Web Servislerinde Single-Sign-On ile Yetkilendirme
 
 ï¿½ï¿½indekiler
 Yeni Bir ��letim Sistemi  Kurmadan �nce  ï¿½zlenmesi Gereken  Ad�mlar
 Basit ��z�mler, Daha  Fazla G�venlik
 Bir A� G�venlik Arac�  Olarak SNORT
 NFC Nedir?
 Web Servislerinde  Single-Sign-On ile  Yetkilendirme
 ï¿½ï¿½erik Y�netim Sistemi  (�YS) Nedir?
 ODT� BBS  Kapsam�ndaki Veri  S�zl��� �al��malar�
 CISN Archive
 Send Feedback
 
     
 

Ýnternet'in ortaya çýkýþýndan bu yana en önemli kullaným alanlarýndan biri bilgi edinme ve çevrimiçi iþlemler olmuþtur. Ýnternet'in sadece bilgi alýnan deðil ayný zamanda bilgi deðiþtirilen ve iþlem yapýlan yapýlar içermesi, yapýlan iþlemelerin güvenliði ve bilgilere eriþim konusunda yetkilendirme gereksinimi doðurmuþ olup bu konuda en yaygýn kullanýlan yöntem ise þifre yetkilendirmesi olmuþtur. Bu yazýda ayný þifrenin farklý sitelere defalarca girilmesini sorununu çözen Single-Sign-On (SSO) uygulamalarýn genel yapýlarý incelenecek ve ODTÜ'deki uygulamalarýndan bahsedilecektir. Yazýmýz yetkilendirme sunucularý ile ilgili temel seviyede bilgisi olan okuyucularýmýza yöneliktir.

Þifre yetkilendirmesinin servis veren birimler ve sistem yöneticileri için temel iþ yükü, kiþilere gerekli þifrenin verilmesidir. Diðer tarafta kullanýcýlar için ise, farklý sistemler için farklý þifreleri ezberlemek zor bir iþlemdir. Bu durum bir þifre ile çok sayýda sisteme eriþme düþüncesini doðurmuþtur. Ortak þifre kullanýmý için en basit yöntem, þifrelerin bir sunucuda tutulup diðer sistemlerin þifre sorgulamasýný bu sunucudan yapmasýdýr. Ancak, bu yapýda þifre güvenliði sorunu ortaya çýkmaktadýr. Kullanýcý kodlarýný tutan, yani þifrelerin sahibi olan otorite, kullanýcýlara verdiði þifrelerin baþka sistemlerden geçmesini olumlu karþýlayamayacaktýr. Bu þekilde þifre kullanýmýnýn bir diðer dezavantajý ise, kullanýcýnýn ayný þifreyi baðlanacaðý her sisteme tekrar tekrar yazmak zorunda olmasýdýr. Kullanýcý ayný þifre ile yetkilenebildiði, farklý siteler bulunduðu durumda, bilgisayarýnda þifreyi bir kez girdiðinde ayný þifre ile giriþ yapabileceði tüm sayfalara ulaþabilmek isteyecektir.

Ortak þifre kullanýmýnýn hem güvenlik hem de pratiklik anlamýndaki sorunlarýný çözmek için etkili bir uygulama Single-Sign-On (SSO) sistemleridir. SSO sisteminde temel olarak üç tip öðe bulunur. Bunlar yetkilendirme sunucusu, kullanýcýlarýn baðlandýklarý sitelerin sunucularý ve istemcilerdir. SSO'nun temel mantýðý, yetkilenmek isteyen kullanýcýlarýn þifrelerini yetkilendirme sunucusuna ait bir sayfaya girmeleri, daha sonra yetkilendirmeyi yapan sistem tarafýndan o oturuma özel bir oturum anahtarý oluþturulmasý ve bu anahtar ile istemcilerin kullanýlacak sayfaya geri yönlendirilmesi þeklindendir. Bundan sonra asýl kullanýlacak olan web sayfasý, kendisine oturum bilgisi ile gelen istemcinin oturum anahtarýný yetkilendirici sistem üzerinden kontrol edecek ve doðru ise istemciye yetki verecektir. Bu yapý ile hem asýl þifre sadece yetkilendirme sunucusundan geçecek; hem de sistem oturum çerezleri ile birlikte kullanýldýðýnda, bir kez þifre ile yetkilenen kullanýcý, ayný SSO sistemine ait tüm servislere tekrar þifre girmeden baðlanabilecektir.

