�nternet'in ortaya ��k���ndan bu yana en �nemli kullan�m alanlar�ndan biri bilgi edinme ve �evrimi�i i�lemler olmu�tur. �nternet'in sadece bilgi al�nan de�il ayn� zamanda bilgi de�i�tirilen ve i�lem yap�lan yap�lar i�ermesi, yap�lan i�lemelerin g�venli�i ve bilgilere eri�im konusunda yetkilendirme gereksinimi do�urmu� olup bu konuda en yayg�n kullan�lan y�ntem ise �ifre yetkilendirmesi olmu�tur. Bu yaz�da ayn� �ifrenin farkl� sitelere defalarca girilmesini sorununu ��zen Single-Sign-On (SSO) uygulamalar�n genel yap�lar� incelenecek ve ODT�'deki uygulamalar�ndan bahsedilecektir. Yaz�m�z yetkilendirme sunucular� ile ilgili temel seviyede bilgisi olan okuyucular�m�za y�neliktir.

�ifre yetkilendirmesinin servis veren birimler ve sistem y�neticileri i�in temel i� y�k�, ki�ilere gerekli �ifrenin verilmesidir. Di�er tarafta kullan�c�lar i�in ise, farkl� sistemler i�in farkl� �ifreleri ezberlemek zor bir i�lemdir. Bu durum bir �ifre ile �ok say�da sisteme eri�me d���ncesini do�urmu�tur. Ortak �ifre kullan�m� i�in en basit y�ntem, �ifrelerin bir sunucuda tutulup di�er sistemlerin �ifre sorgulamas�n� bu sunucudan yapmas�d�r. Ancak, bu yap�da �ifre g�venli�i sorunu ortaya ��kmaktad�r. Kullan�c� kodlar�n� tutan, yani �ifrelerin sahibi olan otorite, kullan�c�lara verdi�i �ifrelerin ba�ka sistemlerden ge�mesini olumlu kar��layamayacakt�r. Bu �ekilde �ifre kullan�m�n�n bir di�er dezavantaj� ise, kullan�c�n�n ayn� �ifreyi ba�lanaca�� her sisteme tekrar tekrar yazmak zorunda olmas�d�r. Kullan�c� ayn� �ifre ile yetkilenebildi�i, farkl� siteler bulundu�u durumda, bilgisayar�nda �ifreyi bir kez girdi�inde ayn� �ifre ile giri� yapabilece�i t�m sayfalara ula�abilmek isteyecektir.

Ortak �ifre kullan�m�n�n hem g�venlik hem de pratiklik anlam�ndaki sorunlar�n� ��zmek i�in etkili bir uygulama Single-Sign-On (SSO) sistemleridir. SSO sisteminde temel olarak �� tip ��e bulunur. Bunlar yetkilendirme sunucusu, kullan�c�lar�n ba�land�klar� sitelerin sunucular� ve istemcilerdir. SSO'nun temel mant���, yetkilenmek isteyen kullan�c�lar�n �ifrelerini yetkilendirme sunucusuna ait bir sayfaya girmeleri, daha sonra yetkilendirmeyi yapan sistem taraf�ndan o oturuma �zel bir oturum anahtar� olu�turulmas� ve bu anahtar ile istemcilerin kullan�lacak sayfaya geri y�nlendirilmesi �eklindendir. Bundan sonra as�l kullan�lacak olan web sayfas�, kendisine oturum bilgisi ile gelen istemcinin oturum anahtar�n� yetkilendirici sistem �zerinden kontrol edecek ve do�ru ise istemciye yetki verecektir. Bu yap� ile hem as�l �ifre sadece yetkilendirme sunucusundan ge�ecek; hem de sistem oturum �erezleri ile birlikte kullan�ld���nda, bir kez �ifre ile yetkilenen kullan�c�, ayn� SSO sistemine ait t�m servislere tekrar �ifre girmeden ba�lanabilecektir.

