SSO ve SOC 2 ile AI Sunum Araçları: 2026 Uyumluluk Rehberi

2026 yılında, yalnızca altı AI sunum aracı gerçek kurumsal SSO (kendi IdP'niz üzerinden SAML 2.0 veya OIDC) ile birlikte halka açık olarak referans gösterilebilir bir SOC 2 Type II raporu sunmaktadır: Microsoft Copilot for PowerPoint, Google Gemini for Workspace, Canva Enterprise, Beautiful.ai, Gamma (Business katmanı) ve Plus AI Enterprise. Yaygın bir tedarik hatası, "Sign in with Google" ile kurumsal SSO'yu karıştırmaktır — bunlar farklıdır. Gerçek kurumsal SSO, kimlik sağlayıcınıza (Okta, Azure AD / Entra ID, Google Workspace, Ping) federe edilmiş SAML 2.0 veya OIDC, SCIM 2.0 aracılığıyla merkezi olarak sağlanan yaşam döngüsü yönetimi ve neredeyse her zaman ücretli bir Enterprise veya Business katmanı gerektirir. "Sign in with Google", kimlik katmanının kontrolünü IT'ye değil satıcıya veren sosyal bir oturum açma yöntemidir. Bu rehber, gerçek uyumluluk gerekliliklerini, Nisan 2026 itibarıyla büyük AI sunum araçları arasında SSO / SOC 2 / SCIM / denetim günlüğü matrisini ve güvenlik ekibinizin imza öncesinde her satıcıya göndermesi gereken 10 soruluk kontrol listesini açıklamaktadır.

---

Gerçek SSO Gereksinimleri ("Google ile Oturum Aç"tan İbaret Değil)

Yapay zeka sunum araçlarını inceleyen güvenlik ekipleri, satıcı pazarlama materyallerinde rutin olarak "SSO'yu destekliyoruz" ifadesini görür. Bu ifadenin üç farklı anlamı vardır ve bunlardan yalnızca biri kurumsal tedarik standartlarını karşılar.

1. Kademe: Sosyal giriş. "Google ile Oturum Aç" veya "Microsoft ile Oturum Aç", bir tüketici kimlik sağlayıcısına karşı kimlik doğrulaması yapmak için OAuth 2.0 kullanır. Hesabı kullanıcı kontrol eder, BT departmanı değil. Bir çalışan ayrıldığında, erişimini merkezi olarak zorunlu şekilde iptal edemezsiniz — satıcıdan hesabı devre dışı bırakmasını istemeniz gerekir ve kişisel Google kimliğine bağlı tüm çalışma ürünleri eski çalışanda kalabilir. Bu, kurumsal SSO değildir.

2. Kademe: SAML 2.0 veya OIDC ile federe SSO. Kimlik sağlayıcınız (Okta, Azure AD / Microsoft Entra ID, Google Workspace, Ping Identity, OneLogin, JumpCloud) imzalı bir SAML assertion veya OIDC ID token yayınlar. Satıcı, tüketici kimliğine değil, IdP'nize güvenir. Yalnızca IdP'nizde sağlanan kullanıcılar oturum açabilir. İşten çıkış anındadır — Okta'da hesabı devre dışı bırakın ve tüm SaaS erişimi sona erer. Bu, kurumsal için temel seviyedir.

3. Kademe: SCIM 2.0 sağlama ile birlikte federe SSO. SAML kimlik doğrulamayı yönetir, ancak SCIM (Çapraz Alan Kimlik Yönetimi Sistemi) kullanıcı yaşam döngüsünü yönetir: hesap oluşturma, grup ve rolleri güncelleme, ayrılan çalışanları devre dışı bırakma — tümü IdP'nizden SaaS satıcısına otomatik olarak gönderilir. SCIM olmadan BT, her kullanıcıyı manuel olarak sağlar veya toplu devre dışı bırakma olmadan Just-In-Time (JIT) sağlamayı kabul eder. Yaklaşık 200 kullanıcının üzerindeki kuruluşlar için SCIM zorunludur.

Bir satıcı "SSO'muz var" dediğinde, her zaman hangi kademe olduğunu sorun. Yanıt, kurumsal açıdan hazır olup olmadıklarını veya size farklı bir etiketle tüketici kimlik doğrulaması satıp satmadıklarını belirler.

