إعداد تسجيل الدخول الأحادي عبر OpenID لـ Okta

توضح هذه الخطوات كيفية تكوين وظيفة تسجيل الدخول الأحادي (SSO) باستخدام OpenID بين ManageEngine ADSelfService Plus وOkta.

المتطلبات المسبقة

1. سجّل الدخول إلى ADSelfService Plus كمسؤول.
2. انتقل إلى التكوين > مزامنة كلمات المرور/ تسجيل الدخول الأحادي، ثم انقر فوق إضافة تطبيق. حدد Okta من القائمة.
ملاحظة: يمكنك أيضًا استخدام شريط البحث في أعلى يسار الصفحة للبحث عن application.
3. انقر فوق تفاصيل IdP، ثم اختر علامة التبويب SSO(OAuth/OpenID Connect).
4. انسخ معرّف العميل، سر العميل، جهة الإصدار، عنوان URL لنقطة نهاية التفويض، عنوان URL لنقطة نهاية الرمز، وعنوان URL لنقطة نهاية المستخدم المعلومات.

خطوات إعداد Okta (مزود خدمة)

1. سجّل الدخول إلى Okta باستخدام بيانات اعتماد المسؤول.
2. انتقل إلى الأمان > موفري الهوية > إضافة موفر هوية > إضافة موفر هوية OpenID Connect.

3. أدخل اسم من اختيارك.
4. املأ الحقول المطلوبة بالمعلومات أثناء الخطوة 4 من المتطلبات الأساسية:
1. معرّف العميل:معرّف العميل
2. سر العميل:سر العميل
3. باستخدام القائمة المنسدلة Scopes، حدِّد email وopenid وprofile.
4. المُصدِر:المُصدِر
5. نقطة نهاية التفويض:عنوان URL لنقطة نهاية التفويض
6. نقطة نهاية الرمز المميز:عنوان URL لنقطة نهاية الرمز المميز
7. نقطة نهاية JWKS:عنوان URL لنقطة نهاية المفاتيح
8. نقطة نهاية معلومات المستخدم (اختياري): عنوان URL لنقطة نهاية المستخدم

5. انقر إضافة موفر الهوية في الأسفل لحفظ الإعدادات.

6. بعد الحفظ، انسخ عنوان URI لإعادة التوجيه لأنه سيكون مطلوبًا في خطوات لاحقة.

7. لإضافة مثيل ADSelfService Plus إلى شاشة تسجيل الدخول في Okta، انتقل إلى علامة التبويب قواعد التوجيه، ثم انقر على إضافة قاعدة توجيه.

8. في النافذة المنبثقة التي تظهر، اضبط حقل User matches على Regex on Login. اضبط القيمة لتكون ".*".
9. حدد مثيل ADSelfService Plus لشرط استخدم موفر الهوية هذا.

10. انقر فوق إنشاء قاعدة لإكمال الإعدادات.
11. في النافذة المنبثقة التي تظهر، انقر فوق تفعيل.

خطوات تهيئة ADSelfService Plus (موفر الهوية)

1. عُد إلى صفحة تكوين Okta الخاصة بـ ADSelfService Plus.

2. أدخل اسم التطبيق والوصف حسب تفضيلاتك.
3. أدخل اسم النطاق لحساب Okta الخاص بك. على سبيل المثال، إذا كان اسم مستخدم Okta الخاص بك هو johnwatts@thinktodaytech.com، فإن thinktodaytech.com هو اسم نطاقك.
4. في حقل تعيين السياسات، حدِّد السياسات التي يجب تمكين SSO لها.
ملاحظة: يتيح لك ADSelfService Plus إنشاء سياسات مستندة إلى OU والمجموعات لنطاقات AD الخاصة بك. لإنشاء سياسة، انتقل إلى التكوين > الخدمة الذاتية > تكوين السياسات > إضافة سياسة جديدة.
5. ضمن علامة التبويب SSO، حدد تمكين تسجيل الدخول الأحادي.
6. اختر OAuth/OpenID Connect من قائمة تحديد الطريقة المنسدلة.
7. أدخل عنوان URL لتسجيل الدخول إلى بوابة Okta في حقل عنوان URL لبدء تسجيل الدخول لموفر الخدمة (SP).
ملاحظة: تتطلب Okta أن يبدأ تسجيل الدخول من صفحة تسجيل الدخول الخاصة بها، وهو ما يُعرف بتسجيل الدخول المُبادَر من مزوّد الخدمة. يُوجَّه المستخدمون أولاً إلى صفحة تسجيل الدخول الخاصة بـ Okta، كما هو محدد في حقل SP Login Initiate URL، وبعد ذلك تقوم Okta (مزود الخدمة SP) بإعادة توجيههم إلى ADSelfService Plus (موفر الهوية IdP) للمصادقة.
8. أدخل عنوان URI لإعادة التوجيه الذي تم نسخه في الخطوة 6 من إعداد Okta في حقل عنوان URL لإعادة التوجيه لتسجيل الدخول الأحادي (SSO).
9. باستخدام القائمة المنسدلة النطاقات، حدِّد openid، وهو النطاق المطلوب لمصادقة OIDC. يمكنك أيضًا تحديد نطاقات مثل profile أو email لتضمين معلومات إضافية عن المستخدم في طلب التفويض.
ملاحظة: تحدد النطاقات مستوى الوصول الذي يتمتع به رمز الوصول. وعادةً ما تُدرج ضمن طلب التفويض. حدد النطاقات التي ترغب في تمكينها لرمز التفويض الخاص بك، باستخدام القائمة المنسدلة.
10. انقر على إضافة تطبيق لحفظ الإعدادات.

يحتوي عنوان URL للتكوين المعروف (Well-known) في النافذة المنبثقة تفاصيل موفّر الهوية (IdP) على جميع قيم نقاط النهاية، والنطاقات المدعومة، وأوضاع الاستجابة، وأوضاع مصادقة العميل، وتفاصيل العميل. لا يتم تمكين هذا إلا بعد إكمال تهيئة application لتسجيل الدخول الأحادي (SSO) في ADSelfService Plus. يمكنك تقديم ذلك لمزوّد الخدمة لديك إذا لزم الأمر.