İsteğe bağlı TOA ayarları ve bakımı

Sertifikaları döndürme

Bir SAML Tek Oturum Açma (TOA) profiline iki sertifika yüklerseniz Google, IdP'nizden gelen bir SAML yanıtını doğrulamak için bu sertifikaları kullanabilir. Bu sayede, IdP tarafında süresi dolan bir sertifikayı güvenli bir şekilde değiştirebilirsiniz. Bir sertifikanın süresinin sona ermesinden en az 24 saat önce şu adımları uygulayın:

  1. IdP'de yeni bir sertifika oluşturun.
  2. Sertifikayı Yönetici Konsolu'na ikinci sertifika olarak yükleyin. Talimatlar için SAML profili oluşturma başlıklı makaleyi inceleyin.
  3. Google kullanıcı hesaplarının yeni sertifikayla güncellenmesi için 24 saat bekleyin.
  4. IdP'yi, süresi dolan sertifika yerine yeni sertifikayı kullanacak şekilde yapılandırın.
  5. (İsteğe bağlı) Kullanıcılar oturum açabildiklerini onayladıktan sonra eski sertifikayı Yönetici Konsolu'ndan kaldırın. İleride gerektiğinde yeni bir sertifika yükleyebilirsiniz.

TOA ile oturum açma işlemlerini basitleştirmek için e-posta adresini otomatik doldurma

Kullanıcılarınızın oturum açmasına yardımcı olmak için Gelen SAML Tek Oturum Açma (TOA) profili oluşturulurken veya güncellenirken E-postayı otomatik doldurma'yı etkinleştirin.

E-postayı otomatik doldurma özelliği, üçüncü taraf kimlik sağlayıcınızın (IdP) oturum açma sayfasındaki e-posta adresi alanını otomatik olarak doldurur. Bu nedenle, kullanıcıların yalnızca şifrelerini girmeleri gerekir. Yeni bir gelen SAML TOA profili oluştururken veya mevcut bir profili güncellerken E-postayı otomatik doldurma'yı etkinleştirebilirsiniz.

E-posta adresini otomatik doldurma özelliği, kullanıcılarınızın e-posta adreslerini IdP'nize güvenli bir şekilde göndermek için giriş ipucu parametresini kullanır. Bu parametre, üçüncü taraf IdP'lerin IdP tarafından başlatılan oturum açma işlemleri için desteklediği yaygın bir özelliktir.

Giriş ipucunun parametresi standartlaştırılmamıştır. Bu nedenle, farklı IdP'ler farklı varyasyonlar kullanır. Örneğin:

  • login_hint: (Microsoft Entra gibi IdP'ler tarafından desteklenir.)
  • LoginHint: (Okta gibi IdP'ler tarafından desteklenir.)

Bu farklılıklar nedeniyle, IdP'nizin hangi biçimi desteklediğini onaylamanız ve Google Yönetici Konsolu'nda ilgili ayarı seçmeniz gerekir.

E-posta otomatik doldurma özelliğini etkinleştirme seçenekleri

Yeni profilde e-posta adresini otomatik doldurma özelliğini etkinleştirme

  1. Google Yönetici Konsolu'nda yönetici hesabıyla oturum açın.

    Yönetici hesabı kullanmıyorsanız Yönetici Konsolu'na erişemezsiniz.

  2. Google Yönetici Konsolu'nda Menü ardından GüvenlikardındanKimlik doğrulamaardındanÜçüncü taraf IdP ile TOA'ya gidin.

    Güvenlik Ayarları yönetici ayrıcalığına sahip olmayı gerektirir.

  3. Üçüncü taraf TOA profilleri bölümünde SAML profili ekle'yi tıklayın.
  4. SAML TOA profili için bir profil adı girin.
  5. E-postayı otomatik doldurma için IdP'nizin desteklediği giriş ipucu biçimiyle eşleşen seçeneği belirleyin.
  6. IdP ayrıntıları bölümünde aşağıdaki adımları tamamlayın:
    1. IdP'nizden aldığınız IDP varlık kimliği, Oturum açma sayfası URL'si ve Oturum kapatma sayfası URL'sini girin.
    2. Şifre değiştirme URL'si için IdP'niz için şifre değiştirme URL'si girin.
      Kullanıcılar, şifrelerini sıfırlamak için bu URL'ye gider.
  7. Kaydet'i tıklayın ve profil oluşturmaya devam edin.

Mevcut bir profilde e-posta adresini otomatik doldurma özelliğini etkinleştirme

  1. Google Yönetici Konsolu'nda yönetici hesabıyla oturum açın.

    Yönetici hesabı kullanmıyorsanız Yönetici Konsolu'na erişemezsiniz.

