Ana içeriğe geç

WebAuthn Kimlik Doğrulama

WebAuthn (Web Authentication API), FIDO2 güvenlik anahtarları ve platform doğrulayıcıları kullanarak şifresiz kimlik doğrulama sağlar.

WebAuthn Nedir?

WebAuthn, W3C ve FIDO Alliance tarafından yayınlanan, şifre olmadan güvenli kimlik doğrulama için bir web standardıdır. Public key kriptografi kullanır ve phishing, man-in-the-middle saldırıları ve kimlik bilgisi hırsızlığına karşı dirençlidir.

Platform Doğrulayıcılar

  • Windows Hello (parmak izi, yüz, PIN)
  • Touch ID (macOS, iOS)
  • Face ID (iOS)
  • Android Biometric (parmak izi, yüz)

Nasıl Çalışır?

  1. Kayıt: Kullanıcı WebAuthn cihazını kaydeder
  2. Challenge: Sunucu kriptografik challenge gönderir
  3. İmzalama: Cihaz challenge'ı private key ile imzalar
  4. Doğrulama: Sunucu imzayı public key ile doğrular
  5. Erişim: Kimlik doğrulama başarılı
SP Manuel Giriş Formu

WebAuthn Kimlik Doğrulama Yöntemi

Profiller

WebAuthn profilleri, kullanıcıların platform doğrulayıcıları ile nasıl doğrulanacağını tanımlar.

Profil Yapılandırma Alanları

  • Profil Adı: Profil için tanımlayıcı bir isim
  • Yedek Doğrulama Profilleri: İlk faktör doğrulama için kullanılacak profiller (LDAP veya Yerel)
    • Birden fazla profil seçilebilir
    • Kullanıcının kimliğini doğrulamak ve özniteliklerini almak için kullanılır
  • Kullanıcı Doğrulama: Kullanıcı doğrulama gereksinimi
    • Gerekli: Her zaman kullanıcı doğrulama gerekli (PIN, biyometrik)
    • Tercih Edilen: Mümkünse kullanıcı doğrulama kullan
    • Önerilmez: Kullanıcı doğrulama gerektirme
  • Doğrulayıcı Tipi: Hangi doğrulayıcı tiplerinin kabul edileceği
    • Platform: Yerleşik doğrulayıcılar (Windows Hello, Touch ID)
    • Platformlar Arası: Harici doğrulayıcılar
    • Herhangi: Her iki tip
  • Zaman Aşımı: WebAuthn işlemi için maksimum süre (saniye)
Kritik Gereksinim

WebAuthn profilleri mutlaka bir yedek doğrulama profili gerektirir. Bu profiller, kullanıcının kimliğini doğrulamak ve LDAP/Yerel özniteliklerini almak için kullanılır.

Kullanıcı Kayıt Süreci

İlk Kurulum (Tek Seferlik)

  1. Kayıt Paneline Eriş: Kayıt Paneline giriş yapın
  2. WebAuthn Ekle: "Yeni WebAuthn Cihazı Ekle" seçeneğini tıklayın
  3. Cihaz Adı Girin: Cihaz için tanımlayıcı bir isim verin (örn: "Windows Hello - İş PC")
  4. Tarayıcı Kaydı: Tarayıcı WebAuthn kaydını başlatır
  5. Doğrulama Yapın: Platformunuza göre biyometrik doğrulama yapın (Windows Hello, Touch ID, Face ID)
  6. Kayıt Tamamlandı: Cihaz başarıyla kaydedilir

Kayıt Sonrası

✅ Artık kullanıcı, kaydettiği platform doğrulayıcı ile kimlik doğrulaması yapabilir.

Cihaz Yönetimi

Kullanıcılar Kayıt paneli üzerinden kayıtlı WebAuthn cihazlarını görüntüleyebilir, isimlendirebilir ve silebilir.

Politikalar

WebAuthn politikaları, hangi kullanıcıların hangi profil ile doğrulanacağını belirler.

Politika Yapılandırma Alanları

  • WebAuthn Profili: Kullanılacak WebAuthn profili
  • Kimlik Doğrulama Profili: Kullanıcı özniteliklerini almak için kullanılacak LDAP/Yerel profil
    • Bu profil, WebAuthn profilinin yedek doğrulama profillerinden biri olmalıdır
    • LDAP veya Yerel kullanıcı özniteliklerini okumak için kullanılır
    • Kullanıcının LDAP'te mi Yerel'de mi olduğunu belirler
  • Öznitelik: Kullanıcı özniteliği
    • LDAP Öznitelikleri: memberOf, department, title, mail vb.
    • Yerel Öznitelikler: username, group_name, email, mobile vb.
    • Yaygın öznitelikler açılır menüde listelenir
    • Özel öznitelikler elle girilebilir
  • Öznitelik Değerleri: Eşleştirilecek değer veya değerler
    • Açılır menüden önceden tanımlı değerler seçilebilir
    • Özel değerler elle girilebilir
    • Joker karakter (*) ve regex desenleri desteklenir

Politika Davranışı

Önemli
  • Politika Yoksa: Tüm kullanıcılar varsayılan profile yönlendirilir
  • Politika Varsa: Sadece politika kurallarına uyan kullanıcılar bu profil ile doğrulanabilir
  • Öncelik Sırası: Politikalar yukarıdan aşağıya doğru değerlendirilir, ilk eşleşen politika kullanılır

Avantajları

  • Phishing Koruması: Çalınamaz veya phishing ile ele geçirilemez
  • Paylaşılan Sır Yok: Private key'ler asla cihazdan ayrılmaz
  • Güçlü Kriptografi: Public key kriptografisi
  • Kullanıcı Dostu: Dokunmatik veya biyometrik onay
  • Offline Yetenekli: İnternet olmadan çalışır

Kurulum Gereksinimleri

  • HTTPS etkin SecTrail MFA sunucusu
  • Modern web tarayıcısı (Chrome, Firefox, Edge, Safari)
  • WebAuthn uyumlu cihaz
  • Kayıt paneli üzerinden kullanıcı kaydı

Kullanım Senaryoları

  • Yüksek güvenlikli ortamlar
  • Privileged access management
  • Şifresiz kimlik doğrulama
  • Uyumluluk gereksinimleri (PCI-DSS, HIPAA)