Kurumsal Sağlık ve Zindelik Platformu için Okta SSO ve SCIM Entegrasyonu

Kimlik doğrulama için SAML 2.0/OIDC aracılığıyla Okta SSO'yu ve otomatik kullanıcı hazırlama (provisioning), devre dışı bırakma (deprovisioning) ve grup senkronizasyonu için SCIM 2.0'ı mevcut çoklu kiracılı arka uca entegre ettik.

Mimari

• Kimlik Sağlayıcı: Okta (müşteri tarafından yönetilen kiracılar)
• SSO Protokolü: SAML 2.0 (birincil) + OIDC (alternatif)
• Hazırlama (Provisioning): Platform arka ucuna yerleştirilmiş SCIM 2.0 sunucusu
• Arka Uç: PostgreSQL ve Redis ile NestJS
• Kimlik Doğrulama Katmanı: SSO'ya duyarlı token üretimi ile JWT tabanlı oturumlar
• Yönetici Paneli: SSO kurulumu için React tabanlı kiracı yapılandırması
• Mevcut Kimlik Doğrulama: E-posta/şifre + Google OAuth, SSO ile birlikte korundu

---

SSO Uygulaması (SAML 2.0 / OIDC)

SAML 2.0 Akışı

SP tarafından başlatılan SAML akışı şu şekilde çalışır: kullanıcı oturum açma sayfasını ziyaret eder ve SSO'yu seçer, şirket e-posta alan adını girer, platform alan adından kiracının Okta yapılandırmasını tanımlar, Okta'ya bir AuthnRequest gönderir, kullanıcı kimliğini doğrular, Okta imzalı bir SAML assertion döndürür, platform assertion'ı doğrular ve JWT token'ları ile bir oturum oluşturur.

Kiracı Başına Yapılandırma

Her kiracının SSO'su, kimlik sağlayıcısının SSO URL'si, entity ID'si, imza doğrulaması için X.509 sertifikası ile birlikte, platformun SP entity ID'si, assertion consumer service URL'si ve kimlik sağlayıcı profil alanlarından platform kullanıcı alanlarına öznitelik eşlemeleri ile yapılandırılır.

OIDC Alternatifi

SAML yerine OIDC'yi tercih eden müşteriler için platform, OIDC claims aracılığıyla aynı öznitelik eşlemesini ve JWKS ile ID token doğrulamasını kullanarak PKCE ile Authorization Code flow'unu destekler.

Çoklu Kiracı SSO Yönlendirmesi

Platform, kullanıcıları e-posta alan adlarına göre doğru kimlik sağlayıcısına yönlendirir. Bir kullanıcı e-postasını girdiğinde, platform alan adını kiracı SSO yapılandırmalarıyla karşılaştırır. SSO yapılandırılmışsa, kullanıcı kuruluşunun Okta kiracısına yönlendirilir. Aksi takdirde, e-posta/şifre veya Google OAuth'a geri dönerler. Doğrudan SSO erişimi için vanity URL'ler de desteklenmektedir. ---

SCIM 2.0 Uygulaması

SCIM Sunucusu

Platform, Okta'nın kullanıcıları ve grupları yönetmek için çağırdığı SCIM 2.0 uyumlu bir API sunar. API, tam kullanıcı yaşam döngüsü işlemlerini (oluşturma, okuma, güncelleme, devre dışı bırakma, silme), üyelik yönetimi ile grup CRUD'unu ve yetenekler, şemalar ve kaynak türleri için standart SCIM keşif uç noktalarını destekler.

SCIM Aracılığıyla Kullanıcı Yaşam Döngüsü

Hazırlama (Provisioning):

Bir yönetici, Okta'daki platform uygulamasına bir kullanıcı atadığında, Okta SCIM API'ye bir oluşturma isteği gönderir. Platform, kiracı ilişkisiyle kullanıcı hesabını oluşturur, onu aktif ve SSO ile hazırlanmış olarak işaretler ve kullanıcı SSO aracılığıyla anında oturum açabilir.

Profil Güncellemeleri:

Bir yönetici, Okta'da bir kullanıcının profilini güncellediğinde, değişiklikler SCIM aracılığıyla platforma iletilir. Departman değişiklikleri olursa, grup üyeliği otomatik olarak yeniden değerlendirilir.

Devre Dışı Bırakma (Deprovisioning):

Bir kullanıcı Okta'daki uygulamadan kaldırıldığında, platform hesabı devre dışı bırakır — tüm aktif oturumları anında iptal eder, daha fazla oturum açmayı engeller, veri saklama politikasına göre verileri korur ve lisans koltuğunu boşaltır.

