يمكنك إعداد الدخول المُوحَّد (SSO) عن طريق Google كمقدِّم خدمة بعدة طرق، وفقًا لاحتياجات مؤسستك. تمنحك الملفات الشخصية للدخول الموحَّد (SSO) التي تتضمن إعدادات موفِّر الهوية (IdP) المرونة لتطبيق إعدادات مختلفة للدخول المُوحَّد (SSO) على مستخدمين مختلفين في مؤسستك.
تتوافق حزمة Google Workspace مع كلّ من بروتوكول الدخول الموحَّد (SSO) المستنِد إلى SAML والمستنِد إلى OIDC:
إذا سجَّل جميع المستخدمين الدخول من خلال موفِّر هوية واحد، باستخدام SAML:
- اتبِع الخطوات الواردة أدناه في ضبط الملف الشخصي للدخول المُوحَّد (SSO) في مؤسستك.
- إذا أردت استبعاد بعض المستخدمين من استخدام خدمة الدخول الموحّد (SSO) (والسماح لهم بتسجيل الدخول مباشرةً إلى Google)، اتبع الخطوات الواردة في تحديد المستخدمين الذين ينبغي لهم استخدام الدخول الموحّد (SSO)، حيث يمكنك تخصيص "بدون" للملف الشخصي للدخول المُوحَّد (SSO).
في حال استخدام العديد من موفِّري الهوية (IdP) للمستخدمين، أو في حال استخدام OIDC:
تعتمد الخطوات التي تتّبعها على البروتوكول الذي يستخدمه موفِّر الهوية (SAML أو OIDC):
- SAML
- اتّبِع الخطوات الواردة أدناه التي توضّح إنشاء ملفات شخصية للدخول الموحَّد (SSO) لكل موفِّر هوية (IdP).
- تحديد المستخدمين الذين يجب عليهم استخدام الدخول المُوحَّد (SSO)
- OIDC
- تأكَّد من ضبط المتطلّبات الأساسية التالية لاستخدام OIDC في مستأجر Azure AD في مؤسستك:
- على مستأجر Azure AD إثبات ملكية نطاقه.
- يجب أن يكون لدى المستخدمين النهائيين تراخيص Microsoft 365.
- اتّبِع الخطوات الواردة في تحديد المستخدمين الذين عليهم استخدام الدخول المُوحَّد (SSO) لتخصيص ملف OIDC الشخصي الذي تم ضبطه مسبقًا للوحدات التنظيمية/المجموعات المُحدَّدة.
ملاحظة: لا تتيح واجهة سطر أوامر Google Cloud حاليًا إعادة المصادقة باستخدام OIDC.
- تأكَّد من ضبط المتطلّبات الأساسية التالية لاستخدام OIDC في مستأجر Azure AD في مؤسستك:
-
إذا كان لديك مستخدمون داخل وحدة تنظيمية (على سبيل المثال في وحدة تنظيمية فرعية) لا يحتاجون إلى الدخول الموحّد (SSO)، يمكنك أيضًا استخدام المهام لإيقاف الدخول الموحّد لهؤلاء المستخدمين.
إذا كان المستخدمون يستخدمون عناوين URL للخدمة الخاصة بالنطاق للوصول إلى خدمات Google (على سبيل المثال، https://mail.google.com/a/example.com)، يمكنك أيضًا إدارة كيفية عمل عناوين URL مع الدخول المُوحَّد (SSO).
قبل البدء
لإعداد ملف شخصي للدخول المُوحَّد (SSO) المستند إلى لغة SAML، ستحتاج إلى بعض الضبط الأساسي من فريق دعم موفِّر الهوية أو مستنداته:
- عنوان URL لصفحة تسجيل الدخول: يُعرف هذا أيضًا باسم عنوان URL للدخول الموحَّد (SSO) أو نقطة نهاية SAML 2.0 (HTTP). وهذا هو المكان الذي يسجّل فيه المستخدمون الدخول إلى موفِّر الهوية (IdP).
