الموضوع السابقمفاتيح المرور FIDO2
ما هو مفتاح المرور؟
مفتاح المرور هو بيانات اعتماد حديثة مقاومة للتصيد الاحتيالي تحلّ محل كلمات المرور التقليدية. تُبنى مفاتيح المرور على تشفير المفتاح العام ويمكن تخزينها على الأجهزة أو مفاتيح الأمان، مما يتيح للمستخدمين المصادقة بأمان وسلاسة عبر application والأجهزة.
يدعم ADSelfService Plus مفاتيح المرور المستندة إلى FIDO2، وفق معيار المصادقة المفتوح الذي طوّرته تحالف FIDO. من خلال تكامل WebAuthn، يتيح ADSelfService Plus المصادقة القائمة على مفاتيح المرور للوصول الآمن إلى موارد الشبكة.
يوفر ADSelfService Plus حاليًا مصادقة مفاتيح المرور FIDO2 للحالات التالية:
- تسجيلات الدخول إلى بوابة ADSelfService Plus
- تسجيلات الدخول إلى application السحابة
- تسجيلات دخول الأجهزة (Windows وmacOS وLinux)
- المصادقة متعددة العوامل عبر VPN وRADIUS عند تفعيل التحقق عبر البريد الإلكتروني SecureLink
- Outlook Web Access (OWA)
- إعادة تعيين كلمة المرور أو إلغاء قفل الحساب من بوابة ADSelfService Plus
آلية العمل
مفاتيح المرور FIDO2 هي بيانات اعتماد مقاومة للتصيد الاحتيالي مبنية على تشفير المفتاح العام ومدمجة مع ADSelfService Plus من خلال واجهة برمجة تطبيقات WebAuthn. أثناء التسجيل، يقوم المستخدمون بتسجيل مفتاح المرور الخاص بهم (مفتاح الأمان أو مفتاح مرور الجهاز) مع ADSelfService Plus من خلال توفير التحقق من هوية المستخدم (القياسات الحيوية، أو رقم التعريف الشخصي، أو اللمس الفيزيائي) على جهاز المصادقة الخاص بهم. يقوم جهاز المصادقة بإنشاء زوج مفاتيح تشفيرية فريد: يظل المفتاح الخاص مخزنًا بأمان على جهاز المستخدم أو مفتاح الأمان ولا يغادره أبدًا، بينما يُرسل المفتاح العام ويُسجَّل مع ADSelfService Plus إلى جانب معرّف الطرف المعتمد (RP ID).
عندما يقوم المستخدمون بالمصادقة، يتحققون من هويتهم مباشرةً على أجهزتهم أو مفاتيح الأمان الخاصة بهم باستخدام القياسات الحيوية، أو رقم التعريف الشخصي، أو اللمس الفيزيائي. يستخدم جهاز المصادقة المفتاح الخاص لتوقيع تحدٍّ تشفيريًا بشكل مشفَّر ويرسل الاستجابة الموقَّعة إلى ADSelfService Plus. يتحقق ADSelfService Plus من هذه الاستجابة مقارنةً بالمفتاح العام المخزَّن ويمنح الوصول عند نجاح التحقق. يلغي هذا النهج الخالي من كلمات المرور مخاطر التصيد الاحتيالي، إذ لا يغادر المفتاح الخاص جهاز المستخدم أبدًا، وترتبط المصادقة بالنطاق المحدد (RP ID)، مما يمنع استخدام بيانات الاعتماد على المواقع الإلكترونية المزيفة.
القيود
- مقتصر على تسجيلات دخول الأجهزة والمصادقة المستندة إلى المتصفح: لا تدعم مفاتيح المرور FIDO2 حاليًا إعادة تعيين كلمات المرور وإلغاء قفل الحسابات عبر تطبيق ADSelfService Plus للهاتف المحمول.