Yeniden Etkinleştirme:

Okta'da bir kullanıcıyı yeniden atamak, tüm geçmiş verileri sağlam kalarak hesabını yeniden etkinleştirir.

Grup Senkronizasyonu

Okta grupları, platform rollerine ve program seviyelerine eşlenir — farklı özellik seviyelerine, yönetici yeteneklerine, özel panolara ve ayrıcalıklı program kayıtlarına erişimi kontrol eder. Okta'daki grup üyeliği değişiklikleri SCIM aracılığıyla iletilir ve yeniden oturum açmayı gerektirmeden gerçek zamanlı olarak yansıtılır. ---

Güvenlik ve Kimlik Doğrulama

SSO Sonrası Token Üretimi

SAML assertion doğrulamasından sonra, platform kullanıcı kimliği, kuruluş, roller (SCIM grup üyeliğinden türetilen), kimlik doğrulama yöntemi ve kimlik sağlayıcısı için iddialarla kiracıya özel JWT'ler yayınlar — bu, SSO ve diğer kimlik doğrulama yöntemleri arasında denetim farklılaşmasını sağlar.

Oturum Yönetimi

• SSO oturumları Okta'nın oturum ömrüne uyar
• Kullanıcı Okta'dan çıkış yaptığında oturum sonlandırma için Single Logout (SLO) desteklenir
• Anında oturum iptali için back-channel logout webhook
• SCIM devre dışı bırakma, tüm aktif oturumları 60 saniye içinde iptal eder

Güvenlik Kontrolleri

• Kiracının X.509 sertifikasına karşı SAML yanıtı imza doğrulaması
• Tek kullanımlık izleme aracılığıyla assertion tekrarını önleme
• Assertion zaman damgası doğrulaması için saat kayması toleransı
• Hedef kitlesi kısıtlama doğrulaması
• Hassas dağıtımlar için şifreli assertions desteklenir
• Kiracı başına Bearer token'ları aracılığıyla SCIM uç nokta kimlik doğrulaması
• SCIM uç noktalarında hız sınırlaması

---

Yönetici Yapılandırma Paneli

Kiracı SSO Kurulumu

Yönetici paneli, kendi kendine hizmet veren bir kurulum akışı sağlar:

1. Protokol Seçimi — SAML 2.0 veya OIDC seçin
2. Metadata Yüklemesi — IdP metadata XML'i yükleyin (yapılandırmayı otomatik doldurur)
3. Öznitelik Eşlemesi — Kimlik sağlayıcı profil alanlarını platform kullanıcı alanlarına eşleyin
4. Alan Adı Doğrulaması — SSO yönlendirmesi için e-posta alan ad(lar)ı sahipliğini doğrulayın
5. Bağlantı Testi — Tüm kullanıcılar için etkinleştirmeden önce test SSO oturum açmayı başlatın
6. SCIM Kurulumu — SCIM hazırlama (provisioning) yapılandırması için Bearer token oluşturun
7. Grup Eşlemesi — Kimlik sağlayıcı gruplarını platform rollerine ve seviyelerine eşleyin

Panel ayrıca, kolay kimlik sağlayıcı uygulama yapılandırması için indirilebilir SP metadata sağlar. ---

Temel Özellikler

1. SAML 2.0 + OIDC Desteği — Kiracı başına esnek protokol seçimi
2. SCIM 2.0 Hazırlama (Provisioning) — Otomatik kullanıcı oluşturma, güncelleme ve devre dışı bırakma
3. Grup-Rol Eşlemesi — Kimlik sağlayıcı grupları platform erişim seviyelerini ve programlarını kontrol eder
4. Anında Devre Dışı Bırakma (Deprovisioning) — SCIM devre dışı bırakma, erişimi 60 saniye içinde iptal eder
5. Çoklu Kiracı SSO Yönlendirmesi — Kiracılar arasında e-posta alan adına dayalı IdP keşfi
6. Birlikte Var Olan Kimlik Doğrulama Yöntemleri — E-posta/şifre ve Google OAuth'ın yanı sıra SSO
7. Kendi Kendine Hizmet Kurulumu — Mühendislik desteği olmadan SSO yapılandırması için yönetici paneli
8. Single Logout — Kullanıcı kimlik sağlayıcısından çıkış yaptığında platform oturumu sonlandırılır
9. Denetim İzleği — Her SCIM işlemi ve SSO olayı uyumluluk için kaydedilir
10. SCIM Grup Senkronizasyonu — Kimlik sağlayıcı grup üyeliğinden gerçek zamanlı rol ve program değişiklikleri