تهيئة تسجيل الدخول الموحد عبر SAML لمستخدمي Microsoft 365/Entra ID

    سترشدك هذه الخطوات خلال إعداد تسجيل الدخول الأحادي عبر SAML لمستخدمي Microsoft 365/Entra ID (المعروف سابقًا باسم Azure AD)، باستخدام ADSelfService Plus كمزود الهوية (IdP) وMicrosoft 365/Entra ID كمزود الخدمة (SP).

    ملاحظة:
    • لا يمكن تمكين تسجيل الدخول الأحادي (SSO) إلا للنطاقات التي تم التحقق منها في Microsoft Entra ID.
    • لا يمكن تمكين تسجيل الدخول الأحادي (SSO) للنطاقات "onmicrosoft.com" التي يتم إنشاؤها بواسطة Microsoft.
    • لا يمكن تمكين تسجيل الدخول الأحادي (SSO) للنطاق الافتراضي (النطاق الأساسي الذي يتم فيه إنشاء المستخدمين). لا يمكن تكوينه إلا للنطاقات المخصصة. يحظر Microsoft Entra ID تكوين تسجيل الدخول الأحادي (SSO) للنطاقات الافتراضية لضمان تمكن المسؤولين من تسجيل الدخول إلى Office 365 بغض النظر عن المشكلات المتعلقة بموفر الهوية (IdP). إذا لم تكن لدى مؤسستك نطاق مخصص لـ Office 365، فستحتاج إلى شراء واحد من أجل تكوين تسجيل الدخول الأحادي (SSO).
    • لا يمكن تكوين مزامنة كلمات المرور للنطاقات الموحّدة، أي النطاقات التي تم تمكين تسجيل الدخول الأحادي (SSO) فيها.

    خطوات ربط حسابات مستخدمي Microsoft 365/Entra ID بحسابات مستخدمي AD المحلية

    1. استخدام Microsoft Entra Connect
      • GUID كـ sourceAnchor: إذا كان لديك Microsoft Entra Connect، فاستخدمه لتحديث سمة sourceAnchor في Office 365 بقيمة سمة GUID في AD.
      • سمة AD فريدة أخرى كـ sourceAnchor: إذا كنت قد عيّنت مسبقًا قيمة سمة مختلفة غير GUID لسمة sourceAnchor، فاستخدم خيار Account Linking في ADSelfService Plus لمطابقتها مع السمة المقابلة في AD.
    2. استخدام أداة تابعة لجهة خارجية لتحويل GUID إلى ImmutableID
      • تحويل GUID إلى ImmutableID: إذا لم يكن لديك Microsoft Entra Connect، فيمكنك تنزيل أداة من طرف ثالث تقوم بتحويل GUID إلى ImmutableID. استخدم الأداة لتحويل قيمة GUID لكل مستخدم إلى قيم ImmutableID وتحديثها في Microsoft Entra ID.
      • تحديث قيمة ImmutableID في Microsoft Entra ID: Once you have converted the GUID to ImmutableID, you need to update the value in Microsoft Entra ID for each user by following the steps below using PowerShell commands.
        • افتح PowerShell بصلاحيات المسؤول.
        • قم بتشغيل الأمر التالي لتثبيت PowerShell الخاص بـ Microsoft Graph، إذا لم يكن مثبتًا مسبقًا:

          Install-Module Microsoft.Graph -Scope CurrentUser

          • أوامر PowerShell الخاصة بـ Microsoft Graph لـ ImmutableID
        • أمر الاتصال بـ Microsoft Graph PowerShell:

          Connect-MgGraph -Scopes "Directory.AccessAsUser.All"

          ملاحظة: سجّل الدخول باستخدام حساب Microsoft 365/Entra ID يمتلك صلاحيات المسؤول العام (Global Admin).

