← Tüm terimler
OpenID Connect (OIDC)

OpenID Connect (OIDC) nedir?

OIDC, uygulamaların kimlik sağlayıcıdan gelen imzalı JSON jetonlarıyla kullanıcının kim olduğunu doğrulamasını sağlayan, OAuth 2.0 üzerine kurulu modern kimlik katmanıdır.

Son güncelleme: 13 Temmuz 2026

OIDC nasıl çalışır

OAuth 2.0 tek başına yetki devrini, yani bir uygulamaya kaynaklara erişim izni verilmesini yönetir; ancak kullanıcının kim olduğu hakkında hiçbir şey söylemez. OpenID Connect bu eksik kimlik katmanını ekler. Bağımlı taraf (relying party) denilen uygulama, kullanıcıyı kimlik sağlayıcıya yönlendirir. Doğrulamanın ardından sağlayıcı; kullanıcı tanımlayıcısı, ad, e-posta ve doğrulama zamanı gibi bilgileri içeren imzalı bir JSON Web Token (JWT) olan ID jetonunu üretir.

Önerilen akış, PKCE ile güçlendirilmiş yetkilendirme kodu akışıdır; bu akış, istemci sırrı tutamayan mobil ve tek sayfalık uygulamalarda bile jeton alışverişini korur. OIDC ayrıca keşif belgelerini ve UserInfo uç noktasını standartlaştırır; bu sayede entegrasyonlar eski protokollere kıyasla büyük ölçüde kendiliğinden yapılandırılır.

OIDC neden önemli

OIDC, modern yazılımın varsayılan kimlik protokolü haline geldi. JSON ve REST temelleri; SAML'ın XML işlemesinin ağır ve hantal kaldığı web API'leri, mobil uygulamalar ve mikroservislerle doğal biçimde uyuşur. Tüm büyük platformlar ve sosyal giriş düğmeleri OIDC üzerine kuruludur; her dilde bol geliştirici aracı bulunur.

Kurumlar için OIDC, yeni uygulamaların merkezi kimliğe hızlı ve güvenli biçimde bağlanması, ayrıca diğer sistemleri kapsayan SSO ve MFA politikalarının aynı şekilde uygulanması anlamına gelir. Standart akışlar ve kütüphaneler, hâlâ yaygın bir zafiyet kaynağı olan el yapımı kimlik doğrulama hatalarının riskini de azaltır.

Uygulamada OIDC

Bir uygulamayı OIDC ile bağlamak; kimlik sağlayıcıda bir istemci kaydı oluşturmayı, istemci kimliği almayı ve yönlendirme adreslerini yapılandırmayı içerir. Sağlayıcı, bilinen bir adreste keşif belgesi yayımlar; çoğu kütüphane uç noktaları ve imza anahtarlarını buradan otomatik yapılandırır. Doğru akışı seçmek önemlidir: kullanıcıya dönük uygulamalar için PKCE'li yetkilendirme kodu, saf makineler arası trafik için istemci kimlik bilgileri akışı.

Sık yapılan hatalar arasında jetonları eksik doğrulamak, imza veya hedef kitle kontrollerini atlamak ve jeton ömürlerini çok uzun tutmak vardır. Sertifikalı kütüphanelere bağlı kalmak bu sorunların çoğunu önler. Monosign; SAML ve WS-Fed'in yanında PKCE destekli OIDC ve OAuth 2.0 sunarak modern ve eski uygulamaların tek bir kimlik omurgasını paylaşmasını sağlar.

Sık sorulan sorular

OAuth 2.0 ile OIDC arasındaki fark nedir?
OAuth 2.0 yetkilendirmeyle ilgilidir: bir uygulamanın kullanıcının izniyle kaynaklar üzerinde işlem yapmasını sağlar. OIDC ise bunu kimlik doğrulamayla genişletir: imzalı bir ID jetonuyla kullanıcının kim olduğunu kanıtlar. Oturum açma gerekiyorsa ham OAuth değil, OIDC kullanmalısınız.
ID jetonu nedir?
ID jetonu, kimlik doğrulamanın ardından kimlik sağlayıcının ürettiği imzalı bir JSON Web Token'dır. Kullanıcı hakkında benzersiz tanımlayıcı, ad ve e-posta gibi bilgilerin yanı sıra doğrulamanın ne zaman ve nasıl yapıldığını taşır. Uygulama, güvenmeden önce imzasını, düzenleyicisini, hedef kitlesini ve geçerlilik süresini doğrular.
PKCE neden önemli?
PKCE (Proof Key for Code Exchange), yetkilendirme kodunu istemcinin ürettiği tek kullanımlık bir sırra bağlayarak araya girilmesine karşı korur. İstemci sırrı saklayamayan mobil ve tek sayfalık uygulamalar için tasarlanmıştır; güncel en iyi uygulamalar tüm OIDC istemcileri için PKCE önerir.