لمحة عن خدمة الدخول المُوحَّد (SSO)

تتيح خدمة "الدخول المُوحَّد" (SSO) للمستخدمين تسجيل الدخول إلى العديد من تطبيقات السحابة الإلكترونية للمؤسسات باستخدام مجموعة واحدة من بيانات الاعتماد. يتوافق Workspace (وGoogle Cloud Platform) مع خدمة "الدخول المُوحَّد" التابعة لموفِّري الهوية الخارجيين. 

يتوافق Workspace مع كلّ من بروتوكول الدخول الموحَّد (SSO) المستنِد إلى SAML والمستنِد إلى OIDC. يتوافق الدخول المُوحَّد (SSO) المستنِد إلى SAML مع أي موفِّر هوية (IdP). لا يتوافق بروتوكول OIDC حاليًا سوى مع Microsoft Entra ID.

لاستخدام الدخول المُوحَّد (SSO)، يجب ضبط الملفات الشخصية للدخول المُوحَّد (SSO)، ثم تخصيصها لمجموعات المستخدمين أو الوحدات التنظيمية. يتيح ذلك إمكانية استخدام العديد من موفِّري الهوية واختبار إعدادات الدخول المُوحَّد. ويُعد هذا النظام المُقترَح لخدمة الدخول المُوحَّد. يتوفّر أيضًا الملف الشخصي القديم للدخول المُوحَّد (SSO) الخاص بالمؤسسات (لبروتوكول SAML فقط).

يتوفّر الدخول الموحَّد (SSO) على أجهزة Chrome أيضًا. للتعرُّف على التفاصيل، يُرجى الانتقال إلى إعداد الدخول الموحَّد عبر SAML لأجهزة Chrome.

عمليات إثبات الهوية الإضافية بعد الدخول المُوحَّد (SSO)

في حال إعداد الدخول المُوحَّد (SSO)، يمكن للمستخدمين الذين يسجّلون الدخول إلى موفِّر الهوية الخارجي الوصول إلى تطبيقات Google بدون إجراء عملية إثبات هوية إضافية، باستثناء ما يلي:

  • حتى إذا كان قد سبق للمستخدمين تسجيل الدخول إلى موفِّر الهوية، ستطلب Google في بعض الأحيان منهم إثبات هويتهم كتدبير أمني إضافي. لمزيد من المعلومات والتفاصيل عن كيفية إيقاف عملية إثبات الهوية هذه إذا لزم الأمر، يُرجى الانتقال إلى مقالة "التعرّف على تسجيل الدخول الآمن باستخدام لغة ترميز تأكيد الأمان (SAML)".
  • يمكنك إعداد التحقق بخطوتين الإضافي للمستخدمين الذين يصلون إلى خدمات Google. يتم تجاوز التحقق بخطوتين عادةً عند تفعيل الدخول المُوحَّد (SSO). لمزيد من المعلومات، يُرجى الانتقال إلى مقالة "تفعيل اختبارات التحقق باستخدام الدخول المُوحَّد (SSO)".
فهم خدمة الدخول الموحَّد (SSO) المستندة إلى SAML التي يديرها الشريك

يوضح الشكل 1 العملية التي من خلالها يسجِّل المستخدم الدخول إلى أحد تطبيقات Google، مثل Gmail، عبر خدمة الدخول المُوحَّد (SSO) المستندة إلى SAML التي يديرها الشريك. توضِّح القائمة المرقمة التي تلي الصورة كل خطوة بمزيد من التفاصيل.

ملاحظة مهمة: قبل إجراء هذه العملية، يجب على الشريك تقديم عنوان URL لخدمة الدخول الموحَّد (SSO) إلى Google، بالإضافة إلى المفتاح العام الذي يجب أن تستخدمه Google للتحقُّق من استجابات SAML.

الشكل 1: يوضِّح عملية تسجيل الدخول إلى Google باستخدام خدمة الدخول المُوحَّد (SSO) المستندة إلى SAML. 

توضِّح هذه الصورة الخطوات التالية.

