Binlerce kullanıcının yüzlerce uygulamaya, on-premise sunucudan bulut servisine ve ağ cihazına kadar eriştiği kurumsal ortamlarda kimlik yönetimi, başlı başına bir saldırı yüzeyidir. SSO Entegrasyonu, birden fazla uygulamanın tek bir kimlik doğrulama merkezi üzerinden yönetilmesini sağlayan mimari süreçtir. Ancak büyük ölçekli yapılarda SSO yalnızca bir erişim kolaylığı değil, Ayrıcalıklı Erişim Yönetimi (PAM) stratejisinin kritik bir bileşenidir. Bu rehber; SAML 2.0, OpenID Connect ve SCIM protokollerini kapsayan uygulanabilir bir "blueprint" sunar. Veri Güvenliğinin Merkezi vizyonuyla hareket eden Kron, bu yolculukta yerel mühendislik gücünü küresel standartlarla birleştiren stratejik bir iş ortağıdır.
Kurumsal SSO Protokolleri: SAML 2.0 ve OpenID Connect Karşılaştırması
Büyük ölçekli SSO mimarisinin temeli protokol seçimidir ve bu seçim, kurumun uygulama envanterine olduğu kadar uyum ve denetlenebilirlik gereksinimlerine de bağlıdır.
SAML 2.0 protokolü, kurumsal dünyanın "altın standardı" olmaya devam ediyor. XML tabanlı yapısı, kimlik sağlayıcı (IdP) ile hizmet sağlayıcı (SP) arasında imzalı assertion'lar (kimlik onayları) taşır ve Azure AD (Microsoft Entra ID), Okta veya Ping gibi kurumsal IdP'lerle olgun bir uyum sunar. Özellikle geleneksel, web tabanlı kurumsal uygulamalar ve on-premise sistemler için en güvenli ve yaygın tercihtir.
OpenID Connect (OIDC) kurulumu ise modern web, mobil ve B2B SaaS uygulamaları için daha esnektir. OAuth 2.0 üzerine inşa edilen OIDC, ağır XML yerine hafif JSON Web Token (JWT) yapısı kullanır; bu da onu API odaklı mikroservis mimarileri ve tek sayfa uygulamaları (SPA) için ideal kılar.
Hibrit kurumların çoğu her iki protokole de ihtiyaç duyar. Eski (legacy) sistemlerde ise Kerberos hâlâ kritiktir: Active Directory ortamlarında bilet (ticket) tabanlı kimlik doğrulama sağlar ve modern IdP'lere "Kerberos köprülemesi" (federation/constrained delegation) ile bağlanarak kullanıcının yeniden parola girmeden bulut uygulamalarına geçmesini mümkün kılar.
|
Protokol
|
Kullanım Durumu
|
Avantajlar
|
Güvenlik Seviyesi
|
|
SAML 2.0
|
Kurumsal web uygulamaları, on-premise, B2B federasyon
|
Olgun ekosistem, imzalı assertion, güçlü denetim izi
|
Çok yüksek (XML imza/şifreleme)
|
|
OpenID Connect (OIDC)
|
Modern web, mobil, SPA, B2B SaaS
|
Hafif JWT, API dostu, hızlı ve ölçeklenebilir
|
Yüksek (OAuth 2.0 + PKCE ile)
|
|
OAuth 2.0
|
API yetkilendirme (kimlik doğrulama değil)
|
Delege yetkilendirme, kapsam (scope) kontrolü
|
Orta–Yüksek (tek başına kimlik doğrulamaz)
|
|
Kerberos
|
AD tabanlı legacy/iç ağ
|
Parolasız bilet tabanlı SSO, düşük gecikme
|
Yüksek (yalnızca güvenilir alan içinde)
|
Farklılaşma noktası: Rakiplerin çoğu protokolü yalnızca teknik hıza göre önerir. Doğru yaklaşım, regülasyona tabi sektörlerde (finans, telekom, kamu) denetlenebilirliği önceliklendirmektir: İmzalı, izlenebilir bir assertion akışı gerektiren denetim senaryolarında SAML 2.0; çevik dijital servislerde OIDC tercih edilir. Kron, hangi protokol seçilirse seçilsin, ayrıcalıklı oturumların tamamına denetim izi ve oturum kaydı ekleyerek kimlik katmanını kanıtlanabilir hâle getirir.