- عنوان URL لصفحة تسجيل الخروج التي يصل المستخدم إليها بعد الخروج من تطبيق Google أو الخدمة.
- Certificate (شهادة) X.509 PEM من موفِّر الهوية (IdP). لمزيد من المعلومات حول شهادات X.509، يُرجى الاطّلاع على مفتاح SAML وشهادة التحقق.
- عنوان URL لتغيير كلمة المرور الصفحة التي سينتقل إليها مستخدمو الدخول الموحّد (SSO) لتغيير كلمة المرور (بدلاً من تغيير كلمة مرورهم مع Google).
إعداد الملف الشخصي للدخول المُوحَّد (SSO) التابع لمؤسستك
استخدم هذا الخيار إذا كان جميع المستخدمين الذين يستخدمون الدخول الموحّد (SSO) سيستخدم موفِّر هوية (IdP) واحدًا.
-
سجِّل الدخول إلى وحدة تحكم المشرف في Google.
يُرجى تسجيل الدخول باستخدام حساب المشرف (لا ينتهي بالنطاق gmail.com@).
-
في وحدة تحكُّم المشرف، انتقِل إلى رمز القائمة
الأمان
المصادقة
- في الملف الشخصي للدخول المُوحَّد (SSO) التابع لجهة خارجية في مؤسستك، انقر على إضافة ملف شخصي للدخول المُوحَّد (SSO).
- ضع علامة في المربع إعداد خدمة الدخول الموحّد (SSO) باستخدام موفِّر هوية من طرف ثالث.
املأ المعلومات التالية لموفِّر الهوية:
- أدخِل عنوان URL لصفحة تسجيل الدخول وعنوان URL لصفحة تسجيل الخروج لموفِّر الهوية.
ملاحظة: يجب إدخال جميع عناوين URL واستخدام بروتوكول HTTPS، مثل https://sso.example.com.
- انقر على تحميل الشهادة وحدد موقع شهادة X.509 التي قدّمها موفّر الهوية. وللحصول على معلومات حول إنشاء شهادة، يُرجى الاطّلاع على مفتاح SAML وشهادة التحقق.
- يمكنك اختيار ما إذا كنت تريد استخدام جهة إصدار محدّدة للنطاق في طلب SAML من Google.
إذا كانت لديك عدة نطاقات تستخدم الدخول الموحّد (SSO) مع موفِّر الهوية، استخدم جهة إصدار محدّدة للنطاق لتحديد النطاق الصحيح الذي يُصدر طلب SAML.
- تم وضع علامة في المربّع تُرسل Google جهة إصدار خاصة بنطاقك: google.com/a/example.com (حيث يكون example.com هو اسم النطاق الأساسي على Google Workspace)
- لم يتم التحقق منه ترسل Google جهة الإصدار العادية في طلب SAML: google.com
- (اختياري) لتطبيق الدخول المُوحَّد (SSO) على مجموعة من المستخدمين ضمن نطاقات عناوين IP محدّدة، أدخِل قناع شبكة. لمزيد من المعلومات، اطلع على نتائج تعيين الشبكة.
ملاحظة: يمكنك أيضًا إعداد الدخول المُوحَّد (SSO) الجزئي من خلال تخصيص الملف الشخصي للدخول المُوحَّد (SSO) لوحدات تنظيمية أو مجموعات مُحدَّدة.
- أدخِل عنوان URL لتغيير كلمة المرور الخاص بموفِّر الهوية (IdP). وسينتقل المستخدمون إلى عنوان URL هذا (بدلاً من صفحة تغيير كلمة مرور Google) لإعادة ضبط كلمة المرور.
ملاحظة: إذا أدخلت عنوان URL هنا، سيتم توجيه المستخدمين إلى هذه الصفحة حتى إذا لم تفعّل خدمة الدخول الموحّد (SSO) لمؤسستك.
