Keycloak Nedir? SSO, OAuth2, OIDC ve SAML ile Kimlik & Erişim Yönetimi

DatabaseLatest Software Developers 07/12/2026

Modern uygulamalarda kimlik doğrulama (authentication) ve yetkilendirme (authorization) süreçleri sadece “giriş ekranı” değildir; güvenlik, kullanıcı deneyimi ve sistemin ölçeklenebilirliği açısından kritik bir mimari bileşendir. Bu yazıda Keycloak nedir, neden kullanılır ve kurumsal/mikroservis mimarilerde hangi ihtiyaçları çözdüğünü sade ama kapsamlı şekilde ele alıyoruz.

Keycloak Nedir?

Keycloak, açık kaynaklı bir kimlik ve erişim yönetimi (Identity & Access Management – IAM) çözümüdür. Temel amacı; uygulamalarda kullanıcı doğrulama, yetkilendirme ve oturum yönetimi gibi güvenlik süreçlerini merkezi bir noktadan yönetmektir.

Bir benzetmeyle; Keycloak, uygulamalarınızın “kapısını koruyan” bir bekçi gibi çalışır: Kimin içeri gireceğine, nerelere erişeceğine, hangi rollerle hangi kaynakları kullanabileceğine tek merkezden karar verirsiniz.

Kısaca: Keycloak, login/rol/izin/token süreçlerini uygulamalarınızdan çıkarıp merkezi bir kimlik sağlayıcıya taşıyarak güvenliği ve yönetilebilirliği artırır.

Kimlik ve Erişim Yönetimi (IAM) Neden Önemlidir?

İnternete erişim arttıkça kullanıcılar farklı platformlarda çok sayıda hesap oluşturuyor. Bu hesapları güvenli şekilde yönetmek, farklı uygulamalarda tutarlı yetkilendirme sağlamak ve denetlenebilir bir yapı kurmak giderek zorlaşıyor.

IAM yaklaşımı, kullanıcıların tek bir kimlikle birden fazla hizmete erişmesini sağlar; güvenliği artırır, yönetimi sadeleştirir ve kurumların regülasyon/denetim ihtiyaçlarını karşılamasına yardımcı olur.

SSO (Tek Oturum Açma) Nedir?

Single Sign-On (SSO), kullanıcının bir kez giriş yaparak birden fazla uygulama ve servise tekrar login olmadan erişebilmesidir. Kurumsal yapılarda (iç/dış uygulamalar) ve mikroservis mimarilerinde kullanıcı deneyimini ciddi ölçüde iyileştirir.

  • Kullanıcı için: Daha hızlı ve akıcı deneyim
  • BT/DevOps için: Daha merkezi kontrol ve daha az parola karmaşası
  • Güvenlik için: Politika, MFA ve denetim süreçlerinde standardizasyon

OAuth 2.0, OpenID Connect (OIDC) ve SAML 2.0

OAuth 2.0 Nedir?

OAuth 2.0, uygulamaların başka bir uygulama/servisin kaynaklarına erişimini düzenleyen bir yetkilendirme protokolüdür. Örneğin bir uygulamanın kullanıcı adına API çağırabilmesi gibi senaryolarda kullanılır.

OpenID Connect (OIDC) Nedir?

OpenID Connect, OAuth 2.0 üzerine kurulu bir kimlik doğrulama katmanıdır. Yani “Bu kullanıcı kim?” sorusuna standart bir cevap sağlar.

SAML 2.0 Nedir?

SAML 2.0 özellikle kurumsal SSO dünyasında yaygın kullanılan bir standarttır. Kurum içi sistemler ve bazı üçüncü parti kurumsal uygulamalar SAML entegrasyonunu tercih edebilir.

Özet: OAuth 2.0 genelde “yetki”, OIDC “kimlik”, SAML ise özellikle kurumsal SSO dünyasında güçlü bir standarttır. Keycloak bu protokolleri destekleyerek farklı ekosistemlerle entegrasyonu kolaylaştırır.

Keycloak Ne İşe Yarar?

  • SSO (Tek Oturum Açma): Kullanıcı bir kez giriş yapar, bağlı uygulamalara tekrar giriş yapmadan erişir.
  • Kullanıcı & Rol Yönetimi: Kullanıcı, grup ve roller merkezi olarak yönetilir (admin, editor, user gibi).
  • Standart Protokoller: OAuth 2.0, OIDC ve SAML 2.0 ile modern entegrasyon sağlar.
  • Harici Kimlik Sağlayıcı Entegrasyonu: LDAP/Active Directory, Google, Microsoft, GitHub vb. ile bağlanabilir.
  • Güvenlik Özellikleri: MFA (2FA), parola politikaları, token bazlı güvenlik (JWT) gibi özellikler sunar.

