إعداد خدمة "الدخول الموحَّد" عبر SAML لأجهزة ChromeOS

عند توفّر خدمة "الدخول المُوحَّد" (SSO) عبر معيار "لغة ترميز تأكيد الأمان" (SAML) على أجهزة ChromeOS، يتيح ذلك للمستخدمين تسجيل الدخول إلى الجهاز بآليات المصادقة نفسها التي يستخدمونها داخل باقي المؤسسة. ومن الممكن أن تبقى كلمات مرورهم ضمن موفِّر الهوية (IdP) لمؤسستك. يتشابه تسجيل الدخول إلى حد كبير مع تسجيل الدخول إلى حساب Google Workspace من متصفّح عن طريق الدخول الموحَّد (SSO) المستنِد إلى SAML. وجدير بالذكر أنّ هناك عدة اعتبارات إضافية لأن المستخدم يسجّل الدخول إلى جهاز.

لمعرفة المزيد من التفاصيل، يُرجى الاطّلاع على إعداد خدمة الدخول الموحّد (SSO) لحسابات Google المُدارة من خلال موفّري الهوية التابعين لجهات خارجية.

الشروط اللازم توافرها

• جهاز ChromeOS يعمل بالإصدار 36 أو بإصدار أحدث
• ضبط النطاق لاستخدام خدمة "الدخول المُوحَّد" المستنِدة إلى معيار SAML في Google Workspace
• عنوان URL لـ SAML يستخدم HTTPS وليس HTTP
• تراخيص ChromeOS لأجهزتك

الخطوة 1: إعداد خدمة الدخول المُوحَّد (SSO)

يمكنك إعداد خدمة الدخول الموحّد لحسابات Google المُدارة من خلال موفّري الهوية التابعين لجهات خارجية، إذا لم يسبق لك إجراء ذلك.

الخطوة 2: اختبار خدمة الدخول المُوحَّد (SSO)

يمكنك إعداد الدخول الموحَّد (SSO) عبر SAML واختباره على نطاق اختبار تمتلكه. إذا لم تمتلك نطاق اختبار، فاختبر SAML SSO مع عدد قليل من المستخدمين عن طريق إنشاء مجموعة اختبار وتمكين SSO للمستخدمين في تلك المجموعة فقط. بعد اختبار SAML SSO على عدد قليل من المستخدمين، ابدأ بطرح الخدمة على %5 من المستخدمين تقريبًا.

1. سجِّل الدخول إلى وحدة تحكم المشرف في Google.

   يُرجى تسجيل الدخول باستخدام حساب المشرف (لا ينتهي بالنطاق gmail.com@).

2. في "وحدة تحكّم المشرف"، انقر على رمز القائمة  الأجهزةChromeالإعدادات. تفتح صفحة إعدادات المتصفِّح والمستخدم تلقائيًا.

   في حال اشتراكك في "إدارة السحابة الإلكترونية في متصفّح Chrome"، انقر على رمز القائمة  متصفّح Chromeالإعدادات.

3. لتطبيق الإعداد على جميع المستخدمين والمتصفحات المُسجّلة، يُرجى الإبقاء على اختيار الوحدة التنظيمية العليا. بخلاف ذلك، يمكنك اختياروحدة تنظيمية فرعية.
4. انتقل إلى قسم الأمان.
5. انقر على الدخول الموحّد.
6. اختَر تفعيل خدمة الدخول الموحَّد المستنِد إلى SAML لأجهزة Chrome.
7. انقر على حفظ.

(اختياري) الخطوة 3: تفعيل ملفات تعريف ارتباط الدخول المُوحَّد (SSO) المستند إلى SAML

يمكنك تفعيل ملفات تعريف ارتباط الدخول الموحَّد (SSO) عبر SAML للسماح لمستخدمي خدمة "الدخول المُوحَّد" بتسجيل الدخول إلى المواقع الإلكترونية الداخلية وخدمات السحابة الإلكترونية التي تعتمد على موفِّر الهوية نفسه في عمليات تسجيل الدخول اللاحقة إلى الجهاز.

