Trace Id is missing
Ana içeriğe atla
Microsoft Güvenlik

OIDC nedir?

Dijital kaynaklara erişmek için oturum açtıklarında kullanıcı kimliklerini doğrulayan bir kimlik doğrulama protokolü olan OpenID Connect (OIDC) hakkında bilgi edinin.

OpenID Connect (OIDC) tanımlandı

OpenID Connect (OIDC), dijital hizmetlere erişmek için oturum açtıklarında kullanıcıların kimliğini doğrulama ve onları yetkilendirme sürecini standartlaştırmaya yönelik açık yetkilendirme (OAuth) 2.0 uzantısı olan bir kimlik doğrulama protokolüdür. OIDC, kullanıcıların söyledikleri kişi olduğunu doğrulama anlamına gelen kimlik doğrulaması sağlar. OAuth 2.0, bu kullanıcıların erişmesine izin verilen sistemleri yetkilendirir. OAuth 2.0 genellikle ilgisiz iki uygulamanın kullanıcı verilerinin güvenliğini tehlikeye atmadan bilgi paylaşmasını sağlamak için kullanılır. Örneğin, birçok kişi yeni bir kullanıcı adı ve parola oluşturmak yerine e-postalarını veya sosyal medya hesaplarını kullanarak üçüncü taraf bir sitede oturum açıyor. OIDC, çoklu oturum açma sağlamak için de kullanılır. Kuruluşlar, kimliklerin birincil doğrulayıcı olarak Microsoft Entra ID (eski adıyla Azure Active Directory) gibi güvenli bir kimlik ve erişim yönetimi (IAM) sistemi kullanabilir ve ardından OIDC'yi kullanarak bu kimlik doğrulamasını diğer uygulamalara geçirebilir. Bu şekilde, kullanıcıların birden çok uygulamaya erişmek için bir kullanıcı adı ve parolayla yalnızca bir kez oturum açması gerekir.

 

 

OIDC’nin temel bileşenleri

OIDC'de altı birincil bileşen vardır:

  • Kimlik doğrulaması, kullanıcının söylediği kişi olduğunu doğrulama işlemidir.

  • Web sitesi veya uygulama gibi bir istemci, bir kullanıcının kimliğini doğrulamak veya kaynağa erişmek için kullanılan belirteçleri isteyen yazılımdır.

  • Bağlı olan taraflar, kullanıcıların kimliğini doğrulamak için OpenID sağlayıcılarını kullanan uygulamalardır.  

  • Kimlik belirteçleri, kimlik doğrulama işleminin sonucu, kullanıcının tanımlayıcısı ve kullanıcının kimliğinin nasıl ve ne zaman doğrulanmış olduğuyla ilgili bilgiler de dahil olmak üzere kimlik verilerini içerir. 

  • OpenID sağlayıcıları, kullanıcının zaten hesabı olan uygulamalardır. OIDC'deki rolleri, kullanıcının kimliğini doğrulamak ve bu bilgileri bağlı olan tarafa iletmektir.

  • Kullanıcılar, yeni bir hesap oluşturmadan veya kullanıcı adı ve parola sağlamadan bir uygulamaya erişmek isteyen kişiler veya hizmetlerdir. 

 

OIDC kimlik doğrulaması nasıl çalışır?

OIDC kimlik doğrulaması, kullanıcıların bir uygulamada oturum açmasına ve başka bir uygulamaya erişim elde etmesine olanak sağlayarak çalışır. Örneğin, bir kullanıcı bir haber sitesinde hesap oluşturmak isterse, yeni bir hesap oluşturmak yerine hesabını oluşturmak için Facebook’u kullanma seçeneğine sahip olabilir. Facebook'u tercih ederse OIDC kimlik doğrulaması kullanıyordur. OpenID sağlayıcısı olarak bilinen Facebook, kimlik doğrulama işlemini yönetir ve kullanıcı profili gibi belirli bilgileri bağlı taraf olan haber sitesine sağlamak için kullanıcının onayını alır. 