إيقاف الدخول الموحّد (SSO) لجميع المستخدمين
إذا كنت بحاجة إلى إيقاف مصادقة الجهات الخارجية لجميع المستخدمين بدون تغيير تخصيص الملف الشخصي للدخول الموحَّد (SSO) للوحدات التنظيمية أو المجموعات، يمكنك إيقاف الملف الشخصي للدخول الموحَّد (SSO) التابع لجهة خارجية:
- أزِل العلامة من المربّع إعداد الملف الشخصي للدخول المُوحَّد (SSO) باستخدام موفِّر هوية تابع لجهة خارجية.
- انقر على حفظ.
إنشاء ملف شخصي للدخول المُوحَّد (SSO) عبر SAML
اتّبِع الخطوات التالية لإنشاء ملف شخصي للدخول المُوحَّد (SSO) تابع لجهة خارجية. يمكنك إنشاء ما يصل إلى 1000 ملف شخصي في مؤسستك.
-
سجِّل الدخول إلى وحدة تحكم المشرف في Google.
يُرجى تسجيل الدخول باستخدام حساب المشرف (لا ينتهي بالنطاق gmail.com@).
-
في وحدة تحكُّم المشرف، انتقِل إلى رمز القائمة
- ضمن الملفات الشخصية للدخول المُوحَّد (SSO) التابعة لجهات خارجية، انقر على إضافة ملف شخصي عبر SAML.
- أدخِل اسمًا للملف الشخصي.
- أدخِل عنوان URL لصفحة تسجيل الدخول والمعلومات الأخرى التي تم الحصول عليها من موفِّر الهوية.
- أدخِل عنوان URL لتغيير كلمة المرور الخاص بموفِّر الهوية (IdP). وسينتقل المستخدمون إلى عنوان URL هذا (بدلاً من صفحة تغيير كلمة مرور Google) لإعادة ضبط كلمة المرور.
- انقر على تحميل الشهادة، ثم حدّد موقع ملف الشهادة وحمّله. وللحصول على معلومات حول إنشاء شهادة، يُرجى الاطّلاع على مفتاح SAML وشهادة التحقق.
- انقر على حفظ.
- في القسم تفاصيل مقدِّم الخدمة، انسخ رقم تعريف الكيان وعنوان URL لخدمة ACS واحفظهما. ستحتاج إلى هذه القيم لضبط الدخول المُوحَّد (SSO) مع Google في لوحة تحكُّم المشرف لموفِّر الهوية (IdP).
- (اختياري) إذا كان موفِّر الهوية يتيح تأكيد التشفير، يمكنك إنشاء شهادة ومشاركتها مع موفِّر الهوية لتفعيل التشفير. يمكن أن يحتوي كل ملف شخصي للدخول المُوحَّد (SSO) عبر SAML على ما يصل إلى شهادتَي مقدِّم الخدمة.
- انقر على قسم تفاصيل مقدِّم الخدمة للدخول إلى وضع التعديل.
- ضمن شهادة مقدم الخدمة، انقر على إنشاء شهادة. (تُعرض الشهادة بعد حفظها.)
- انقر على حفظ. يُعرض اسم الشهادة وتاريخ انتهاء صلاحيتها ومحتواها.
- يمكنك استخدام الأزرار أعلى الشهادة لنسخ محتوى الشهادة أو تنزيلها كملف، ثم شارك الشهادة مع موفِّر الهوية (IdP).
- (اختياري) إذا كنت بحاجة إلى تغيير شهادة، ارجع إلى تفاصيل مقدِّم الخدمة وانقر على إنشاء شهادة أخرى، ثم شارِك الشهادة الجديدة مع موفِّر الهوية. وبعد التأكُّد من استخدام موفِّر الهوية للشهادة الجديدة، يمكنك حذف الشهادة الأصلية.
