توفّر Google Workspace طريقتَين لإعداد الدخول المُوحَّد (SSO) باستخدام Google بصفتها "جهة معتمَدة" لموفِّر الهوية:
- الملف الشخصي القديم للدخول المُوحَّد (SSO): يتيح لك ضبط موفِّر هوية واحد فقط لمؤسستك.
- ملفّات التعريف للدخول المُوحَّد (SSO): هي الطريقة الأحدث والمُقترَحة لإعداد الدخول المُوحَّد. تتيح لك هذه الطريقة تطبيق إعدادات مختلفة للدخول المُوحَّد (SSO) على مستخدمين مختلفين في مؤسستك، وتتوافق مع كل من SAML وOIDC، كما تحتوي على واجهات برمجة تطبيقات أكثر تقدمًا، وستكون تركيز Google على الميزات الجديدة.
ننصح جميع العملاء بالانتقال إلى الملفات الشخصية للدخول المُوحَّد للاستفادة من هذه المزايا. يمكن أن تتعايش ملفات الدخول المُوحَّد (SSO) مع ملف الدخول المُوحَّد (SSO) في مؤسستك، ما يتيح لك اختبار ملفات الدخول المُوحَّد (SSO) الجديدة قبل نقل بيانات مؤسستك بالكامل.
نظرة عامة على عملية نقل البيانات
- في "وحدة تحكُّم المشرف"، يجب إنشاء ملف شخصي للدخول المُوحَّد (SSO) لموفِّر الهوية وتسجيل الملف الشخصي الجديد لدى موفِّر الهوية.
- يمكنك تخصيص مستخدمين اختباريين لاستخدام الملف الشخصي الجديد للتأكّد من أنّه يعمل.
- يمكنك تخصيص الوحدة التنظيمية العليا للملف الشخصي الجديد.
- يمكنك تعديل عناوين URL الخاصة بالنطاق لاستخدام الملف الشخصي الجديد.
- التنظيم: يمكنك إلغاء تسجيل مقدّم الخدمة القديم، والتأكّد من أنّ إدارة حسابات المستخدمين التلقائية لا تزال تعمل.
الخطوة 1: إنشاء ملف شخصي للدخول المُوحَّد (SSO)
- يُرجى اتّباع هذه الخطوات لإنشاء ملف شخصي جديد للدخول المُوحَّد (SSO) المستند إلى لغة SAML. يجب أن يستخدم ملفك الشخصي الجديد موفِّر الهوية نفسه المُستخدَم في ملفك الشخصي الحالي للدخول المُوحَّد (SSO) في مؤسستك.
- يجب تسجيل الملف الشخصي الجديد للدخول المُوحَّد (SSO) لدى موفِّر الهوية (IdP) كمقدِّم خدمة جديد.
سيظهر الملف الشخصي الجديد لموفّر الهوية كمقدّم خدمة منفصل (قد يُطلِق عليه "التطبيقات" أو "الجهات المعتمدة"). تختلف طريقة تسجيل "مقدّم الخدمة" الجديد حسب موفِّر الهوية، ولكن يتطلّب ذلك عادةً ضبط رقم تعريف الكيان وعنوان URL لخدمة Assertion Consumer Service (ACS) للملف الشخصي الجديد.
الخطوة 2: تخصيص مستخدمين اختباريين للملف الشخصي
من الأفضل اختبار ملفك الشخصي الجديد للدخول المُوحَّد (SSO) في البداية على المستخدمين في مجموعة أو وحدة تنظيمية واحدة قبل التبديل إلى جميع المستخدمين. يمكنك استخدام مجموعة أو وحدة تنظيمية حالية، أو إنشاء مجموعة جديدة حسب الحاجة.
إذا كانت لديك أجهزة ChromeOS مُدارة، ننصحك بإجراء الاختبار استنادًا إلى الوحدة التنظيمية، لأنّه يمكنك تخصيص أجهزة ChromeOS إلى الوحدات التنظيمية، ولكن ليس إلى المجموعات.
- (اختياري) يمكنك إنشاء وحدة تنظيمية أو مجموعة ضبط جديدة وتخصيص المستخدمين الاختباريين لها.
- يُرجى اتّباع هذه الخطوات لتخصيص المستخدمين للملف الشخصي الجديد للدخول المُوحَّد.
الخطوة 3: تخصيص الوحدة التنظيمية العليا وتعديل عناوين URL للخدمة
بعد اختبار الملف الشخصي الجديد للدخول المُوحَّد بنجاح في مجموعة اختبارية أو وحدة تنظيمية، تصبح مستعدًا لتبديل المستخدمين الآخرين.
- انتقِل إلى الأمان
الدخول المُوحَّد (SSO) باستخدام موفِّري هوية خارجيين
- انقر على إدارة.
- يجب اختيار الوحدة التنظيمية ذات المستوى الأعلى وتخصيصها للملف الشخصي الجديد للدخول المُوحَّد (SSO).
- (اختياري) في حال تخصيص وحدات تنظيمية أو مجموعات أخرى إلى ملف الدخول المُوحَّد (SSO) لمؤسستك، يمكنك تخصيصها لملف الدخول المُوحَّد (SSO) الجديد.
الدخول المُوحَّد (SSO) باستخدام موفِّري هوية خارجيينالخطوة 4: تعديل عناوين URL الخاصة بالنطاق
إذا كانت مؤسستك تستخدم عناوين URL خاصة بالنطاق (على سبيل المثال، https://mail.google.com/a/your_domain.com)، يمكنك تعديل هذا الإعداد لاستخدام الملف الشخصي الجديد للدخول المُوحَّد (SSO):
- انتقِل إلى الأمان
- ضمن "إعادة توجيه المستخدمين تلقائيًا إلى موفِّر الهوية (IdP) التابع لجهة خارجية في الملف الشخصي التالي للدخول المُوحَّد (SSO)"، اختَر الملف الشخصي الجديد للدخول المُوحَّد (SSO) من القائمة المنسدلة.
الخطوة 5: التنظيم
- في قسم الأمان
- أزِل العلامة من المربّع تفعيل الملف الشخصي القديم للدخول المُوحَّد (SSO) لإيقاف الملف الشخصي القديم.
- يُرجى التأكُّد من أنّ عملية التوفير التلقائي لمتطلبات المستخدمين اللازمة التي تم إعدادها باستخدام موفِّر الهوية تعمل بشكل صحيح مع ملفك الشخصي الجديد للدخول المُوحَّد.
- يمكنك إلغاء تسجيل "مقدّم الخدمة" القديم من موفِّر الهوية.