Kimlik belirteçleri 

OpenID sağlayıcısı, kimlik doğrulama sonuçlarını ve ilgili bilgileri bağlı olan tarafa iletmek için kimlik belirteçlerini kullanır. Gönderilen veri türüne örnek olarak kimlik, e-posta adresi ve ad verilebilir.

Kapsamlar

Kapsamlar, kullanıcının erişimiyle neler yapabileceğini tanımlar. OIDC; belirteci oluşturulduğu bağlı olan taraf, belirtecin ne zaman oluşturulduğu, belirtecin ne zaman sona ereceği ve kullanıcının kimliğini doğrulamak için kullanılan şifreleme gücü gibi şeyleri tanımlayan standart kapsamlar sağlar. 

Tipik bir OIDC kimlik doğrulama işlemi aşağıdaki adımları içerir:

  1. Kullanıcı, erişmek istediği uygulamaya (bağlı olan taraf) gider.
  2. Kullanıcı, kullanıcı adını ve parolasını yazar.
  3. Bağlı olan taraf, OpenID sağlayıcısına bir istek gönderir.
  4. OpenID sağlayıcısı kullanıcının kimlik bilgilerini doğrular ve yetkilendirme edinir.
  5. OpenID sağlayıcısı bağlı olan tarafa bir kimlik belirteci ve genellikle bir erişim belirteci gönderir.
  6. Bağlı olan taraf, erişim belirtecini kullanıcının cihazına gönderir.
  7. Kullanıcıya, erişim belirtecinde ve bağlı olan tarafta sağlanan bilgilere dayanarak erişim izni verilir. 

OIDC akışları nelerdir?

OIDC akışları, belirteçlerin nasıl talep edildiğini ve bağlı olan tarafa nasıl teslim edildiğini tanımlar. Bazı örnekler şunlardır:

  • OIDC yetkilendirme akışları: OpenID sağlayıcısı, bağlı olan tarafa benzersiz bir kod gönderir. Ardından bağlı olan taraf, benzersiz kodu belirteç karşılığında OpenID sağlayıcısına geri gönderir. Bu yöntem, OpenID sağlayıcısının belirteci göndermeden önce bağlı olan tarafı doğrulayabilmesi için kullanılır. Tarayıcı, belirteci bu yöntemde göremez ve bu da güvende tutulmasına yardımcı olur.

  • PKCE uzantısıyla OIDC yetkilendirme akışları: Bu akış, karma olarak iletişim göndermek üzere kod değişimi (PKCE) uzantısı için ortak anahtar kullanması dışında OIDC yetkilendirme akışıyla aynıdır. Bu, belirteci engelleme olasılığını azaltır.

  • İstemci kimlik bilgileri: Bu akış, uygulamanın kimliğini kullanarak web API'lerine erişim sağlar. Genellikle kullanıcı etkileşimi gerektirmeden sunucudan sunucuya iletişim ve otomatik betikler için kullanılır.

  • Cihaz kodu: Bu akış, kullanıcıların tarayıcıları olmayan veya akıllı TV gibi kötü bir klavye deneyimine sahip olan internete bağlı cihazlarda oturum açmasını ve web tabanlı API'lere erişmesini sağlar. 

Tarayıcı tabanlı uygulamalar için tasarlanmış OIDC örtük akışı gibi ek akışlar, güvenlik riski oluşturduğundan önerilmez.