تحديد المستخدمين الذين يجب عليهم استخدام الدخول المُوحَّد (SSO)
يمكنك تفعيل الدخول المُوحَّد (SSO) لوحدة تنظيمية أو مجموعة من خلال تحديد ملف شخصي للدخول المُوحَّد (SSO) وموفِّر الهوية (IdP) المرتبط به. أو يمكنك إيقاف الدخول المُوحَّد (SSO) من خلال تحديد القيمة "بدون" للملف الشخصي الخاص بالدخول المُوحَّد (SSO). يمكنك أيضًا تطبيق سياسة دخول مُوحَّد (SSO) مختلطة على وحدة تنظيمية أو مجموعة، مثل تفعيل الدخول المُوحَّد (SSO) للوحدة التنظيمية بالكامل ثم إيقافها لوحدة تنظيمية فرعية.
- انقر على إدارة عمليات تخصيص الملفات الشخصية للدخول المُوحَّد (SSO).
- إذا كانت هذه هي المرة الأولى التي تُخصِّص فيها الملف الشخصي للدخول المُوحَّد (SSO)، انقر على البدء. بخلاف ذلك، انقر على إدارة.
- على يمين الصفحة، اختَر الوحدة التنظيمية أو المجموعة التي تريد أن تخصص لها الملف الشخصي للدخول المُوحَّد (SSO).
- في حال اختلاف تخصيص الملف الشخصي للدخول الموحَّد (SSO) لوحدة تنظيمية أو مجموعة عن تخصيص الملف الشخصي على مستوى النطاق، سيظهر تحذير إلغاء عند اختيار هذه الوحدة التنظيمية أو المجموعة.
- لا يمكنك تخصيص الملف الشخصي للدخول المُوحَّد (SSO) لكل مستخدم على حدة. تتيح لك طريقة عرض المستخدمون التحقق من الإعداد لمستخدم معين.
- اختَر تخصيص الملف الشخصي للدخول المُوحَّد (SSO) للوحدة التنظيمية أو المجموعة المحدّدة:
- لاستبعاد الوحدة التنظيمية أو المجموعة من الدخول المُوحَّد (SSO)، اختَر بدون. وسيسجل المستخدمون في الوحدة التنظيمية أو المجموعة الدخول مباشرةً إلى Google.
- لتخصيص موفِّر هوية (IdP) آخر للوحدة التنظيمية أو المجموعة، اختَر ملف شخصي آخر للدخول المُوحَّد (SSO)، ثم اختَر الملف الشخصي للدخول المُوحَّد (SSO) من القائمة المنسدلة.
- (الملفات الشخصية للدخول الموحَّد (SSO) عبر SAML فقط) بعد اختيار ملف شخصي عبر SAML، حدِّد خيار تسجيل الدخول للمستخدمين الذين ينتقلون مباشرةً إلى خدمة Google بدون تسجيل الدخول أولاً إلى موفِّر الهوية (IdP) التابع لجهة خارجية في الملف الشخصي للدخول المُوحَّد (SSO). يمكنك توجيه المستخدمين إلى اسم مستخدم Google الخاص بهم ثم إعادة توجيههم إلى موفِّر الهوية، أو يمكنك مطالبة المستخدمين بإدخال اسم المستخدم وكلمة المرور لحسابهم على Google.
ملاحظة: إذا اخترت أن يُطلب من المستخدمين إدخال اسم المستخدم وكلمة المرور لحساب Google، سيتم تجاهُل الإعداد عنوان URL لتغيير كلمة المرور لهذا الملف الشخصي للدخول الموحّد (SSO) عبر SAML (متاح في الملف الشخصي للدخول الموحّد (SSO) > تفاصيل موفِّر الهوية (IDP)). وذلك يضمن قدرة المستخدمين على تغيير كلمات مرور Google حسب الحاجة.
