Tek Oturum Acma (SSO)
Tek Oturum Acma (SSO), ekip uyelerinizin kurulusunuzun mevcut kimlik saglayicisi (IdP) araciligiyla SetGet'e kimlik dogrulamasi yapmasina olanak tanir. SetGet, Okta, Azure Active Directory, Google Workspace, OneLogin, PingIdentity ve diger kimlik saglayicilariyla entegre olan SSO icin SAML 2.0'i destekler.
SSO neden kullanilir
| Fayda | Aciklama |
|---|---|
| Merkezilesmis kimlik dogrulama | Tum kullanici erisimini IdP'nizden yonetin — provizyon, deprovizyon ve politika uygulama icin tek bir yer |
| Azaltilmis parola yorgunlugu | Kullanicilar kurumsal kimlik bilgileriyle giris yapar; ayri bir SetGet parolasi hatirlamaya gerek yoktur |
| Daha guclu guvenlik | IdP'nizin guvenlik politikalarindan yararlanin: MFA, kosullu erisim, cihaz guveni |
| Otomatik provizyon | Yeni kullanicilar ilk SSO girisinde otomatik olarak SetGet'te olusturulur |
| Uyumluluk | Merkezilesmis kimlik dogrulama kayitlariyla kurumsal denetim gereksinimlerini karsilayin |
On kosullar
SSO yapilandirmadan once su kosullari saglayin:
- Sahip veya Yonetici rolune sahip bir SetGet calisma alani
- Kurulusunuzun SAML 2.0 kimlik saglayici yonetim konsoluna erisim
- IdP'nizde yeni bir SAML uygulamasi olusturma yetkisi
SetGet SP metadata
SetGet, SAML Servis Saglayici (SP) olarak gorev yapar. IdP'nizde SAML uygulamasini yapilandirirken asagidaki degerlere ihtiyaciniz olacaktir:
| Alan | Deger |
|---|---|
| Varlik Kimligi (SP Entity ID) | https://setget-alaniniz.com/auth/saml/metadata |
| ACS URL (Assertion Consumer Service) | https://setget-alaniniz.com/auth/saml/callback |
| SLO URL (Tek Cikis) | https://setget-alaniniz.com/auth/saml/logout (istege bagli) |
| Ad Kimligi formati | urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress |
| Baglama | HTTP-POST |
TIP
setget-alaniniz.com yerine gercek SetGet sunucu alan adinizi yazin. Tam URL'lerden emin degilseniz, SP metadata degerlerinin gosterildigi Calisma Alani Ayarlari > Guvenlik > SSO bolumunu kontrol edin.
Kimlik saglayici kurulumu
Tam adimlar IdP'ye gore degisir, ancak genel surec su sekildedir:
Adim 1: SAML uygulamasi olusturun
IdP yonetim konsolunuzda yeni bir SAML 2.0 uygulamasi olusturun. Yaygin IdP talimatlari:
| Kimlik Saglayici | Nerede olusturulur |
|---|---|
| Okta | Uygulamalar > Uygulama Entegrasyonu Olustur > SAML 2.0 |
| Azure AD | Kurumsal Uygulamalar > Yeni Uygulama > Kendi uygulamanizi olusturun |
| Google Workspace | Uygulamalar > Web ve mobil uygulamalar > Uygulama ekle > Ozel SAML uygulamasi ekle |
| OneLogin | Uygulamalar > Uygulama Ekle > SAML Ozel Baglayici |
| PingIdentity | Baglantilar > Uygulamalar > Uygulama Ekle |
Adim 2: SAML ayarlarini yapilandir
Yukaridaki tablodaki SetGet SP metadata degerlerini girin:
- ACS URL'yi ayarlayin (Yanit URL veya Tek Oturum Acma URL olarak da adlandirilir).
- Varlik Kimligi'ni ayarlayin (Hedef Kitle URI veya Tanimlayici olarak da adlandirilir).
- Ad Kimligi formati'ni E-posta olarak ayarlayin.
- Baglama'yi HTTP-POST olarak ayarlayin.