1. سجِّل الدخول إلى وحدة تحكم المشرف في Google.

   يُرجى تسجيل الدخول باستخدام حساب المشرف (لا ينتهي بالنطاق gmail.com@).

2. في "وحدة تحكّم المشرف"، انقر على رمز القائمة  الأجهزةChromeالإعداداتإعدادات الجهاز.
3. لتطبيق الإعداد على جميع المستخدمين والمتصفحات المُسجّلة، يُرجى الإبقاء على اختيار الوحدة التنظيمية العليا. بخلاف ذلك، يمكنك اختياروحدة تنظيمية فرعية.
4. انتقِل إلى إعدادات تسجيل الدخول.
5. انقر على سلوك ملف تعريف ارتباط الدخول الموحَّد.
6. اختَر تفعيل نقل ملفات تعريف ارتباط الدخول المُوحَّد (SSO) عبر SAML إلى جلسة عمل المستخدم أثناء تسجيل الدخول. لمزيد من التفاصيل، يمكنك الاطّلاع على ضبط سياسات أجهزة ChromeOS.
7. انقر على حفظ.

(اختياري) الخطوة 4: الحفاظ على مزامنة كلمة مرور ChromeOS داخل الجهاز مع كلمة مرور خدمة الدخول المُوحَّد (SSO) عبر SAML

يمكنك اختيار مزامنة كلمات المرور داخل أجهزة ChromeOS مع كلمات مرور خدمة الدخول المُوحَّد (SSO) عبر SAML.

حسب الإعدادات التلقائية، يتم تعديل كلمة المرور داخل الجهاز في كل مرة يسجِّل فيها المستخدمون الدخول على الإنترنت. ويمكنك ضبط معدّل الطلب من المستخدمين تسجيل الدخول على الإنترنت باستخدام الإعداد معدل تكرار تسجيل الدخول الموحَّد عبر SAML أو معدّل تكرار إتاحة خدمة الدخول الموحَّد عبر SAML. ومع ذلك، قد يغيِّر بعض المستخدمين كلمة مرور خدمة الدخول المُوحَّد (SSO) عبر SAML قبل أن يُطلب منهم تسجيل الدخول على الإنترنت مرة أخرى. وإذا حدث ذلك، سيواصل المستخدمون استخدام كلمة مرور ChromeOS القديمة داخل الجهاز حتى المرة التالية التي يسجِّلون فيها الدخول على الإنترنت.

للحفاظ على مزامنة كلمة مرور ChromeOS داخل الجهاز مع كلمة مرور خدمة الدخول المُوحَّد (SSO) عبر SAML، يمكنك فرض تسجيل الدخول على الإنترنت عند تغيير كلمة مرور خدمة الدخول المُوحَّد (SSO) عبر SAML. وبهذه الطريقة، يتم تعديل كلمة مرور ChromeOS على الفور تقريبًا.

1. لإعلام Google بتغييرات كلمة مرور المستخدم، يمكنك استخدام أي مما يلي:
   1. دمج موفِّر الهوية: على سبيل المثال، في حال استخدام Okta، يمكنك استخدام مهام سير عمل Okta. ولمعرفة التفاصيل، يُرجى الاطّلاع على مستندات GitHub.

   2. دمج Microsoft Entra ID: ترسل خدمة "تنبيه تغيير كلمة المرور" (CPN)، في Microsoft Entra ID إشعارًا إلى Google بالتغييرات التي تطرأ على كلمة المرور في Microsoft Entra ID. لمعرفة التفاصيل، يُرجى الاطّلاع على المقالة مزامنة كلمات المرور في نظام التشغيل ChromeOS باستخدام خدمة "تنبيه تغيير كلمة المرور" في Microsoft Entra ID.

