Özel HTTP Kimlik Doğrulama
Özel HTTP, yapılandırılabilir bildirim kuralları aracılığıyla kullanıcılara OTP ileten bir kimlik doğrulama yöntemidir. Kullanıcı bir Özel HTTP faktörüne ulaştığında sistem, kullanıcının özniteliklerini (örn: RADIUS öznitelikleri, LDAP alanları) bir dizi kurala göre değerlendirir ve eşleşen iletim adresine SMS veya e-posta yoluyla OTP gönderir. Kullanıcı kimlik doğrulamayı tamamlamak için kodu girer.
Nasıl Çalışır
- Kimlik doğrulama isteği bir dizi kullanıcı özniteliğiyle gelir.
- Profilin bildirim kuralları öncelik sırasıyla değerlendirilir.
- İlk eşleşen kural, iletim için kullanılacak servisi (SMS veya e-posta) ve öznitelik değerini (telefon numarası veya e-posta adresi) belirler.
- Zaman sınırlı bir OTP oluşturulur, oturumda saklanır ve iletilir.
- Kullanıcı faktörü tamamlamak için OTP'yi girer.
Hiçbir kural eşleşmezse yöntem başarısız olur. Faktörde alternatif auth yöntemi yoksa oturum anında tüketilir.
Özel HTTP profil listesi
Profil Yapılandırması
Profil Adı
Bu profil için benzersiz ve açıklayıcı bir etiket.
Doğrulama Süresi
OTP'nin iletimden sonra kaç saniye geçerli kalacağı.
Varsayılan: 120 saniye
Bildirim Kuralları
Her profilin öncelik sırasıyla değerlendirilen bir veya daha fazla bildirim kuralı vardır. Yalnızca koşulu eşleşen ve hedef öznitelik değeri boş olmayan ilk kural kullanılır. Kurallar yedek davranış sağlar — örneğin önce SMS dene, mobil numara yoksa e-postaya düş.
Her kuralın alanları:
| Alan | Açıklama |
|---|---|
| Koşul Özniteliği | Değerlendirilecek kullanıcı/istek özniteliği (örn: mobile, memberOf, mail) |
| Koşul | Değerlendirme operatörü: exists (öznitelik mevcut ve boş değil), equals (öznitelik belirli bir değere eşit) |
| Koşul Değeri | Koşul equals olduğunda gerekli — karşılaştırılacak değer; exists için boş bırakılır |
| Servis | OTP iletimi için kullanılan bildirim servisi — sistemde yapılandırılmış bir SMS servisi veya mail sunucusu |
| Hedef Öznitelik | İletim adresi olarak kullanılan öznitelik (örn: SMS için mobile, e-posta için mail) |
Örnek Kural Seti
Kural 1 (önce SMS dene):
- Koşul Özniteliği:
mobile - Koşul:
exists - Servis: Kurumsal SMS Gateway
- Hedef Öznitelik:
mobile
Kural 2 (e-postaya düş):
- Koşul Özniteliği:
mail - Koşul:
exists - Servis: Kurumsal Mail Sunucusu
- Hedef Öznitelik:
mail
Bu kurulumda mobil numarası olan kullanıcılar SMS ile OTP alır; olmayanlar e-posta ile alır.
Politika Yapılandırması
Özel HTTP Politikası, bir profili auth profili ve öznitelik koşuluna göre belirli bir kullanıcı grubuna eşler. Politikalar hangi kullanıcıların belirli bir Özel HTTP profiline yönlendirileceğini kontrol eder.
Politika Alanları
| Alan | Açıklama |
|---|---|
| Özel HTTP Profili | Bu politikanın uygulandığı profil |
| Auth Profili | Kullanıcıyı aramak için kullanılan LDAP veya Yerel profil |
| Öznitelik | Eşleştirilecek kullanıcı özniteliği (LDAP: distinguishedName, sAMAccountName, memberOf, mail, displayName, userPrincipalName; Yerel: herhangi bir kullanıcı tablo sütunu) |
| Öznitelik Değeri | Bu politikanın uygulanması için özniteliğin gereken değeri |
Politika Davranışı
| Durum | Davranış |
|---|---|
| Politika tanımlı değil | Tüm kullanıcılar, faktörde yapılandırılan varsayılan Özel HTTP profilini kullanır |
| Politikalar tanımlı | Eşleşen kullanıcılar o politikanın Özel HTTP profilini kullanır; hiçbir politikayla eşleşmeyen kullanıcılar varsayılan profili kullanır |
Politikalar öncelik sırasıyla değerlendirilir; ilk eşleşen politika uygulanır. Sürükle-bırak ile yeniden sıralanabilir.
Kullanım Senaryoları
Mobile Özelliğine Göre SMS İletimi
Senaryo: Kimlik doğrulama isteğinde mobile özelliği varsa OTP SMS ile gönderilmeli.
Çözüm: mobile özelliği için exists koşuluyla bir kural oluşturun, SMS servisi seçin ve hedef özniteliği mobile olarak ayarlayın. OTP, kullanıcının telefon numarasına SMS ile iletilir.
SecTrail Kullanıcıları için E-posta İletimi
Senaryo: İstekte sectrail özelliği true değerine sahipse OTP e-posta ile gönderilmeli.
Çözüm: sectrail özelliği için equals koşulu ve true değeriyle bir kural oluşturun, E-posta servisi seçin ve hedef özniteliği email olarak ayarlayın.
Koşullu Servis Seçimi
Senaryo: İstek özelliklerine göre farklı kullanıcıları farklı iletim servislerine yönlendirmek gerekiyor. Örneğin userType değerine göre VIP kullanıcılar SMS, diğerleri e-posta alsın.
Çözüm: Birden fazla kural oluşturun. Birinci kuralda userType equals VIP koşuluyla SMS servisine, ikinci kuralda email exists koşuluyla e-posta servisine yönlendirin. Kurallar sırasıyla değerlendirildiğinden ilk eşleşen uygulanır.
Kurulum Adımları
- Kimlik Doğrulama Yöntemleri → Özel HTTP → Profiller bölümüne gidin
- Profil Oluştur'a tıklayın
- Profil adı girin ve OTP doğrulama süresini ayarlayın
- Bildirim kuralları ekleyin:
- Koşulu tanımlayın (hangi öznitelik ve operatör)
- İletim servisini seçin (SMS veya Mail)
- Hedef özniteliği ayarlayın (iletim adresi alanı)
- Gerekirse ek yedek kurallar ekleyin
- Kaydedin
- Kimlik Doğrulama Yöntemleri → Özel HTTP → Politikalar bölümüne gidin
- Politika Oluştur'a tıklayın
- Özel HTTP profili, auth profili ve öznitelik/değer koşulunu seçin
- Kaydedin
- Yapılandırma → Uygulamalar bölümünde politikayı bir uygulama faktörüne atayın
Önemli Hususlar
- Kurallar sırayla değerlendirilir — en spesifik veya tercih edilen kuralları öne alın
- Eşleşen hedef öznitelik kullanıcı için boşsa (örn: mobil numara yok) kural atlanır ve sonraki kural denenir
- Tüm kurallar eşleşmezse veya eşleşen hedef özniteliklerin tamamı boşsa auth yöntemi başarısız olur
- OTP tek kullanımlıktır; doğru girildiğinde (veya süresi dolduğunda) aynı kod tekrar kullanılamaz
- Koşul değeri karşılaştırması büyük/küçük harf duyarlıdır (
containsoperatörü dahil)