متطلبات تأكيد خدمة الدخول المُوحَّد (SSO)

بصفتك مشرفًا، تحتاج إلى إرجاع العناصر والسمات المُدرجة في الجداول التالية الخاصة بتأكيد الدخول المُوحَّد عبر SAML 2.0 إلى خدمة Google Assertion Consumer Service ‏(ACS)، وذلك بعد مصادقة موفِّر الهوية (IdP) للمستخدم.

معلومات عن خدمة Assertion Consumer Service

تبلغ خدمة Assertion Consumer Service أو عنوان URL لخدمة ACS موفّر الهوية (IdP) بالمكان الذي يُعاد توجيه المستخدم إليه عند مصادقته بعد تسجيل الدخول. يظهر عنوان URL لخدمة ACS بالشكل التالي:

https://www.google.com/a/domain.com/acs

ملاحظة: إذا كانت مؤسستك تحظر إمكانية الوصول إلى www.google.com، يُرجى التواصل مع فريق الدعم في مؤسستك للحصول على عنوان URL بديل لخدمة ACS، والانتقال إلى مقالة إنشاء ملف شخصي للدخول المُوحَّد (SSO)

إرشادات حول السمات

في حال إعداد تسجيل الدخول المُوحَّد (SSO) من خلال موفِّر هوية تابع لجهة خارجية وكان تأكيد SAML لموفِّر الهوية (IdP) الخاص بك يتضمن السمة <AttributeStatement>، ستخزِّن Google هذه السمات حتى تنتهي صلاحية جلسة حساب المستخدم على Google. (تختلف مدة صلاحية الجلسة ويمكن للمشرف ضبط هذه المدة.) بعد انتهاء صلاحية جلسة الحساب، يتم حذف معلومات السمة نهائيًا خلال أسبوع.

مثلما هو الحال مع السمات المخصَّصة في "دليل Google Workspace"، يجب ألا تتضمّن سمات التأكيد معلومات حسّاسة تكشف عن الهويّة (PII)، مثل بيانات اعتماد الحساب أو أرقام الهوية الصادرة عن جهات حكومية وبيانات حاملي البطاقات أو بيانات الحساب المالية أو معلومات الرعاية الصحية أو المعلومات الأساسية الحسّاسة.

قد تشتمل الاستخدامات المقترَحة لسمات التأكيد على ما يلي:

أرقام تعريف المستخدمين لأنظمة تكنولوجيا المعلومات الداخلية
الأدوار الخاصة بالجلسة

يمكنك فقط إرسال محتوى بحجم 2 كيلوبايت كحدّ أقصى من بيانات السمات الخاصة بالتأكيدات. ويجب أن تتضمّن قيم السمات أحرف ASCII صغيرة فقط (وليس أحرف Unicode/UTF-8). سيتم رفض قيم التأكيد التي لا تتضمّن أحرف بخلاف أحرف ASCII الصغيرة والتأكيدات التي تتجاوز الحجم الأقصى المسموح به تمامًا، كما سيتسبب ذلك في تعذُّر تسجيل الدخول.

إرجاع التأكيدات إلى خدمة ACS

تحديد المشاكل وحلّها

لتحديد المشاكل وحلّها بشأن هذه التأكيدات، يمكنك استخدام أداة فحص الشبكة. وللحصول على التعليمات، راجِع صفحة أداة تحليل HAR في "مجموعة أدوات وحدة تحكُّم المشرف في Google".

إذا كنت بحاجة إلى التواصل مع فريق الدعم، يمكنك استخدام حساب اختباري مؤقت لأن عملية تسجيل أرشيف HTTP ‏(HAR) تحتوي على اسم المستخدم وكلمة المرور بنصٍ واضح. أو، يمكنك تعديل الملف لحذف الاتصالات الحسّاسة بين المستخدم وموفِّر الهوية (idP). يُرجى التواصل مع فريق دعم Google Workspace.

يحتوي SAMLRequest المُرسَل إلى موفِّر الهوية (idP) على AssertionCons.comServiceURL ذي الصلة. وفي حال إرسال SAMLResponse إلى عنوان URL آخر، قد تكون هناك مشكلة متعلقة بالإعداد مع موفِّر الهوية.