   3. دمج Active Directory: خدمة "تنبيه تغيير كلمة المرور" لخدمة Active Directory (CPN for AD) تبلغ Google بشأن تغييرات كلمات مرور Microsoft AD. للتعرّف على التفاصيل، يُرجى الاطّلاع على مزامنة كلمات مرور نظام التشغيل ChromeOS باستخدام خدمة "تنبيه تغيير كلمة المرور" لخدمة Active Directory.
   4. دمج واجهة برمجة التطبيقات: يمكنك دمج موفِّر الهوية (idP) مع واجهة برمجة تطبيقات الرمز المميّز للجهاز. ويمكنك الحصول على واجهة برمجة تطبيقات الرمز المميّز لجهاز Chrome من هنا. ولمعرفة التفاصيل، يُرجى الاطّلاع على تفعيل حزمة واجهة برمجة التطبيقات للمشروع على السحابة الإلكترونية.
2. اضبط الإعدادات ذات الصلة، وهي كما يلي:
   1. مسارات مزامنة كلمة مرور الدخول الموحَّد عبر SAML: اختَر ما إذا كنت تريد فرض عمليات تسجيل الدخول على الإنترنت على شاشة تسجيل الدخول فقط، أم على كلٍ من شاشة تسجيل الدخول وشاشة القفل. لمعرفة التفاصيل، يُرجى الاطّلاع على ضبط سياسات Chrome للمستخدمين أو المتصفِّحات.
   2. مزامنة كلمة مرور الدخول الموحَّد عبر SAML: اختَر تشغيل مسارات المصادقة لمزامنة كلمات المرور مع مقدّمي خدمة الدخول الموحّد. لمعرفة التفاصيل، يُرجى الاطّلاع على ضبط سياسات Chrome للمستخدمين أو المتصفِّحات.

(اختياري) الخطوة 5: إبلاغ المستخدمين بالتغييرات القادمة على كلمات المرور

يمكنك ضمان إعلام المستخدمين بالتغييرات القادمة على كلمات المرور على أجهزة ChromeOS.

في الوقت الحالي، لا تتوفر إشعارات انتهاء صلاحية كلمة المرور لخدمة Microsoft Entra ID.

ملاحظة: ننصحك بتنفيذ إمّا الخطوة 4: الحفاظ على مزامنة كلمة مرور ChromeOS داخل الجهاز مع كلمة مرور خدمة الدخول المُوحَّد (SSO) عبر SAML أو الخطوة 5: إبلاغ المستخدمين بالتغييرات القادمة على كلمة المرور، وليس كليهما.

لإبلاغ المستخدمين بالتغييرات القادمة على كلمة المرور، يُرجى اتّباع ما يلي:

1. باستخدام "وحدة تحكُّم المشرف في Google"، يجب ضبط الدخول الموحّد (SSO) لحسابات Google المُدارة باستخدام موفّري هوية خارجيين.
2. يجب ضبط تأكيد SAML لانتهاء صلاحية كلمة المرور لموفِّر خدمة الدخول المُوحَّد (SSO) عبر SAML. اطّلِع على المثال أدناه.
3. باستخدام وحدة تحكم المشرف، يجب ضبط الإعدادات التالية:
   1. معدّل تكرار تسجيل الدخول الموحَّد عبر SAML: أدخِل قيمة أقل من وقت انتهاء صلاحية كلمة المرور. ولا يُحدِّث ChromeOS تأكيداته إلا أثناء عمليات تسجيل الدخول على الإنترنت. لمعرفة التفاصيل، يُرجى الاطّلاع على ضبط سياسات Chrome للمستخدمين أو المتصفِّحات.
   2. مزامنة كلمة مرور الدخول الموحَّد عبر SAML: اختَر تشغيل مسارات المصادقة لمزامنة كلمات المرور مع مقدّمي خدمة الدخول الموحّد. يمكنك تحديد عدد الأيام التي يجب إرسال إشعار للمستخدمين قبلها. ويمكنك إدخال قيمة تتراوح بين 0 و90 يومًا. وفي حال ترك هذا الحقل فارغًا، يتم استخدام القيمة التلقائية 0 ولا يتم إشعار المستخدمين مسبقًا إلا عند انتهاء صلاحية كلمة المرور. لمعرفة التفاصيل، يُرجى الاطّلاع على ضبط سياسات Chrome للمستخدمين أو المتصفِّحات.