SOC 2 Type II: Aslında Neyi Kapsar

SOC 2, AICPA'nın Güven Hizmetleri Kriterleri (Trust Services Criteria) kapsamında bağımsız bir CPA firması tarafından düzenlenen bir güvence raporudur: Güvenlik (Security - zorunlu), artı isteğe bağlı Erişilebilirlik (Availability), İşleme Bütünlüğü (Processing Integrity), Gizlilik (Confidentiality) ve Mahremiyet (Privacy). İki rapor türü vardır ve aradaki fark önemlidir.

SOC 2 Type I, belirli bir andaki durum fotoğrafıdır. Denetçi, kontrollerin belirli bir tarihte uygun şekilde tasarlanıp tasarlanmadığını kontrol eder. Elde edilmesi nispeten kolaydır ve zayıf güvence sağlar. Type I, yalnızca bir tedarikçinin Type II yolunda olduğuna dair kanıt olarak kabul edilebilir.

SOC 2 Type II, bu kontrollerin sürekli bir gözlem dönemi boyunca — genellikle ilk rapor için 6 ay, sonrasında 12 ay — etkin şekilde çalışıp çalışmadığını değerlendirir. Type II, gerçek kurumsal standarttır. Bir Type II raporu, sistemin tanımını, yönetimin beyanını, denetçinin görüşünü (şartsız, şartlı, olumsuz veya görüş bildirmekten kaçınma), kontrol faaliyetlerini ve denetçinin bu kontrollere ilişkin testlerini sonuçlarıyla birlikte içerir.

İstemeniz gerekenler:

• Tam Type II raporu (gizlilik sözleşmesi - NDA - kapsamında paylaşılması normaldir; herhangi bir Type II raporunu paylaşmayı reddeden tedarikçiler elenmeli)
• Güncel bir gözlem dönemi (en son rapor 6 aydan daha uzun süre önce sona eren bir dönemi kapsıyorsa, bir gap letter — o tarihten bu yana önemli bir değişiklik olmadığını belgeleyen denetçiden köprü mektubu — isteyin)
• Raporun kapsamı (özellikle AI sunum ürününü mü kapsıyor, yoksa yalnızca kurumsal IT ortamını mı?)
• Belirtilen istisnalar veya yönetim yanıtları
• CPA firma adı (Dört Büyük veya köklü uzman firmalar — A-LIGN, Schellman, Coalfire, Prescient Assurance — standarttır)

SOC 2 Type II bir devlet sertifikası değildir ve geçti/kaldı sistemiyle çalışmaz. Rapor istisnalar içerebilir. Okuyun.

Uyumluluk Matrisi

Aşağıdaki tablo, Nisan 2026 itibarıyla kamuya açık bilgileri yansıtmaktadır. "Kamuya açık olarak belirtilmemiş", satıcının bu özelliği resmi dokümantasyonunda doğrulamadığı anlamına gelir; özellik yine de NDA kapsamında veya özel sözleşmelerle mevcut olabilir.

Çıkarım: Yalnızca Microsoft Copilot for PowerPoint ve Google Gemini for Workspace, herhangi bir asterisk olmaksızın eksiksiz kurumsal paketi (SAML 2.0 + OIDC + SCIM + SOC 2 Type II + HIPAA BAA + denetim günlüğü) sunmaktadır, çünkü altyapılarındaki Microsoft 365 ve Google Workspace platformlarının kontrollerini devralırlar.

Gerçek Kurumsal SSO'ya Sahip Araçlar (2026)

1. Microsoft Copilot for PowerPoint

Copilot for PowerPoint, Microsoft 365 kiracısının tüm uyumluluk duruşunu miras alan bir Microsoft 365 eklentisidir: Entra ID aracılığıyla SAML 2.0 ve OIDC, SCIM sağlama, Koşullu Erişim, Purview denetim günlüğü, SOC 2 Type II, ISO 27001, FedRAMP High (GCC / GCC High SKU'ları), HIPAA BAA uygunluğu ve GDPR. M365 E3 veya E5 artı Copilot lisansı gerektirir. Copilot her kullanıcının Entra ID kimliği altında çalıştığından ve mevcut izinlerine saygı gösterdiğinden, veri erişimi halihazırda yürürlükte olan aynı DLP, hassasiyet etiketleri ve saklama politikaları tarafından yönetilir. Halihazırda Microsoft öncelikli kuruluşlar için bu genellikle en düşük sürtünmeli kurumsal seçimdir.

