Apple'ın mDoc Desteği: iOS 26 ile Kimlik Doğrulama Geliyor

Apple, WWDC25 etkinliğinde, Digital Credentials API aracılığıyla mobil belgeler (mdoc) için resmi destek sunacağını duyurdu. Bu sayede web siteleri, bir kullanıcının iOS 26'daki dijital kimliğini doğrudan Safari üzerinden talep edip doğrulayabilecek. Bu gelişme, ISO 18013-5 standardıyla uyumlu Apple'ın dijital kimlik bilgilerini, güvenli ve kullanıcı onayına dayalı kimlik doğrulaması için web'e taşıyor.

Bu güncelleme, dijital kimlik ekosistemi için önemli bir hızlandırıcı görevi görüyor. Yıllardır çevrimiçi kimlik kanıtlama süreçleri; zorluklar, gizlilik riskleri ve dolandırıcılıkla boğuşuyordu. Standartlaştırılmış Apple dijital kimlik bilgilerini entegre eden bu yeni yapı, yaş kontrolü, kurumsal girişler ve müşteri kaydı gibi kullanım senaryoları için doğrulama süreçlerini basitleştiriyor.

Bu makalede, Apple'ın mDoc desteğinin geliştiriciler ve işletmeler için ne anlama geldiğini, genel hatlarıyla nasıl çalıştığını ve iOS 26 ile hayatımıza girmesine nasıl hazırlanabileceğimizi ele alıyoruz.

Bu yeni kimlik paradigmasının merkezinde, Apple Wallet uygulamasında saklanan mobil ehliyet (mDL) veya kurumsal kimlik gibi dijital kimlik bilgileri için standartlaştırılmış bir format olan mdoc (mobil belge) yer alıyor.

mdoc standardının önemli bir özelliği, kullanıcıların tüm kimlikleri yerine yalnızca bir işlem için gerekli olan belirli veri alanlarını (örneğin, sadece "21 yaşından büyük" bilgisi) paylaşmalarına olanak tanıyan seçici ifşadır. Gizliliği koruyan bu özellik, mdoc'ların nasıl yapılandırıldığını, güvence altına alındığını ve çevrimiçi olarak nasıl sunulduğunu yöneten ISO 18013-5 ve ISO 18013-7 standartları tarafından tanımlanmıştır.

W3C Digital Credentials API, web siteleri ile kullanıcının Apple Wallet uygulaması arasında bir köprü görevi görür. Bir web sitesi kullanıcının kimliğini doğrulamak istediğinde, artık özel bir uygulamaya veya yönlendirmeye ihtiyaç duymaz. Bunun yerine, süreç tarayıcı tarafından yönetilir.

Tipik doğrulama akışı şu şekildedir:

1. Talep Başlatma: Bir web sitesi veya web uygulaması, bir mDL'den yaş kanıtı gibi belirli bir kimlik bilgisini talep etmek için JavaScript API'sini (navigator.credentials.get()) çağırır.
2. Sistem Devralması: iOS 26 bu çağrıyı yakalar ve yerel Apple Wallet arayüzünü başlatır.
3. Kullanıcı Onayı: Kullanıcıya, tam olarak hangi bilginin istendiğini gösteren (örneğin, "Bu site yaş doğrulamanızı istiyor") güvenli, işletim sistemi düzeyinde bir istem sunulur. Kullanıcının onay vermek için Face ID veya Touch ID ile kimlik doğrulaması yapması gerekir.
4. Güvenli Veri Aktarımı: Onay üzerine cüzdan, yalnızca istenen veriyi tarayıcıya gönderir ve bu veri daha sonra doğrulanmak üzere web sitesine iletilir.

Tüm bu akış, kullanıcıların fiziksel kimlik fotoğrafı yükleme veya form doldurma ihtiyacını ortadan kaldırarak güvenli ve sorunsuz olacak şekilde tasarlanmıştır.

• Daha Az Zorluk ve Daha Yüksek Dönüşüm Oranı: Kullanıcı kaydı ve doğrulama süreçlerini büyük ölçüde basitleştirir.
• Artırılmış Güvenlik ve Dolandırıcılık Azaltma: Güvenilir düzenleyicilerden (örneğin, trafik tescil daireleri) gelen kriptografik olarak imzalanmış kimlik bilgilerine dayanarak sahte kimlik riskini en aza indirir.
• Basitleştirilmiş Uyumluluk: Yalnızca gerekli nitelikleri talep etmek, GDPR ve CCPA gibi düzenlemeler kapsamındaki veri minimizasyonu gereksinimlerini karşılamaya yardımcı olur.
• Birlikte Çalışabilirlik: Küresel standartlar (W3C, ISO) üzerine inşa edilmesi, bu standartları benimseyen platformlar arasında uyumluluk sağlar.