  1. يحاول المستخدم الوصول إلى تطبيق Google مستضاف، مثل Gmail، أو "تقويم Google"، أو خدمة Google أخرى.
  2. تنشئ Google طلب مصادقة SAML، والذي يتم تشفيره وتضمينه في عنوان URL الخاص بخدمة الدخول الموحّد للشريك. وفي عنوان URL لخدمة SSO، يتم أيضًا تضمين مَعلمة RelayState التي تحتوي على عنوان URL المشفّر لتطبيق Google الذي يحاول المستخدم الوصول إليه. وتعتبر مَعلمة RelayState هي معرّف مبهم يتم إعادته بدون أيّ تعديل أو فحص.
  3. يرسل Google إعادة توجيه إلى متصفح المستخدم. ويتضمن عنوان URL لإعادة التوجيه طلب مصادقة SAML المشفّر الذي ينبغي إرساله إلى خدمة الدخول الموحد للشريك.
  4. يعيد المتصفّح التوجيه إلى عنوان URL الدخول المُوحَّد (SSO).
  5. يفك الشريك تشفير طلب SAML، ويستخرج عنوان URL لكل من خدمة مستهلكي Google Assertion‏ (ACS) وعنوان URL المقصود للمستخدم (المعلمة RelayState). 
  6. وعندئذٍ يصادق الشريك المستخدم. ويمكن أن يصادق الشركاء المستخدمين إما من خلال طلب بيانات تسجيل الدخول الصالحة أو عن طريق التحقق من ملفات تعريف ارتباط الجلسة الصالحة.
  7. ينشئ الشريك استجابة SAML التي تحتوي على اسم مستخدم للمستخدم الذي تمت مصادقته. وفقًا لمواصفات SAML v2.0، يتم توقيع هذه الاستجابة رقميًا باستخدام مفاتيح DSA/RSA العامة والخاصة للشريك.
  8. يشفر الشريك استجابة SAML والمَعلمة RelayState، ويعيد هذه المعلومات إلى متصفح المستخدم. ويوفّر الشريك آلية تتيح للمتصفح إعادة توجيه هذه المعلومات إلى خدمة ACS من Google. على سبيل المثال، يمكن للشريك تضمين استجابة SAML وعنوان URL المقصود في نموذج، وإتاحة زر يمكن للمستخدم النقر عليه لإرسال النموذج إلى Google. يمكن للشريك أيضًا تضمين لغة JavaScript في الصفحة التي تم من خلالها إرسال النموذج إلى Google.
  9. يرسل المتصفّح استجابة إلى عنوان URL لخدمة ACS. تتحقق خدمة مستهلكي Google Assertion‏ (ACS) من استجابة SAML باستخدام المفتاح العام للشريك. إذا تم التحقق من الاستجابة بنجاح، ستعيد خدمة مستهلكي Google Assertion‏ (ACS) توجيه المستخدم إلى عنوان URL المقصود. 
  10. سجَّل المستخدم الدخول إلى تطبيق Google.

مزامنة حسابات المستخدمين بين موفِّر الهوية وGoogle

لتبسيط إدارة مراحل نشاط المستخدم، فإنّ معظم المؤسسات التي تستخدم الدخول المُوحَّد (SSO) تزامن أيضًا دليل المستخدمين من موفِّر الهوية (IdP) إلى Google. مع تفعيل المزامنة، تتم إضافة المستخدمين الجدد (أو المحذوفين) من جهة موفِّر الهوية أو حذفهم تلقائيًا بصفتهم مستخدمين في Workspace. تتوافق أداة مزامنة الدليل من Google مع Active Directory وEntra ID. تتوافق معظم خدمات موفِّري الهوية مع المزامنة مع Google. يمكنك الاطّلاع على مستندات موفِّر الهوية للحصول على تعليمات الإعداد. 

الدخول المُوحَّد وخدمة LDAP الآمن

تتطلّب خدمة LDAP الآمن كلمة مرور Google وهي غير متوافقة مع خدمة "الدخول المُوحَّد".

هل كان ذلك مفيدًا؟

كيف يمكننا تحسينها؟
بحث
محو البحث
إغلاق البحث
القائمة الرئيسية
12253032041330622677
true
مركز مساعدة البحث
true
true
true
true
true
73010
false
false