متطلبات تأكيد خدمة الدخول المُوحَّد (SSO)

بصفتك مشرفًا، تحتاج إلى إرجاع العناصر والسمات المُدرجة في الجداول التالية الخاصة بتأكيد الدخول المُوحَّد عبر SAML 2.0 إلى خدمة Google Assertion Consumer Service ‏(ACS)، وذلك بعد مصادقة موفِّر الهوية (IdP) للمستخدم.

إرشادات حول السمات

في حال إعداد تسجيل الدخول المُوحَّد (SSO) من خلال موفِّر هوية تابع لجهة خارجية وكان تأكيد SAML لموفِّر الهوية (IdP) الخاص بك يتضمن السمة <AttributeStatement>، ستخزِّن Google هذه السمات حتى تنتهي صلاحية جلسة حساب المستخدم على Google. (تختلف مدة صلاحية الجلسة ويمكن للمشرف ضبط هذه المدة.) بعد انتهاء صلاحية جلسة الحساب، يتم حذف معلومات السمة نهائيًا خلال أسبوع.

مثلما هو الحال مع السمات المخصَّصة في "دليل Google Workspace"، يجب ألا تتضمّن سمات التأكيد معلومات حسّاسة تكشف عن الهويّة (PII)، مثل بيانات اعتماد الحساب أو أرقام الهوية الصادرة عن جهات حكومية وبيانات حاملي البطاقات أو بيانات الحساب المالية أو معلومات الرعاية الصحية أو المعلومات الأساسية الحسّاسة.

قد تشتمل الاستخدامات المقترَحة لسمات التأكيد على ما يلي:

أرقام تعريف المستخدمين لأنظمة تكنولوجيا المعلومات الداخلية
الأدوار الخاصة بالجلسة

يمكنك فقط إرسال محتوى بحجم 2 كيلوبايت كحدّ أقصى من بيانات السمات الخاصة بالتأكيدات. سيتم رفض التأكيدات التي تتجاوز الحجم الأقصى المسموح به تمامًا، كما سيتسبب ذلك في تعذُّر تسجيل الدخول.

أدلة الرموز المتوافقة

تعتمد أدلة الرموز المتوافقة على ما إذا كنت تستخدم الملفات الشخصية للدخول المُوحَّد أو الملف الشخصي القديم للدخول المُوحَّد:

الملف الشخصي القديم للدخول المُوحَّد (SSO): يجب أن تتضمّن قيم السمات أحرف ASCII صغيرة فقط (وليس أحرف Unicode/UTF-8، لأنّها غير متوافقة وستؤدي إلى تعذُّر تسجيل الدخول).
الملفات الشخصية للدخول المُوحَّد (SSO): يمكن استخدام أحرف Unicode/UTF-8.

إرجاع التأكيدات إلى خدمة ACS

تحديد المشاكل وحلّها

لتحديد المشاكل وحلّها بشأن هذه التأكيدات، يمكنك استخدام أداة فحص الشبكة. وللحصول على التعليمات، راجِع صفحة أداة تحليل HAR في "مجموعة أدوات وحدة تحكُّم المشرف في Google".

إذا كنت بحاجة إلى التواصل مع فريق الدعم، يمكنك استخدام حساب اختباري مؤقت لأن عملية تسجيل أرشيف HTTP ‏(HAR) تحتوي على اسم المستخدم وكلمة المرور بنصٍ واضح. أو، يمكنك تعديل الملف لحذف الاتصالات الحسّاسة بين المستخدم وموفِّر الهوية (idP). يُرجى التواصل مع فريق دعم Google Workspace.

يحتوي SAMLRequest المُرسَل إلى موفِّر الهوية (idP) على AssertionCons.comServiceURL ذي الصلة. وفي حال إرسال SAMLResponse إلى عنوان URL آخر، قد تكون هناك مشكلة متعلقة بالإعداد مع موفِّر الهوية.

استخدام العناصر والسمات: الملفات الشخصية للدخول المُوحَّد

العنصر مُعرِّف الاسم

الحقل	العنصر مُعرِّف الاسم في العنصر الموضوع.
الوصف	يُحدِّد عنصر NameID الموضوع وهو عنوان البريد الإلكتروني الرئيسي للمستخدم. يُعد حساسًا لحالة الأحرف.
القيمة المطلوبة	user@example.com
مثال	`<saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com </saml:NameID>`

سمة المستلِم (Recipient)

الحقل	سمة المستلِم (Recipient) في العنصر SubjectConfirmationData
الوصف	تحدِّد سمة المستلِم (Recipient) عنوان URL لخدمة مستهلك التأكيدات الخاص بمقدّم الخدمة المستهدَف للتأكيد.
القيمة المطلوبة	قيمة عنوان URL لخدمة ACS من قسم تفاصيل مقدّم الخدمة (SP) في الملف الشخصي للدخول المُوحَّد (SSO).
مثال	`<saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> <saml:SubjectConfirmationData NotOnOrAfter="2014-11-05T17:37:07Z" Recipient="https://accounts.google.com/samlrp/0abc123/acs" InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen"> </saml:SubjectConfirmationData> </saml:SubjectConfirmation>`

عنصر الجمهور (Audience)

الحقل	العنصر الجمهور في العنصر الرئيسي AudienceRestriction
الوصف	إنّ عنصر الجمهور (Audience) هو مرجع معرِّف الموارد المنتظم (URI) الذي يحدِّد الجمهور المستهدَف للتأكيد.
القيمة المطلوبة	قيمة "رقم تعريف الجهة" من قسم تفاصيل مقدّم الخدمة في الملف الشخصي للدخول المُوحَّد.
مثال	`<saml:Conditions NotBefore="2014-11-05T17:31:37Z" NotOnOrAfter="2014-11-05T17:37:07Z"> <saml:AudienceRestriction> <saml:Audience>https://accounts.google.com/samlrp/0abc123 </saml:Audience> </saml:AudienceRestriction> </saml:Conditions>`