• Tam Kontrol ve Gizlilik: Kullanıcılar her veri paylaşımına açıkça onay verir.
• Kolaylık: Fiziksel kart taşıma veya kimlik bilgilerini manuel olarak girme ihtiyacını ortadan kaldırır.
• Artırılmış Güvenlik: Aşırı veri paylaşımı ve phishing saldırıları riskini azaltır.

Derinlemesine teknik uygulama Digital Credentials API rehberimizde ele alınsa da, geliştiricilerin ve ürün yöneticilerinin şimdiden hazırlanmaya başlaması gerekiyor.

İşte atılması gereken temel stratejik adımlar:

1. Kullanım Senaryolarını Belirleyin: Kullanıcı yolculuğunuzda halihazırda manuel kimlik doğrulamasına dayanan (örneğin, hesap oluşturma, yaş sınırlamalı içerik, yüksek değerli işlemler) ve anlık, yüksek güvenceli dijital kimlik kontrollerinden fayda sağlayacak süreçleri tespit edin.
2. Veri İhtiyaçlarını Gözden Geçirin: Şu anda topladığınız kimlik niteliklerini denetleyin. Apple'ın mDoc desteği ile her işlem için yalnızca gereken minimum veriyi talep etmeye geçiş yapmayı planlayın.
3. Ekibinizi Eğitin: Geliştirme ve uyumluluk ekiplerinizi, mdoc için ISO 18013-5 ve W3C Digital Credentials çerçevesi dahil olmak üzere ilgili standartlar hakkında bilgilendirin.
4. Arka Uç Doğrulaması İçin Plan Yapın: API tarafından döndürülen kimlik bilgisinin orijinalliğini ve bütünlüğünü sağlamak için arka uç sisteminizde kriptografik olarak doğrulanması gerekir. Bu kimlik bilgilerini işlemek için gereken sunucu tarafı mantığını planlayın.

Apple'ın mDocs'u yerel cüzdanı aracılığıyla doğrudan web'e entegre etme kararı, daha geniş dijital kimlik ortamı için önemli stratejik sonuçlar doğuruyor.

mdoc (ISO 18013-5) formatına öncelik vererek Apple, bu formatı web üzerinde doğrulanabilir devlet tarafından verilen kimlikler (ehliyet gibi) için birincil standart olarak konumlandırıyor. Bu durum, mdoc formatına resmi kimlik kullanım senaryoları için büyük bir ivme kazandırıyor.

Ancak bu, genellikle SD-JWT veya JWT-VC tabanlı olan W3C Doğrulanabilir Kimlik Bilgileri (VC'ler) gibi diğer formatların rolünü azaltmıyor. Bu formatlar, üniversite diplomaları, çalışan kartları veya etkinlik biletleri gibi devlet dışı kimlik bilgileri için kritik öneme sahiptir. Digital Credentials API'nin kendisi genişletilebilir olacak şekilde tasarlanmıştır, bu da gelecekte bu diğer formatları destekleyebileceği anlamına gelir. Anlık sonuç ise ikili bir ekosistemdir: resmi kimlikler için mdoc ve geri kalanı için diğer VC formatları. Hepsi potansiyel olarak aynı temel web standardı aracılığıyla erişilebilir olacaktır.

Yerel entegrasyon, Apple Wallet'a belirgin bir avantaj sağlayarak onu iOS kullanıcıları için varsayılan ve en sorunsuz seçenek haline getiriyor. Bu durum, üçüncü taraf cüzdan uygulamaları için bir zorluk teşkil ediyor.

API teorik olarak kullanıcıların farklı bir varsayılan cüzdan seçmesine izin verebilse de, yerel işletim sistemi deneyimiyle rekabet etmek zordur. Üçüncü taraf sağlayıcıların, muhtemelen evrensel bağlantılar aracılığıyla başlatılan OpenID4VP gibi alternatif protokollere güvenmeleri gerekecektir. Bu da daha az entegre bir kullanıcı deneyimine (örneğin, uygulamalar arasında geçiş yapmayı gerektirme) neden olabilir. Bu hamle, Apple Wallet'ın merkezi rolünü pekiştirerek diğer sağlayıcıları özel özellikler, kurumsal çözümler veya Apple tarafından henüz önceliklendirilmeyen kimlik bilgisi türlerine odaklanarak farklılaşmaya zorluyor.

iOS 26'daki Apple mDoc desteği bir API'den daha fazlasıdır. Bu, daha güvenli, gizli ve kullanıcı odaklı bir internete doğru bir geçiştir. Apple, açık standartları benimseyerek, doğrulanabilir dijital kimlik bilgilerinin güncelliğini yitirmiş ve güvensiz kimlik doğrulama yöntemlerinin yerini alacağı bir geleceğin yolunu açmıştır.

İşletmeler için bu, güven ve şeffaflığa dayalı yeni nesil kullanıcı deneyimleri oluşturmak için bir fırsattır. Apple dijital kimlik bilgilerinin hizmetlerinizi bugünden nasıl dönüştürebileceğini keşfetmeye başlayın.