Kimlik & Erişim

SSO (Tek Oturum Açma)

👤 Güvenlik Uzmanı1/35 dk
İnteraktif sahne yükleniyor…
🎯 Neden önemli?

Bir çalışanın gün içinde onlarca farklı uygulamaya ayrı ayrı parola girmek zorunda kalması hem zaman kaybıdır hem de zayıf, tekrar eden parolalara yol açar; SSO bu kaosu tek bir güvenli girişle çözer.

Giriş

Merhaba, ben Güvenlik Uzmanı. Bu kartta modern kimlik yönetiminin temel taşı olan SSO'yu (Tek Oturum Açma / Single Sign-On) öğreniyoruz: ne olduğunu, kullanıcı tek girişle birçok uygulamaya nasıl eriştiğini ve iş yerinde hem güvenliği hem verimliliği neden artırdığını net biçimde inceleyeceğiz.

Anlatım

NEDİR? SSO (Single Sign-On / Tek Oturum Açma), kullanıcının kimliğini TEK BİR kez doğrulayıp, ardından ayrı ayrı parola girmeden birden çok farklı uygulamaya ve hizmete erişmesini sağlayan kimlik doğrulama yöntemidir. Kimlik doğrulama görevi, her uygulamadan alınıp merkezi bir kimlik sağlayıcıya (IdP — Identity Provider) devredilir. Örneğin kurumsal e-postaya giriş yapan bir çalışan, aynı oturumla İK portalına, dosya paylaşımına ve CRM'e tekrar parola sormadan erişebilir. NASIL ÇALIŞIR? SSO'da iki temel rol vardır: Kimlik Sağlayıcı (IdP — örn. Microsoft Entra ID/Azure AD, Okta, Google) ve Hizmet Sağlayıcı (SP — kullanıcının erişmek istediği uygulama). Akış adım adım şöyle ilerler: 1) Kullanıcı bir uygulamaya (SP) erişmek ister; henüz oturumu yoktur. 2) Uygulama kullanıcıyı kimlik sağlayıcıya (IdP) yönlendirir. 3) Kullanıcı IdP üzerinde kimliğini doğrular (parola + tercihen çok faktörlü doğrulama/MFA). 4) IdP, kullanıcı kimliğini taşıyan imzalı/şifreli bir güvenlik belirteci (token) üretir — SAML'de "assertion", OIDC'de "ID token". 5) Bu belirteç uygulamaya iletilir; uygulama belirtecin imzasını doğrular ve kullanıcıya parola sormadan erişim verir. 6) IdP'de açık bir oturum bulunduğu sürece, kullanıcı diğer uygulamalara geçtiğinde 2-5 adımları arka planda sessizce tekrarlanır; kullanıcı yeniden parola girmez. Bu akışın temelinde, parolanın asla tek tek uygulamalara değil, yalnızca güvenilen IdP'ye verilmesi yatar. Yaygın protokoller: kurumsal web uygulamaları için SAML 2.0, modern web/mobil için OAuth 2.0 üzerine kurulu OpenID Connect (OIDC), eski Windows ağlarında Kerberos. NEDEN ÖNEMLİ / İŞ YERİNDE SSO hem kullanıcı deneyimini hem güvenliği iyileştirir. Kullanıcı tarafında: hatırlanacak tek parola kalır, parola yorgunluğu ve zayıf/tekrar eden parola riski azalır. Kurum tarafında: kimlik doğrulama tek merkezde toplandığı için MFA, koşullu erişim ve parola politikaları TEK noktadan zorlanabilir. En kritik kazanım yaşam döngüsü yönetimidir: bir çalışan işten ayrıldığında tek IdP hesabı kapatılınca tüm bağlı uygulamalara erişim anında kesilir (deprovisioning) — onlarca sistemde tek tek hesap silmeye gerek kalmaz. Ayrıca tüm oturum açma olayları merkezi olarak kaydedilir, bu da denetim ve olay müdahalesi için değerlidir. DİKKAT / İYİ UYGULAMA SSO güçlü bir kolaylık sağlar ama kimlik sağlayıcıyı kritik bir tek hata/saldırı noktası haline getirir: IdP hesabı ele geçirilirse saldırgan bağlı tüm uygulamalara erişebilir. Bu yüzden SSO mutlaka güçlü MFA ile birleştirilmeli, IdP yöneticisi hesapları sıkı korunmalı ve oturum süreleri makul tutulmalıdır. SSO'yu, her oturumda yeniden kimlik doğrulayan parola yöneticisiyle karıştırmamak gerekir; ayrıca SSO, tek bir hesapla yeni hizmetlere KAYIT olmayı sağlayan "sosyal giriş"ten (social login) kavramsal olarak farklıdır.