SCIM ile Otomatik Kullanıcı Provizyonu ve Yaşam Döngüsü Yönetimi
Büyük ölçekli sistemlerde gerçek risk, kimlik doğrulamada değil; binlerce kullanıcının manuel yönetilmesindedir. SCIM (System for Cross-domain Identity Management), kullanıcı kimlik bilgilerinin farklı BT sistemleri arasında otomatik olarak oluşturulmasını, güncellenmesini ve silinmesini sağlayan açık bir standarttır. SCIM, kimlik doğrulamadan (SAML/OIDC) bağımsız çalışır ve kullanıcı yaşam döngüsünü (JML – Joiner, Mover, Leaver) otomatikleştirir.
Bir çalışan işten ayrıldığında hesabının saatlerce hatta günlerce açık kalması, büyük ölçekli ihlallerin en yaygın nedenlerinden biridir. SCIM ile bu süreç, IdP üzerinden anlık ve otomatik gerçekleşir. Identity Provider (IdP) yönetimi ile SCIM senkronizasyonunun temel faydaları:
- Anlık provizyon: İşe yeni başlayan kullanıcı, rolüne uygun yetkilerle dakikalar içinde tüm uygulamalarda tanımlanır.
- Otomatik de-provizyon: İşten ayrılan kullanıcının erişimi tüm bağlı sistemlerden eşzamanlı kapatılır; "yetim hesap" (orphan account) riski ortadan kalkar.
- Rol değişiminde senkronizasyon: Departman değiştiren kullanıcının eski yetkileri kaldırılır, yenileri tanımlanır (least privilege).
- Denetim hazırlığı: Tüm yaşam döngüsü olayları kayıt altına alınarak KVKK ve BDDK denetimlerine kanıt sunar.
- Operasyonel verimlilik: BT ekibinin manuel hesap açma/kapama yükü ortadan kalkar.
Farklılaşma noktası: SCIM çoğunlukla yalnızca bulut uygulamaları için konuşulur. Oysa büyük kurumların kritik varlıkları on-premise sunucular, veritabanları ve ağ cihazlarıdır. Kron burada devreye girer: Kron PAM, mevcut dizininiz (Active Directory / LDAP) ile entegre olarak ayrıcalıklı hesapların yaşam döngüsünü yönetir; bir kullanıcı işten ayrıldığında AD/LDAP entegrasyonu üzerinden hesabı otomatik kilitler ve ayrıcalıklı erişimini sonlandırır. Böylece SCIM tabanlı iş gücü provizyonu, kritik altyapıdaki ayrıcalıklı katmanın kontrolüyle tamamlanır.
Hibrit ve Legacy Sistemlerde SSO Mimari Stratejileri
Büyük ölçekli kurumların en büyük zorluğu, modern bulut IdP'leri ile on-premise legacy sistemlerin aynı kimlik ekosisteminde buluşturulmasıdır. Kurumsal kimlik yönetimi, AWS, Azure ve Google Cloud ortamlarının yanında, modern güvenlik ajanı kurulamayan eski işletim sistemlerini ve OT/ICS varlıklarını da kapsamak zorundadır.
Büyük Ölçekli SSO Mimari Akışı
Tipik bir token alışverişi şöyle ilerler: Kullanıcı bir hizmet sağlayıcıya (SP) erişmek ister → SP, kullanıcıyı merkezi Identity Provider (IdP)'ye yönlendirir → IdP kimliği doğrular ve MFA uygular → IdP, imzalı bir token (SAML assertion veya OIDC id_token) üretir → SP token'ı doğrular ve erişim verir. Bu akışta kritik altyapıya (sunucu, ağ cihazı, veritabanı) erişim söz konusu olduğunda araya Kron PAM ağ geçidi (gateway) girer: Kullanıcı hedef sisteme doğrudan değil, Kron üzerinden bağlanır; parolalar kullanıcıya hiç gösterilmeden enjekte edilir (credential injection) ve oturum baştan sona kaydedilir.
