تهيئة تسجيل الدخول الأحادي OpenID لـ PingOne

توضح هذه الخطوات كيفية تهيئة ميزة تسجيل الدخول الأحادي (SSO) باستخدام OpenID بين ManageEngine ADSelfService Plus وPingOne.

المتطلبات المسبقة

1. سجل الدخول إلى ADSelfService Plus كمسؤول.
2. انتقل إلى الإعدادات > مزامنة كلمة المرور / تسجيل الدخول الأحادي ثم انقر على إضافة application. اختر PingOne من القائمة.
ملاحظة: يمكنك أيضاً استخدام شريط البحث في أعلى يسار الصفحة للبحث عن application.
3. انقر على تفاصيل موفر الهوية (IdP) واختر تبويب SSO (OAuth/OpenID Connect).
4. انسخ معلومات معرّف العميل (Client ID)، سر العميل (Client Secret)، المُصدر (Issuer)، رابط نقطة نهاية التفويض، رابط نقطة نهاية الرمز المميز، ورابط نقطة نهاية المستخدم.

خطوات تهيئة PingOne (موفر الخدمة)

1. سجل الدخول إلى PingOne باستخدام بيانات المسؤول.
2. اضغط على أيقونة PingOne for Customers بجانب بيئة End User Sandbox.



3. انتقل إلى الاتصالات > موفرو الهوية > إضافة موفر.



4. اختر OpenID Connect تحت مخصص. ثم انقر التالي.



5. تحت إنشاء ملف تعريف موفر الهوية (IdP)، أدخل اسمًا ووصفًا مناسبين لـ ADSelfService Plus. يمكنك أيضًا تخصيص الأيقونة وزر تسجيل الدخول هنا.
6. انقر على متابعة.
7. في صفحة تهيئة اتصالات OpenID Connect، انسخ رابط CALLBACK حيث سيتم استخدامه في خطوة لاحقة.
8. املأ الحقول المطلوبة بالتفاصيل المنسوخة من الخطوة 4 من المتطلبات المسبقة:
1. CLIENT ID: معرف العميل
2. CLIENT SECRET: سر العميل
3. ISSUER: المُصدر
4. AUTHORIZATION ENDPOINT: رابط نقطة نهاية التفويض
5. TOKEN ENDPOINT: رابط نقطة نهاية الرمز المميز
6. USERINFO ENDPOINT: رابط نقطة نهاية المستخدم
7. JWKS ENDPOINT: رابط نقطة نهاية المفاتيح



9. انقر على حفظ ومتابعة.
10. في صفحة تعيين السمات، انقر على حفظ وإنهاء.

خطوات تهيئة ADSelfService Plus (موفر الهوية)

1. ارجع إلى صفحة تهيئة PingOne في ADSelfService Plus.



2. أدخل اسم application والوصف حسب تفضيلاتك.
3. أدخل اسم النطاق لحساب PingOne الخاص بك. على سبيل المثال، إذا كان اسم مستخدم PingOne الخاص بك هو johnwatts@thinktodaytech.com، فإن thinktodaytech.com هو اسم النطاق.
4. في حقل تعيين السياسات، حدد السياسات التي ترغب بتمكين SSO لها.
ملاحظة: يتيح لك ADSelfService Plus إنشاء سياسات مبنية على الوحدات التنظيمية (OU) والمجموعات لنطاقات Active Directory الخاصة بك. لإنشاء سياسة انتقل إلى الإعدادات > الخدمة الذاتية > تهيئة السياسات > إضافة سياسة جديدة.
5. تحت تبويب OAuth/OpenID Connect، حدد تمكين OAuth/OpenID Connect.
6. أدخل رابط تسجيل الدخول إلى بوابة PingOne في حقل رابط بدء تسجيل الدخول لموفر الخدمة (SP Login Initiate URL).
ملاحظة: يتطلب PingOne أن يبدأ تسجيل الدخول من صفحة تسجيل الدخول الخاصة بهم، والمعروفة بتسجيل الدخول المُبادر به من قبل موفر الخدمة (SP-initiated login). يتم توجيه المستخدمين أولاً إلى صفحة تسجيل الدخول في PingOne، المحددة في حقل SP Login Initiate URL، ثم يقوم PingOne بإعادة توجيههم إلى ADSelfService Plus (موفر الهوية) للمصادقة.
7. أدخل رابط Call Back المنسوخ من الخطوة 7 من تهيئة PingOne في حقل رابط إعادة توجيه SSO.
8. استخدم قائمة النطاقات (Scopes) المنسدلة وحدد openid، وهو النطاق المطلوب لمصادقة OIDC. يمكنك أيضاً تحديد نطاقات مثل الملف الشخصي أو البريد الإلكتروني لإدراج معلومات إضافية عن المستخدم في طلب التفويض.
ملاحظة: النطاقات تحدد مستوى الوصول الذي يمتلكه رمز الوصول. عادةً ما يتم تضمينها في طلب التفويض. حدد النطاقات التي ترغب بالسماح بالوصول إليها في رمز التفويض الخاص بك باستخدام القائمة المنسدلة.
9. انقر على إضافة application لحفظ التهيئة.

رابط تهيئة المعرفة (Well-known Configuration URL) في نافذة تفاصيل موفر الهوية يحتوي على جميع بيانات نقاط النهاية، النطاقات المدعومة، أنماط الاستجابة، أوضاع مصادقة العميل، وتفاصيل العميل. يتم تفعيل هذا الرابط فقط بعد إكمال تهيئة application لـ SSO في ADSelfService Plus. يمكنك مشاركة هذا الرابط مع موفر الخدمة إذا لزم الأمر.