  2. Google Yönetici Konsolu'nda Menü ardından GüvenlikardındanKimlik doğrulamaardındanÜçüncü taraf IdP ile TOA'ya gidin.

    Güvenlik Ayarları yönetici ayrıcalığına sahip olmayı gerektirir.

  3. Üçüncü taraf TOA profilleri bölümünde, güncellemek istediğiniz profili tıklayın.
  4. SS ayrıntıları'nı tıklayın.
  5. E-postayı otomatik doldurma için IdP'nizin desteklediği giriş ipucu biçimiyle eşleşen seçeneği belirleyin.
  6. Kaydet'i tıklayın.

Alana özel hizmet URL'lerini yönetme

Alana özel hizmet URL'leri ayarı, kullanıcılar https://mail.google.com/a/example.com gibi hizmet URL'lerini kullanarak oturum açtığında ne olacağını kontrol etmenize olanak tanır.

  1. Google Yönetici Konsolu'nda Menü ardından GüvenlikardındanKimlik doğrulamaardındanÜçüncü taraf IdP ile TOA'ya gidin.

    Güvenlik Ayarları yönetici ayrıcalığına sahip olmayı gerektirir.

  2. Ayarları açmak için Alana özel hizmet URL'leri seçeneğini tıklayın.

İki seçeneğiniz vardır:

  • Kullanıcıları üçüncü taraf IdP'ye yönlendirin. Bu kullanıcıları her zaman TOA profili açılır listesinde seçtiğiniz üçüncü taraf IdP'ye yönlendirmek için bu seçeneği tercih edin. Bu, kuruluşunuzun TOA profili veya (eklediyseniz) başka bir üçüncü taraf profili olabilir.

    Önemli: TOA kullanmayan kuruluş birimleriniz veya gruplarınız varsa bu ayarı seçmeyin. TOA kullanmayan kullanıcılarınız otomatik olarak IdP'ye yönlendirilir ve oturum açamaz.

  • Kullanıcıların ilk önce Google'ın oturum açma sayfasında kullanıcı adlarını girmesini zorunlu kıl. Bu seçenekle, alana özgü URL giren kullanıcılar önce Google oturum açma sayfasına gönderilir. TOA kullanıcıları ise IdP oturum açma sayfasına yönlendirilir.

Ağ Eşleme sonuçları

Ağ maskeleri, Sınıfsız Alanlar Arası Yönlendirme (CIDR) biçimi kullanılarak temsil edilen IP adresleridir. CIDR, IP adresinin kaç bitinin ekleneceğini belirtir. Kuruluşunuzun TOA profili, TOA hizmetiyle hangi IP adreslerinin veya IP adresi aralıklarının sunulacağını belirlemek için ağ maskelerinden yararlanabilir.

Not: Ağ maskesi ayarları için şu an yalnızca alana özgü hizmet URL'leri (ör. hizmet.google.com/a/example.com) TOA oturum açma sayfasına yönlendirilir.

Her ağ maskesinin doğru biçimi kullanması önemlidir. Aşağıdaki IPv6 örneğinde, eğik çizgi (/) ve bunu takip eden sayı, CIDR'yi temsil etmektedir. Son 96 bit dikkate alınmaz ve bu ağ aralığındaki IP adreslerinin tamamı etkilenir.

  • 2001:db8::/32

Bu IPv4 örneğinde, son 8 bit (yani sıfır) dikkate alınmaz ve 64.233.187.0 - 64.233.187.255 aralığındaki IP adreslerinin tamamı etkilenir.

  • 64.233.187.0/24

Ağ maskesi olmayan alanlarda, süper kullanıcı olmayan kullanıcıları kimlik sağlayıcıya (IdP) eklemeniz gerekir.

Google hizmet URL'lerini ziyaret ederken TOA kullanıcı deneyimi

Aşağıdaki tabloda, Google hizmeti URL'lerine doğrudan ziyaretler için ağ maskesi olan ve olmayan kullanıcı deneyimi gösterilmektedir:

maskesiolmadan Süper yöneticiler: Kullanıcılar:
service.google.com Google e-posta adresleri ve şifreleri istenir. E-posta adreslerini girmeleri istenir ve ardından TOA oturum açma sayfasına yönlendirilirler.
maskesiyle Süper yöneticiler ve kullanıcılar:
service.google.com E-posta adresleri ve şifreleri istenir.
service.google.com
/a/alan_adiniz.com*
(ağ maskesi içinde)		 TOA oturum açma sayfasına yönlendirilirler.
service.google.com
/a/alan_adiniz.com
(ağ maskesi dışında)
 E-posta adresleri ve şifreleri istenir.
accounts.google.com/
o/oauth2/v2/auth?login_hint=
xxxxx@example.com

login_hint URL parametresini kullanarak Google'ın OAuth 2.0 uç noktasına erişen kullanıcılar TOA oturum açma sayfasına yönlendirilir.

