Open in app

Sign in

Write

Sign in

Dijital Kimlik Yönetim Modelleri

Zeynep Türker
HardwareAndro
Published in
4 min readOct 12, 2023

Herkese Merhaba, bu yazımda sizlere Dijital kimlik yönetim modellerinden bahsedeceğim. Umarım faydalı olur.

Öncelikle kısaca dijital kimlik nedir ondan bahsedelim.

Dijital Kimlik, bir bireyin veya kurumun dijital dünyada temsil ettiği bilgi topluluğudur (kimlik bilgileri, ehliyet bilgisi vs. ).

Dijital kimlik yönetim modelleri de bu dijital kimliklerin oluşturulmasını, güncellenmesini, yönetilmesini ve güvenli bir şekilde saklanmasını sağlayan süreçleri ve sistemleri tanımlar.

Dijital kimlik yönetim modellerine geçmeden önce iki kavramı öğrenmemizde fayda var: Identity Provider (IDP) ve Non-Identity Service Provider (SP).

Identity Provider (IdP): Kimlik sağlayıcılar, kullanıcıların kimlik bilgilerinin doğrulanmasını dijital servislere olan erişimlerimizi yetkilendirmemizi sağlar.

Non-Indentity Service Provider (SP): Hizmet sağlayıcılar, kullanıcıların kimlik doğrulaması ve yetkilendirme işlemlerini gerçekleştirmeyen, başka türden hizmetler sunan kuruluşlardır. Bu tür hizmet sağlayıcılar, kullanıcıların verilerini işleyebilir, depolayabilir veya hizmetler sunabilir, fakat kullanıcıların kimliklerini yönetme sorumluluğuna sahip değillerdir.

Küçük bir örnekle anlatacak olursam; Gmaile erişmek istediğimizde Google hesabımızı kullanırız. Kimlik sağlayıcı, bizim Google hesabımızla doğrulama yaparak bizim kimliğimizi doğrular ve bu sayede Gmail e-posta hizmetini kullanabiliriz. Hizmet sağlayıcının rolü ise e-posta sistemindeki maillerin depolanması, gönderilmesi ve alınmasıdır. Kimlik sağlayıcıdan gelen doğrulanmış kimlik bilgilerini kabul eder ve e-posta servisini bizlere sunar.

Şimdi, en yaygın kullanılan dijital kimlik yönetimi modellerini inceleyelim.

Merkezi Kimlik Yönetimi (Centralized Identity Management)

En basit ve geleneksel dijital kimlik yönetim sistemidir. Her bir dijital servis, hem bir kimlik hem de hizmet sağlayıcı görevi görüyor. Yani bu modelde bir merkezi kuruluş ya da otorite, kullanıcıların kimlik bilgileri kaydeder ve bunları yönetir. Kullanıcılar kimlik bilgilerini bu merkezi kuruluşa kaydederler ve kimlik doğrulamaya ihtiyaç duyduklarında bu kuruluşu kullanırlar. Örnek vermek gerekirse; birçok hizmet sağlayıcı, kullanıcılara Google ya da Facebook ile kimliklerini doğrulamasına izin verir.

Bu modeldeki bazı dezavantajlar:

  1. Kullanıcı verileri, merkezi bir veritabanında tutulduğu için kullanıcının bilgilerinin açığa çıkma riski vardır.
  2. Çoklu kimlik olgusu vardır. Kullanıcı her bir servis için ayrı hesap (dijital kimlik) oluşturmak zorundadır. Bu demek oluyor ki kullanıcının LinkedIn, Google, Facebook gibi diğer hesaplar için ayrı bir dijital kimliğe sahip olması gerekir. Bu yüzden de karmaşık bir durum ortaya çıkabilir.

Anlayacağımız üzere bu modelde kullanıcının dijital kimliklerini daha iyi yönetebilmesi sağlanmaz. Bu yüzden de diğer modeller ortaya çıkmıştır.

Birleşik Kimlik Yönetimi (Federated Identity Management)

Merkezi kimlik yönetimi modelinde kullanıcının dijital kimliğini yönetirken çıkan sorunlardan bahsetmiştik. Bundan dolayı da birleşik kimlik yönetimi modelimiz ortaya çıkmıştır. Bu modelin ana oyuncusu kullanıcı ile servis arasında köprü görevi gören kimlik sağlayıcıdır.

Kimlik sağlayıcı, kullanıcının dijital kimliğini ve ilgili verileri tutan bir varlıktır. Kullanıcı, dijital kimliğini kullanarak bir servisi kullanmak istediğinde kimlik sağlayıcısına ihtiyaç duyar. Örnek vermek gerekirse; Google hesabımız ile birçok servise giriş sağlayabiliriz. Bu sayede tek bir dijital kimlik ile birden fazla serviste hesap açabiliriz. Bu da çoklu kimlik olgusunu önler. Diğer bir yandan bu modelde kullanıcı kendi dijital kimliklerinin gerçek sahibi değildir. Bu bilgiler, her zaman üçüncü bir kişi tarafından tutulur. Bu da kullanıcı dijital kimliğine her erişmek istediğinde kimlik sağlayıcısına yük getirir. Aynı zamanda bilgiler üçüncü bir kişi tarafından tutulduğu için gizlilikle ilgili riskler ortaya çıkabilmektedir.

Bu sorunları ortadan kaldırmak için başka bir dijital kimlik yönetim modelimiz olan kendine egemen kimlik yönetimine bakalım.

Kendine Egemen Kimlik Yönetimi (Self-Sovereign Identity Management)

Kullanıcı odaklı ve kullanıcılara tam kontrol ve sahiplik hakkı veren bir dijital kimlik yönetimi modelidir. Kullanıcılar kendi kimliklerini oluşturabilirler ve bu kimlikleri güvendikleri bir şekilde şifrelerler. Bilgileri saklarken de blockchain gibi güvenilir protokoller kullanılır.

Bir örnek üzerinden anlatmak gerekirse havalimanında güvenlik kısmından geçerken eğer eski yöntemleri kullanırsak pasaport ya da kimlik gibi resmi belgeleri fiziksel olarak sunmak zorundayız. Bu da havalimanı kimlik doğrulaması için lazım olmayan bilgilerimizin de açığa çıkması anlamına gelir. Fakat Self-Sovereign ile sadece kimlik doğrulama için gerekli olan bilgilerimizin yer aldığı dijital seyahat kimliğimizi oluşturup bu kimlik ile kontrolden geçersek bilgilerimiz üzerinde daha fazla kontrol sahibi oluruz ve kimlik bilgilerimizin gizliliği daha iyi korunur. Ayrıca havalimanı personelinin bilgilerimize kalıcı erişimi olmayacağından kişisel veri mahremiyeti korunur.

Self-sovereign sayesinde kendi dijital kimliğimizi oluşturup kendimiz yönetebiliyoruz. Bu sayede sadece gerekli bilgilerimizi paylaşabiliriz.

Digital Identity
Identity Management
Self Sovereign Identity
Federated Identity
Centralized Identity

--

--

Zeynep Türker
HardwareAndro

Written by Zeynep Türker

29 Followers
Writer for

Computer Engineer

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams