يُمكن للمستخدمين الوصول إلى تطبيقات عديدة من خلال الدخول الموحَّد (SSO) بدون الحاجة إلى إدخال اسم المستخدم وكلمة المرور لكل تطبيق. إنّ لغة ترميز تأكيد الأمان (SAML) هي لغة XML عادية تتيح لنطاقات الويب الآمنة إمكانية تبادل بيانات التفويض والمصادقة الخاصة بالمستخدم.
أدوار مقدّمي الخدمة وموفِّري الهوية
تقدِّم Google خدمة الدخول المُوحَّد (SSO) المستنِدة إلى SAML التي تتيح لشركات الشركاء تفويض المستخدمين المُستضافين الذين يحاولون الوصول إلى المحتوى الآمن ومصادقتهم. تؤدي Google دور مقدِّم الخدمة على الإنترنت، كما تقدِّم الخدمات، مثل "تقويم Google" وGmail. ويؤدي شركاء Google دور موفِّري الهوية على الإنترنت، كما يتحكمون في أسماء المستخدمين، وكلمات المرور، والمعلومات الأخرى المستخدمة لتحديد المستخدمين، والمصادقة عليهم، وتفويضهم لتطبيقات الويب التي تستضيفها Google.
يمكن أن يساعدك العديد من موفّري الهوية التجارية والبرامج مفتوحة المصدر في تنفيذ خدمة الدخول الموحَّد (SSO) من Google.
لا تزال برامج سطح المكتب تتطلب تسجيل الدخول
من المهم ملاحظة أنّ حل خدمة الدخول الموحَّد (SSO) لا ينطبق إلا على تطبيقات الويب. يمكنك تمكين المستخدمين من الوصول إلى خدمات Google من خلال برامج سطح المكتب. على سبيل المثال، لتوفير الوصول عبر بروتوكول POP إلى Gmail باستخدام Outlook، عليك تزويد المستخدمين بكلمات مرور سهلة الاستخدام ومزامنتها مع قاعدة بيانات المستخدمين الداخلية باستخدام واجهة برمجة التطبيقات لدليل SDK للمشرف. عند مزامنة كلمات المرور، يجب أن تفهم كيفية مصادقة المستخدمين باستخدام عنوان URL لصفحة تسجيل دخول لوحة تحكم المشرف.
فهم خدمة الدخول الموحَّد (SSO) المستندة إلى SAML التي يديرها الشريك
يوضح الشكل 1 العملية التي من خلالها يسجِّل المستخدم الدخول إلى أحد تطبيقات Google، مثل Gmail، عبر خدمة الدخول المُوحَّد (SSO) المستندة إلى SAML التي يديرها الشريك. توضِّح القائمة المرقمة التي تلي الصورة كل خطوة بمزيد من التفاصيل.
ملاحظة مهمة: قبل إجراء هذه العملية، يجب على الشريك تقديم عنوان URL لخدمة الدخول الموحَّد (SSO) إلى Google، بالإضافة إلى المفتاح العام الذي يجب أن تستخدمه Google للتحقُّق من استجابات SAML.
الشكل 1: يوضِّح عملية تسجيل الدخول إلى Google باستخدام خدمة الدخول المُوحَّد (SSO) المستندة إلى SAML.
توضِّح هذه الصورة الخطوات التالية.
- يحاول المستخدم الوصول إلى تطبيق Google مستضاف، مثل Gmail، أو "تقويم Google"، أو خدمة Google أخرى.
- تنشئ Google طلب مصادقة SAML، والذي يتم تشفيره وتضمينه في عنوان URL الخاص بخدمة الدخول الموحّد للشريك. وفي عنوان URL لخدمة SSO، يتم أيضًا تضمين مَعلمة RelayState التي تحتوي على عنوان URL المشفّر لتطبيق Google الذي يحاول المستخدم الوصول إليه. وتعتبر مَعلمة RelayState هي معرّف مبهم يتم إعادته بدون أيّ تعديل أو فحص.
- يرسل Google إعادة توجيه إلى متصفح المستخدم. ويتضمن عنوان URL لإعادة التوجيه طلب مصادقة SAML المشفّر الذي ينبغي إرساله إلى خدمة الدخول الموحد للشريك.
- يعيد المتصفّح التوجيه إلى عنوان URL الدخول المُوحَّد (SSO).
- يفك الشريك تشفير طلب SAML، ويستخرج عنوان URL لكل من خدمة مستهلكي Google Assertion (ACS) وعنوان URL المقصود للمستخدم (المعلمة RelayState).
- وعندئذٍ يصادق الشريك المستخدم. ويمكن أن يصادق الشركاء المستخدمين إما من خلال طلب بيانات اعتماد تسجيل الدخول الصالحة أو عن طريق التحقق من ملفات تعريف ارتباط جلسة صالحة.
- ينشئ الشريك استجابة SAML التي تحتوي على اسم مستخدم للمستخدم الذي تمت مصادقته. وفقًا لمواصفات SAML v2.0، يتم توقيع هذه الاستجابة رقميًا باستخدام مفاتيح DSA/RSA العامة والخاصة للشريك.
- يشفر الشريك استجابة SAML والمَعلمة RelayState، ويعيد هذه المعلومات إلى متصفح المستخدم. ويوفّر الشريك آلية تتيح للمتصفح إعادة توجيه هذه المعلومات إلى خدمة ACS من Google. على سبيل المثال، يمكن للشريك تضمين استجابة SAML وعنوان URL المقصود في نموذج، وإتاحة زر يمكن للمستخدم النقر عليه لإرسال النموذج إلى Google. يمكن للشريك أيضًا تضمين لغة JavaScript في الصفحة التي تم من خلالها إرسال النموذج إلى Google.
- يرسل المتصفّح استجابة إلى عنوان URL لخدمة ACS. تتحقق خدمة مستهلكي Google Assertion (ACS) من استجابة SAML باستخدام المفتاح العام للشريك. إذا تم التحقق من الاستجابة بنجاح، ستعيد خدمة مستهلكي Google Assertion (ACS) توجيه المستخدم إلى عنوان URL المقصود.
- سجَّل المستخدم الدخول إلى تطبيق Google.