OIDC ile OAuth 2.0 karşılaştırması

OIDC, kimlik doğrulaması eklemek için OAuth 2.0 temel alınarak geliştirilmiştir. Önce OAuth 2.0 protokolü geliştirilmiştir ve ardından OIDC, özelliklerini artırmak için eklenmiştir. Bu ikisi arasındaki fark, OAuth 2.0 yetkilendirme sağlarken OIDC'nin kimlik doğrulaması sağlamasıdır. OAuth 2.0, kullanıcıların bir OpenID sağlayıcısıyla hesaplarını kullanarak bağlı olan tarafa erişim elde etmesini sağlar ve OIDC, OpenID sağlayıcısının bağlı olan tarafa bir kullanıcı profili iletmesini sağlar. OIDC ayrıca kuruluşların kullanıcılarına çoklu oturum açma özelliği sunmasına da olanak tanır.

 

 

OIDC kimlik doğrulamasının avantajları

OIDC, kullanıcıların uygulamalara erişmesi için gereken hesap sayısını azaltarak hem bireylere hem de kuruluşlara çeşitli avantajlar sunar:

  • Çalınmış parola riskini azaltır

    Kişilerin iş ve kişisel yaşamları için ihtiyaç duydukları uygulamalara erişmek üzere birden çok parola kullanması gerektiğinde, genellikle Parola1234! gibi kolay hatırlanabilir parolalar seçerler ve aynı parolayı çeşitli hesaplarda kullanırlar. Bu, kötü niyetli bir aktörün parolayı tahmin etmesi riskini artırır. Böylece bir hesabın parolasını bildiğinde diğer hesaplara da erişebilir. Birinin ezberlemesi gereken parola sayısının azaltılması, o kişinin daha güçlü ve daha güvenli bir parola kullanması olasılığını artırır.

  • Güvenlik denetimlerini geliştirir

    Kuruluşlar, kimlik doğrulamasını tek bir uygulamada merkezi hale getirerek, güçlü erişim denetimleri ile çeşitli uygulamalar arasında erişimi de koruyabilir. OIDC, iki faktörlü ve çok faktörlü kimlik doğrulamasını destekler. Bu, kişilerin kimliklerini şunlardan en az ikisini kullanarak doğrulamasını gerektirir:

    • Genellikle parola gibi yalnızca kullanıcının bildiği bir şey.

    • Güvenilen bir cihaz veya kolayca çoğaltılamayacak bir belirteç gibi sahip olduğu bir şey. 

    • Parmak izi veya yüz tarama gibi kullanıcının biyolojik özellerinin kullanılması.

    Çok faktörlü kimlik doğrulaması, hesap güvenliğinin tehlikeye atılması riskini azaltmak için kanıtlanmış bir yöntemdir. Kuruluşlar ayrıca birden çok uygulamada ayrıcalıklı erişim yönetimi, parola koruması, oturum açma güvenliği veya kimlik koruması gibi diğer güvenlik önlemlerini uygulamak için de OIDC'yi kullanabilir. 

  • Kullanıcı deneyimini basitleştirir

    Gün boyunca birden çok hesapta oturum açmak, kişiler için zaman alıcı ve can sıkıcı olabilir. Ayrıca parolayı kaybeder veya unuturlarsa sıfırlamak üretkenliği daha da sekteye uğratabilir. Çalışanlarına çoklu oturum açma sağlamak için OIDC’yi kullanan işletmeler, iş güçlerinin uygulamalara erişmeye çalışmak yerine verimli çalışmalara daha fazla zaman harcadığından emin olmaya yardımcı olur. Kuruluşlar ayrıca, kişilerin Microsoft, Facebook veya Google hesaplarını kullanarak oturum açmasına izin verirse müşterilerin hizmetlerine kaydolma ve hizmetlerini kullanma olasılıklarını da daha yüksek hale getirir. 

  • Kimlik doğrulamasını standartlaştırır

    OIDC'yi, Microsoft ve Google gibi yüksek profilli markaları içeren OpenID Foundation geliştirmiştir. Birlikte çalışabilir olacak şekilde tasarlanmıştır ve iOS, Android, Microsoft Windows’un yanı sıra önemli bulut ve kimlik sağlayıcıları da dahil olmak üzere birçok platformu ve kitaplığı destekler.

