Tek Oturum Açma (SSO), kurumsal ağları birbirine bağlayan temel unsur olarak hizmet eder ve tekrarlanan oturum açma kimlik bilgilerine gerek kalmadan çeşitli web uygulamalarına sorunsuz erişimi kolaylaştırır. Ancak, Kimlik Erişim Yönetimi ve Siber Güvenlik uzmanlarının istikrarlı bir SSO altyapısını sürdürmede her gün dünya çapında karşılaştıkları anlatılmamış birçok zorluk vardır. Bu makalede, Kimlik Erişim Yönetimi ve Güvenlik alanındaki kapsamlı deneyimimden yararlanarak, tutarlı bir şekilde çalışan ve beklenmedik arızalardan kaçınan istikrarlı bir SSO uygulaması için gerekli altyapıyı kurmak için kapsamlı bir yol gösterici sağlamayı amaçlıyorum.
SSO Nedir ve Nasıl Çalışır?
SSO, kullanıcıların tek bir tıklamayla bir uygulamadan diğerine geçmesine izin vererek hayatı kolaylaştırır, her seferinde oturum açma bilgilerini girmelerine gerek kalmaz. Birden fazla kapıyı açan sihirli bir anahtara sahip olmak gibidir! Temel olarak, bu oyunda iki ana oyuncu vardır: Kimlik Sağlayıcı (IDP) ve Hizmet Sağlayıcı (SP). IDP, zaten oturum açtığınız yerdir – başlangıç noktanız, SP ise gitmek istediğiniz yerdir – varış noktanızdır. Ve SSO söz konusu olduğunda, bunun gerçekleşebileceği iki popüler yol vardır: IDP tarafından başlatılan SSO ve SP tarafından başlatılan SSO.
Şekil 1: Farklı SSO Mekanizma Türleri
Her iki durumda da, IDP, SP’nin kimlik doğrulamasını doğruladığı bir kullanıcı tanımlayıcısı içeren bir Güvenlik İddiası İşaretleme Dili (SAML) belirteci yayınlar. SP, bu tanımlayıcıyı kullanarak kullanıcıyı veritabanında bulur ve oturum açma erişimi verir.
SSO’nun Temel Bileşenleri
Kullanıcı Sağlama
Sorunsuz bir SSO işleminin gerçekleşmesi için kullanıcının kimliğinin her iki sistemde de bulunması gerekir. Bu, iki yazılım sistemi arasında önceden proaktif bir veritabanı senkronizasyonu yoluyla yapılabilir veya Servis Sağlayıcısı tarafından bir SSO isteği alındığında talep üzerine yeni kullanıcılar sağlanabilir (aynı zamanda Tam Zamanında sağlama olarak da adlandırılır).
SAML (Güvenlik İddiası İşaretleme Dili) Belirteç Doğrulaması
SAML belirteci, belirteç oluşturma için bir imza, kullanıcı kimliği ve zaman damgası içerir. Özel-genel anahtar paylaşımlı sertifika, imzayı oluşturur ve öncesinde IDP ve SP yöneticileri arasında bir değişim gerektirir. IDP özel anahtarı, SP ise genel anahtarı tutar. Bir SAMLResponse aldıktan sonra SP, belirteci doğrulamak için genel anahtarını kullanarak imzayı doğrular. Zaman damgaları ayrıca, belirteci bir aracı saldırı yoluyla elde edebilecek kötü niyetli aktörler tarafından tekrarlama saldırılarını önlemek için incelenir.