- متطلبات توافق المصادقة البيومترية: تتطلب المصادقة البيومترية عبر مفاتيح الأمان البيومترية مثل أجهزة YubiKey Bio Series توافق المتصفح أو نظام التشغيل مع المصادقة البيومترية. إذا لم يكن المتصفح ولا نظام التشغيل يدعمان المصادقة البيومترية أثناء المصادقة متعددة العوامل، فسيتراجع جهاز YubiKey Bio تلقائيًا إلى المصادقة القائمة على رقم التعريف الشخصي. للاطلاع على معلومات التوافق، راجع توثيق YubiKey. للاطلاع على خطوات استكشاف الأخطاء وإصلاحها، راجع صفحة استكشاف الأخطاء وإصلاحها.
المتطلبات الأساسية
قبل تهيئة مفاتيح المرور FIDO2، تأكد من استيفاء المتطلبات التالية:
- امتيازات المسؤول: يمكن إجراء التهيئة فقط باستخدام حساب المسؤول الافتراضي في ADSelfService Plus أو حساب فني المنتج المزود بامتيازات المسؤول الأعلى.
- الأجهزة الداعمة لـ WebAuthn: يجب أن يمتلك المستخدمون أجهزة تدعم WebAuthn لاستخدام مصادقة مفاتيح المرور FIDO2.
- تهيئة HTTPS: يجب تفعيل HTTPS في ADSelfService Plus مع شهادة SSL صالحة.
- اسم نطاق صالح: يجب تهيئة عنوان URL للوصول باستخدام اسم نطاق صالح، وليس عنوان IP.
- متطلبات الشهادة:
- يجب نشر شهادة صالحة في ADSelfService Plus
- يجب أن يتطابق الاسم الشائع (CN) أو اسم الموضوع البديل (SAN) في الشهادة مع اسم المضيف المستخدم في عنوان URL للوصول إلى ADSelfService Plus.
- إذا كنت تستخدم جهة إصدار شهادات داخلية (CA)، فيجب أن تكون شهادة CA موثوقة على جميع أجهزة المستخدمين. تعرّف على كيفية توزيع الشهادات على أجهزة المستخدمين.
مهم: أنهِ تهيئة عنوان URL للوصول ومعرّف الطرف المعتمد (RP ID) قبل تفعيل مفاتيح المرور FIDO2. إذا كانت مؤسستك تستخدم (أو تخطط لاستخدام) عمليات نشر موزونة الحمل أو عالية التوفر أو مواجهة للإنترنت لـ ADSelfService Plus، فقم بتهيئة عنوان URL ثابت للوصول. يعتمد RP ID لمفاتيح المرور FIDO2 على معلومات Server ذاتها المستخدمة في عنوان URL للوصول. سيؤدي تغيير عنوان URL للوصول لاحقًا إلى تغيير RP ID، مما سيتسبب في فقدان بيانات التسجيل وإلغاء تسجيل جميع المستخدمين.
تهيئة مفاتيح المرور FIDO2
تتيح مفاتيح المرور FIDO2 للمستخدمين المصادقة باستخدام نوعين من أجهزة المصادقة:
مفاتيح الأمان
تشمل هذه الفئة مفاتيح الأمان المادية المتوافقة مع FIDO2 القابلة للنقل مثل YubiKey ومفتاح Titan Security Key، والتي يمكن إزالتها وهي متوافقة مع منصات متعددة. يمكن توصيل هذه الأجهزة المصادقة بالجهاز عبر USB أو NFC أو البلوتوث للمصادقة الآمنة.
ملاحظة: على عكس مفاتيح مرور الجهاز، تظل بيانات الاعتماد المخزنة على مفاتيح الأمان المادية في الجهاز المادي ولا تتزامن عبر الأجهزة.
مفاتيح مرور الجهاز
هذه الأجهزة المصادقة مدمجة في جهاز المستخدم ويديرها نظام التشغيل. تتحقق من هوية المستخدم باستخدام بيانات اعتماد بيومترية أو قائمة على رقم التعريف الشخصي مخزنة بأمان على الجهاز. تشمل الأمثلة Windows Hello وبيومترية Android وApple Touch ID أو Face ID.