Adim 3: Oznitelik eslemesini yapilandir
SetGet, dogrulamada (assertion) asagidaki SAML ozniteliklerini bekler:
| SAML ozniteligi | Eslestigi alan | Zorunlu |
|---|---|---|
email veya NameID | Kullanici e-posta adresi | Evet |
first_name veya givenName | Kullanicinin adi | Onerilen |
last_name veya surname | Kullanicinin soyadi | Onerilen |
display_name | Kullanicinin gorunen adi | Istege bagli (ad + soyad'dan olusturulur) |
WARNING
email ozniteligi (veya e-posta formatinda NameID) zorunludur. Bu olmadan SetGet kullaniciyi tanimlayamaz. IdP'nizin SAML dogrulamasinda e-postayi gonderdiginden emin olun.
Adim 4: IdP metadata'sini indirin
IdP'nizden asagidakileri indirin veya kopyalayin:
| Oge | Aciklama |
|---|---|
| IdP Varlik Kimligi | Kimlik saglayiciniz icin benzersiz tanimlayici |
| SSO URL | SetGet'in SAML kimlik dogrulama isteklerini gonderdigi URL |
| Sertifika | SAML dogrulama imzalarini dogrulamak icin kullanilan X.509 sertifikasi |
| Metadata XML (istege bagli) | Yukaridakilerin tumunu iceren tek bir XML dosyasi |
SetGet'te SSO yapilandirmasi
- SetGet'e calisma alani Sahibi veya Yoneticisi olarak giris yapin.
- Calisma Alani Ayarlari > Guvenlik > SSO bolumune gidin.
- SSO Yapilandir veya SSO Yapilandirmasini Duzenle'ye tiklayin.
- IdP detaylarini girin:
| Alan | Ne girilmeli |
|---|---|
| IdP Varlik Kimligi | IdP'nizdeki varlik kimligi |
| SSO URL | IdP'nizdeki tek oturum acma URL'si |
| Sertifika | X.509 sertifikasini yapistin (PEM formati) |
| Metadata XML | Alternatif olarak, tum alanlari otomatik doldurmak icin metadata XML'yi yukleyin veya yapistin |
- Yapilandirmayi Kaydet'e tiklayin.
- Baglantiyi dogrulamak icin SSO'yu Test Et'e tiklayin.
Test, yeni bir tarayici sekmesinde bir SAML akisi baslatir. Basarili olursa, kimlik dogrulanmis kullanicinin oznitelikleriyle bir onay mesaji gorursunuz.
WARNING
SSO'yu zorunlu kilmadan once her zaman test edin. SSO yanlis yapilandirilmis ve zorunlu kilinmissa, calisma alani uyeleri (yoneticiler dahil) kilitlenebilir.
Oznitelik esleme
Temel yapilandirmayi kaydettikten sonra, oznitelik eslemesinin dogru oldugunu dogrulayin:
- SSO ayarlarinda Oznitelik Esleme'ye tiklayin.
- Eslemeleri gozden gecirin:
| SetGet alani | Beklenen SAML ozniteligi | Yedek |
|---|---|---|
| E-posta | email, NameID | Yok (zorunlu) |
| Gorunen ad | display_name, displayName | Ad + soyad'dan olusturulur |
| Ad | first_name, givenName | Gorunen addan cikarilir |
| Soyad | last_name, surname, sn | Gorunen addan cikarilir |
- IdP'niz farkli oznitelik adlari kullaniyorsa, eslemeleri buna gore guncelleyin.
- Kaydet'e tiklayin.
SSO zorunlulugu
Varsayilan olarak, SSO, e-posta/parola ve OAuth ile birlikte istege bagli bir giris yontemi olarak mevcuttur. Tum uyelerin IdP araciligiyla kimlik dogrulamasi yapmasini gerektirmek icin SSO'yu zorunlu kilabilirsiniz:
Zorunlulugu etkinlestir
- Calisma Alani Ayarlari > Guvenlik > SSO bolumune gidin.
- SSO'yu Zorunlu Kil secenegini acin.
- Islemi onaylayin.