2. Google Gemini for Workspace (Slides)

Slides'taki Gemini, Google Workspace uyumluluğunu miras alır: Google Identity aracılığıyla SAML 2.0, OIDC, SCIM, SOC 1 / 2 / 3, ISO 27001, ISO 42001, FedRAMP High, HIPAA BAA (uygun Workspace SKU'larında) ve GDPR. Workspace Enterprise artı Gemini eklentisi gerektirir. Veriler Workspace kiracı sınırı içinde kalır ve temel modelleri eğitmek için kullanılmaz. Yönetici kontrolleri, saklama ve e-keşif için Vault ile Google Admin Console'da bulunur. Google Workspace kullanan organizasyonlar için doğal seçim.

3. Canva Enterprise

Canva Enterprise, dokümante edilmiş IdP'ler olarak Okta, OneLogin ve Google Workspace ile SAML 2.0 SSO'yu, kullanıcı sağlama ve sağlamayı kaldırma için SCIM'i, SOC 2 Type II, ISO 27001, GDPR ve rol tabanlı erişimi destekler. Denetim günlükleri yönetici eylemlerini, marka kiti değişikliklerini ve içerik olaylarını kapsar. Enterprise katmanı gerektirir — Canva Teams ve Pro, SAML SSO veya SCIM içermez. Tasarım işbirliği ve marka yönetişimi, AI üretiminin yanı sıra öncelikler olduğunda en güçlü uyum.

4. Beautiful.ai

Beautiful.ai, IdP tarafından başlatılan oturum açma ile SAML 2.0 SSO'yu, SCIM sağlamayı ve bağımsız denetçiler tarafından doğrulanan yıllık SOC 2 Type II onayını destekler. GDPR uyumludur. Team ve Enterprise katmanlarında mevcuttur. Yönetici kontrol paneli, kullanıcı yönetimi ve temel denetim görünürlüğü sağlar. M365 veya Workspace yükü olmadan kurumsal kimlik doğrulama isteyen orta ölçekli pazardaki ekipler için iyi bir uyum.

5. Gamma (Business Katmanı)

Gamma, Ekim 2025'te SOC 2 Type II sertifikası aldı ve Business planında SSO sunuyor. GDPR ve CCPA uyumludur. Team ve Business planlarındaki içerik, model eğitimi için kullanılmaz. Nisan 2026 itibariyle, Gamma'nın halka açık dokümantasyonu SCIM 2.0 sağlamayı onaylamıyor; kurumsal satın alma bunu açıkça talep etmelidir. Yönetici özellikleri arasında denetim kaydı ve çalışma alanı kontrolleri bulunur. Gamma, özel sözleşme içeren ayrı bir "Enterprise" planı sunmuyor — Business katmanı en üst düzey ticari seçenektir.

6. Plus AI (Enterprise)

Plus AI, SOC 2 Type II onayına sahip Google Slides ve PowerPoint için yerel bir eklentidir. Kurumsal düzeyde güvenlik ve özel markalama, satış ile iletişim yoluyla satılan Enterprise katmanında mevcuttur. SAML SSO ve SCIM halka açık dokümantasyonda onaylanmamıştır ve satın alma öncesinde satıcı ile doğrulanmalıdır. Öncelik, yeni bir uygulama benimsemek yerine düzenleme yüzeyini Google Slides veya PowerPoint içinde tutmak olduğunda güçlü bir seçimdir.

AI sunum araçlarının fiyatlandırma, özellikler ve mimari (sadece uyumluluk değil) açısından daha geniş bir karşılaştırması için 2026 kurumsal AI sunum araçları karşılaştırması kılavuzumuza bakın. Öncelikli endişeniz satıcının altyapısı içinde slayt içeriğinize gerçekte ne olduğuysa, AI sunumlar gizli veriler için güvenli mi yazısını okuyun.

10 Soruluk Uyumluluk Kontrol Listesi

Bunu RFP'nize yapıştırın. Doğrudan yanıt veremeyen her tedarikçi kurumsal tedarikten diskalifiye edilmelidir.

