TOA hakkında

TOA ayarlandığında, üçüncü taraf IdP'lerinde oturum açan kullanıcılar aşağıdaki istisnalar dışında ek doğrulama olmadan Google uygulamalarına erişebilir:

• Ek bir güvenlik önlemi olarak, IdP'lerinde oturum açmış olsalar bile Google bazen kullanıcılardan kimlik doğrulaması ister. Daha fazla bilgi (ve gerekirse bu doğrulamanın nasıl devre dışı bırakılacağıyla ilgili ayrıntılar) için SAML güvenli oturum açmayı anlama başlıklı makaleyi inceleyin.
• Google hizmetlerine erişen kullanıcılar için iki adımlı doğrulama özelliğini de ayarlayabilirsiniz. TOA etkinleştirildiğinde, normalde iki adımlı doğrulama atlanır. Daha fazla bilgi edinmek için TOA ile birlikte kullanılan giriş sorgulamalarını etkinleştirme başlıklı makaleyi inceleyin.

1. Şekil, bir kullanıcının iş ortağı tarafından işletilen SAML tabanlı bir TOA hizmeti aracılığıyla Gmail gibi bir Google uygulamasında oturum açma işlemini göstermektedir. Resmi takip eden numaralı liste her adımı detaylı şekilde anlatmaktadır.

Önemli: Bu işlem gerçekleşmeden önce, iş ortağının Google'a, TOA hizmetinin URL'si ile birlikte Google'ın SAML yanıtlarını doğrulamak için kullanması gereken genel anahtarı da sağlaması gereklidir.

1. Şekil: Bu, SAML tabanlı bir TOA hizmetini kullanarak Google'da oturum açma işlemini göstermektedir. 

Bu resimde şu adımlar gösterilmektedir.

1. Kullanıcı; Gmail, Google Takvim veya başka bir Google hizmeti gibi barındırılan bir Google uygulamasına erişmeye çalışır.
2. Google, iş ortağının TOA hizmetinin URL'sine kodlanan ve yerleştirilen bir SAML kimlik doğrulama isteği oluşturur. Kullanıcının ulaşmaya çalıştığı Google uygulamasının kodlanmış URL'sini içeren RelayState parametresi de TOA URL'sine yerleştirilir. Bu RelayState parametresi, herhangi bir değişiklik veya inceleme yapılmadan geri aktarılan opak bir tanımlayıcıdır.
3. Google, kullanıcının tarayıcısına bir yönlendirme URL'si gönderir. Yönlendirme URL'si, iş ortağının TOA hizmetine gönderilmesi gereken kodlanmış SAML kimlik doğrulama isteğini içerir.
4. Tarayıcı, TOA URL'sine yönlendirir.
5. İş ortağı, SAML isteğinin kodunu çözer ve hem Google'ın ACS'si (Onaylama Tüketici Hizmeti) hem de kullanıcının hedef URL'si (RelayState parametresi) için URL'yi ayıklar. 
6. Ardından iş ortağı, kullanıcının kimliğini doğrular. İş ortakları, kullanıcı kimliklerini, geçerli giriş kimlik bilgilerini isteyerek veya geçerli oturum çerezlerini kontrol ederek doğrulayabilir.
7. İş ortağı, kimliği doğrulanan kullanıcının adın içeren bir SAML yanıtı oluşturur. SAML v2.0 spesifikasyonuna uygun şekilde bu yanıt, iş ortağının genel ve gizli DSA/RSA anahtarlarıyla dijital olarak imzalanır.
8. İş ortağı SAML yanıtını ve RelayState parametresini kodlar ve bu bilgiyi kullanıcının tarayıcısına döndürür. İş ortağı, tarayıcının bu bilgileri Google'ın ACS'sine iletebilmesi için bir mekanizma sağlar. Örneğin, iş ortağı, SAML yanıtını ve hedef URL'yi bir forma yerleştirebilir ve kullanıcının formu Google'a göndermek için tıklayabileceği bir düğme koyabilir. İş ortağı ayrıca sayfaya, formu Google'a gönderen bir JavaScript de ekleyebilir.
9. Tarayıcı, ACS URL'sine bir yanıt gönderir. Google'ın ACS'si, SAML yanıtını iş ortağının genel anahtarını kullanarak doğrular. Yanıt başarıyla doğrulandıysa ACS, kullanıcıyı hedef URL'sine yönlendirir. 
10. Kullanıcı Google uygulamasında oturum açar.