بصفتك مشرفًا، يمكنك ضبط بعض تطبيقات الشبكة الافتراضية الخاصة (VPN) على نظام التشغيل Android لاستخدام مصادقة لغة ترميز تأكيد الأمان (SAML). يتطلّب ذلك الكثير من الضبط والتنسيق بين موفِّر الهوية ومقدّم الخدمة (تطبيق VPN في هذه الحالة) وPlayStore وChromeOS، ما يجعل تحديد المشاكل وحلّها عملية معقدة.
تهدف هذه المقالة إلى المساعدة في تحديد مصدر المشاكل المحتمَلة باستخدام هذا الضبط.
ملاحظة: لا يتناول نطاق هذه المقالة ضبط بروتوكول SAML لتطبيقات VPN والدمج مع موفِّر الهوية، ويجب التعامل مع هذه المهام مع موفِّري تطبيقات VPN المعنيين فقط.
ضبط تطبيقات شبكة VPN في نظام التشغيل Android لمصادقة SAML
إنّ بروتوكول SAML هو بروتوكول ويب يتطلّب وكيل المستخدم، وهو يكون عادةً متصفّح الويب، لإصدار طلب مصادقة إلى موفّر الهوية (idP) عبر SAML. على الرغم من أنّ خطوات الضبط يمكن أن تختلف حسب تطبيق شبكة VPN على نظام التشغيل Android، إلا أنَّ العملية الإجمالية تكون على النحو التالي:
- يفتح المستخدم تطبيق شبكة VPN المثبَّت على Android.
- ينقر المستخدم على اتصال في تطبيق شبكة VPN.
- يوجّه تطبيق شبكة VPN المستخدمين إلى صفحة الويب لتسجيل الدخول إلى موفِّر الهوية (IdP) في المتصفّح.
- يُجري المستخدم مصادقة في المتصفّح باستخدام بيانات الاعتماد أو الشهادات أو ملفّ تعريف الارتباط إذا سبق له إجراء مصادقة باستخدام موفِّر الهوية هذا.
- يعاد توجيه تأكيد SAML الذي يحتوي على حالة تفويض المستخدم إلى تطبيق VPN.
على أجهزة Chromebook، يمكن لتطبيقات شبكة VPN على Android استخدام أيّ من خيارات المتصفّح التالية:
- WebView
- تطبيق Chrome على Android
- متصفّح Chrome المضمّن
ملاحظة: يعتمد الخيار الأفضل على كيفية إعداد شبكة VPN وبروتوكول SAML.
|
الضبط
|
WebView في تطبيق شبكة VPN |
تطبيق Chrome على Android |
متصفّح Chrome المضمّن |
|---|---|---|---|
| مصادقة SAML باستخدام الشهادات | يجب إتاحة الشهادات لتطبيق شبكة VPN | يجب إتاحة الشهادات لتطبيق شبكة VPN | يمكن استخدامه على الفور |
|
مصادقة SAML باستخدام بيانات الاعتماد ملاحظة: نفترض أنّ المستخدم قد أكمل عملية تسجيل الدخول باستخدام SAML على ChromeOS، غالبًا ما تكتمل على شاشة تسجيل الدخول. |
يجب على المستخدم إعادة إدخال بيانات الاعتماد. | يجب على المستخدم إعادة إدخال بيانات الاعتماد. | لا يلزم تفاعل المستخدم، ويستخدم ملفات تعريف ارتباط مصادقة SAML. |
| تفاعل وضع التأمين | يمكن استخدامه على الفور | غير متاح |
تعمل هذه الميزة مع إعداد استثناءات عناوين URL لشبكة VPN مفعّلة دائمًا في "وحدة تحكّم المشرف في Google". لمعرفة التفاصيل، يُرجى الاطّلاع على السياسة AlwaysOnVpnPreConnectUrlAllowlist. |
| اعتبارات خاصة بنظام التشغيل ChromeOS | لا يوجد، تُطبَّق الإعدادات نفسها التي تستخدمها على Android. | لا يوجد، تُطبَّق الإعدادات نفسها التي تستخدمها على Android. | يجب إعادة توجيه تأكيد SAML إلى تطبيق شبكة VPN على Android من ChromeOS. |
تحديد مشاكل ChromeOS وحلّها
لم تكتمل عملية الاتصال بشبكة VPN
هذه هي المشكلة الأكثر شيوعًا التي تحدث عندما يستخدم تطبيق VPN متصفّح نظام Chrome في تسجيل الدخول إلى موفِّر الهوية؛ ويصاحب هذا الخطأ عادةً خطأ في التنقّل على الويب في متصفّح النظام.
السبب الأساسييجب إعادة توجيه نتيجة تأكيد SAML إلى التطبيق بعد إتمام عملية المصادقة بنجاح. يتم عادةً تحقيق ذلك من خلال إعادة توجيه HTTP التي يجب توجيهها إلى تطبيق شبكة VPN مما يتيح للتطبيق الانتقال إلى حالة "متصل" أو "غير متصل" استنادًا إلى حالة التفويض باستخدام بروتوكول SAML.
