# مفاتيح المرور FIDO2 ## ما هو مفتاح المرور؟ مفتاح المرور هو بيانات اعتماد حديثة مقاومة للتصيد الاحتيالي تحلّ محل كلمات المرور التقليدية. تُبنى مفاتيح المرور على تشفير المفتاح العام ويمكن تخزينها على الأجهزة أو مفاتيح الأمان، مما يتيح للمستخدمين المصادقة بأمان وسلاسة عبر application والأجهزة. يدعم ADSelfService Plus مفاتيح المرور المستندة إلى FIDO2، وفق معيار المصادقة المفتوح الذي طوّره تحالف FIDO. من خلال تكامل WebAuthn، يتيح ADSelfService Plus المصادقة القائمة على مفاتيح المرور للوصول الآمن إلى موارد الشبكة. يوفر ADSelfService Plus حاليًا مصادقة مفاتيح المرور FIDO2 للحالات التالية: - تسجيلات الدخول إلى بوابة ADSelfService Plus - [تسجيلات الدخول إلى application السحابة](https://www.manageengine.com/ar/self-service-password/help/admin-guide/Admin/sso-settings.html) - [تسجيلات دخول الأجهزة (Windows وmacOS وLinux)](https://www.manageengine.com/ar/self-service-password/help/admin-guide/Configuration/Self-Service/mfa-for-windows-macos-linux.html) - [المصادقة متعددة العوامل عبر VPN وRADIUS عند تفعيل التحقق عبر البريد الإلكتروني SecureLink](https://www.manageengine.com/ar/self-service-password/help/admin-guide/Configuration/Self-Service/steps-to-enable-mfa-for-vpn-logins.html) - [Outlook Web Access (OWA)](https://www.manageengine.com/ar/self-service-password/help/admin-guide/Configuration/Self-Service/steps-to-enable-mfa-for-vpn-owa-logins.html) - [إعادة تعيين كلمة المرور أو إلغاء قفل الحساب](https://www.manageengine.com/ar/self-service-password/help/admin-guide/Configuration/Self-Service/Advanced/Reset-Unlock.html) من بوابة ADSelfService Plus ## آلية العمل مفاتيح المرور FIDO2 هي بيانات اعتماد مقاومة للتصيد الاحتيالي مبنية على تشفير المفتاح العام ومدمجة مع ADSelfService Plus من خلال واجهة برمجة تطبيقات WebAuthn. أثناء التسجيل، يقوم المستخدمون بتسجيل مفتاح المرور الخاص بهم (مفتاح الأمان أو مفتاح مرور الجهاز) مع ADSelfService Plus من خلال توفير التحقق من هوية المستخدم (القياسات الحيوية، أو رقم التعريف الشخصي، أو اللمس الفيزيائي) على جهاز المصادقة الخاص بهم. يقوم جهاز المصادقة بإنشاء زوج مفاتيح تشفيرية فريد: - يظل المفتاح الخاص مخزنًا بأمان على جهاز المستخدم أو مفتاح الأمان ولا يغادره أبدًا. - يُرسل المفتاح العام ويُسجَّل مع ADSelfService Plus إلى جانب معرّف الطرف المعتمد (RP ID). عند المصادقة، يتحقق المستخدم من هويته مباشرةً على جهازه أو مفتاح الأمان باستخدام القياسات الحيوية أو رقم التعريف الشخصي أو اللمس الفيزيائي. يستخدم جهاز المصادقة المفتاح الخاص لتوقيع تحدٍّ تشفيريًا ويرسل الاستجابة الموقَّعة إلى ADSelfService Plus. يتحقق ADSelfService Plus من الاستجابة مقارنةً بالمفتاح العام المخزَّن ويمنح الوصول عند نجاح التحقق. يلغي هذا النهج الخالي من كلمات المرور مخاطر التصيد الاحتيالي، إذ لا يغادر المفتاح الخاص جهاز المستخدم أبدًا، وترتبط المصادقة بالنطاق المحدد (RP ID)، مما يمنع استخدام بيانات الاعتماد على المواقع الإلكترونية المزيفة. ## القيود - **مقتصر على تسجيلات دخول الأجهزة والمصادقة المستندة إلى المتصفح:** لا تدعم مفاتيح المرور FIDO2 حاليًا إعادة تعيين كلمات المرور وإلغاء قفل الحسابات عبر تطبيق ADSelfService Plus للهاتف المحمول. - **متطلبات توافق المصادقة البيومترية:** تتطلب المصادقة البيومترية عبر مفاتيح الأمان البيومترية مثل أجهزة YubiKey Bio Series توافق المتصفح أو نظام التشغيل مع المصادقة البيومترية. إذا لم يكن المتصفح ولا نظام التشغيل يدعمان المصادقة البيومترية أثناء المصادقة متعددة العوامل، فسيتراجع جهاز YubiKey Bio تلقائيًا إلى المصادقة القائمة على رقم التعريف الشخصي. راجع [توثيق YubiKey](https://docs.yubico.com/hardware/yubikey/yk-tech-manual/yk5-bio-specifics.html#desktop). لخطوات استكشاف الأخطاء وإصلاحها، راجع [صفحة استكشاف الأخطاء