1. Kimlik sağlayıcımıza (Okta / Azure AD / Google Workspace / Ping) federe edilmiş SAML 2.0 SSO'yu destekliyor musunuz? Lütfen desteklenen IdP'leri listeleyin ve kurulum belgelerine bağlantı verin.
2. SAML'e alternatif olarak OIDC'yi destekliyor musunuz? Evet ise, hangi akışlar (PKCE ile Authorization Code, Client Credentials)?
3. SCIM 2.0 kullanıcı sağlama ve sağlamayı kaldırmayı destekliyor musunuz? Lütfen hangi SCIM uç noktalarının uygulandığını (Users, Groups, Roles) ve bilinen sınırlamaları belirtin.
4. En son SOC 2 Type II raporunuzu NDA altında paylaşabilir misiniz? Gözlem süresi, CPA firması nedir ve herhangi bir belirtilen istisna var mı?
5. SOC 2 Type II gözlem süreniz 6 aydan fazla önce sona erdiyse, bir boşluk (köprü) mektubu sağlayabilir misiniz?
6. ISO 27001 sertifikanız var mı? ISO 27701? ISO 42001 (AI yönetim sistemleri)?
7. Bir HIPAA İş Ortağı Anlaşması (BAA) imzalayacak mısınız? Evet ise, AI özelliği kapsanıyor mu yoksa yalnızca depolama katmanı mı?
8. Veri işleme ek sözleşmeniz (DPA) GDPR gerekliliklerini ve en son Standart Sözleşme Hükümlerini (2021/914) yansıtıyor mu? Müşteri verileri nerede depolanıyor ve işleniyor?
9. İstemler, yüklenen belgeler ve oluşturulan slaytlar dahil olmak üzere müşteri içeriği, modellerinizi veya herhangi bir üçüncü taraf temel modelini eğitmek için kullanılıyor mu? Bir vazgeçme seçeneği var mı ve bu varsayılan mı?
10. Yönetici denetim günlüğünüz neyi kaydediyor? (Kullanıcı girişleri, paylaşım değişiklikleri, içerik dışa aktarmaları, yönetici eylemleri, API çağrıları.) Saklama süresi nedir ve günlükler webhook, API veya S3 bucket aracılığıyla SIEM'imize aktarılabilir mi?

Yaygın Tedarik Tuzakları

Tuzak 1: Protokol belirtmeden "SSO" kabul etmek. Satıcılar bazen Google OAuth sosyal girişini "SSO" olarak tanımlar. Her zaman tam protokol adını talep edin: SAML 2.0 veya OIDC.

Tuzak 2: SOC 2 Type I'da durmak. Type I raporu, kontrollerin belirli bir tarihte tasarlandığı anlamına gelir. Operasyonel etkinliği göstermez. Çok yıllı herhangi bir kurumsal sözleşme için Type II talep edin.

Tuzak 3: Eski bir Type II raporuna güvenmek. 18 ay öncesinden bir Type II raporu ve köprü mektubu yoksa güncel kanıt değildir. Sürekli bir program talep edin: her 12 ayda bir yeni Type II raporu artı herhangi bir boşluğu kapsayan köprü mektupları.

Tuzak 4: Tüketici ve kurumsal planları karıştırmak. Gamma Pro, Canva Pro ve Plus AI kişisel planları, Gamma Business, Canva Enterprise veya Plus AI Enterprise ile aynı uyumluluk garantilerini taşımaz. Kontrollerinize uyan katman için ödeme yapın — veya aracı devreye almayın.

Tuzak 5: AI eğitim sorusunu görmezden gelmek. Bir satıcı SOC 2 Type II sertifikalı olabilir ve yine de istemlerinizi modellerini eğitmek için kullanabilir. SOC 2 varsayılan olarak model eğitim politikasını kapsamaz. 9. soruyu açıkça sorun ve cevabı DPA'da yazılı olarak alın.

Tuzak 6: Denetim günlüğü boşluğunu kaçırmak. Birçok AI aracı yönetici eylemlerini günlüğe kaydeder ancak içerik olaylarını kaydetmez — hangi sunumun kim tarafından ne zaman dışa aktarıldığını söyleyemezler. Düzenlenmiş sektörler için içerik düzeyinde denetim görünürlüğü, günlüklere sahip olmanın asıl amacıdır.

Tuzak 7: BAA kapsamının AI'ya kadar uzandığını varsaymak. Bir satıcı, dosya depolamayı kapsayan ancak AI oluşturma hizmetini hariç tutan bir HIPAA BAA imzalayabilir. BAA kapsamını dikkatlice okuyun.

Sık Sorulan Sorular

SOC 2 Type II, "SOC 2 uyumlu" olmakla aynı şey midir?