يمكن أن تكون مفاتيح مرور الجهاز مرتبطة بالجهاز أو متزامنة عبر أجهزة متعددة، اعتمادًا على طريقة تنفيذ المورّد لها.
- مفاتيح المرور المرتبطة بالجهاز: هي مفاتيح مرور مخزنة فقط على الجهاز ولا تتزامن مع الخدمات السحابية. هذا يعني أن المستخدمين يجب أن يسجلوا بشكل منفصل على كل جهاز يرغبون في استخدامه.
- مفاتيح المرور المتزامنة: هي مفاتيح مرور مخزنة بأمان في السحابة ومتزامنة عبر أجهزة المستخدم المرتبطة بالحساب ذاته، من خلال خدمات مثل iCloud Keychain أو Google Password Manager. يتيح هذا التزامن الوصول السلس إلى ADSelfService Plus دون الحاجة إلى إعادة التسجيل لكل جهاز. غير أن بيانات التحقق من هوية المستخدم، كأرقام التعريف الشخصية والقياسات الحيوية (بما فيها Face ID وTouch ID)، تظل خاصة بالجهاز ويجب إعدادها بشكل فردي على كل جهاز. على سبيل المثال، إذا كان جون يستخدم Touch ID على MacBook ثم اشترى iPhone جديدًا، فلن يحتاج إلى إعادة تسجيل iPhone في ADSelfService Plus، لكن عليه إعداد Face ID على iPhone للمصادقة.
تدعم مفاتيح المرور المتزامنة المستندة إلى الجوال أيضًا المصادقة عبر الأجهزة المتقاطعة (CDA)، مما يتيح للمستخدمين التحقق من هويتهم على جهاز واحد أثناء الوصول إلى الموارد على جهاز آخر. على سبيل المثال، يمكن للمستخدمين استخدام أجهزة المصادقة المدمجة في هواتفهم الذكية، مثل بيومترية Android أو Apple Face ID، لتسجيل الدخول إلى ADSelfService Plus على حاسوبهم المحمول عن طريق مسح رمز QR وإنشاء اتصال بلوتوث
خطوات التهيئة
- سجّل الدخول إلى بوابة مسؤول ADSelfService Plus وانتقل إلى التهيئة > الخدمة الذاتية > المصادقة متعددة العوامل > مفاتيح المرور FIDO2.
- يجب أن يكون معرّف الطرف المعتمد (Relying Party ID) إما اسم النطاق أو اسم النطاق الفعّال (اسم Server أو النطاق الأصل لاسم Server) المستخدم في عنوان URL للوصول.
على سبيل المثال، إذا كان عنوان URL للوصول هو https://selfservice.example.com، فإن معرّفات RP ID الصالحة الوحيدة هي:
- selfservice.example.com
- example.com
تحذير أمني: يؤدي تحديد نطاق أصل في RP ID إلى السماح باستخدام مفاتيح المرور FIDO2 عبر مواقع النطاقات الفرعية أيضًا. على سبيل المثال، إذا تم اختيار example.com كـ RP ID، فيمكن استخدام مفاتيح المرور FIDO2 المسجلة على site1.example.com أيضًا على site2.example.com أو site3.example.com. للسماح فقط لمفاتيح المرور FIDO2 المسجلة مع ADSelfService Plus بالمصادقة مع المنتج حصريًا، يمكنك تحديد نطاق المصادقة بتعيين عنوان URL للوصول المستخدم في ADSelfService Plus كـ RP ID.
- حدد مفاتيح الأمان للسماح للمستخدمين في مؤسستك بالتسجيل للحصول على مفاتيح مرور مثل YubiKeys أو مفاتيح Google Titan.
- حدد مفاتيح مرور الجهاز للسماح للمستخدمين في مؤسستك بالتسجيل للحصول على مفاتيح مرور قائمة على الجهاز تستخدم طرق المصادقة المدمجة في الجهاز أو الهاتف، مثل القياسات الحيوية كبصمة الإصبع أو التعرف على الوجه.