  • Kimlik yönetimini kolaylaştırır

    Çalışanları ve iş ortakları için çoklu oturum açma sağlamak üzere OIDC kullanan kuruluşlar, yönetmeleri gereken kimlik yönetimi çözümlerinin sayısını azaltabilir. Bu, izinlerin değiştirilmesini takip etmeyi kolaylaştırır ve yöneticilerin birden çok uygulamada erişim ilkeleri ve kuralları uygulamak için tek bir arabirim kullanmasına olanak sağlar. Kişilerin OpenID sağlayıcısı kullanarak uygulamalarında oturum açmasına olanak tanımak için OIDC kullanan şirketler, yönetmeleri gereken kimlik sayısını azaltır. 

OIDC örnekleri ve kullanım örnekleri

Birçok kuruluş web uygulamalarında ve mobil uygulamalarda güvenli kimlik doğrulamasını etkinleştirmek için OIDC kullanır. İşte birkaç örnek:

  • Bir kullanıcı Spotify hesabına kaydolduğunda kullanıcıya üç seçenek sunulur: Facebook ile kaydolma, Google ile kaydolma, E-posta adresinizle kaydolma. Facebook veya Google ile kaydolmayı seçen kullanıcılar hesap oluşturmak için OIDC kullanıyor. Bu kullanıcılar seçtikleri OpenID sağlayıcısına (Google veya Facebook) yönlendirilir ve ardından oturum açtıklarında OpenID sağlayıcısı Spotify temel profil ayrıntılarını gönderir. Kullanıcının Spotify için yeni bir hesap oluşturması gerekmez ve parolaları korumalı kalır.

  • LinkedIn, kullanıcıların LinkedIn için ayrı bir hesap oluşturmak yerine Google hesaplarını kullanarak hesap oluşturması için de bir yol sağlar. 

  • Bir şirket, işlerini yapmak için Microsoft Office 365, Salesforce, Box ve Workday'e erişmesi gereken çalışanlara çoklu oturum açma özelliği sağlamak ister. Şirket, çalışanların bu uygulamaların her biri için ayrı bir hesap oluşturmasını gerektirmek yerine OIDC kullanarak dördü için de erişim sağlar. Çalışanlar tek bir hesap oluşturur ve her oturum açtıklarında, iş için ihtiyaç duydukları tüm uygulamalara erişime elde ederler.  

Güvenli kimlik doğrulaması için OIDC uygulayın

OIDC, kullanıcılar için oturum açma deneyimlerini basitleştirmek ve güvenliği artırmak üzere bir kimlik doğrulama protokolü sağlar. Bu, müşterileri hesapları yönetme zahmeti olmadan hizmetlerine kaydolmaya teşvik etmek isteyen işletmeler için harika bir çözümdür. Bu, ayrıca kuruluşların çalışanlarını ve diğer kullanıcıları birden çok uygulama için güvenli çoklu oturum açma özelliği sunmasını da sağlar. Kuruluşlar, tüm kimliklerini ve kimlik doğrulama güvenlik ilkelerini tek bir yerde yönetmek için Microsoft Entra gibi OIDC'yi destekleyen kimlik ve erişim çözümlerini kullanabilir.

   

 

Microsoft Güvenlik hakkında daha fazla bilgi edinin

Sık Sorulan Sorular

  • OIDC, dijital hizmetlere erişmek için oturum açtıklarında kullanıcıların kimliğini doğrulama ve onları yetkilendirme sürecini standartlaştırmak için OAuth 2.0 ile birlikte çalışan bir kimlik doğrulama protokolüdür. OIDC, kullanıcıların söyledikleri kişi olduğunu doğrulama anlamına gelen kimlik doğrulaması sağlar. OAuth 2.0, bu kullanıcıların erişmesine izin verilen sistemleri yetkilendirir. OIDC ve OAuth 2.0 genellikle ilgisiz iki uygulamanın kullanıcı verilerinin güvenliğini tehlikeye atmadan bilgi paylaşmasını sağlamak için kullanılır. 

