تكوين تسجيل الدخول الأحادي (SSO) عبر OpenID لـ Salesforce

توضح هذه الخطوات كيفية تكوين ميزة تسجيل الدخول الموحد (SSO) باستخدام OpenID بين ManageEngine ADSelfService Plus وSalesforce.

المتطلبات الأساسية

1. سجّل الدخول إلى ADSelfService Plus كمسؤول.
2. انتقل إلى الإعدادات > مزامنة كلمة المرور/تسجيل الدخول الموحد ثم انقر على إضافة تطبيق. حدّد Salesforce من القائمة.
ملاحظة: يمكنك أيضًا استخدام شريط البحث في أعلى يسار الصفحة للبحث عن application.
3. انقر فوق IdP Details ثم اختر علامة التبويب SSO(OAuth/OpenID) Connect.
4. انسخ معلومات معرّف العميل، سرّ العميل، جهة الإصدار، عنوان URL لنقطة نهاية التفويض، عنوان URL لنقطة نهاية الرمز المميز، وعنوان URL لنقطة نهاية المستخدم.

خطوات تكوين Salesforce (مزود الخدمة)

1. سجّل الدخول إلى Salesforce باستخدام بيانات اعتماد المسؤول.
2. انتقل إلى صفحة الإعدادات بالنقر على أيقونة الترس في الزاوية العلوية اليمنى.



3. ابحث عن Auth.Provider في مربع Quick Find/Search في أعلى اليسار. هنا يمكنك إضافة موفّري مصادقة جدد.
4. انقر جديد لإضافة موفر مصادقة جديد.
5. اختر نوع المزوّد كـ Open ID Connect.



6. أدخل الاسم ولاحقة عنوان URL، حيث سيتم استخدامهما في عناوين URL الخاصة بتكوين العميل التي تُنشئها Salesforce وفقًا لتفضيلاتك.
7. املأ الحقول التالية بالتفاصيل المقابلة المحفوظة في الخطوة 4 من المتطلبات الأساسية:
1. مفتاح المستهلك: معرّف العميل
2. سر المستهلك: سر العميل
3. جهة إصدار الرمز: الجهة المصدرة
4. عنوان URL لنقطة نهاية التفويض: عنوان URL لنقطة نهاية التفويض
5. عنوان URL لنقطة نهاية الرمز المميز: عنوان URL لنقطة نهاية الرمز المميز
6. عنوان URL لنقطة نهاية معلومات المستخدم: عنوان URL لنقطة نهاية المستخدم



8. الآن، انقر على رابط إنشاء قالب معالج التسجيل تلقائيًا الموجود تحت معالج التسجيل. معالج التسجيل هو مقتطف برمجي يطابق سمات موفر الخدمة مع السمات المقابلة لموفر الهوية.
9. في الحقل تنفيذ التسجيل كـ، أدخل تفاصيل حساب المسؤول في سيلزفورس.
10. انقر فوق حفظ.



11. بعد الحفظ، انسخ Callback URL، إذ سيكون مطلوبًا كقيمة لـ Login Redirect URL في إعدادات ADSelfService Plus.



12. الآن انقر على الرابط بجوار معالج التسجيل.



13. انتقل إلى علامة التبويب جسم الفئة واستبدل الكود الموجود بالكود التالي:

global class ADSSPOIDCHandler implements Auth.RegistrationHandler{

global User createUser(Id portalId, Auth.UserData data){

// تم تخويل المستخدم، لذا أنشئ مستخدم Salesforce الخاص به

User u = new User();

String username = data.email;

List userList = [Select Id, Name, Email, UserName From User Where ( UserName =: username) AND isActive = true ];

if(userList != null && userList.size() > 0) {

u = userList.get(0);

}

return u;

}

global void updateUser(Id userId, Id portalId, Auth.UserData data){

User u = new User(id=userId);

update(u);

}

}
14. الآن، لإدراج مثيل ADSelfService Plus في شاشة تسجيل الدخول لـ Salesforce، انتقل إلى Administer > Domain Management > My Domain.
15. انقر على زر التحرير بجوار إعدادات المصادقة.



16. في الصفحة التالية، حدّد المربع بجوار مثيل ADSelfService Plus ضمن خدمة المصادقة. انقر فوق حفظ.

خطوات إعداد ADSelfService Plus (موفر الهوية)

1. عُد إلى صفحة تكوين Salesforce في ADSelfService Plus.



2. أدخل اسم التطبيق والوصف حسب تفضيلاتك.
3. أدخل اسم النطاق لحساب Salesforce الخاص بك. على سبيل المثال، إذا كان اسم مستخدم Salesforce الخاص بك هو johnwatts@thinktodaytech.com، فإن thinktodaytech.com هو اسم النطاق الخاص بك.
4. في حقل تعيين السياسات، حدّد السياسات التي يجب تمكين SSO لها.
ملاحظة: يتيح لك ADSelfService Plus إنشاء سياسات قائمة على الوحدات التنظيمية (OU) والمجموعات لمجالات AD لديك. لإنشاء سياسة، انتقل إلى Configuration > Self-Service > Policy Configuration > Add New Policy.
5. ضمن علامة التبويب SSO، حدد تمكين OAuth/OpenID Connect.
6. اختر OAuth/OpenID Connect من القائمة المنسدلة تحديد الطريقة.
7. أدخل عنوان URL لتسجيل الدخول إلى بوابة Salesforce في حقل SP Login Initiate URL.
ملاحظة: تشترط Salesforce أن يبدأ تسجيل الدخول من صفحة تسجيل الدخول الخاصة بها، والمعروف باسم تسجيل الدخول المبدوء من قبل مزوّد الخدمة. يوجَّه المستخدمون أولاً إلى صفحة تسجيل الدخول في Salesforce، والمحددة في حقل SP Login Initiate URL، وبعد ذلك تقوم Salesforce (مزود الخدمة SP) بإعادة توجيههم إلى ADSelfService Plus (مزود الهوية IdP) لإجراء المصادقة.
8. أدخل عنوان URL لإعادة التوجيه الذي نسخته في الخطوة 11 من تهيئة Salesforce في حقل عنوان URL لإعادة التوجيه الخاص بـ SSO.
9. باستخدام القائمة المنسدلة النطاقات، حدّد openid، وهو النطاق المطلوب للمصادقة عبر OIDC. يمكنك أيضاً تحديد نطاقات مثل profile أو email لتضمين معلومات إضافية عن المستخدم في طلب التفويض.
ملاحظة: تحدّد النطاقات مستوى الوصول الذي يملكه رمز الوصول. عادةً ما تُدرَج ضمن طلب التفويض. حدّد النطاقات التي ترغب في السماح بالوصول إلى رمز التفويض الخاص بك، باستخدام القائمة المنسدلة.
10. انقر فوق إضافة تطبيق لحفظ الإعدادات.

يحتوي عنوان URL للتكوين المعروف (Well-known) في النافذة المنبثقة لتفاصيل IdP على جميع قيم نقاط النهاية، والنطاقات المدعومة، وأنماط الاستجابة، وأنماط مصادقة العميل، وتفاصيل العميل. يتم تمكينه فقط بعد إكمال تكوين application لـ SSO في ADSelfService Plus. يمكنك تقديم ذلك إلى موفر الخدمة إذا لزم الأمر.