استخدم العناصر والسمات

ملاحظة: لا يمكن أن يحتوي تأكيد SAML إلا على أحرف ASCII عادية.

العنصر مُعرِّف الاسم

الحقل	العنصر مُعرِّف الاسم في العنصر الموضوع.
الوصف	يُحدِّد عنصر مُعرِّف الاسم (NameID) الموضوع وهو عنوان البريد الإلكتروني الرئيسي للمستخدم. يُعد حساسًا لحالة الأحرف.
القيمة المطلوبة	user@example.com
مثال	`<saml:Subject> <saml:NameID SPNameQualifier="google.com/a/example.com" Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" >user@example.com</saml:NameID> <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> <saml:SubjectConfirmationData NotOnOrAfter="2014-11-05T17:37:07Z" Recipient="https://www.google.com/a/example.com/acs" InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen" </saml:SubjectConfirmation> </saml:Subject>`

سمة "المستلِم"

الحقل	سمة المستلِم (Recipient) في العنصر SubjectConfirmationData
الوصف	يُحدِّد المستلِم البيانات الإضافية المطلوبة للموضوع. يُعد حساسًا لحالة الأحرف. قد يكون example.com هو النطاق الأساسي في حسابك على Google Workspace أو Cloud Identity، حتى إذا كان المستخدم الذي تتم مصادقته يستخدم نطاقًا ثانويًا في حساب Google Workspace أو Cloud Identity نفسه.
القيمة المطلوبة	https://www.google.com/a/example.com/acs أو https://accounts.google.com/a/example.com/acs
مثال	`<saml:Subject> <saml:NameID SPNameQualifier="google.com/a/example.com" Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" >user@example.com</saml:NameID> <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> <saml:SubjectConfirmationData NotOnOrAfter="2014-11-05T17:37:07Z" Recipient="https://www.google.com/a/example.com/acs" InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen" </saml:SubjectConfirmation> </saml:Subject>`

عنصر "الجمهور"

الحقل	العنصر الجمهور في العنصر الرئيسي AudienceRestriction
الوصف	الجمهور (Audience) هو مُعرِّف الموارد المنتظم (URI) الذي يُحدِّد الجمهور المستهدف الذي يتطلب قيمة URI لخدمة ACS. قد يكون example.com هو النطاق الأساسي في حسابك على Google Workspace أو Cloud Identity، حتى إذا كان المستخدم الذي تتم مصادقته يستخدم نطاقًا ثانويًا في حساب Google Workspace أو Cloud Identity نفسه. لا يمكن أن تكون قيمة العنصر هذه فارغة.
القيمة المطلوبة	https://www.google.com/a/example.com/acs أو https://accounts.google.com/a/example.com/acs
مثال	`<saml:Conditions NotBefore="2014-11-05T17:31:37Z" NotOnOrAfter="2014-11-05T17:37:07Z"> <saml:AudienceRestriction> <saml:Audience>https://www.google.com/a/example.com/acs </saml:Audience> </saml:AudienceRestriction> </saml:Conditions>`

سمة الوجهة

الحقل	سمة الوجهة (Destination) لعنصر الرد (Response)
الوصف	تُمثِّل الوجهة مُعرِّف الموارد المنتظم (URI) الذي يتم إرسال تأكيد SAML إليه. هي سمة اختيارية، ولكن إذا أُعلِن عنها، ستحتاج إلى قيمة معرف الموارد المنتظم (URI) لخدمة ACS. قد يكون example.com هو النطاق الأساسي في حسابك على Google Workspace أو Cloud Identity، حتى إذا كان المستخدم الذي تتم مصادقته يستخدم نطاقًا ثانويًا في حساب Google Workspace أو Cloud Identity نفسه.
القيمة المطلوبة	https://www.google.com/a/example.com/acs أو https://accounts.google.com/a/example.com/acs
مثال	`<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" ID="_7840062d379d82598d87ca04c8622f436bb03aa1c7" Version="2.0" IssueInstant="2014-11-05T17:32:07Z" Destination="https://www.google.com/a/example.com/acs" InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen">`

هل كان ذلك مفيدًا؟

كيف يمكننا تحسينها؟