Ana içeriğe geç

Mail Onay

Mail onay, kullanıcıların e-posta adreslerine gönderilen güvenli linkler ile kimlik doğrulaması yapmalarını sağlayan şifresiz oturum açma yöntemidir. İki farklı modda çalışabilir: Kullanıcı Onayı ve Yönetici Onayı.

Mail Onay Nedir?

Mail onay profilleri, kullanıcıların şifre girmeden e-posta ile gönderilen tek kullanımlık linkler aracılığıyla güvenli bir şekilde kimlik doğrulaması yapmalarını sağlar. Bu yöntem, hem kullanıcı dostu hem de güvenli bir alternatif sunar.

SP Manuel Giriş Formu

Mail Onay Kimlik Doğrulama Yöntemi

Profil Tipleri

1. Kullanıcı Onayı

Kullanıcının kendi e-posta adresine gönderilen linke tıklayarak doğrudan sisteme giriş yapmasını sağlar.

Amaç:

  • Şifresiz giriş deneyimi
  • Hızlı ve kolay kimlik doğrulama
  • Unutulan şifre problemini ortadan kaldırma

Link Alıcısı: Kullanıcının kendisi

Gerekli Eylem: Kullanıcı e-postadaki linke tıklar

Kullanıcı Erişimi: Link tıklandığında anında erişim sağlanır

2. Yönetici Onayı

Kullanıcının giriş yapabilmesi için yöneticisinin e-posta ile onay vermesini gerektirir.

Amaç:

  • Kritik sistem erişimlerinde ek kontrol katmanı
  • Yönetici denetimi ve onayı
  • Güvenlik politikalarına uyum

Link Alıcısı: Kullanıcının yöneticisi

Gerekli Eylem: Yönetici linke tıklayarak kullanıcıyı onaylar

Kullanıcı Erişimi: Yönetici onayı sonrası erişim sağlanır

Profiller

Mail onay profilleri, e-posta ile kimlik doğrulama sürecinin nasıl çalışacağını tanımlar.

Profil Yapılandırma Alanları

  • Profil Adı: Profil için tanımlayıcı bir isim
  • Tip: Kullanıcı Onayı veya Yönetici Onayı
  • Sunucu: SecTrail MFA sunucu URL'i (doğrulama linklerinde kullanılır)
  • Mesaj: E-posta ile gönderilecek mesaj metni
  • Link Son Kullanma Süresi: Doğrulama linkinin geçerli olacağı süre (dakika)
  • Mail Sunucuları: E-posta göndermek için kullanılacak mail sunucuları
  • E-posta Konusu: E-posta başlık satırı
  • Başarısız Giriş Bildirimi: Başarısız giriş denemelerinde yöneticiye bildirim gönderilsin mi?
  • Yedek Doğrulama Profilleri: Kullanıcı kimliğini doğrulamak için kullanılacak LDAP/Local profiller
E-posta Ön Koşulları

LDAP Kullanıcıları için:

  • LDAP'te mail attribute'u yapılandırılmalıdır
  • Örnek: mail attribute'u kullanıcının e-posta adresini içermelidir

Yerel Kullanıcılar için:

  • Yerel kullanıcıda e-posta adresi tanımlı olmalıdır

Yönetici Onayı Tipi için:

  • LDAP'te yönetici (manager) özniteliği yapılandırılmalıdır
  • Yerel kullanıcılarda sponsor e-posta bilgisi tanımlı olmalıdır

E-posta yapılandırması hatalıysa, kullanıcılar doğrulama linki alamaz ve giriş yapamazlar. :::

Tip Karşılaştırması

ÖzellikKullanıcı OnayıYönetici Onayı
AmaçŞifresiz kullanıcı girişiYönetici kontrolü gerektirme
Link AlıcısıKullanıcının kendisiKullanıcının yöneticisi
Gerekli EylemKullanıcı linke tıklarYönetici linke tıklayarak onaylar
Kullanıcı ErişimiLink tıklandığında anındaYönetici onayından sonra
Link GeçerliliğiEvet (dakika bazlı)Evet (dakika bazlı)
Kullanım SenaryosuGünlük kullanıcı girişleriKritik sistem erişimleri

Kimlik Doğrulama Akışları

Kullanıcı Onayı Akışı

  1. Kullanıcı sisteme giriş yapmak ister
  2. Sistem kullanıcının e-posta adresine doğrulama linki gönderir
  3. Kullanıcı e-postasını kontrol eder ve linke tıklar
  4. Kullanıcı doğrudan sisteme erişir

Yönetici Onayı Akışı

  1. Kullanıcı sisteme giriş yapmak ister
  2. Sistem yöneticinin e-posta adresine onay linki gönderir
  3. Kullanıcı "Yönetici onayı bekleniyor" mesajı görür
  4. Yönetici e-postasını kontrol eder
  5. Yönetici linke tıklayarak kullanıcıyı onaylar veya reddeder
  6. Onaylanırsa kullanıcı sisteme erişir
Not

Yönetici onayı genellikle birkaç dakika içinde tamamlanır, ancak yöneticinin e-posta kontrolüne bağlıdır.