ملاحظة: سيؤدي تفعيل خانة الاختيار رفض مفاتيح المرور القابلة للمزامنة إلى منع المستخدمين من تسجيل مفاتيح المرور التي تعتمد على المزامنة السحابية، مثل أجهزة Apple التي تستخدم حسابات iCloud.
مطلوب: سيُطلب من المستخدم دائمًا التحقق من هويته باستخدام آلية التحقق المدمجة المهيأة على مفتاح الأمان بعد إدخاله.
مفضّل: إذا كان التحقق من هوية المستخدم، مثل رقم التعريف الشخصي أو القياسات الحيوية، مهيأً على مفتاح الأمان، فسيُطلب من المستخدمين التحقق من هويتهم عند إدخال جهاز المصادقة. إذا لم يتم تعيين أي طريقة تحقق، فلن يُطلب من المستخدمين أي تعريف.
غير مشجَّع عليه: إذا كانت مؤسستك تستخدم مفاتيح أمان قائمة على U2F (مفاتيح العامل الثاني العالمي التي لا تدعم التحقق من هوية المستخدم)، يمكن للمسؤولين اختيار خيار غير مشجَّع عليه. لن يُطلب من المستخدمين التحقق عند إدخال مفتاح المرور FIDO2 الخاص بهم. ومع ذلك، تفرض بعض مفاتيح الأمان التحقق على الأجهزة المدعومة حتى عند تعيين الخيار على غير مشجَّع عليه. يُرجى مراجعة الوثائق المرفقة بمفتاح الأمان الخاص بك للتأكد من ذلك.
الأجهزة المدعومة
أنظمة التشغيل والمتصفحات التي تدعم كل من أنواع مفاتيح المرور التالية هي كما يلي:
ملاحظة: يُرجى التأكد من استخدام أحدث إصدارات المتصفحات. إذا كنت تستخدم متصفحًا قديمًا، فقد لا تتمكن من إنشاء مفاتيح المرور أو استخدامها في وضع التصفح المتخفي أو الخاص عبر المتصفحات الرئيسية وأنظمة التشغيل.
مفاتيح الأمان
يمكن استخدام مفاتيح الأمان عبر مجموعة واسعة من أنظمة التشغيل والمتصفحات، شريطة أن يستوفي كل من نظام التشغيل والمتصفح المتطلبات اللازمة لدعم WebAuthn.
| Windows | macOS | Linux | Android | iOS | |
|---|---|---|---|---|---|
| Google Chrome (67+) | نعم | نعم | نعم | نعم | نعم |
| Edge (67+) | نعم | نعم | نعم | نعم | نعم |
| Safari (13+) | غير متاح | نعم | غير متاح | غير متاح | نعم |
| Firefox (60+) | نعم | نعم | نعم | نعم | نعم |
*تشير الأرقام بين قوسين إلى الحد الأدنى لإصدار المتصفح المدعوم المطلوب.
مفاتيح مرور الجهاز
تدعم مفاتيح مرور الجهاز مجموعة واسعة من المتصفحات وأنظمة التشغيل، مع تفاوت في التوافق بناءً على طريقة الوصول إلى مفاتيح المرور:
1. مفاتيح المرور المرتبطة بالجهاز:
| Windows 10+ (Windows Hello) | macOS 11+ (Touch ID) | Android 7+ (بيومترية Android) | iOS 14.5+ (Face ID) | |
|---|---|---|---|---|
| Google Chrome | نعم (73+) | نعم (70+) | نعم (95+) | نعم (95+) |
| Edge | نعم (79+) | نعم | نعم | نعم (95+) |
| Safari | غير متاح | نعم (14+) | غير متاح | نعم (14.5+) |
| Firefox | نعم (66+) | نعم | نعم (68+) | نعم (38+) |
*تشير الأرقام بين قوسين إلى الحد الأدنى لإصدار المتصفح المدعوم المطلوب.