وإصلاحها](https://www.manageengine.com/ar/self-service-password/help/admin-guide/troubleshooting.html). ## المتطلبات الأساسية قبل تهيئة مفاتيح المرور FIDO2، تأكد من استيفاء المتطلبات التالية: - امتيازات المسؤول: يمكن إجراء التهيئة فقط باستخدام حساب المسؤول الافتراضي في ADSelfService Plus أو [حساب فني المنتج المزود بامتيازات المسؤول الأعلى](https://www.manageengine.com/ar/self-service-password/help/admin-guide/Admin-Tools/Technician-Steps.html). - الأجهزة الداعمة لـ WebAuthn: يجب أن يمتلك المستخدمون [أجهزة تدعم WebAuthn](https://webauthn.wtf/how-it-works/support) لاستخدام مصادقة مفاتيح المرور FIDO2. - **تهيئة HTTPS:** يجب تفعيل HTTPS في ADSelfService Plus مع شهادة SSL صالحة. - **اسم نطاق صالح:** يجب تهيئة عنوان URL للوصول باستخدام اسم نطاق صالح، وليس عنوان IP. - **متطلبات الشهادة:** - يجب نشر شهادة صالحة في ADSelfService Plus. - يجب أن يتطابق الاسم الشائع (CN) أو اسم الموضوع البديل (SAN) في الشهادة مع اسم المضيف المستخدم في عنوان URL للوصول. - إذا كنت تستخدم جهة إصدار شهادات داخلية (CA)، فيجب أن تكون شهادة CA موثوقة على جميع أجهزة المستخدمين. [تعرّف على كيفية توزيع الشهادات على أجهزة المستخدمين](https://learn.microsoft.com/en-us/windows-server/identity/ad-cs/distribute-certificates-group-policy). **مهم:** أنهِ تهيئة [عنوان URL للوصول](https://www.manageengine.com/ar/self-service-password/help/admin-guide/Admin/access-url.html) ومعرّف الطرف المعتمد (RP ID) قبل تفعيل مفاتيح المرور FIDO2. سيؤدي تغيير عنوان URL للوصول لاحقًا إلى تغيير RP ID، مما سيتسبب في فقدان بيانات التسجيل وإلغاء تسجيل جميع المستخدمين. ## تهيئة مفاتيح المرور FIDO2 تتيح مفاتيح المرور FIDO2 للمستخدمين المصادقة باستخدام نوعين من أجهزة المصادقة: - [مفاتيح الأمان](#security-keys) - [مفاتيح مرور الجهاز](#device-passkeys) ## مفاتيح الأمان تشمل هذه الفئة مفاتيح الأمان المادية المتوافقة مع FIDO2 القابلة للنقل مثل YubiKey ومفتاح Titan Security Key، والتي يمكن توصيلها عبر USB أو NFC أو البلوتوث للمصادقة الآمنة. **ملاحظة:** تظل بيانات الاعتماد المخزنة على مفاتيح الأمان المادية في الجهاز المادي ولا تتزامن عبر الأجهزة. ## مفاتيح مرور الجهاز هذه الأجهزة المصادقة مدمجة في جهاز المستخدم ويديرها نظام التشغيل، مثل Windows Hello وبيومترية Android وApple Touch ID أو Face ID. - **مفاتيح المرور المرتبطة بالجهاز:** مخزنة فقط على الجهاز ولا تتزامن مع الخدمات السحابية. - **مفاتيح المرور المتزامنة:** مخزنة بأمان في السحابة ومتزامنة عبر أجهزة المستخدم المرتبطة بالحساب ذاته من خلال خدمات مثل iCloud Keychain أو Google Password Manager. تدعم مفاتيح المرور المتزامنة المستندة إلى الجوال أيضًا **المصادقة عبر الأجهزة المتقاطعة (CDA)**، مما يتيح للمستخدمين التحقق من هويتهم على جهاز واحد أثناء الوصول إلى الموارد على جهاز آخر. ### خطوات التهيئة 1. سجّل الدخول إلى بوابة مسؤول ADSelfService Plus وانتقل إلى **التهيئة > الخدمة الذاتية > المصادقة متعددة العوامل > مفاتيح المرور FIDO2**. ![تهيئة مفاتيح المرور FIDO2 في ADSelfService Plus](https://www.manageengine.com/products/self-service-password/help/admin-guide/images/FIDO-passkeys.png) 2. عيّن **معرّف الطرف المعتمد (RP ID)** ليكون اسم النطاق أو النطاق الأصل المستخدم في عنوان URL للوصول. على سبيل المثال، إذا كان عنوان URL للوصول هو **https://selfservice.example.com**، فإن معرّفات RP ID الصالحة هي: - selfservice.example.com - example.com **تحذير أمني:** يؤدي تحديد نطاق أصل في RP ID إلى السماح باستخدام مفاتيح المرور عبر مواقع النطاقات الفرعية أيضًا. 3. حدّد **نمط اسم المستخدم (Username Pattern)**. 4. من **الإعدادات المتقدمة**، اختر **أنواع مفاتيح المرور المسموح بها**: - **مفاتيح الأمان** - **مفاتيح مرور الجهاز** 5. فعّل خيار **رفض مفاتيح المرور القابلة للمزامنة** إذا لزم الأمر. 