        • أمر لتحديث سمة ImmutableID للمستخدمين الحاليين:

          Update-MgUserByUserPrincipalName -UserPrincipalName "<user_mailID>" -OnPremisesImmutableId "<immutable_id>"

        • أمر لتحديث سمة ImmutableID أثناء إنشاء مستخدمين جدد

          New-MgUser -AccountEnabled:$true -UserPrincipalName "user01@selfservice.com" -MailNickname "user01" -OnPremisesImmutableId "" -DisplayName "user01" -GivenName "user" -Surname "S"

        • أمر للتحقق مما إذا كان تحديث سمة ImmutableID قد نجح

          Get-MgUserByUserPrincipalName -UserPrincipalName "<user_mailID>" -Property UserPrincipalName, OnPremisesImmutableId | select UserPrincipalName, OnPremisesImmutableId

    المتطلبات الأساسية

    1. سجّل الدخول إلى ADSelfService Plus كمسؤول.

    2. انتقل إلى  التكوين → الخدمة الذاتية → مزامنة كلمة المرور/تسجيل الدخول الأحادي → إضافة application، ثم اختر Microsoft 365/Entra ID من application المعروضة.
      ملاحظة: يمكنك أيضًا العثور على Microsoft 365/Entra ID application الذي تحتاجه من شريط البحث الموجود في الجزء الأيسر أو خيار التنقل حسب الترتيب الأبجدي في الجزء الأيمن.
    3. انقر فوق تفاصيل IdP في الزاوية العلوية اليمنى من الشاشة.

    4. في النافذة المنبثقة التي تظهر، انسخ معرّف الكيان، عنوان URL لتسجيل الدخول وعنوان URL لتسجيل الخروج وقم بتنزيل شهادة SSO بالنقر على تنزيل الشهادة.

      5. لقطة شاشة

    خطوات تكوين Microsoft 365/Entra ID (موفر الخدمة)

    1. افتح PowerShell بصلاحيات المسؤول.
    2. قم بتشغيل الأمر التالي لتثبيت PowerShell الخاص بـ Microsoft Graph، إذا لم يكن مثبتًا مسبقًا:

      Install-Module Microsoft.Graph -Scope CurrentUser

    3. الاتصال بـ Microsoft Graph PowerShell باستخدام الأمر أدناه. سجّل الدخول باستخدام حساب Microsoft Entra ID لديه صلاحيات المسؤول العام (Global Admin):

      Connect-MgGraph -Scopes "Directory.AccessAsUser.All"

    4. استرجع قائمة بالنطاقات بتشغيل:

      Get-MgDomain

    5. حدد النطاق الذي تريد تمكين تسجيل الدخول الأحادي (SSO) له:

      $dom = "selfservice.com"

    6. عرّف عنوان URL لتسجيل الدخول ومعرّف الكيان وعنوان URL لتسجيل الخروج من الخطوة 4 من المتطلبات الأساسية لأوامر $url, $uri و$logouturl.

      $url = "<قيمة عنوان URL لتسجيل الدخول>"

      $uri = "<قيمة معرّف الكيان>"

      $logouturl = "<قيمة عنوان URL لتسجيل الخروج>"

      قيم على سبيل المثال:

      $url = "https://selfservice.com:9251/iamapps/ssologin/office365/1352163ea82348a5152487b2eb05c5adeb4aaf73"

      $uri = "https://selfservice.com:9251/iamapps/ssologin/office365/1352163ea82348a5152487b2eb05c5adeb4aaf73"

      $logouturl = "https://selfservice.com:9251/iamapps/ssologout/office365/1352163ea82348a5152487b2eb05c5adeb4aaf73"

    7. الآن انسخ محتوى ملف شهادة SSO وقم بإسناده إلى المتغير $cert كما هو موضح أدناه:

      $cert = "MIICqjCCAhOgAwIBAgIJAN..........dTOjFfqqA="

      8. ملف شهادة تسجيل الدخول الأحادي
    8. نفّذ الأمر التالي لتمكين تسجيل الدخول الأحادي (SSO) في Microsoft Entra ID:

      New-MgDomainFederationConfiguration -DomainId $dom -IssuerUri $uri -PassiveSignInUri $url -SignOutUri $logouturl -SigningCertificate $cert -PreferredAuthenticationProtocol saml -federatedIdpMfaBehavior rejectMfaByFederatedIdp

    9. لاختبار التكوين، استخدم الأمر التالي.