مثال على AttributeStatement

في المثال:

• يحتوي اسم السمة على stampexpirationtimestamp، وهو الطابع الزمني الذي تنتهي فيه صلاحية كلمة مرور المستخدم الذي يقوم بالمصادقة. يمكن ترك الحقل فارغًا إذا لم يكن هناك تاريخ انتهاء صلاحية لكلمة المرور، ويمكن اختيار قيمة ماضية إذا كانت صلاحية كلمة المرور قد انتهت. ويمكنك استخدام passwordmodifiedtimestamp إذا كنت تفضّل ذلك.
• قيمة السمة هي وقت ملف NTFS، أي عدد علامات التجزئة التي تعادِل 100 نانو ثانية منذ الأول من كانون الثاني (يناير) لعام 1601 حسب التوقيت العالمي المنسق (UTC). ويمكنك ضبط التاريخ والوقت حسب توقيت يونكس أو ISO 8601. ولا يتم قبول أي تنسيقات أخرى للوقت.

<AttributeStatement>
<Attribute
     Name="http://schemas.google.com/saml/2019/passwordexpirationtimestamp">
     <AttributeValue>132253026634083525</AttributeValue>
</Attribute>
</AttributeStatement>

(اختياري) الخطوة 6: تفعيل إعادة توجيه موفِّر الهوية للدخول المُوحَّد (SSO) عبر SAML

للسماح لمستخدمي الدخول الموحَّد بالانتقال مباشرةً إلى صفحة "موفِّر الهوية (IdP) عبر SAML" بدلاً من الحاجة إلى كتابة عناوين بريدهم الإلكتروني، يمكنك تفعيل "إعادة توجيه موفِّر الهوية (IdP) للدخول الموحَّد المستند إلى SAML".

1. سجِّل الدخول إلى وحدة تحكم المشرف في Google.

   يُرجى تسجيل الدخول باستخدام حساب المشرف (لا ينتهي بالنطاق gmail.com@).

2. في "وحدة تحكّم المشرف"، انقر على رمز القائمة  الأجهزةChromeالإعداداتإعدادات الجهاز.
3. لتطبيق الإعداد على جميع المستخدمين والمتصفحات المُسجّلة، يُرجى الإبقاء على اختيار الوحدة التنظيمية العليا. بخلاف ذلك، يمكنك اختياروحدة تنظيمية فرعية.
4. انتقِل إلى إعدادات تسجيل الدخول.
5. انقر على إعادة توجيه موفِّر الهوية (IdP) للدخول الموحَّد.
6. اختَر السماح بانتقال المستخدمين مباشرة إلى صفحة موفِّر الهوية (IdP) لخدمة الدخول الموحَّد (SSO) عبر SAML. لمزيد من التفاصيل، يمكنك الاطّلاع على ضبط سياسات أجهزة ChromeOS.
7. انقر على حفظ.

(اختياري) الخطوة 7: تمرير اسم المستخدم

يمكنك تمرير أسماء المستخدمين تلقائيًا من Google Identity إلى موفِّر هوية تابع لجهة خارجية لتجنُّب أن يضطر المستخدمون إلى كتابة اسم المستخدم الخاص بهم مرتين.

قبل البدء

• لا تتوفر هذه الميزة إلا لموفِّري الهوية الذين يسمحون بتمرير اسم المستخدم كجزء من طلب SAML. للتعرُّف على التفاصيل، يُرجى الاطِّلاع على الملء التلقائي لاسم المستخدم في صفحة تسجيل الدخول إلى موفِّر الهوية المستنِد إلى SAML.
• في حال إعادة توجيه المستخدمين دائمًا إلى موفِّر هوية تابع لطرف ثالث (IdP) التابع لطرف ثالث، من خلال إكمال الخطوة السابعة، يقتصر عبور اسم المستخدم على مسارات إعادة المصادقة. للتعرّف على التفاصيل، يُرجى الاطِّلاع على إعدادات معدّل تكرار تسجيل الدخول الموحَّد عبر SAML أو معدّل تكرار إتاحة خدمة الدخول الموحَّد عبر SAML.

