الموضوع السابقالموضوع التالي

تسجيل الدخول الأحادي (SSO) باستخدام OAuth وOpenID Connect

ملاحظة: SSO لـ applications متاح فقط مع Endpoint MFA.

OAuth هو بروتوكول تفويض يتيح الوصول المصادق عليه إلى الموارد بين الخوادم والخدمات دون مشاركة أي بيانات اعتماد لتسجيل الدخول. OpenID Connect هو طبقة هوية فوق إطار عمل OAuth.

المكوّنات الأساسية في طريقة عمل OAuth وOpenID Connect هي:

• Server: سيتحقق هذا من بيانات اعتماد المستخدم ويوفّر المفتاح لتسجيل دخوله. في حالتنا، يعمل ADSelfService Plus كـ Server.
• عميل application: هذا هو application الذي يحاول المستخدم تسجيل الدخول إليه.
• المستخدم: هذا هو الحساب الذي يحاول تسجيل الدخول إلى العميل application.

أو أوث 2.0

هكذا يمكّن OAuth تسجيل الدخول الأحادي:

1. عند محاولة المستخدم تسجيل الدخول إلى application، يتم إرسال طلب تفويض إلى ADSelfService Plus. ثم يتم إعادة توجيه المستخدم إلى صفحة تسجيل الدخول لـ ADSelfService Plus حيث يقوم بإدخال بيانات اعتماد تسجيل الدخول.
2. بعد التحقق بنجاح، يتم إرسال رمز التفويض إلى الـapplication من ADSelfService Plus.
3. يقوم application بإرسال رمز التفويض مرة أخرى إلى ADSelfService Plus لاستلام رمز الوصول ورمز التحديث. يعمل رمز الوصول كمفتاح مقيّد بالوقت يتيح للمستخدم الوصول إلى الموارد المحمية الخاصة بـ application. أما رمز التحديث فهو مفتاح دائم يمكن استخدامه لطلب رمز وصول جديد بعد انتهاء صلاحية الرمز القديم.
4. الآن، يقوم application بإرسال طلب معلومات المستخدم مع رمز الوصول كإثبات للهوية إلى ADSelfService Plus. ترجع الاستجابة لهذا الطلب تفاصيل ملف تعريف المستخدم اللازمة لإكمال عملية تسجيل الدخول.
5. بعد التحقق بنجاح من تفاصيل المستخدم من جهة application، يتم تسجيل دخول المستخدم إلى application.

أوبن آي دي كونكت

يشبه OpenID Connect خدمة الدخول الأحادي (SSO) الخاصة بـ OAuth، ولكن يتم هنا استخدام رمز الهوية (ID token). يحتوي رمز الهوية على توقيع ADSelfService Plus وتفاصيل المستخدم. هناك حالتان ممكنتان عند استخدام SSO عبر OpenID Connect.

• تسجيل دخول يبدأه application أو يبدأه موفر الخدمة (SP): تبدأ محاولة تسجيل الدخول هذه من application المستهدف.
• تسجيل دخول بدأته ADSelfService Plus أو بدأه موفّر الهوية (IdP): تبدأ محاولة تسجيل الدخول هذه من ADSelfService Plus.

دعونا نفهم سير العمل في كلتا الحالتين.

تسجيل الدخول الذي يبدأه التطبيق

1. يحاول مستخدم تسجيل الدخول إلى application. يرسل application طلب تفويض إلى ADSelfService Plus. يتم إعادة توجيه المستخدم إلى صفحة تسجيل الدخول الخاصة بـ ADSelfService Plus.
2. يدخل المستخدم بيانات اعتماد تسجيل الدخول هنا. بعد التحقق بنجاح، يتم إرسال رمز التفويض إلى application من ADSelfService Plus.
3. تُعيد application إرسال رمز التفويض إلى ADSelfService Plus للحصول على رمز الهوية. يحتوي هذا الرمز على تفاصيل المستخدم اللازمة لإكمال عملية تسجيل الدخول.
4. بعد التحقق من توقيع ADSelfService Plus في رمز الهوية (ID token)، يقوم application باسترداد تفاصيل المستخدم من رمز الهوية.
5. أخيرًا، بعد التحقق بنجاح من تفاصيل المستخدم من جهة application، يتم تسجيل دخول المستخدم إلى application.

تسجيل الدخول الذي بدأه ADSelfService Plus

1. يسجل مستخدم الدخول إلى ADSelfService Plus بنجاح، ثم ينتقل إلى علامة تبويب applications وينقر على application المطلوب.
2. في هذه الحالة، يرسل ADSelfService Plus رمز الهوية إلى application مباشرةً.
3. بعد التحقق من توقيع ADSelfService Plus في رمز الهوية (ID token)، يقوم application باسترداد تفاصيل المستخدم من رمز الهوية.
4. بعد التحقق بنجاح من تفاصيل المستخدم من جهة application، يتم تسجيل دخول المستخدم إلى application.

النطاقات المدعومة

تحدد النطاقات مستوى الوصول الذي يمكن لموفر الخدمة طلبه للوصول إلى مورد. وينبغي على المسؤول تمكينها على النحو الملائم. يدعم ADSelfService Plus النطاقات التالية:

• openid: يُحدد أن هذا طلب OpenID Connect. وهو نطاق إلزامي لطلب مصادقة OpenID Connect.
• profile: يطلب مطالبات الملف الشخصي الخاصة بالمستخدم (FirstName و LastName).
• البريد الإلكتروني: يطلب سمة البريد الإلكتروني للمستخدم.
• offline_access: يطلب رمز تحديث يمكن استخدامه لتلقي رموز وصول جديدة.

applicationات مدعومة

• Freshdesk
• فريش سيرفيس
• أوكتا
• PingOne
• سيلزفورس
• TalentLMS
• applicationات مخصصة

الموضوع السابقالموضوع التالي