Bu mimaride iki strateji kritiktir:
- "Circuit Breaker" (devre kesici) deseni: Merkezi IdP kesintiye uğradığında sistemin tamamen kilitlenmemesi için yerel kimlik doğrulama yedekleri, oturum önbellekleme (token caching) ve kademeli geri çekilme (fallback) tanımlanmalıdır. Böylece kritik iş süreçleri kesintisiz sürer.
- Çoklu kiracı (multi-tenant) izolasyonu: B2B SaaS SSO mimarisinde her müşteri (tenant) mantıksal ve kriptografik olarak izole edilmelidir. Kron PAM'in doğuştan çoklu kiracılı mimarisi, tek bir merkezi kurulum üzerinden binlerce müşterinin birbirinden tamamen yalıtılmış alanlarda yönetilmesini sağlar.
Farklılaşma noktası: Kron'un yerel mühendislik gücüyle geliştirdiği çözümler, legacy sistemlere modern bir "zırh" kazandırır. Kron PAM; SSH, RDP, VNC gibi BT protokollerinin yanı sıra Modbus ve DNP3 gibi endüstriyel protokollere ajansız (agentless) ve şifreli tüneller üzerinden erişim sağlar. Böylece üzerine modern kimlik ajanı kurulamayan eski sistemler bile, merkezi erişim ve denetim ekosistemine güvenle dahil edilir.
Güvenlik ve Uyumluluk: KVKK, BDDK ve Global Standartlar
SSO'yu tek başına bir risk noktası olmaktan çıkaran şey, üzerine eklenen güvenlik katmanlarıdır. MFA ve SSO entegrasyonu, tek giriş noktasına ek doğrulama katmanları (OTP, mobil onay, biyometrik, coğrafi konum ve zaman tabanlı kontrol) ekleyerek erişimi "Gelişmiş Tehdit Koruması" seviyesine taşır. Kron Multi-Factor Authentication, tam da bu katmanı OTP, coğrafi konum ve zaman tabanlı doğrulama özellikleriyle sağlar.
Modern uygulama güvenliğinde PKCE (Proof Key for Code Exchange) artık bir zorunluluktur. OAuth 2.0 / OIDC akışlarında yetkilendirme kodunun ağ üzerinde ele geçirilmesini, dinamik olarak üretilen bir doğrulayıcı (code verifier) ile engeller; özellikle mobil ve SPA uygulamalarında kod enjeksiyonu saldırılarını etkisiz kılar.
Türkiye'de faaliyet gösteren kurumlar için küresel standartlar tek başına yeterli değildir. KVKK kişisel verilerin korunmasını ve erişimin denetlenebilir olmasını, BDDK ise bankacılık sektöründe katı erişim kontrolü, loglama ve yetki ayrıştırması gerektirir. Her ikisinde de veri egemenliği (data residency) belirleyicidir.
|
Uyumluluk Gereksinimi
|
KVKK
|
BDDK
|
İlgili Kron Yeteneği
|
|
Merkezi kimlik doğrulama ve MFA
|
✔
|
✔
|
Kron MFA + Unified Access Manager
|
|
Ayrıcalıklı erişimde yetki ayrıştırması
|
✔
|
✔
|
Kron PAM, en az yetki (least privilege)
|
|
Tüm erişimlerin denetlenebilir kaydı
|
✔
|
✔
|
Privileged Session Manager (oturum kaydı)
|
|
Verinin Türkiye'de tutulması (data residency)
|
✔
|
✔
|
On-premise / yerel barındırma seçeneği
|
|
Yetkisiz erişimde anlık müdahale
|
✔
|
✔
|
UEBA + politika tabanlı oturum sonlandırma
|
Farklılaşma noktası: Küresel IdP'ler (Okta, Microsoft Entra) iş gücü kimlik doğrulamada güçlüdür; ancak Kron, bu sağlayıcıların yerine geçmek yerine onlarla entegre olarak ayrıcalıklı ve altyapı erişimine yerel mevzuata tam uyumlu bir kontrol ve denetim katmanı ekler. Yerel mühendislik ve on-premise barındırma esnekliği, veri egemenliği gereken senaryolarda Kron'u stratejik bir tercih hâline getirir.