📌 Senaryolar
📌 Örnek 1: Bir şirket çalışanı sabah kurumsal Microsoft hesabıyla bilgisayara giriş yapıyor; ardından gün boyu Outlook, SharePoint, Teams ve bir İK portalını parola sormadan açabiliyor. Açıklama: Bu klasik kurumsal SSO senaryosudur. Çalışan kimliğini yalnızca kimlik sağlayıcıya (Entra ID/Azure AD) bir kez kanıtlar. Her uygulama, IdP'nin ürettiği imzalı belirteci doğrulayarak kullanıcıyı tanır ve tekrar parola istemez. Parola yalnızca güvenilen IdP'ye verilir, tek tek uygulamalara değil.
📌 Örnek 2: Bir çalışan işten ayrılıyor ve BT ekibi yalnızca merkezi kimlik sağlayıcıdaki hesabını devre dışı bırakıyor. Açıklama: SSO sayesinde tek hesabın kapatılması, o çalışanın bağlı OLDUĞU tüm uygulamalara (e-posta, dosya, CRM, İK) erişimini anında keser. SSO olmasaydı yönetici onlarca farklı sistemde ayrı ayrı hesap silmek zorunda kalır, unutulan bir hesap güvenlik açığı bırakırdı. Bu, SSO'nun merkezi yaşam döngüsü yönetimi avantajının somut örneğidir.
📌 Örnek 3: Bir kurum SSO kullanıyor ama kimlik sağlayıcıda yalnızca parola doğrulaması var; bir saldırgan kimlik avı (phishing) ile bir çalışanın IdP parolasını ele geçiriyor. Açıklama: SSO'da tek IdP girişi tüm bağlı uygulamaları açtığından, ele geçen tek parola saldırgana geniş erişim verir — IdP kritik bir tek hata noktasıdır. İyi uygulama, SSO'yu mutlaka çok faktörlü doğrulama (MFA) ile birleştirmektir: parola çalınsa bile ikinci faktör (uygulama onayı/donanım anahtarı) olmadan giriş engellenir. Bu örnek, SSO'nun MFA olmadan neden yeterli olmadığını gösterir.
Özet

• SSO (Tek Oturum Açma), tek bir kimlik doğrulamayla birçok farklı uygulamaya parola sormadan erişimi sağlar. • Kimlik doğrulama, her uygulamadan alınıp merkezi bir kimlik sağlayıcıya (IdP) devredilir; parola yalnızca IdP'ye verilir. • IdP, imzalı bir güvenlik belirteci (SAML assertion / OIDC ID token) üretir; uygulamalar bu belirteci doğrulayarak kullanıcıyı tanır. • Yaygın protokoller: SAML 2.0, OpenID Connect (OAuth 2.0 üzerine), Kerberos. • Çalışan ayrılınca tek hesabın kapatılması tüm erişimleri keser; MFA ile birleştirilmediğinde IdP kritik bir tek hata noktasıdır.

✅ Mini-Test (3)
1.SSO (Tek Oturum Açma / Single Sign-On) temel olarak ne sağlar?
2.SSO kullanılan bir ortamda kimlik sağlayıcı (IdP) hesabı kritik bir tek hata noktası olduğundan, SSO'nun çok faktörlü doğrulama (MFA) ile birleştirilmesi önerilir.
3.SSO akışında kimliği bir kez doğrulayıp, uygulamaların güvendiği imzalı güvenlik belirtecini (token/assertion) üreten bileşen hangisidir?
← Tüm sözlük terimleri · Farkındalık eğitimi