SSO yapýsý kullanýmýnda dikkat edilmesi gereken bazý unsurlar da vardýr. Sistem normal çalýþtýðý durumda þifreler sadece yetkilendirme sunucusu tarafýndan görülebilir olmasýna raðmen, SSO'ya dahil sistemlerden birinin kötüye kullanýmý ile bu durum deðiþebilir. Normal þartlarda SSO kullanan sunuculardan birine gelen istemcinin SSO sunucusuna yönlendirilerek yetkilendirilmesi gerekirken, sistemlerden birinin kötü niyetli bir kiþi tarafýndan ele geçirilmesi durumunda, kullanýcý yönlendirilmeden þifresinin istenmesi mümkündür. Bu gibi riskler, kullanýcýlarýn bilinçlendirilerek þifre giriþ anýnda sayfanýn adýnýn ve baðlantý güvenliðinin kontrol edilmesi gereðini doðurmaktadýr. Diðer bir husus ise SSO yetkilendirme sunucusunun çalýþmamasý durumunda SSO'ya dahil sistemlere ulaþýmda sorun yaþanacak olmasýdýr. Eðer bir sayfa SSO üzerinden yetkilendirme kontrolü yapýyor ise, yetkilendirme sunucusunun çalýþmamasý, yetkilendirmeyi kullanan sayfanýn kullanýcý tarafýnda hiç açýlmamasýna neden olabilecektir. Bu durumda ise kullanýcý tarafýnda ilgili sayfa çalýþmýyor izlenimi oluþacaktýr. Bu sorun, sayfanýn yetkilendirmeyi zorunlu tutmayýp, sadece oturum kontrolü yapýp, oturum var ise farklý iþlevler sunulan tasarýmlarda bile oluþabilir. Bu nedenle, SSO sunucusunun çalýþmadýðý durumda, sayfanýn sunduðu yetkilendirme gerektirmeyen servisler de kullanýlamayabilir.

Yazýnýn baþýnda belirtilen senaryolara benzer þekilde Orta Doðu Teknik Üniversitesi de Ýnternet üzerinde onlarca servis sunmaktadýr. Bu servislerin hepsi için yetkilendirme kontrolünün kullanýcý düzeyinde zorluk çýkardýðý da bilinmektedir. Kullanýcýlarýmýza kolaylýk getirmek amacý ile Bütünleþik Bilgi Sistemi (BBS) projesi altýnda bir adým olan SSO sistemi login.metu.edu.tr sunucusundan deneme amaçlý olarak servis vermeye baþlanmýþtýr. Kullanýcýmýz bir servis için istekte bulunduðunda yetkilendirilmek için SSO sunucusuna yönlendirilecek ve yetkilendirme süreci login.metu.edu.tr üzerinden devam edecektir. Eðer kullanýcý baþarýlý bir þekilde yetkilendirildi ise, tekrar buraya yönlendiren servise geri dönülecek ve yetkilendirme verilen serviste de kullanýlacaktýr. Artýk kullanýcýmýz bir kere yetkilendirildikten sonra, diðer servisleri de tekrar kullanýcý adý ve þifre girmeye gerek kalmadan SSO sunucusu üzerinden yetkilendirilecektir. SSO sisteminin alt yapýsýnda ise CAS (Central Authentication Service) kullanýlmaktadýr. ODTÜ'de CAS'ýn tercih edilmesinin çeþitli nedenleri vardýr. Öncelikli olarak açýk kaynak kod ile daðýtýlmasý tercihte ön plana çýkmaktadýr. Diðer bir neden ise, entegrasyonunun ve uygulamasýnýn kolay olmasý ve geniþ çeþitlilikteki platformu desteklemesidir. Bu nedenlerin yaný sýra iyi dokümante edilmiþ olmasý ve sunucu tarafýnda JAVA teknolojisinin kullanýlmýþ olmasý gibi artýlarý da mevcuttur.

Belirtilen faktörler, genel olarak düþünüldüðünde, SSO sistemleri Ýnternet kullanýcýlarýnýn Ýnternet sitelerindeki yetkilendirmelerini kolaylaþtýran ve kullanýcýlara verilen þifreler ile farklý sistemlere güvenli þekilde baðlanabilmelerini saðlayan sistemlerdir. Bunun yanýnda, özellikle güvenlik ve sistem sürekliliði tarafýna oluþabilecek olumsuz senaryolar düþünülmeli, kullanýcýlar bilgilendirilmeli ve sistemler uygun þekilde tasarlanmalýdýr.

Onur Yurtsever - Uður Dökmeci

 
     
  - BAÞA DÖN -