عندما يعلن تطبيق VPN عن فلتر الهدف للإشارة إلى نظام Android بنيته في فتح عنوان URL، لا يتعرّف على فلتر الهدف هذا سوى نظام Android. ولا يُدرك متصفّح Chrome على ChromeOS هذا الفلتر الهدف.
الحللضمان تمرير تأكيد SAML بشكل صحيح إلى تطبيق Android، يجب أن يستخدم عنوان URL لإعادة التوجيه مخطّط intent://. يؤدي استخدام عنوان URL عادي على http:// إلى محاولة المتصفّح فتح عنوان URL نفسه بدلاً من إعادة توجيهه إلى تطبيق Android لمعالجته.
إذا كنت تستخدم تطبيق شبكة VPN خارجي، يُرجى التواصل مع فريق دعم مقدّم خدمة شبكة VPN لطلب تنفيذ هذا التغيير.
يتطلب الاتصال عبر شبكة VPN من المستخدم إعادة إدخال بيانات الاعتماد
عادةً ما يتم إصدار ملف تعريف ارتباط الجلسة بعد إجراء مصادقة ناجحة مع موفِّر الهوية. والغرض من ملف تعريف الارتباط هذا هو التذكير بحالة مصادقة المستخدم، ما يزيل الحاجة إلى إدخال بيانات الاعتماد بشكل متكرّر عند الوصول إلى مزوّدي خدمات الويب (SP) المختلفين.
السبب الأساسييتم تخزين ملفات تعريف الارتباط في متصفّح Chrome على نظام التشغيل ولا يمكن نقلها إلى تطبيق Android. إذا كان تطبيق VPN يستخدم WebView أو يفوّض المصادقة إلى تطبيق Android آخر، يتوجب على المستخدم إدخال بيانات اعتماد SAML مرة أخرى.
الحلبسبب عزل بيانات مستخدمي الشبكة وحمايتها على نظام التشغيل ChromeOS، لا تتم مشاركة ملفات تعريف الارتباط الخاصة بالمصادقة مع تطبيقات VPN، لذا يجب على المستخدمين إدخال بيانات الاعتماد مرتين. ويعد هذا أمرًا متوقعًا. لتجنُّب حدوث أي التباس أو مخاوف، من المهم إبلاغ الموظفين بهذا المتطلب أثناء عملية إعداد شبكة VPN.
يؤدي تأمين شبكة VPN إلى حظر مصادقة SAML باستخدام متصفّح النظام
عندما تعمل "شبكة VPN قيد التشغيل دائمًا" في وضع "وضع التأمين" فإنها تحظر جميع الاتصالات التي لا تستخدم تطبيق VPN؛ وبما أنّ مصادقة SAML هي عملية مستندة إلى الويب، فإنّها تعمل عادةً حصريًا ضمن WebView لتطبيق VPN في "وضع التأمين".
الحلمنذ الإصدار 122 من ChromeOS، يمكن للمشرفين استخدام الإعداد استثناءات عناوين URL لشبكة VPN المُفعَّلة دائمًا في "وحدة تحكّم المشرف" لتفعيل مصادقة SAML باستخدام متصفّح النظام. يمكن للمستخدمين بعد ذلك الانتقال إلى أي عنوان URL في هذه القائمة عندما تكون "شبكة VPN المفعَّلة دائمًا" على جهاز Android مضبوطةً على "وضع التأمين" وغير متصلة بالإنترنت.
تعذُّر مصادقة SAML المستندة إلى الشهادة
تتعذَّر مصادقة شبكة VPN باستخدام شهادة مستخدم تم توفيرها على الجهاز.
السبب الأساسيلا تتم مشاركة الشهادات المثبَّتة على ChromeOS تلقائيًا مع تطبيقات Android.
الحلفي "وحدة تحكّم المشرف"، يُرجى التأكُّد من مشاركة شهادات هيئة إصدار الشهادات (CA) في نظام التشغيل ChromeOS التي توفّرها السياسة، بالإضافة إلى شهادات المستخدمين، مع تطبيقات Android وتطبيقات Android للأعمال:
- لمنح تطبيق VPN إذن الوصول إلى شهادة CA التي توفّرها السياسة، يجب الانتقال إلى الأجهزة > Chrome > الإعدادات > إعدادات المستخدمين والمتصفّحات > تطبيقات Android وتفعيل مزامنة الشهادات.
- لمنح تطبيق VPN إذن الوصول إلى شهادة مستخدم مخزّنة على جهاز Android، يجب الانتقال إلى صفحة التطبيق ذو الصلة في "وحدة تحكّم المشرف"، والدخول إلى لوحة الضبط، وتفعيل الخيار السماح بالوصول إلى المفاتيح.