- (الملف الشخصي للدخول المُوحَّد (SSO) المُستنِد إلى Microsoft OIDC فقط) أدخِل كلمة مرور حسابك على Microsoft وانقر على تسجيل الدخول للتحقُّق من إعدادات الدخول المُوحَّد (SSO) في Microsoft.
إذا كنت مشرف مؤسسة في Azure AD، يتوفّر لك خيار قبول الموافقة نيابةً عنها. يعني ذلك أنّ المستخدمين النهائيين لن يُطلب منهم تقديم الموافقة المتعلّقة ببروتوكول OAuth.
- انقر على حفظ.
- يمكنك تخصيص الملفات الشخصية للدخول المُوحَّد (SSO) للوحدات التنظيمية أو المجموعات الأخرى حسب الحاجة.
بعد إغلاق بطاقة إدارة عمليات تخصيص الملفات الشخصية للدخول المُوحَّد (SSO)، ستظهر لك عمليات التخصيص التي تم تعديلها للوحدات التنظيمية والمجموعات في القسم إدارة عمليات تخصيص الملفات الشخصية للدخول المُوحَّد (SSO).
إزالة عملية تخصيص من قائمة تخصيص الملفات الشخصية للدخول المُوحَّد (SSO)
- انقر على اسم مجموعة أو وحدة تنظيمية لفتح إعدادات تخصيص الملف الشخصي.
- استبدِل إعدادات عملية تخصيص الحالي بإعدادات الوحدة التنظيمية الرئيسية:
- بالنسبة إلى عمليات تخصيص الوحدات التنظيمية، انقر على اكتساب.
- بالنسبة إلى عمليات التخصيص الجماعية، انقر على غير محدَّد.
- بالنسبة إلى عمليات تخصيص الوحدة التنظيمية الجذر، اضبط التخصيص على بدون، أو الملف الشخصي للدخول المُوحَّد التابع لجهة خارجية في المؤسسة، إذا كنت تريد استخدام الملف الشخصي للدخول المُوحَّد (SSO) التابع لجهة خارجية في مؤسستك.
إدارة عناوين URL للخدمات الخاصة بالنطاق
يتيح لك الإعداد عناوين URL للخدمة الخاصة بالنطاق التحكّم في ما يحدث عند تسجيل المستخدمين الدخول باستخدام عناوين URL للخدمة مثل https://mail.google.com/a/example.com. وهناك خياران لذلك:
- إعادة توجيه المستخدمين إلى موفِّر الهوية التابع لجهة خارجية. حدِّد هذا الخيار لتوجيه هؤلاء المستخدمين دائمًا إلى موفِّر الهوية التابع لجهة خارجية الذي يمكنك اختياره في القائمة المنسدلة المشتمِلة على الملفات الشخصية للدخول المُوحَّد (SSO). يمكن أن يكون هذا الملف الشخصي للدخول المُوحَّد (SSO) في مؤسستك أو ملفًا شخصيًا آخر تابعًا لجهة خارجية، في حال أضفت ملفًا شخصيًا.
ملاحظة مهمة: إذا كانت لديك وحدات تنظيمية أو مجموعات لا تستخدم خدمة الدخول المُوحَّد (SSO)، لا تختر هذا الإعداد. وسيتم توجيه المستخدمين الذين لا يستخدمون الدخول الموحّد (SSO) تلقائيًا إلى موفِّر الهوية (IdP) ولن يتمكّنوا من تسجيل الدخول.
- يُطلب من المستخدمين إدخال اسم المستخدم في صفحة تسجيل الدخول على Google أولاً باستخدام هذا الخيار، يتم أولاً إرسال المستخدمين الذين يُدخِلون عناوين URL متعلقة بالنطاق إلى صفحة تسجيل الدخول إلى Google. وإذا كان المستخدمون من مستخدمي خدمة الدخول الموحّد (SSO)، ستتم إعادة توجيههم إلى صفحة تسجيل الدخول لموفِّر الهوية (IdP).