* Tüm hizmetler bu URL kalıbını desteklememektedir. Gmail ve Drive bu tür hizmetlere örnek gösterilebilir.

Ağ maskesi yapılandırıldığında oturumun sona ermesi

Aşağıdaki durumlarda kullanıcının etkin Google oturumu sonlandırılabilir ve kullanıcıdan kimliğini tekrar doğrulaması istenebilir:

  • Kullanıcı oturumu, Yönetici Konsolu'ndaki Google oturum kontrolü ayarında belirtilen, izin verilen maksimum süreye ulaştığında.
  • Yönetici, şifreyi değiştirerek veya kullanıcının bir sonraki oturum açma işleminde şifreyi değiştirmesini zorunlu kılarak kullanıcı hesabında değişiklik yaptığında (Yönetici Konsolu üzerinden veya Yönetici SDK'sını kullanarak).

Kullanıcı deneyimi

Kullanıcı, oturumu üçüncü taraf IdP'de başlattıysa, oturum temizlenir ve kullanıcı Google ile Oturum Açma sayfasına yönlendirilir.

Kullanıcı, Google oturumunu üçüncü taraf IdP üzerinde başlattığından, hesabına tekrar erişebilmek için neden Google'da oturum açması gerektiğini anlayamayabilir. Kullanıcılar, diğer Google URL'lerine gitmeye çalıştıklarında bile bir Google ile Oturum Açma sayfasına yönlendirilebilir.

Etkin kullanıcı oturumlarını sonlandırmayı içeren bir bakım planınız varsa ve kullanıcıların kafasını karıştırmak istemiyorsanız, kullanıcılarınıza oturumlarını kapatmalarını ve bakım tamamlanıncaya kadar oturum açmamalarını söyleyin.

Kullanıcı kurtarma

Etkin oturumunun sonlandırılması nedeniyle Google ile Oturum Açma sayfasına yönlendirilen bir kullanıcı, aşağıdakilerden birini yaparak hesabına tekrar erişebilir:

  • Kullanıcı, "Bu sayfaya yanlışlıkla eriştiyseniz oturumu kapatıp daha sonra tekrar oturum açmayı denemek için lütfen burayı tıklayın," hatasıyla karşılaşıyorsa, mesajdaki bağlantıyı tıklayabilir.
  • Kullanıcı bu mesajı veya bağlantıyı görmüyorsa oturumunu kapatır ve https://accounts.google.com/logout adresine giderek yeniden oturum açar.
  • Kullanıcı, tarayıcı çerezlerini temizleyebilir.

Kurtarma yöntemlerinden herhangi birini kullandıktan sonra, kullanıcının Google oturumu tamamen sonlandırılır. Bunun ardından kullanıcı oturum açabilir.

TOA ile 2 Adımlı Doğrulama'yı ayarlama

  1. Google Yönetici Konsolu'nda Menü ardından GüvenlikardındanKimlik doğrulamaardındanGiriş sorgulamaları'na gidin.

    Kullanıcı güvenliği yönetimi yönetici ayrıcalığına sahip olmayı gerektirir.

  2. Solda, politikayı oluşturmak istediğiniz kuruluş birimini seçin.

    Tüm kullanıcılar için en üst düzey kuruluş birimini seçin. Başlangıçta kuruluş birimleri, üst kuruluşunun ayarlarını devralır.

  3. TOA sonrası doğrulama'yı tıklayın.

  4. Ayarları, kuruluşunuzda TOA profillerini kullanma şeklinize göre seçin. Eski TOA profilini kullanan ve diğer TOA profillerini kullanarak oturum açan kullanıcılar için bir ayar uygulayabilirsiniz.

  5. Sağ altta Kaydet'i tıklayın.

    Google, yönetici denetleme günlüğünde politika değişikliğinin gösterildiği bir giriş oluşturur.

Varsayılan TOA sonrası doğrulama ayarı, TOA kullanıcı türüne bağlıdır:

  • Eski TOA profilini kullanarak oturum açan kullanıcılar için varsayılan ayar, ek giriş sorgulamaları ve 2 Adımlı Doğrulama'yı atlamaktır.
  • TOA profillerini kullanarak oturum açan kullanıcılar için varsayılan ayar, ek giriş sorgulamaları ve 2 Adımlı Doğrulama'nın uygulanmasıdır.

Aşağıdaki kaynakları da incelemenizi öneririz:


Google, Google Workspace ve ilgili markalar ile logolar Google LLC şirketinin ticari markalarıdır. Diğer tüm şirket ve ürün adları, ilişkili oldukları şirketlerin ticari markalarıdır.