Zorunluluk davranisi
| Senaryo | Zorunlulukla davranis |
|---|---|
| Mevcut uye giris yapar | IdP'ye yonlendirilir; e-posta/parola formu gizlenir |
| Yeni kullanici giris sayfasini ziyaret eder | Yalnizca SSO secenegi gosterilir |
| Parola sifirlama istegi | Devre disi (parolalar kullanilmaz) |
| OAuth ile giris | Devre disi (yalnizca SSO'ya izin verilir) |
| Sihirli baglanti ile giris | Devre disi (yalnizca SSO'ya izin verilir) |
| API token kimlik dogrulama | Hala izin verilir (tokenlar SSO'yu atlar) |
WARNING
SSO'yu zorunlu kilmadan once, en az bir calisma alani sahibinin IdP araciligiyla basariyla kimlik dogrulama yapabildiginden emin olun. Zorunluluk sonrasi SSO yanlis yapilandirilmissa, zorunlulugu sunucu duzeyinde devre disi birakmak icin sunucu yoneticinize basvurun.
Acil erisim
SSO zorunlulugu tum yoneticileri kilitlerse:
- Bir sunucu yoneticisi yonetim paneline dogrudan erisebilir.
- Yonetim panelinde calisma alani SSO ayarlarina gidin.
- SSO zorunlulugunu devre disi birakin.
- SSO yapilandirmasini duzeltip zorunlulugu yeniden etkinlestirin.
SSO + yerel kimlik dogrulama birlikte kullanimi
SSO zorunlu kilinmadiysa, hem SSO hem de yerel kimlik dogrulama yontemleri ayni anda calisir:
| Giris yontemi | Mevcut |
|---|---|
| E-posta + parola | Evet |
| Sihirli baglanti | Evet |
| OAuth (Google, GitHub, vb.) | Evet (yapilandirilmissa) |
| SSO (SAML) | Evet |
Kullanicilar tercih ettikleri yontemi secebilir. Bir kullanici ilk kez SSO ile giris yapar ve ayni e-postayla olusturulmus bir hesap (e-posta/parola ile) zaten varsa, hesaplar otomatik olarak baglanir.
Hesap baglama
| Senaryo | Davranis |
|---|---|
| SSO ile yeni e-posta | Yeni hesap otomatik olarak olusturulur |
| SSO ile mevcut e-posta | Mevcut hesap SSO kimligine baglanir |
| SSO kullanicisi e-posta/parola dener | Izin verilir (zorunluluk kapaliysa) |
| E-posta/parola kullanicisi SSO dener | Izin verilir; hesaplar birlestirilir |
Anlik provizyon
Bir kullanici ilk kez SSO ile kimlik dogrulamasi yapar ve mevcut bir SetGet hesabi yoksa, SetGet otomatik olarak bir hesap olusturur. Buna anlik (JIT) provizyon denir:
- Kullanicinin e-postasi, adi ve gorunen adi SAML dogrulamasindan doldurulur.
- Kullanici varsayilan olarak Uye roluyle calisma alanina eklenir.
- Manuel davet gerekmez.
Rolleri otomatik olarak atamak icin Grup Senkronizasyonu sayfasina bakin.
Sorun giderme
| Sorun | Olasi neden | Cozum |
|---|---|---|
| "Gecersiz SAML yaniti" hatasi | Sertifika uyumsuzlugu | IdP sertifikasini yeniden indirip SetGet'te guncelleyin |
| Kullanici oznitelikleri eksik | Oznitelik esleme hatali | IdP'deki oznitelik adlarinin SetGet beklentileriyle eslestigini dogrulayin |
| SSO dongusu (IdP'ye geri yonlendirir) | ACS URL yanlis yapilandirilmis | IdP'nizdeki ACS URL'nin tam olarak eslestigini dogrulayin |
| Kullanici adsiz olusturuldu | Ad oznitelikleri gonderilmemis | IdP oznitelik dagitimina first_name ve last_name ekleyin |
| Zorunluluk sonrasi kilitlenme | SSO yanlis yapilandirilmis | Zorunlulugu devre disi birakmak icin sunucu yonetim panelini kullanin |
Ilgili sayfalar
- Guvenlik Genel Bakisi — Kimlik dogrulama ve yetkilendirme genel bakisi
- Grup Senkronizasyonu — IdP gruplarini calisma alani rolleriyle eslestirme
- MFA — Cok faktorlu kimlik dogrulama
- OAuth Saglayicilari — Ucuncu taraf kimlik dogrulama
- Oturum Yonetimi — Aktif oturumlari yonetme