سمة الوجهة

الحقل	سمة الوجهة (Destination) لعنصر الرد (Response)
الوصف	إنّ سمة الوجهة (Destination) هي مرجع معرّف الموارد المنتظم (URI) يشير إلى العنوان الذي تم إرسال هذا الردّ إليه.
القيمة المطلوبة	هذه سمة اختيارية؛ وفي حال ضبطها، يجب أن تكون هي قيمة عنوان URL لخدمة ACS من قسم تفاصيل مقدّم الخدمة في الملف الشخصي لتسجيل الدخول المُوحَّد.
مثال	`<saml:Response Destination="https://accounts.google.com/samlrp/0abc123/acs" ID="resp-53450fcf-d45e-420f-9246-262e165563cb" InResponseTo="_cc1ca69615a0e8719426e7a250557c5b"> IssueInstant="2024-10-04T20:17:38.726Z" Version="2.0"> ... </saml:Response>`

استخدام العناصر والسمات: الملف الشخصي القديم للدخول المُوحَّد (SSO)

ملاحظة: لا يمكن أن يحتوي تأكيد SAML إلا على أحرف ASCII عادية.

العنصر مُعرِّف الاسم

الحقل	العنصر مُعرِّف الاسم في العنصر الموضوع.
الوصف	يُحدِّد عنصر NameID الموضوع وهو عنوان البريد الإلكتروني الرئيسي للمستخدم. يُعد حساسًا لحالة الأحرف.
القيمة المطلوبة	user@example.com
مثال	`<saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com </saml:NameID>`

سمة المستلِم (Recipient)

الحقل	سمة المستلِم (Recipient) في العنصر SubjectConfirmationData
الوصف	يُحدِّد المستلِم البيانات الإضافية المطلوبة للموضوع. قد يكون example.com هو النطاق الأساسي في حسابك على Google Workspace أو Cloud Identity، حتى إذا كان المستخدم الذي تتم مصادقته يستخدم نطاقًا ثانويًا في حساب Google Workspace أو Cloud Identity نفسه.
القيمة المطلوبة	https://www.google.com/a/example.com/acs أو https://accounts.google.com/a/example.com/acs
مثال	`<saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> <saml:SubjectConfirmationData NotOnOrAfter="2014-11-05T17:37:07Z" Recipient="https://www.google.com/a/example.com/acs" InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen"> </saml:SubjectConfirmationData> </saml:SubjectConfirmation>`

عنصر الجمهور (Audience)

الحقل	العنصر الجمهور في العنصر الرئيسي AudienceRestriction
الوصف	الجمهور (Audience) هو مُعرِّف الموارد المنتظم (URI) الذي يُحدِّد الجمهور المستهدف الذي يتطلب قيمة URI لخدمة ACS. قد يكون example.com هو النطاق الأساسي في حسابك على Google Workspace أو Cloud Identity، حتى إذا كان المستخدم الذي تتم مصادقته يستخدم نطاقًا ثانويًا في حساب Google Workspace أو Cloud Identity نفسه. لا يمكن أن تكون قيمة العنصر هذه فارغة.
القيمة المطلوبة	أيٌّ مما يلي: google.com google.com/a/<your domain> (إذا وضعت علامة في المربّع "استخدام جهة إصدار محدَّدة للنطاق" في إعدادات الملف الشخصي القديم للدخول المُوحَّد)
مثال	`<saml:Conditions NotBefore="2014-11-05T17:31:37Z" NotOnOrAfter="2014-11-05T17:37:07Z"> <saml:AudienceRestriction> <saml:Audience>google.com/a/example.com</saml:Audience> </saml:AudienceRestriction> </saml:Conditions>`

سمة الوجهة

الحقل	سمة الوجهة (Destination) لعنصر الرد (Response)
الوصف	تُمثِّل الوجهة مُعرِّف الموارد المنتظم (URI) الذي يتم إرسال تأكيد SAML إليه. هي سمة اختيارية، ولكن إذا أُعلِن عنها، ستحتاج إلى قيمة معرف الموارد المنتظم (URI) لخدمة ACS. قد يكون example.com هو النطاق الأساسي في حسابك على Google Workspace أو Cloud Identity، حتى إذا كان المستخدم الذي تتم مصادقته يستخدم نطاقًا ثانويًا في حساب Google Workspace أو Cloud Identity نفسه.
القيمة المطلوبة	https://www.google.com/a/example.com/acs أو https://accounts.google.com/a/example.com/acs
مثال	`<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" ID="_7840062d379d82598d87ca04c8622f436bb03aa1c7" Version="2.0" IssueInstant="2014-11-05T17:32:07Z" Destination="https://www.google.com/a/example.com/acs" InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen">`

هل كان ذلك مفيدًا؟

كيف يمكننا تحسينها؟

متطلبات تأكيد خدمة الدخول المُوحَّد (SSO)

إرشادات حول السمات

أدلة الرموز المتوافقة

إرجاع التأكيدات إلى خدمة ACS

تحديد المشاكل وحلّها

العنصر مُعرِّف الاسم

سمة المستلِم (Recipient)

عنصر الجمهور (Audience)

سمة الوجهة

العنصر مُعرِّف الاسم

سمة المستلِم (Recipient)

عنصر الجمهور (Audience)

سمة الوجهة

هل كان ذلك مفيدًا؟

هل تحتاج إلى مزيد من المساعدة؟

جرِّب الخطوات التالية: