışı
- Grup Senkronizasyonu — IdP gruplarını çalışma alanı rolleriyle eşlestirme
- MFA — Çok faktörlü kimlik doğrulama
- OAuth Sağlayıcıları — Üçüncü taraf kimlik doğrulama
- Oturum Yönetimi — Aktif oturumları yönetme