Hayır. "SOC 2 uyumlu" yasal bir tanımı olmayan bir pazarlama ifadesidir. SOC 2 Type II raporu, bir CPA firması tarafından en az 6 aylık bir gözlem dönemini kapsayan spesifik bir çıktıdır. Her zaman güvenlik sayfasındaki bir logo yerine gerçek raporu talep edin.

Hem SAML hem de SCIM'e ihtiyacım var mı, yoksa SAML yeterli mi?

SAML kimlik doğrulamayı (bu kullanıcı söylediği kişi mi?) yönetir. SCIM ise sağlamayı (hangi kullanıcılar mevcut ve rolleri nedir?) yönetir. SCIM olmadan, IT departmanı hesapları manuel olarak oluşturup devre dışı bırakmalı veya ayrılan çalışanları toplu olarak devre dışı bırakamayan Tam Zamanında sağlamaya güvenmelidir. Yaklaşık 100 kullanıcının altında, yalnızca SAML kullanılabilir. 200'ün üzerinde ise SCIM fiilen zorunludur.

HIPAA düzenlemelerine tabi veriler için hangi AI sunum aracı en iyisidir?

Nisan 2026 itibarıyla, en temiz HIPAA duruşuna sahip iki AI sunum aracı, Microsoft Copilot for PowerPoint (uygun hizmetleri kapsayan bir M365 BAA altında) ve HIPAA uyumlu Workspace SKU'larında Google Gemini for Workspace'tir. Diğer tedarikçiler için, yalnızca depolamayı değil, AI üretim özelliğini kapsayan açık bir BAA talep edin.

Tercih ettiğim tedarikçi SOC 2 Type II raporunu paylaşamıyorsa ne yapmalıyım?

Onları kurumsal tedarikten diskalifiye edin. Rapor olmadan "SOC 2'miz var" demek bir pazarlama iddiasıdır. Saygın her tedarikçi raporu NDA altında paylaşacaktır; NDA süreci standarttır ve bir iş günü içinde tamamlanmalıdır.

SOC 2 Type II raporları ne sıklıkla yenilenmelidir?

Gözlem dönemi tipik olarak 12 aydır ve rapor, dönem sona erdikten sonra 60 ila 90 gün içinde yayınlanır. Sağlıklı bir tedarikçi her 12 ayda bir yeni bir rapor yayınlar ve talep üzerine rapor yayın tarihi ile bugün arasındaki ayları kapsamak için bir köprü (boşluk) mektubu düzenler.

Sonuç

2026'da kurumsal yapay zeka sunum tedariki, SAML 2.0 federasyonu, SCIM 2.0 sağlama ve güncel SOC 2 Type II attestasyonunun vazgeçilmez olduğu bir olgunluk noktasına ulaştı. Yalnızca altı araç bu standardı net şekilde karşılıyor — Microsoft Copilot for PowerPoint, Google Gemini for Workspace, Canva Enterprise, Beautiful.ai, Gamma Business ve Plus AI Enterprise — ve bu altı araç içinde, yalnızca Microsoft Copilot ve Google Gemini tam platform uyumluluk yığınını (HIPAA BAA, FedRAMP, ISO 27001) hazır olarak miras alıyor. Bu standardın altında kalan her şey ya kişisel üretkenlik aracı ya da kurumsal alıcıların gerektirdiği kimlik, denetim ve attestasyon altyapısına henüz yatırım yapmamış pilot seviyesinde bir üründür.

En keskin karar kaldıracı kimlik katmanıdır. Mevcut IdP'nizle sorunsuz federasyon kuran, SCIM üzerinden sağlama yapan ve gerçekten okuduğunuz güncel bir Type II raporu üreten yapay zeka sunum aracını seçin. Diğer her şey — özellikler, fiyatlandırma, estetik, hatta model kalitesi — düzenlenmiş bir dağıtım için ikincildir. Önlenebilir bir veri işleme olayının maliyeti, uyumsuz bir tedarikçiden elde edilen tasarrufları gölgede bırakır. 10 soruluk kontrol listesini uygulayın, Type II raporunu okuyun, eğitim verisi yanıtını stres testinden geçirin ve ancak o zaman fiyat müzakeresine başlayın.

Kurumsal SSO dağıtımı için — 2026 kurumsal kademe yol haritamız hakkında 2Slides ile iletişime geçin.