E‑İmza ve Mobil İmza ile SSO: Keycloak/OIDC ile Uyumlu Mimari

Nazmi E.

ONAYLARIM Destek Ekibi

E‑İmza ve Mobil İmza ile SSO

Her OIDC/Keycloak ile Çalışan Esnek Mimari

Bu yazıda; kurumlardaki mevcut SSO altyapınıza (Keycloak, Curity, Auth0, Azure AD veya OIDC/OAuth 2.0 standartlarına uyan herhangi bir kimlik sağlayıcısı) e‑imza ve mobil imza adımını ekleyerek, kullanıcıların kurumsal uygulamalara güvenli ve düzenleyici uyumlu şekilde giriş yapmasını sağlayan yaklaşımı anlatıyorum. Yazı teknik detaya boğulmadan mantığı, akışı ve entegrasyon noktalarını sadeleştirir. Amacımız: "Standart SSO'ya e‑imza/mobil imza faktörünü şeffaf biçimde eklemek."

Neden?

Erişimde hukuki bağlayıcılık: E‑imza/mobil imza ile oturum açan kullanıcıların eylemleri yasal olarak bağlayıcı hale gelir.

Sıfır kilitlenme: Var olan SSO'nuzu (Keycloak vb.) değiştirmeden, standartlara uyarak faktör ekleme.

Kullanıcı dostu: Web portalı, e‑imza aracı veya mobil operatör onayı ile adım adım yönlendirir.

Esnek: Her OIDC sağlayıcısıyla çalışır; sadece standart akışları kullanır.

Büyük Resim: Akış Nasıl İşler?

Kullanıcı kurumsal uygulamanıza gider; uygulama, kurumdaki IdP'nize (Keycloak vb.) yönlendirir.

IdP, kullanıcıyı imza portalına yönlendirir (standart OIDC yetkilendirme akışının bir parçası).

Portal; e‑imza (masaüstü aracı) veya mobil imza seçeneklerini gösterir ve imza metnini hazırlar.

Kullanıcı e‑imza ya da mobil imza ile onaylar.

Portal, IdP'nin OIDC callback noktasına geri döner. IdP standart "Authorization Code" akışını tamamlar ve kullanıcıyı uygulamanıza tek oturumla aktarır.

Kritik nokta: IdP tarafı "standart" kalır; imza doğrulaması portal + API katmanında yapılır; sonrasında IdP'ye sadece OIDC'nin beklediği bilgilerle dönülür.

SSO e‑İmza Akış Şeması

Standartlara Uyum: Neden "Her IdP ile Çalışır"?

OIDC/OAuth 2.0 akışlarına sadık kalınır. İmza portalı, IdP'ye geri dönüşte standart parametrelerle callback'e döner.

IdP (Keycloak vb.) tarafında "özel bir eklenti" zorunlu değil; front‑channel (browser) üzerinden standart yetkilendirme döngüsü izlenir.

Böylece Keycloak, Curity, Auth0, Azure AD… seçiminiz ne olursa olsun, sistemin "e‑imza/mobil imza" katmanı değişmeden kalır.

Güvenlik ve Uyum

İmza metni (textToSign) API'den gelir; sunucu tarafında tarih/saat gibi değişkenler işlenir.

Yerel e‑imza aracıyla yapılan imza, API'de doğrulanır; manipüle edilmesi engellenir.

Hatalar (oturum süresi doldu, PIN hatalı/blokeli, ağ hatası) kullanıcıya sade ama anlamlı mesajlarla gösterilir; yeniden deneme ya da başa dönme seçenekleri sunulur.

Başarı sonrası kimlik doğrulama izleri (ör. SignerIdentities) kayıt altına alınır.

İç Linkler

  • Onaylarım SSO ürünü hakkında detaylı bilgi için: Onaylarım SSO

Ne Kazanırsınız?

Mevcut SSO'nuzu atıl bırakmadan, yasal geçerli imzayla giriş kontrolü.

Uçtan uca standart uyumu; IdP bağımsızlığı.

Modern, kullanıcı dostu bir arayüz; süreç şeffaflığı.

Regülasyonlara uyum (e‑imza/mobil imza) ve denetlenebilirlik.

Kapanış

Kurumunuzda zaten bir SSO var ve bunu yasal geçerli bir imza adımıyla güçlendirmek istiyorsanız, bu mimari tam olarak o boşluğu dolduruyor. "Standartlara sadık kal, e‑imza/mobil imza katmanını şeffaf ekle" yaklaşımı sayesinde hem kullanıcılara hem de BT ekiplerine düşük sürtünmeli bir deneyim sunuyoruz.

Demo talep edin: Kurumunuza özel kısa bir akışla (Keycloak/Azure AD) birlikte denemek ister misiniz? Bize iletişim sayfasından ulaşın veya Onaylarım ekibiyle bir demo planlayalım.