Kurumsal ve Yazılım Mimarilerinde Keycloak

Hem kurumsal yapılarda hem de modern yazılım mimarilerinde (özellikle mikroservislerde) IAM kritik bir rol oynar. Keycloak gibi bir çözümün öne çıktığı başlıca noktalar:

1) Güvenlik ve Tutarlılık

Mikroservis mimarilerde çok sayıda servis ve API bulunur. Her servisin ayrı güvenlik mekanizması geliştirmesi hem zor hem de tutarsızdır. Keycloak, merkezi bir doğrulama/yetkilendirme yaklaşımıyla sistem genelinde tutarlı güvenlik sağlar.

2) Merkezi Kimlik Yönetimi

Kullanıcılar, roller ve yetkiler tek merkezden yönetilir. Bu, operasyonel yükü azaltırken veri bütünlüğü ve yönetilebilirliği artırır.

3) Rol ve Yetki Yönetimi

Farklı kullanıcı tiplerinin farklı yetkilere sahip olduğu kurumsal sistemlerde rol yönetimi olmazsa olmazdır. Keycloak, bu yapıyı daha şeffaf ve ölçeklenebilir hale getirir.

4) Denetim ve İzlenebilirlik

Oturumların izlenmesi, yetki değişikliklerinin kaydı ve güvenlik olaylarının denetlenmesi; regülasyon/uyumluluk süreçlerinde önemlidir.

5) Teknoloji Bağımsızlığı

Açık kaynak olması ve farklı dil/çatı (framework) ekosistemleriyle kolay entegre olabilmesi, kurumların teknoloji yığınlarına uyum sağlar.

Keycloak Nasıl Çalışır? (Basit Akış)

  1. Kullanıcı uygulamaya girmek ister.
  2. Uygulama, kullanıcıyı Keycloak login sayfasına yönlendirir.
  3. Kullanıcı Keycloak üzerinde kimlik doğrular (parola, MFA vb.).
  4. Keycloak, uygulamanın kullanacağı access token (çoğunlukla JWT) üretir.
  5. Uygulama token ile kullanıcıyı tanır ve yetkilerini kontrol ederek erişim verir.
Client (Web/Mobile) → Keycloak (Login) → Token (JWT) → API Gateway/Services → Authorization

Keycloak Nerelerde Kullanılır?

  • Web uygulamaları: Angular, React, Vue
  • Backend servisleri: Spring Boot, .NET, Node.js
  • Mikroservis mimarileri: Çoklu servis ve API güvenliği
  • Kurumsal sistemler: Üniversiteler, kamu, bankalar, büyük işletmeler

Angular + Spring Boot Mimarisinde Keycloak Kullanımı

Angular + Spring Boot gibi yaygın bir yapıda Keycloak oldukça doğal bir konumlanmaya sahiptir:

  • Angular: Kullanıcıyı Keycloak ile login yapar, token’ı alır ve isteklerde taşır.
  • Spring Boot: Gelen JWT token’ı doğrular, rol bazlı erişim kontrolü uygular.

Basit bir rol bazlı örnek senaryo:

  • /admin/** → sadece ROLE_ADMIN
  • /api/** → login olan herkes
İpucu: Mikroservis mimarilerde genellikle API Gateway + Keycloak + JWT doğrulama yaklaşımı tercih edilir. Böylece servisler minimum tekrar eden güvenlik koduyla daha yönetilebilir hale gelir.

Keycloak Avantajları

  • Açık kaynak ve geniş topluluk desteği
  • Merkezi kimlik yönetimi ile operasyonel kolaylık
  • Güçlü güvenlik: MFA, parola politikaları, token yönetimi
  • Kurumsal uyumluluk: SSO, denetim, entegrasyon
  • OAuth 2.0 / OIDC / SAML desteği sayesinde esnek mimari

Sık Sorulan Sorular

Keycloak ile OAuth 2.0 aynı şey mi?

Hayır. OAuth 2.0 bir protokoldür; Keycloak ise OAuth 2.0, OIDC ve SAML gibi protokolleri uygulayan bir IAM ürünüdür.

Keycloak mikroservis mimarisinde neden çok kullanılıyor?

Çünkü çok sayıda servis arasında tutarlı kimlik doğrulama ve yetkilendirme sağlamak zordur. Keycloak merkezi yaklaşımıyla bu karmaşıklığı azaltır.

Keycloak hangi sistemlerle entegre olabilir?

LDAP/Active Directory gibi kurumsal dizin servisleriyle ve Google/Microsoft gibi harici kimlik sağlayıcılarla entegre olabilir.

Keycloak JWT nedir, neden önemlidir?

JWT (JSON Web Token), kullanıcı oturumunu ve yetkilerini taşımak için kullanılan imzalı bir token türüdür. API’lerde stateless (durumsuz) doğrulamayı kolaylaştırır.

Bu ve benzeri yazılarımızı latestsoftwaredevelopers.com üzerinden de okuyabilirsiniz.

Şimdilik iyi çalışmalar, hoşça kalın!

Beğendiysen bir çay ısmarlayabilirsin ☕

Bana çay ısmarla
Latest Software Developers
Yazar

Blog where the most up-to-date software is followed. (En güncel yazılımların takip edildiği blog sitesi)


Database ile ilgili yorumlar

Yorum Paylaş

EMail Zorunlu alanlar * *