      Get-MgDomainFederationConfiguration -DomainId $dom | Format-List

      10. Get-MgDomainFederationConfiguration
      ملاحظة:

      إذا كنت قد فعّلت مسبقًا تسجيل الدخول الأحادي (SSO) لـ Microsoft 365/Entra ID باستخدام موفر هوية (IdP) آخر، أو كنت تريد تحديث إعدادات SSO الخاصة بـ ADSelfService Plus، فيجب عليك أولًا تعطيل SSO في Microsoft 365/Entra ID، ثم اتباع الخطوات الواردة في هذا الدليل. لتعطيل SSO في Microsoft 365/Entra ID، استخدم الأمر التالي:

      $dom = "selfservice.com"

      $federations = Get-MgDomainFederationConfiguration -DomainId $dom

      Remove-MgDomainFederationConfiguration -DomainId $dom -InternalDomainFederationId $federations.Id

      Remove-MgDomainFederationConfiguration

      يرجى ملاحظة أن تطبيق التغيير المذكور أعلاه في Microsoft 365/Entra ID قد يستغرق بعض الوقت.

    خطوات تكوين ADSelfService Plus (موفر الهوية)

    1. الآن، انتقل إلى صفحة تكوين Microsoft 365/Entra ID في ADSelfService Plus
    2. أدخل اسم التطبيق والوصف.
    3. في حقل اسم النطاق، أدخل اسم النطاق الذي استخدمته في الخطوة 4 من خطوات تكوين Microsoft 365/Entra ID.
    4. في حقل تعيين السياسات، اختر السياسات التي يجب تمكين تسجيل الدخول الأحادي عبر SAML لـ Azure AD لها.
      ملاحظة: يتيح لك ADSelfService Plus إنشاء سياسات تستند إلى الوحدات التنظيمية (OU) والمجموعات لمجالات AD لديك. لإنشاء سياسة، انتقل إلى التكوين → الخدمة الذاتية → تكوين السياسات → إضافة سياسة جديدة.
    5. حدد علامة التبويب SAML وحدد خانة الاختيار تمكين تسجيل الدخول الأحادي.
    6. اختر تنسيق معرّف الاسم الذي يجب إرساله في استجابة SAML. سيحدد تنسيق معرّف الاسم نوع القيمة المُرسلة في استجابة SAML للتحقق من هوية المستخدم.

      7. ملاحظة: استخدم غير محدد كخيار افتراضي إذا لم تكن متأكدًا من تنسيق قيمة سمة تسجيل الدخول المستخدمة من قِبل application

    7. انقر فوق إضافة تطبيق

    ملاحظة: تدعم ADSelfService Plus تدفقات SAML SSO التي يبدأها SP وIdP لـ Microsoft 365/Entra ID.

    الانتقال إلى الأعلى

    شكراً!

    تم إرسال طلبك إلى فريق الدعم الفني في ADSelfService Plus. سيساعدك فريق الدعم الفني لدينا في أقرب وقت ممكن.

     

    هل تحتاج إلى مساعدة تقنية؟

    • أدخل عنوان بريدك الإلكتروني
    • تحدث إلى الخبراء
    •  
       
    •  
    • بالنقر على 'تحدث إلى الخبراء' توافق على معالجة البيانات الشخصية وفقًا لسياسة الخصوصية.

    لم تجد ما تبحث عنه؟

    •  

      قم بزيارة مجتمعنا

      انشر أسئلتك في المنتدى.

       
    •  

      اطلب موارد إضافية

      أرسل إلينا متطلباتك.

       
    •  

      هل تحتاج إلى مساعدة في التنفيذ؟

      جرّب OnboardPro