2. مفاتيح المرور المتزامنة
| Windows 10+ (Windows Hello) | macOS 13+ (Touch ID) | Android 9+ (بيومترية Android) | iOS 16.5+ (Face ID) | |
|---|---|---|---|---|
| Google Chrome | لا | نعم (70+) | نعم | نعم |
| Edge | لا | لا | نعم | نعم |
| Safari | غير متاح | نعم (14+) | غير متاح | نعم |
| Firefox | لا | نعم | نعم | نعم |
*تشير الأرقام بين قوسين إلى الحد الأدنى لإصدار المتصفح المدعوم المطلوب.
3. المصادقة عبر الأجهزة المتقاطعة
عميل CDA: عميل CDA في تدفق المصادقة عبر الأجهزة المتقاطعة هو الجهاز الذي يتم الوصول إلى ADSelfService Plus من خلاله.
جهاز مصادقة CDA: جهاز مصادقة CDA في تدفق المصادقة عبر الأجهزة المتقاطعة هو الجهاز المستخدم للتحقق من الهوية.
على سبيل المثال، يمكنك استخدام هاتفك كجهاز مصادقة متقاطع للدخول إلى ADSelfService Plus من حاسوبك المحمول. في هذه الحالة، يكون الحاسوب المحمول هو عميل CDA، ويعمل الهاتف كجهاز مصادقة CDA.
عملاء CDA وأجهزة المصادقة المدعومة هي كما يلي:
| Windows | macOS | Android | iOS | |||||
|---|---|---|---|---|---|---|---|---|
| دعم عميل CDA | دعم جهاز مصادقة CDA | دعم عميل CDA | دعم جهاز مصادقة CDA | دعم عميل CDA | دعم جهاز مصادقة CDA | دعم عميل CDA | دعم جهاز مصادقة CDA | |
| Google Chrome | نعم (108+) | لا | نعم (70+) | لا | لا | نعم | لا | نعم |
| Edge | نعم (108+) | لا | نعم | لا | لا | نعم | لا | نعم |
| Safari | غير متاح | غير متاح | نعم (14+) | لا | غير متاح | غير متاح | غير متاح | نعم |
| Firefox | لا | لا | نعم | لا | لا | نعم | لا | نعم |
*تشير الأرقام بين قوسين إلى الحد الأدنى لإصدار المتصفح المدعوم المطلوب.
مفاتيح المرور FIDO2 المدعومة لسيناريوهات تسجيل الدخول إلى الأجهزة
تعزز المصادقة متعددة العوامل للنقاط الطرفية أمان تسجيل الدخول عبر نقاط نهاية المستخدم من خلال تفعيل مفاتيح المرور FIDO2 المقاومة للتصيد الاحتيالي. قبل فرض تسجيلات دخول الأجهزة المستندة إلى FIDO2، راجع الجدول أدناه لفهم طرق مفاتيح المرور المدعومة عبر أنظمة التشغيل المختلفة وسيناريوهات تسجيل دخول الأجهزة. للمزيد من التفاصيل حول المصادقة متعددة العوامل للنقاط الطرفية، انقر هنا.
| نظام التشغيل | وضع الاتصال (المصادقة متعددة العوامل) | سيناريو المصادقة | مفاتيح الأمان | Windows Hello | الهاتف المحمول |
|---|---|---|---|---|---|
| Windows | متصل | تسجيل الدخول، إلغاء القفل، UAC |  |  | |
| خادم RDP، عميل RDP | | | | ||
| غير متصل | تسجيل الدخول، إلغاء القفل، UAC | | | | |
| خادم RDP | | | | ||
| macOS | متصل | تسجيل الدخول | | | |
| غير متصل | تسجيل الدخول | | | | |
| Linux | متصل | تسجيل الدخول | | | |
في سيناريوهات تسجيل الدخول وإلغاء القفل وUAC، يمكن للمستخدمين استخدام مفتاح أمان أو هاتفهم المحمول. تتيح الهواتف المحمولة للمستخدمين مسح رمز QR لفتح رابط آمن على أجهزتهم والمصادقة باستخدام مفاتيح المرور أو مفاتيح الأمان المدمجة - دون الحاجة إلى اتصال مباشر بين الأجهزة (مثل CDA). لاحظ أنه لا يمكن استخدام الهواتف المحمولة للمصادقة متعددة العوامل في وضع عدم الاتصال.
