Azure AD (OIDC) Kurulumu
OpenID Connect kullanarak Microsoft Entra ID (Azure AD) ile Tek Oturum Açma'yı yapılandırmak için adım adım kılavuz.
Ön Koşullar
- Yönetici erişimine sahip Azure AD kiracısı
- SecureCodingHub kurum yöneticisi hesabı
- SecureCodingHub'da doğrulanmış kurum domain'i
Adım 1 — Azure AD'de Uygulama Kaydet
Azure Portal → Microsoft Entra ID → App registrations → New registration sayfasına gidin
Ad: SecureCodingHub SSO
Desteklenen hesap türleri: Accounts in this organizational directory only
Redirect URI: Web → https://api.limeplate.com/api/sch/auth/sso/callback/oidc
Register'a tıklayın
Adım 2 — Client Secret Oluştur
Certificates & secrets → New client secret sayfasına gidin
Açıklama: SecureCodingHub
Sona Erme: Politikanızı seçin (önerilen: 24 ay)
Secret değerini hemen kopyalayın — yalnızca bir kez gösterilir
Adım 3 — Kimlik Bilgilerinizi Not Edin
Azure AD uygulamanızdan aşağıdaki değerleri toplayın. Bir sonraki adımda bunlara ihtiyacınız olacak.
| Ayar | Nerede Bulunur |
|---|---|
| Application (Client) ID | Overview sayfası |
| Directory (Tenant) ID | Overview sayfası |
| Client Secret | Certificates & secrets |
| Discovery URL | https://login.microsoftonline.com/{tenant-id}/v2.0/.well-known/openid-configuration |
Adım 4 — SecureCodingHub'da SSO Yapılandır
Kurum Yöneticisi olarak giriş yapın → SSO Ayarları
Protokol: OIDC
Entity ID / Client ID: Application ID'nizi yapıştırın
Discovery / Metadata URL: OpenID yapılandırma URL'nizi yapıştırın
Client Secret: secret'ı yapıştırın
SSO'yu etkinleştirin
Kaydet'e tıklayın
Adım 5 — Test
Bir gizli/özel tarayıcı penceresi açın
SecureCodingHub girişine gidin
Kuruluşunuzun domain'i ile bir e-posta adresi girin
Microsoft girişine yönlendirilmelisiniz
Kimlik doğrulamasından sonra SecureCodingHub'a giriş yapmış olmalısınız
Yaygın Azure AD SAML tuzakları
OIDC yerine Azure AD ile SAML kullanıldığında üç başarısızlık modu üretim olaylarının çoğunluğunu açıklar. Birincisi uyumsuz bir entity ID'dir. Azure AD, SSO sekmesindeki Identifier alanında herhangi bir dizeyi kabul eder, ama bu değer SecureCodingHub'da yapılandırılan SP Entity ID ile birebir eşleşmiyorsa SAML yanıtı bir audience restriction hatasıyla reddedilir. Tanımlayıcıyı SecureCodingHub SSO ayarları sayfasından doğrudan kopyalayın, yazmayın. Sondaki slash'lar ve protokol uyumsuzlukları (http yerine https) yaygın sessiz hatalardır.
İkinci tuzak, talep veren URI uyumsuzluğudur. Azure AD iddiaları yayımladığı federasyon metadata URL'siyle imzalar ve SecureCodingHub, SAML yanıtındaki issuer'ın metadata'daki issuer ile eşleştiğini doğrular. Kiracıları değiştirirseniz, sertifikaları yeniden oluşturursanız ya da farklı bir uygulamadan bir metadata URL'sini kopyalarsanız issuer farklılaşır ve her giriş geçersiz imza hatasıyla başarısız olur. Üçüncü tuzak grup talep boyutudur. Azure AD, iddia maksimum yükü aştığında grup taleplerini keser ve grupları bir graph uç nokta referansıyla değiştirir. Aşağı akış rol eşlemesi için grup taleplerine güveniyorsanız Azure AD'yi kullanıcının ait olduğu tüm gruplar yerine yalnızca uygulamaya atanmış grupları yayacak şekilde yapılandırın.
SSO'nun uçtan uca çalıştığını doğrulama
Uçtan uca doğrulama üç aşamalıdır. Birinci, bir gizli pencere açın ve SecureCodingHub giriş sayfasından kurumsal bir e-posta adresi kullanarak girişi başlatın. Tarayıcı login.microsoftonline.com'a yönlendirmeli, Microsoft giriş deneyimini sunmalı ve ardından SecureCodingHub'a geri yönlendirmelidir. Geri yönlendirme başarısız olursa hata anında URL çubuğunu yakalayın. Sorgu dizesindeki hata kodu en yararlı kanıttır.
İkincisi, kullanıcının doğru kuruluşa ve panele indiğini doğrulayın. Başarılı bir girişin boş bir ana sayfayla ya da yanlış kurum yönlendirmesiyle bitmesi genellikle eksik bir kurum-domain eşlemesine işaret eder. Üçüncüsü, çıkış yapın, tekrar giriş yapın ve ikinci girişin sessiz veya neredeyse sessiz olduğunu doğrulayın. Microsoft oturum çerezi ikinci akışı neredeyse görünmez hale getirmelidir. Her iki giriş de tam yeniden kimlik doğrulama gerektiriyorsa IdP uygulamanız tek oturum açma çerez yeniden kullanımını engelleyen bir oturum politikası kullanıyordur. Paylaşılan sorun giderme adımları için SAML kurulum kılavuzu.