SSO yap�s� kullan�m�nda dikkat edilmesi gereken baz� unsurlar da vard�r. Sistem normal �al��t��� durumda �ifreler sadece yetkilendirme sunucusu taraf�ndan g�r�lebilir olmas�na ra�men, SSO'ya dahil sistemlerden birinin k�t�ye kullan�m� ile bu durum de�i�ebilir. Normal �artlarda SSO kullanan sunuculardan birine gelen istemcinin SSO sunucusuna y�nlendirilerek yetkilendirilmesi gerekirken, sistemlerden birinin k�t� niyetli bir ki�i taraf�ndan ele ge�irilmesi durumunda, kullan�c� y�nlendirilmeden �ifresinin istenmesi m�mk�nd�r. Bu gibi riskler, kullan�c�lar�n bilin�lendirilerek �ifre giri� an�nda sayfan�n ad�n�n ve ba�lant� g�venli�inin kontrol edilmesi gere�ini do�urmaktad�r. Di�er bir husus ise SSO yetkilendirme sunucusunun �al��mamas� durumunda SSO'ya dahil sistemlere ula��mda sorun ya�anacak olmas�d�r. E�er bir sayfa SSO �zerinden yetkilendirme kontrol� yap�yor ise, yetkilendirme sunucusunun �al��mamas�, yetkilendirmeyi kullanan sayfan�n kullan�c� taraf�nda hi� a��lmamas�na neden olabilecektir. Bu durumda ise kullan�c� taraf�nda ilgili sayfa �al��m�yor izlenimi olu�acakt�r. Bu sorun, sayfan�n yetkilendirmeyi zorunlu tutmay�p, sadece oturum kontrol� yap�p, oturum var ise farkl� i�levler sunulan tasar�mlarda bile olu�abilir. Bu nedenle, SSO sunucusunun �al��mad��� durumda, sayfan�n sundu�u yetkilendirme gerektirmeyen servisler de kullan�lamayabilir.

Yaz�n�n ba��nda belirtilen senaryolara benzer �ekilde Orta Do�u Teknik �niversitesi de �nternet �zerinde onlarca servis sunmaktad�r. Bu servislerin hepsi i�in yetkilendirme kontrol�n�n kullan�c� d�zeyinde zorluk ��kard��� da bilinmektedir. Kullan�c�lar�m�za kolayl�k getirmek amac� ile B�t�nle�ik Bilgi Sistemi (BBS) projesi alt�nda bir ad�m olan SSO sistemi login.metu.edu.tr sunucusundan deneme ama�l� olarak servis vermeye ba�lanm��t�r. Kullan�c�m�z bir servis i�in istekte bulundu�unda yetkilendirilmek i�in SSO sunucusuna y�nlendirilecek ve yetkilendirme s�reci login.metu.edu.tr �zerinden devam edecektir. E�er kullan�c� ba�ar�l� bir �ekilde yetkilendirildi ise, tekrar buraya y�nlendiren servise geri d�n�lecek ve yetkilendirme verilen serviste de kullan�lacakt�r. Art�k kullan�c�m�z bir kere yetkilendirildikten sonra, di�er servisleri de tekrar kullan�c� ad� ve �ifre girmeye gerek kalmadan SSO sunucusu �zerinden yetkilendirilecektir. SSO sisteminin alt yap�s�nda ise CAS (Central Authentication Service) kullan�lmaktad�r. ODT�'de CAS'�n tercih edilmesinin �e�itli nedenleri vard�r. �ncelikli olarak a��k kaynak kod ile da��t�lmas� tercihte �n plana ��kmaktad�r. Di�er bir neden ise, entegrasyonunun ve uygulamas�n�n kolay olmas� ve geni� �e�itlilikteki platformu desteklemesidir. Bu nedenlerin yan� s�ra iyi dok�mante edilmi� olmas� ve sunucu taraf�nda JAVA teknolojisinin kullan�lm�� olmas� gibi art�lar� da mevcuttur.

Belirtilen fakt�rler, genel olarak d���n�ld���nde, SSO sistemleri �nternet kullan�c�lar�n�n �nternet sitelerindeki yetkilendirmelerini kolayla�t�ran ve kullan�c�lara verilen �ifreler ile farkl� sistemlere g�venli �ekilde ba�lanabilmelerini sa�layan sistemlerdir. Bunun yan�nda, �zellikle g�venlik ve sistem s�reklili�i taraf�na olu�abilecek olumsuz senaryolar d���n�lmeli, kullan�c�lar bilgilendirilmeli ve sistemler uygun �ekilde tasarlanmal�d�r.

Onur Yurtsever - U�ur D�kmeci