Varsayılan olarak, Google'ın harici olarak erişilebilen hesap hizmeti, Google Hesapları için kimlik doğrulama işlemini gerçekleştirir. Kimliği doğrulanmamış bir kullanıcı, kimlik doğrulaması gerektiren bir Google sayfasını ziyaret ettiğinde Google giriş formu, kullanıcının e-posta adresini ve şifresini ister. Kullanıcı e-posta adresini ve şifresini gönderdikten sonra Google kimlik doğrulaması, girilen kimlik bilgilerinin doğru olduğunu doğrular. Kimlik bilgileri doğruysa Google kimlik doğrulaması, kullanıcının giriş çerezlerini ayarlar.
Bazı kuruluşlar, kimlik doğrulamanın üçüncü taraf kimlik sağlayıcı (IdP) tarafından yapıldığı daha karmaşık bir model kullanır. Google kimlik doğrulaması, bu modeli endüstri standardı Güvenlik Onayı Biçimlendirme Dili (SAML) protokolü aracılığıyla destekler. Bir yönetici, SAML kimlik doğrulamasını kullanacak şekilde bir alan yapılandırabilir.
Kullanıcının şifresini edinme
ChromeOS'in, oturum açma sırasında girilen kullanıcı şifresini tanımlaması gerekir. Bu şifre şu amaçlarla kullanılır:
- Disk sürücüsünde depolanan kullanıcı verilerini şifreleyin.
- Kilit ekranını koruma
- Ağ erişimi olmadığında çevrimdışı girişi etkinleştirin.
SAML kullanılırken şifre doğrudan bir ChromeOS sistem iletişim kutusuna değil, kimlik sağlayıcı tarafından barındırılan bir web görünümüne girilir. ChromeOS, HTML'ye erişebilse de hangi form alanlarının verileri içerdiği net olmadığından şifreyi almanın basit ve standart bir yolu yoktur.
SAML kullanırken kullanıcının şifresini almanın iki yolu vardır: kimlik bilgisi aktarma API'si ve şifre kazıma.
Chrome Credentials Passing API
Google, kimlik sağlayıcıların gerekli verileri ChromeOS'e iletmek için SAML sayfalarında, JavaScript'te uygulayabileceği bir Credentials Passing API sağlar. Google kimlik doğrulaması bu API'yi kullanır ancak herhangi bir SAML kimlik sağlayıcı da bu API'yi kullanabilir.
Şifre kazıma
Bir SAML kimlik sağlayıcı, Credentials Passing API'yi desteklemediğinde şifre kazıma kullanabilir.
Bu yöntemde:
- Kimlik doğrulama ekranı, oturum açma işlemine ev sahipliği yapan web görünümüne bir içerik komut dosyası yerleştirir.
- İçerik komut dosyası, şifre türündeki HTML giriş alanlarını tanımlar ve içeriklerini bir diziye kopyalar. Dizi, şifre alanının içeriği her değiştiğinde güncellenir.
- Kazınan şifreler, bunları biriktiren bir arka plan sayfasına gönderilir. Bu sayede, giriş akışı farklı HTML sayfalarına birden fazla yönlendirme içerse bile şifre yakalanabilir.
Giriş akışının sonunda, arka plan sayfasından kazınan şifrelerin dizisi alınır. Üç durum söz konusu olabilir: Şifre kazınmamış, tam olarak bir şifre kazınmış veya birden fazla şifre kazınmış.
Şifre kazınmadı
İçerik komut dosyası, kimlik sağlayıcı tarafından sunulan HTML sayfalarındaki şifreyi bulamıyor. Kimlik sağlayıcı, geleneksel şifreler kullanmıyor olabilir.
Bu senaryoda ChromeOS, kullanıcıdan cihaz için manuel bir şifre seçmesini ister. Şifre yoksa (ör. akıllı kartlar, NFC, biyometri ile kimlik doğrulama) ChromeOS kimlik doğrulama işlemi şifre olmadan devam edebilir.
Tam olarak bir şifre kazındı
İçerik komut dosyası tam olarak bir şifreyi tanımlar. Bu büyük olasılıkla, kullanıcının kimlik doğrulama için kullandığı şifredir.
Bu senaryoda, kullanıcının şifresini büyük olasılıkla doğru şekilde kazımışızdır. ChromeOS, kimlik doğrulama sürecine devam etmek için kazınan şifreyi kullanıcının şifresi olarak kullanır.
Birden fazla şifre kazındı
İçerik komut dosyası birden fazla şifre tanımlıyor. Bu durum, kimlik sağlayıcının kullanıcının giriş formuna kalıcı bir şifre ve tek kullanımlık şifre girmesini zorunlu kıldığı durumlarda yaşanabilir.
Bu senaryoda, kullanıcının gerçek şifresini ve ChromeOS'in ilgilenmediği bazı ek şifre alanlarını kazımış olabiliriz. ChromeOS, doğru şifrenin hangisi olduğunu belirlemek için kullanıcıdan şifreyi ek bir şifre istemine tekrar girmesini ister.
Girilen şifre, kazınan şifrelerden biriyle eşleşirse kullanıcının gerçek şifresi tanımlanır ve kimlik doğrulama işlemi devam eder. Eşleşme yoksa kullanıcıdan şifresini tekrar girmesi istenir. İki uyuşmazlıktan sonra giriş, hata mesajıyla birlikte başarısız olur.
Kurumsal kayıt
Enterprise kaydı için, cihazın doğru alanla ilişkilendirilmesi amacıyla kaydeden kullanıcının e-posta adresi gerekir. E-posta, cihaz politikası getirme işlemi sırasında Cihaz Yönetimi (DM) sunucusundan Chrome'a PolicyData mesajının kullanıcı adı alanında gönderilir. Kullanıcının şifresini belirlemeniz gerekmez.