  • Hem OIDC hem de güvenlik onay deyimi biçimlendirme dili (SAML), kullanıcıların bir kez güvenli bir şekilde oturum açmasını ve birden çok uygulamaya erişmesini sağlayan kimlik doğrulama protokolleridir. SAML, çoklu oturum açma için yaygın olarak benimsenmiş eski bir protokoldür. XML biçimini kullanarak veri iletir. OIDC, kullanıcı verilerini iletmek için JSON biçimini kullanan daha yeni bir protokoldür. OIDC, SAML'den daha kolay uygulandığından ve mobil uygulamalarla daha iyi çalıştığından popülerliği artmaktadır.

  • OIDC, ilgisiz iki uygulamanın kullanıcı kimlik bilgilerinin güvenliğini tehlikeye atmadan kullanıcı profili bilgilerini paylaşmasını sağlamak için kullanılan bir kimlik doğrulama protokolü olan OpenID Connect protokolü anlamına gelir.

  • OIDC, kimlik doğrulaması eklemek için OAuth 2.0 temel alınarak geliştirilmiştir. Önce OAuth 2.0 protokolü geliştirilmiştir ve ardından OIDC, özelliklerini artırmak için eklenmiştir. Bu ikisi arasındaki fark, OAuth 2.0 yetkilendirme sağlarken OIDC'nin kimlik doğrulaması sağlamasıdır. OAuth 2.0, kullanıcıların bir OpenID sağlayıcısıyla hesaplarını kullanarak bağlı olan tarafa erişim elde etmesini sağlar ve OIDC, OpenID sağlayıcısının bağlı olan tarafa bir kullanıcı profili iletmesini sağlar. Bu işlev ayrıca kuruluşların kullanıcılarına çoklu oturum açma özelliği sunmasına da olanak tanır. OAuth 2.0 ve OIDC akışları birbirine benzer, ancak biraz farklı terminoloji kullanırlar. 

    Tipik bir OAuth 2.0 akışı aşağıdaki adımları içerir:

    1. Kullanıcı, erişmek istediği uygulamaya (kaynak sunucusu) gider.
    2. Kaynak sunucusu, kullanıcıyı hesabının olduğu uygulamaya (istemci) yönlendirir.
    3. Kullanıcı, istemci için kimlik bilgilerini kullanarak oturum açar.
    4. İstemci, kullanıcının erişimini doğrular.
    5. İstemci, kaynak sunucusuna bir erişim belirteci gönderir.
    6. Kaynak sunucusu kullanıcıya erişim izni verir.

    Tipik bir OIDC akışı aşağıdaki adımları içerir:

    1. Kullanıcı, erişmek istediği uygulamaya (bağlı olan taraf) gider.
    2. Kullanıcı, kullanıcı adını ve parolasını yazar.
    3. Bağlı olan taraf, OpenID sağlayıcısına bir istek gönderir.
    4. OpenID sağlayıcısı kullanıcının kimlik bilgilerini doğrular ve yetkilendirme edinir.
    5. OpenID sağlayıcısı bağlı olan tarafa bir kimlik belirteci ve genellikle bir erişim belirteci gönderir.
    6. Bağlı olan taraf, erişim belirtecini kullanıcının cihazına gönderir.
    7. Kullanıcıya, erişim belirtecinde ve bağlı olan tarafta sağlanan bilgilere dayanarak erişim izni verilir. 

  • OpenID sağlayıcısı, kimlik doğrulama sonuçlarını ve ilgili bilgileri bağlı olan taraf uygulamasına iletmek için kimlik belirteçlerini kullanır. Gönderilen veri türüne örnek olarak kimlik, e-posta adresi ve ad verilebilir.

Microsoft 365’i takip edin