Uygulamada Karşılaşılan Anlatılmamış Zorluklar
Tutarsız Terminoloji ve Uyumsuz İmzalar
Çeşitli SSO satıcıları çözümler sunar ve bazı firmalar kendi çözümlerini geliştirmeyi tercih eder. Bu çeşitlilik, satıcılar arasında tutarsız terminolojiye neden olur. Örneğin, SAMLResponse belirtecini alan URL (Şekil 1’deki 2. adım), Assertions Consumer URL, SAML Post URL ve SAMLResponse URL gibi çeşitli isimlerle anılır. Dahası, farklı satıcılar SAMLResponse belirtecini imzalamak için farklı yöntemler kullanır. Bazıları yalnızca yükü (kullanıcı tanımlayıcısı, zaman damgaları) imzalarken, diğerleri tüm belirteci imzalar. Hizmet Sağlayıcının (SP) ve Kimlik Sağlayıcının (IDP) imza beklentileri uyuşmazsa, SSO işlemleri başarısız olabilir.
Kurumsal Güvenlik Duvarı Yanlış Yapılandırması
Kurumsal ağlar trafiği bilinen IP aralıklarıyla sınırlar ve bir IDP veya SP’nin IP’si izin verilen listenin dışına çıkarsa SSO hatalarına neden olur. Ayrıca, kurumsal ağlardaki proxy’ler web trafiğini temizler ve bazen IDP ile SP arasındaki alışverişler sırasında eksik veya kayıp istek yüklerine neden olur ve SSO işlevselliğini daha da etkiler.
Saat Kayması
Saat Kayması, bir sunucunun saatinin doğal zamanla senkronizasyonunun bozulması ve gecikmeye başlamasıyla oluşan bir olgudur. SP veya IDP’nin kaymış sunucuları varsa, SAMLResponse belirtecinde yayınlanan zaman damgaları SP’ye eski görünür ve kötü niyetli olduğundan şüphelenip belirteci reddeder, bu da SSO’nun başarısız olmasına neden olur.
SSO işlemleri gerçekleşmeden önce SP ve IDP yöneticilerinin bu faktörleri bilmesi ve hesaba katması, SSO hatalarını gidermek için harcanan sayısız mühendislik saatinden tasarruf etmek açısından önemlidir.
SSO’yu Desteklemenin Genellikle Göz Ardı Edilen Diğer Yönleri
Uygunsuz Sertifika Yönetimi
IDP ve SP arasında değiştirilen özel-genel anahtar çiftlerinin güvenlik nedenleriyle son kullanma tarihleri vardır. Bir sertifikanın süresi dolduğunda, geçersiz imzalar nedeniyle SSO hatalarına neden olur ve pano ölçeğinde hizmet kullanılamamasına yol açar. Bunu önlemek için sertifikaların süresi dolmadan önce izlenmesi, yenilenmesi ve dağıtılması gerekir. Sertifikaların uygulama içinde değil, harici olarak depolanması kolay değiştirme ve doğrulama sağlar. Sertifikaların önbelleğe alınması, önbelleğin süresi dolduğunda geçersiz kılınmasıyla, getirme için G/Ç’yi en aza indirir.
Sorun Giderme Araçlarının Eksikliği
SSO, yeni ortakların katılımı için olmazsa olmazdır ve genellikle satış döngüsünün son adımı olarak gerçekleşir. Katılım genellikle teknik olmayan personel tarafından yönetilir, bu nedenle self servis araçları sağlamak onları güçlendirir ve süreci kolaylaştırır. SSO isteklerini ve yanıtlarını izleyen ve sorunları vurgulayan web tabanlı bir arayüz, daha sorunsuz katılımı kolaylaştırır.
Çözüm
Tek Oturum Açma, iş ortaklıklarını hızlandırır ve çevrimiçi hizmetlerin küresel çapta hızla benimsenmesini sağlar. Ancak, SSO altyapısını yönetmek karmaşık olabilir. Bu belge, dünya çapında SSO yönetimini basitleştirmek için önlemleri ana hatlarıyla belirtir.
yazar hakkında
Chetan Honnenahalli, American Express, Zoom ve Meta gibi şirketlerde 15 yılı aşkın sektör deneyimine sahip bir Siber Güvenlik ve Kimlik Erişim Yönetimi (IAM) uzmanıdır. Chetan’a çevrimiçi olarak https://www.linkedin.com/in/hschetan/ adresinden ulaşılabilir.