1. سجِّل الدخول إلى وحدة تحكم المشرف في Google.

   يُرجى تسجيل الدخول باستخدام حساب المشرف (لا ينتهي بالنطاق gmail.com@).

2. في "وحدة تحكّم المشرف"، انقر على رمز القائمة  الأجهزةChromeالإعداداتإعدادات الجهاز.
3. لتطبيق الإعداد على جميع المستخدمين والمتصفحات المُسجّلة، يُرجى الإبقاء على اختيار الوحدة التنظيمية العليا. بخلاف ذلك، يمكنك اختياروحدة تنظيمية فرعية.
4. انتقِل إلى إعدادات تسجيل الدخول.
5. انقر على ملء اسم المستخدم تلقائيًا في صفحة تسجيل الدخول إلى موفِّر الهوية (idP) عبر SAML.
6. أدخِل اسم معلَمة عنوان URL.
7. انقر على حفظ.

(اختياري) الخطوة 8: التحكّم في المحتوى على شاشات تسجيل الدخول وشاشات القفل

عند استخدام الدخول الموحَّد عبر SAML أو OpenID Connect لمصادقة المستخدم، أو عند ضبط اتصالات الشبكة باستخدام مداخل مقيدة خارج جلسات المستخدم، يمكنك حظر عناوين URL أو السماح بها في شاشات تسجيل دخول المستخدم وشاشات القفل باستخدام DeviceAuthenticationURLBlocklist وDeviceAuthenticationURLAllowlist.

لمزيد من التفاصيل، يُرجى الاطّلاع على عناوين URL المحظورة على شاشة تسجيل الدخول أو شاشة القفل واستثناءات عناوين URL المحظورة على شاشات تسجيل الدخول أو شاشة القفل.

1. سجِّل الدخول إلى وحدة تحكم المشرف في Google.

   يُرجى تسجيل الدخول باستخدام حساب المشرف (لا ينتهي بالنطاق gmail.com@).

2. في "وحدة تحكّم المشرف"، انقر على رمز القائمة  الأجهزةChromeالإعداداتإعدادات الجهاز.
3. لتطبيق الإعداد على جميع المستخدمين والمتصفحات المُسجّلة، يُرجى الإبقاء على اختيار الوحدة التنظيمية العليا. بخلاف ذلك، يمكنك اختياروحدة تنظيمية فرعية.
4. انتقِل إلى إعدادات تسجيل الدخول.
5. انقر على عناوين URL المحظورة على شاشة تسجيل الدخول أو شاشة القفل.
   1. حدِّد عناوين URL التي تريد حظرها من شاشات تسجيل الدخول وشاشات القفل.
   2. انقر على حفظ.
6. انقر على استثناءات عناوين URL المحظورة على شاشة تسجيل الدخول أو شاشة القفل.
   1. حدِّد عناوين URL التي تريد السماح بها على شاشات تسجيل الدخول وشاشات القفل.
   2. انقر على حفظ.

الخطوة 9: طرح الدخول المُوحَّد (SSO) عبر SAML في الأجهزة

بعد اختبار خدمة "الدخول المُوحَّد" عبر SAML على 5% من أجهزة مؤسستك، يمكنك إطلاقها للجميع عن طريق تفعيل السياسة نفسها لمجموعات إضافية. إذا واجهت مشاكل، يُرجى التواصل مع فريق دعم Google Cloud.

Google والعلامات التجارية والشعارات المرتبطة بها هي علامات تجارية تملكها شركة Google LLC. وجميع أسماء الشركات والمنتجات الأخرى هي علامات تجارية تملكها الشركات ذات الصلة بها.