← Tüm terimler
SAML (Security Assertion Markup Language)

SAML (Security Assertion Markup Language) nedir?

SAML, kimlik sağlayıcının uygulamalara imzalı kimlik doğrulama onayları iletmesini sağlayan, kurumsal SSO'nun temelini oluşturan XML tabanlı bir standarttır.

Son güncelleme: 13 Temmuz 2026

SAML nasıl çalışır

SAML iki rol tanımlar: kullanıcıları doğrulayan kimlik sağlayıcı (IdP) ve kullanıcının erişmek istediği uygulama olan servis sağlayıcı (SP). Kullanıcı uygulamayı açtığında SP, tarayıcıyı bir kimlik doğrulama isteğiyle IdP'ye yönlendirir. IdP kullanıcıyı doğrular, ardından kullanıcının kim olduğunu ve ne zaman doğrulandığını belirten bir XML belgesi olan SAML onayını geri gönderir.

Onay, IdP sertifikasıyla dijital olarak imzalanır ve SP bu imzayı kurulum sırasında paylaşılan meta veriler üzerinden doğrular. Onaylar ayrıca e-posta, gruplar ve roller gibi öznitelikler taşıyabilir; uygulama bunları yetkilendirme için kullanır. Tüm alışveriş tarayıcı yönlendirmeleriyle gerçekleşir; bu nedenle SP ile IdP arasında doğrudan bir ağ bağlantısı gerekmez.

SAML neden önemli

2005'te son halini alan SAML 2.0, kurumsal tek oturum açmanın omurgası haline geldi ve iş yazılımlarında derin biçimde yerleşmiş durumda. Binlerce SaaS ürünü, kamu sistemi ve kurum içi uygulama, SAML'ı birincil veya tek federasyon seçeneği olarak sunar; bu nedenle ciddi her kimlik platformunun SAML'ı eksiksiz desteklemesi gerekir.

Güvenlik ekipleri için SAML, uygulamalara özgü parolaları ortadan kaldırır ve doğrulama politikasını IdP'de merkezileştirir. Yazılım üreticileri içinse SAML desteği çoğu zaman kurumsal satışların ön koşuludur; satın alma listelerinde düzenli olarak yer alır. Yeni uygulamalar giderek OpenID Connect'i tercih etse de SAML, birlikte çalışabilirlik için uzun yıllar vazgeçilmez kalacaktır.

Uygulamada SAML

Bir SAML entegrasyonu kurmak, IdP ile SP arasında meta veri alışverişi yapmak demektir: varlık kimlikleri, uç nokta adresleri ve imza sertifikaları. Çoğu kimlik platformu, popüler uygulamalar için bunu birkaç alana indiren hazır bağlayıcılar sunar. Uygulamalar ad, e-posta ve grup bilgilerinin geliş biçimi konusunda farklılık gösterdiğinden öznitelik eşleme özen ister.

Operasyonel olarak en sık karşılaşılan sorunlar süresi dolan imza sertifikaları, sistemler arası saat kayması ve uyuşmayan kimlik biçimleridir; bu nedenle sertifika yenileme ve izleme, işletim planında yer almalıdır. Monosign, SAML 2.0'ı iki rolde de uygular: uygulamalara karşı IdP, harici kimlik kaynaklarıyla federasyonda ise SP olarak çalışır.

Sık sorulan sorular

SAML mi OIDC mi kullanmalıyım?
Uygulamanın en iyi desteklediği standardı kullanın. Eski kurumsal yazılımlar genellikle SAML sunar; modern web ve mobil uygulamalar ise daha hafif ve JSON tabanlı olan OIDC'yi tercih eder. Çoğu kurum ikisini aynı kimlik sağlayıcıdan yan yana çalıştırır; bu nedenle bu nadiren bir ya-ya da kararıdır.
SAML artık eski bir teknoloji mi?
SAML eskimiş değil, olgunlaşmış bir standarttır. Yeni tüketici odaklı geliştirmeler büyük ölçüde OIDC'ye kaymış olsa da SAML, kurumsal ve kamu yazılımlarının büyük bölümünde zorunlu protokol olmayı sürdürüyor. Öngörülebilir gelecekte desteklenmesi gerekecektir.
SAML onayı (assertion) nedir?
Kimlik sağlayıcının, kullanıcıyı doğruladıktan sonra uygulamaya gönderdiği imzalı XML belgesidir. Kullanıcının kim olduğunu, ne zaman ve nasıl doğrulandığını belirtir; isteğe bağlı olarak e-posta ve grup üyelikleri gibi öznitelikler içerir. Dijital imza, belgenin yapılandırılmış IdP'den geldiğini kanıtladığı için uygulama ona güvenir.