← Tüm terimler
Kimlik Doğrulama ve Yetkilendirme

Kimlik doğrulama ile yetkilendirme arasındaki fark nedir?

Kimlik doğrulama kullanıcının kim olduğunu doğrular; yetkilendirme ise o kullanıcının neler yapabileceğine karar verir. Güvenli her sistem, bu sırayla ikisine de ihtiyaç duyar.

Son güncelleme: 14 Temmuz 2026

Kimlik doğrulama ile yetkilendirme nasıl ayrışır

Kimlik doğrulama (kısaca AuthN), bir kimlik iddiasını kanıtlama eylemidir. Oturumun başında gerçekleşir ve faktörlere dayanır: bildiğiniz bir şey (parola), sahip olduğunuz bir şey (telefon veya güvenlik anahtarı) ya da olduğunuz bir şey (parmak izi veya yüz). Kimlik doğrulamanın çıktısı, genellikle bir oturum veya imzalı bir jeton olarak taşınan doğrulanmış bir kimliktir.

Yetkilendirme (AuthZ) ise sonra gelir. Doğrulanmış kimliğe bakarak sistem, söz konusu isteğin serbest olup olmadığına karar verir: bu kullanıcı bu kaydı açabilir mi, bu ödemeyi onaylayabilir mi, bu sunucuyu silebilir mi? Yetkilendirme; roller, grup üyelikleri, öznitelikler ve politikalar üzerinden her istekte sürekli değerlendirilir. Kullanıcı oturum başına bir kez doğrulanır ama aynı oturumda binlerce kez yetkilendirilir.

Bu ayrım neden önemli

Bu iki kavramı birbirine karıştırmak gerçek güvenlik açıkları doğurur. Kullanıcıları doğrulayan ama yetkilendirmeyi zayıf yapan bir sistem, oturum açan herkesin her veriye ulaşmasına izin verir; güvensiz doğrudan nesne referansları içeren birçok API ihlali böyle gerçekleşir. Yetkilendirmesi sıkı ama kimlik doğrulaması zayıf bir sistem de aynı ölçüde açıktır; çünkü çalıntı parolaya sahip bir saldırgan, kurbanın özenle sınırlanmış tüm yetkilerini devralır.

Ayrım, farklı araç ve standartlara da karşılık gelir. Kimlik doğrulama; MFA, parolasız yöntemler ve SAML ile OpenID Connect gibi protokollerle güçlendirilir. Yetkilendirme ise rol tabanlı erişim denetimi (RBAC) ve öznitelik tabanlı erişim denetimi (ABAC) gibi modellerle ifade edilir ve politika motorlarıyla uygulanır. Uyumluluk çerçeveleri, kurumlardan düzenli olarak ikisini de kanıtlamasını ister: kimliklerin güçlü biçimde doğrulandığını ve erişimin her rolün gerektirdiğiyle sınırlı olduğunu.

Uygulamada ikisini de doğru kurmak

Kimlik doğrulama tarafında oturum açmayı bir kimlik sağlayıcıda merkezileştirin, MFA'yı zorunlu kılın ve hassas roller için geçiş anahtarları gibi oltalamaya dirençli faktörleri tercih edin. Yetkilendirme tarafında rolleri mevcut bir kullanıcının yetkilerini kopyalayarak değil, iş fonksiyonlarından tanımlayın; yetkileri düzenli aralıklarla gözden geçirin ve en az ayrıcalık ilkesini varsayılan yapın ki yeni erişimler sonradan geri alınmak yerine baştan gerekçelendirilsin.

İki disiplin jetonda buluşur: kimlik doğrulamadan sonra kimlik sağlayıcı, uygulamaların yetkilendirme kararlarında kullandığı öznitelik ve grup taleplerini taşıyan onaylar üretir. Bu taleplerin dizin eşitleme ve otomatik hesap yönetimiyle güncel tutulması, zincirin tamamını güvenilir kılar. Monosign; TOTP, anlık bildirim onayı ve geçiş anahtarlarını içeren MFA seçenekleriyle kimlik doğrulama tarafını üstlenir, SAML, OIDC ve SCIM üzerinden ilettiği rol ve grup talepleriyle yetkilendirmeyi besler.

Sık sorulan sorular

Önce hangisi gelir: kimlik doğrulama mı, yetkilendirme mi?
Her zaman önce kimlik doğrulama gelir. Bir sistem, kişinin kim olduğunu bilmeden neler yapabileceğine karar veremez. Tek istisna, yetkilendirme kurallarının doğrulanmamış bir genel role uygulandığı anonim erişimdir.
OAuth ve OIDC kimlik doğrulama için mi, yetkilendirme için mi?
OAuth 2.0 bir yetkilendirme çerçevesidir: API'lere kapsamı sınırlı erişimi devreder. OpenID Connect ise onun üzerine inşa edilmiş kimlik doğrulama katmanıdır ve kullanıcının kim olduğunu kanıtlayan imzalı bir kimlik jetonu iletir. Uygulamada modern oturum açmaların çoğu ikisini birlikte kullanır.
RBAC ve ABAC nedir?
Rol tabanlı erişim denetimi (RBAC), yetkileri kullanıcılara atanan roller üzerinden verir; yönetimi ve denetimi kolaydır. Öznitelik tabanlı erişim denetimi (ABAC) ise politikaları kullanıcının, kaynağın ve bağlamın özniteliklerine göre değerlendirir; daha ayrıntılı ve dinamik kararlar sağlar. Birçok kurum temel olarak RBAC'ı, istisnalar için ABAC'ı kullanır.