Büyük Ölçekli SSO Uygulama Planı (Blueprint 2026)
Başarılı bir entegrasyon, tek seferlik bir kurulum değil, beş aşamalı disiplinli bir yolculuktur:
- Gereksinim Analizi: Mevcut IdP, dizin (AD/LDAP) ve uygulama envanteri çıkarılır. Hangi uygulamanın hangi protokolü (SAML/OIDC) desteklediği ve hangi kritik sistemlerin ayrıcalıklı erişim gerektirdiği belirlenir.
- Protokol Seçimi: Uygulama tipine göre karar verilir — kurumsal/legacy için SAML 2.0, modern web/mobil/SaaS için OIDC; API yetkilendirmesi için OAuth 2.0 + PKCE.
- Güvenlik Yapılandırması: Token depolama politikaları (HttpOnly, Secure), PKCE zorunluluğu ve MFA entegrasyonu kurulur. Ayrıcalıklı sistemler için Kron PAM ağ geçidi ve credential injection devreye alınır.
- Test ve QA: Farklı tarayıcılar, oturum süreleri ve IdP kesinti (circuit breaker) senaryoları altında simülasyon yapılır; fallback davranışı doğrulanır.
- İzleme ve Optimizasyon: OpenTelemetry standartlarıyla kimlik doğrulama süreleri, hata oranları ve oturum davranışları izlenir. Yapılandırılmış loglama ve gerçek zamanlı uyarılar, sorunları kullanıcıyı etkilemeden tespit eder.
Bu beş aşama, entegrasyonu salt teknik bir kurulumdan, kurumun "Veri Güvenliğinin Merkezi" hâline gelme yolculuğuna dönüştürür.
Kurumsal SSO Senaryoları İçin Çözümler
Büyük ölçekli SSO projelerinde standart bir IdP'nin tek başına çözemediği senaryolar, çoğunlukla en yüksek riski taşır. Aşağıdaki tablo, sık karşılaşılan sorunları ve Kron'un bu senaryolardaki rolünü özetler:
|
Kurumsal Senaryo
|
Temel Zorluk
|
Kron'un Rolü
|
|
Ayrıcalıklı sistemlere SSO
|
Sunucu/veritabanı parolalarının yöneticiler arasında paylaşılması
|
Kron PAM ile parolasız, credential injection tabanlı tek oturum açma
|
|
Ağ altyapısına merkezi erişim
|
Ömrünü tamamlayan Cisco ACS ve dağınık AAA
|
Unified Access Manager: yerleşik TACACS+/RADIUS, AD/LDAP ile tek kimlik
|
|
Legacy ve OT/ICS sistemleri
|
Modern kimlik ajanı kurulamayan eski cihazlar
|
Ajansız (SSH/RDP/VNC/Modbus/DNP3) ağ geçidi üzerinden güvenli erişim
|
|
Üçüncü taraf / tedarikçi erişimi
|
VPN ile tüm ağa açılan geniş yetkiler
|
Yalnızca yetkili hedefe, süreli ve kayıtlı erişim (least privilege)
|
|
Denetim ve regülasyon
|
"Kim, ne zaman, neye erişti?" kanıtının olmaması
|
Privileged Session Manager ile uçtan uca, izlenebilir oturum kaydı
|
Bu senaryoların ortak paydası şudur: Kron, iş gücü kimlik doğrulamasını üstlenen IdP'nizin yerine geçmez; o IdP'nin ulaşamadığı ayrıcalıklı, kritik ve eski sistemlere SSO, MFA ve denetim disiplinini taşıyarak kimlik mimarisini bütünler.
Teknik Kaynaklar ve Dokümantasyon
Mimarinizi planlarken Kron'un ilgili çözüm sayfalarından yararlanabilirsiniz: Kron PAM, Unified Access Manager, Multi-Factor Authentication, AAA Server, Secure Remote Access ve Zero Trust yaklaşımına dair kaynaklar, entegrasyon kararlarınızı destekleyecek teknik derinliği sağlar.