Politikalar

Mail onay politikaları, hangi kullanıcıların hangi profil ile doğrulanacağını belirler.

Politika Yapılandırma Alanları

  • Mail Auth Profili: Kullanılacak mail onay profili
  • Kimlik Doğrualam Profili: Kullanıcı özniteliklerini almak için kullanılacak LDAP/Local profil
    • Bu profil, mail onay profilinin yedek doğrulama profillerinde biri olmalıdır
  • Öznitelik (Attribute): Kullanıcı özniteliği
    • LDAP için: memberOf, department, title, mail vb.
    • Yerel için: username, group_name, email vb.
  • Öznitelik Değerleri: Eşleştirilecek değer veya değerler
    • Dropdown'dan hazır değerler seçilebilir
    • Özel değerler girilebilir
    • Wildcard (*) ve regex desteği

Politika Davranışı

Önemli
  • Politika Yoksa: Tüm kullanıcılar varsayılan profile yönlendirilir
  • Politika Varsa: Sadece politika kurallarına uyan kullanıcılar bu profil ile doğrulanabilir
  • Öncelik Sırası: Politikalar yukarıdan aşağıya doğru değerlendirilir, ilk eşleşen politika kullanılır
Örnek

IT departmanındaki kullanıcıları kullanıcı onayı ile, yönetim kadrosundaki kullanıcıları ise yönetici onayı ile doğrulayabilirsiniz.

Yaygın Kullanım Senaryoları

Senaryo 1: Şifresiz Giriş

Tip: Kullanıcı Onayı

Kullanıcılara şifre gerektirmeyen, e-posta tabanlı güvenli giriş deneyimi.

Ne Zaman Kullanılır:

  • Şifre yönetimi maliyetini azaltmak için
  • Kullanıcı deneyimini iyileştirmek için
  • Unutulan şifre sorunlarını ortadan kaldırmak için

Senaryo 2: Onaylı Erişim

Tip: Yönetici Onayı

Kritik sistem ve veri erişimlerinde yönetici onayı gerektiren güvenli doğrulama.

Ne Zaman Kullanılır:

  • Hassas veri erişimlerinde
  • Yüksek yetkili hesaplarda
  • Compliance gereksinimlerinde

Senaryo 3: Hibrit İş Akışı

Tip: Karma (Her iki tip bir arada)

Farklı kullanıcı grupları için farklı onay mekanizmaları. Normal kullanıcılar için kullanıcı onayı, privileged kullanıcılar için yönetici onayı.

Ne Zaman Kullanılır:

  • Farklı güvenlik seviyelerine ihtiyaç duyulduğunda
  • Rol tabanlı erişim kontrolü gerektiğinde
  • Esnek politika yönetimi istendiğinde

Hızlı Kurulum Adımları

  1. E-posta Sunucu Yapılandırması: SMTP mail sunucularını yapılandırın
  2. Yedek Doğrulama Profil Hazırlama: LDAP veya yerel kimlik doğrulama profili oluşturun
  3. Mail Onay Profili Oluşturma: Profil tipini (kullanıcı/yönetici) seçin ve ayarları yapın
  4. Link Geçerlilik Süresini Ayarlayın: Güvenlik politikalarınıza uygun süre (örn. 15 dakika)
  5. E-posta Özniteliklerini Doğrulayın: LDAP/Local kullanıcılarda mail attribute'larının doğru olduğunu kontrol edin
  6. Politika Oluşturma (Opsiyonel): Kullanıcı gruplarını farklı profillere yönlendirin
  7. Uygulama Entegrasyonu: Profili uygulama profillerine ekleyin
Önemli Not

Link geçerlilik süresi çok kısa ayarlanırsa kullanıcılar linke zamanında tıklayamayabilir. Çok uzun ayarlanırsa güvenlik riski oluşur. Genellikle 15-30 dakika arası önerilir.

Avantajlar

  • Şifresiz Giriş: Kullanıcılar şifre hatırlama ve yönetme zahmetinden kurtulur
  • Güvenli: Tek kullanımlık, zamana bağlı linkler
  • Esneklik: İki farklı mod ile farklı ihtiyaçlara cevap verir
  • Kullanıcı Dostu: E-posta ile basit ve hızlı doğrulama
  • Audit Trail: Tüm giriş denemeleri ve onaylar loglanır

Teknik Detaylar

  • Link Formatı: Kriptografik olarak güvenli, tek kullanımlık token
  • Güvenlik: HTTPS üzerinden şifreli iletişim
  • Geçerlilik: Dakika bazlı, yapılandırılabilir süre
  • Kullanım: Her link sadece bir kez kullanılabilir
  • Mail Protokol: SMTP (TLS/SSL destekli)

Dikkat Edilmesi Gerekenler

  • Link geçerlilik süresini çok kısa veya çok uzun ayarlamayın
  • SMTP sunucu yapılandırmasının doğru olduğundan emin olun
  • Kullanıcıların e-posta adreslerinin güncel olduğunu kontrol edin
  • Yönetici onayı tipi kullanıyorsanız, yönetici bilgilerinin doğru tanımlandığından emin olun
  • Spam klasörlerini kullanıcılara kontrol ettirin
  • Mail sunucu performansını izleyin