بالنسبة لجلسات RDP، يمكن تفعيل مصادقة FIDO2 على عملاء وخوادم Windows المدعومة باستخدام إعادة توجيه WebAuthn الأصلية في Windows. على الأنظمة التي لا تدعم هذه الميزة - مثل إصدارات Windows الأقدم من الإصدار 1809 من Windows 10 - ستحتاج إلى استخدام أدوات USB عبر IP من جهات خارجية مثل IncentivesPro USB Redirector RDP Edition أو Eltima USB Network Gate.
إصدارات العميل والخادم المدعومة لـ Windows Hello:
- نظام تشغيل العميل: Windows 10 الإصدار 1809 أو أحدث، أو Windows 11
- نظام تشغيل Server: Windows Server الإصدار 1809 أو 2019 أو 2022 أو 2025 وما بعده
تسجيل مفاتيح المرور FIDO2
أثناء التسجيل، يمكن للمستخدمين اختيار نوع مفتاح المرور المفضل لديهم بناءً على الخيارات المتاحة، مثل مفاتيح الأمان أو مفاتيح مرور الجهاز.
مفاتيح الأمان: سيُطلب من المستخدم المصادقة باستخدام الآلية المدمجة في مفتاح الأمان. على سبيل المثال، إذا كان يستخدم YubiKey، فقد يحتاج إلى إدخال رقم تعريف شخصي أو مسح بصمة إصبعه باستخدام المستشعر. يمكن تسجيل مفاتيح الأمان من خلال بوابة الويب الخاصة بـ ADSelfService Plus من جهاز يدعم اتصالات USB أو الاتصال قريب المدى (NFC) أو بلوتوث الطاقة المنخفضة (BLE). يمكن تسجيل مفتاح أمان واحد كمفتاح مرور لعدة مستخدمين، ويمكن تسجيل مفاتيح أمان متعددة لحساب مستخدم واحد.
مفاتيح مرور الجهاز: سيُكمل المستخدم التسجيل بالتحقق من هويته باستخدام جهاز المصادقة المدمج في جهازه، مثل Face ID أو Touch ID أو رقم التعريف الشخصي.
- مفاتيح المرور المرتبطة بالجهاز: يُخزَّن مفتاح المرور المرتبط بالجهاز فقط على الجهاز الذي أُنشئ فيه. إذا أراد المستخدمون استخدام مفتاح المرور على أجهزة إضافية، يجب عليهم تسجيل مفتاح مرور جديد على كل جهاز يدعم مفاتيح المرور المرتبطة بالجهاز.
- مفاتيح المرور المتزامنة: يُخزَّن مفتاح المرور المتزامن في السحابة ويتزامن تلقائيًا عبر أجهزة المستخدم المرتبطة بالحساب ذاته، باستخدام خدمات مثل iCloud Keychain أو Google Password Manager. بمجرد التزامن، لا يحتاج المستخدمون إلى تسجيل مفتاح المرور مرة أخرى على الأجهزة الأخرى التي تدعم مفاتيح المرور المتزامنة.
إذا أراد المستخدم تسجيل هاتف ذكي أو جهاز لوحي مختلف، يمكنه مسح رمز QR المعروض على الشاشة لبدء عملية المصادقة عبر البلوتوث. يجب على المسؤولين التأكد من أن أجهزة المستخدمين تدعم CDA لضمان سير عملية التسجيل بسلاسة. تتوفر قائمة بالأجهزة المدعومة هنا.
يمكنك الاطلاع على عملية التسجيل خطوة بخطوة للمستخدمين هنا.
التحقق باستخدام مفاتيح المرور FIDO2
بمجرد التسجيل، سيتحقق المستخدمون من هويتهم باستخدام مفاتيح المرور الخاصة بهم عند تسجيل الدخول.
مفاتيح الأمان: يجب على المستخدمين التحقق من مفتاح الأمان على أجهزتهم عن طريق الاتصال عبر USB أو NFC أو BLE. بمجرد التحقق، يمكن استخدام المفتاح على أجهزة أخرى بتكرار العملية. هذا يضمن وصولًا آمنًا ومتسقًا عبر جميع الأجهزة.
مفاتيح مرور الجهاز: يمكن استخدام أجهزة المصادقة المدمجة في الجهاز للتحقق على الجهاز المسجَّل. إذا كان مفتاح المرور متزامنًا عبر أجهزة متعددة، يمكن أيضًا استخدامه على تلك الأجهزة.
- مفاتيح المرور المرتبطة بالجهاز: يجب على المستخدمين التحقق من هويتهم على الجهاز ذاته الذي سُجِّل فيه مفتاح المرور. قد يتضمن ذلك إدخال رقم تعريف شخصي أو استخدام المصادقة البيومترية. في حال نجاح ذلك، سيتعرف النظام على مفتاح المرور ويسمح للمستخدم بتسجيل الدخول.
- مفاتيح المرور المتزامنة: عند تزامن مفتاح المرور عبر أجهزة متعددة مرتبطة بالحساب ذاته، يمكن للمستخدمين استخدامه للمصادقة متعددة العوامل على أي من تلك الأجهزة. يمكن للمستخدم التحقق من هويته باستخدام جهاز مصادقة مدمج، وتتم المصادقة باستخدام مفتاح المرور المتزامن، مما يتيح تجربة تسجيل دخول سلسة.
ملاحظة: سيُظهر تقرير مفاتيح المرور FIDO2 التسجيل فقط على الجهاز المحدد الذي تم التسجيل عليه، وليس على الأجهزة المتزامنة معه.
إذا احتاج المستخدم إلى المصادقة باستخدام هاتف ذكي أو جهاز لوحي مختلف، يمكنه مسح رمز QR المعروض على الشاشة لإتمام التحقق عبر البلوتوث.
يمكنك الاطلاع على خطوات التحقق التفصيلية هنا.
نصائح
- أنهِ التهيئة قبل النشر: حدد عنوان URL للوصول وRP ID قبل تفعيل مفاتيح المرور FIDO2، خاصةً للنشر الموزون الحمل أو عالي التوفر. سيؤدي تغيير عنوان URL للوصول بعد تسجيل المستخدمين إلى تعديل RP ID، مما يتسبب في فقدان كامل لجميع بيانات التسجيل وإجبار المؤسسة بأكملها على إعادة التسجيل.
- اختر نطاق RP ID المناسب: استخدم عنوان URL للوصول الكامل (مثل selfservice.example.com) كـ RP ID لتقييد مفاتيح المرور حصريًا على ADSelfService Plus. استخدم النطاق الأصل (مثل example.com) فقط إذا كنت تريد عمدًا أن تعمل مفاتيح المرور عبر نطاقات فرعية متعددة، لكن اعلم أن هذا النطاق الأوسع يخلق تداعيات أمنية إذ يمكن لمفاتيح المرور المسجلة على نطاق فرعي واحد المصادقة على النطاقات الفرعية الأخرى.
- هيّئ آليات احتياطية لمفاتيح الأمان البيومترية: بالنسبة لمفاتيح الأمان البيومترية مثل YubiKey Bio Series، تأكد من تهيئة المستخدمين للمصادقة القائمة على رقم التعريف الشخصي كآلية احتياطية. تتطلب المصادقة البيومترية دعم المتصفح أو نظام التشغيل؛ عند الوصول إلى الأنظمة من متصفحات قديمة أو أجهزة غير متوافقة، يتراجع YubiKey Bio تلقائيًا إلى مصادقة PIN، مما يمنع حالات الإغلاق مع الحفاظ على الأمان.
شكرًا!
تم إرسال طلبك إلى فريق الدعم الفني لـ ADSelfService Plus. سيساعدك فريق الدعم الفني في أقرب وقت ممكن.
هل تحتاج إلى مساعدة تقنية؟
- أدخل عنوان بريدك الإلكتروني
- تحدث مع الخبراء