6. حدّد ما إذا كان التحقق من هوية المستخدم لمفاتيح الأمان: - **مطلوبًا** - **مفضّلًا** - **غير مشجَّع عليه** 7. حدّد الحد الأقصى في **عدد مفاتيح المرور المسموح بها لكل مستخدم** (حتى خمسة مفاتيح). 8. انقر على **حفظ**. ## الأجهزة المدعومة ### مفاتيح الأمان | المتصفح | Windows | macOS | Linux | Android | iOS | |---|---|---|---|---|---| | Google Chrome (67+) | نعم | نعم | نعم | نعم | نعم | | Edge (67+) | نعم | نعم | نعم | نعم | نعم | | Safari (13+) | غير متاح | نعم | غير متاح | غير متاح | نعم | | Firefox (60+) | نعم | نعم | نعم | نعم | نعم | *تشير الأرقام بين قوسين إلى الحد الأدنى لإصدار المتصفح المدعوم المطلوب.* ### مفاتيح مرور الجهاز المرتبطة بالجهاز | المتصفح | Windows 10+ (Windows Hello) | macOS 11+ (Touch ID) | Android 7+ | iOS 14.5+ | |---|---|---|---|---| | Google Chrome | نعم (73+) | نعم (70+) | نعم (95+) | نعم (95+) | | Edge | نعم (79+) | نعم | نعم | نعم (95+) | | Safari | غير متاح | نعم (14+) | غير متاح | نعم (14.5+) | | Firefox | نعم (66+) | نعم | نعم (68+) | نعم (38+) | *تشير الأرقام بين قوسين إلى الحد الأدنى لإصدار المتصفح المدعوم المطلوب.* ## مفاتيح المرور FIDO2 المدعومة لسيناريوهات تسجيل الدخول إلى الأجهزة للمزيد من التفاصيل حول المصادقة متعددة العوامل للنقاط الطرفية، [انقر هنا](https://www.manageengine.com/ar/self-service-password/help/admin-guide/Configuration/Self-Service/mfa-for-endpoints.html). | نظام التشغيل | وضع الاتصال | سيناريو المصادقة | مفاتيح الأمان | Windows Hello | الهاتف المحمول | |---|---|---|---|---|---| | Windows | متصل | تسجيل الدخول، إلغاء القفل، UAC | ![](https://www.manageengine.com/products/self-service-password/help/admin-guide/images/icon-enable.png) | ![](https://www.manageengine.com/products/self-service-password/help/admin-guide/images/icon-disable.png) | ![](https://www.manageengine.com/products/self-service-password/help/admin-guide/images/icon-enable.png) | | Windows | غير متصل | تسجيل الدخول | ![](https://www.manageengine.com/products/self-service-password/help/admin-guide/images/icon-enable.png) | ![](https://www.manageengine.com/products/self-service-password/help/admin-guide/images/icon-disable.png) | ![](https://www.manageengine.com/products/self-service-password/help/admin-guide/images/icon-disable.png) | | macOS | متصل | تسجيل الدخول | ![](https://www.manageengine.com/products/self-service-password/help/admin-guide/images/icon-enable.png) | ![](https://www.manageengine.com/products/self-service-password/help/admin-guide/images/icon-disable.png) | ![](https://www.manageengine.com/products/self-service-password/help/admin-guide/images/icon-enable.png) | | Linux | متصل | تسجيل الدخول | ![](https://www.manageengine.com/products/self-service-password/help/admin-guide/images/icon-enable.png) | ![](https://www.manageengine.com/products/self-service-password/help/admin-guide/images/icon-disable.png) | ![](https://www.manageengine.com/products/self-service-password/help/admin-guide/images/icon-enable.png) | ## تسجيل مفاتيح المرور FIDO2 يمكن للمستخدمين اختيار نوع مفتاح المرور أثناء التسجيل: - **مفاتيح الأمان:** تتطلب التحقق باستخدام الآلية المدمجة (PIN أو بصمة). - **مفاتيح مرور الجهاز:** تستخدم Face ID أو Touch ID أو PIN. يمكن الاطلاع على دليل التسجيل للمستخدمين [هنا](https://www.manageengine.com/products/self-service-password/help/user-guide/adselfservice-plus-enrollment-guide.html). ## التحقق باستخدام مفاتيح المرور FIDO2 بعد التسجيل: - **مفاتيح الأمان:** يتم التحقق عبر USB أو NFC أو BLE. - **مفاتيح مرور الجهاز:** يتم التحقق عبر آليات المصادقة المدمجة. سيُظهر [تقرير مفاتيح المرور FIDO2](https://www.manageengine.com/ar/self-service-password/help/admin-guide/Reports/FIDO-passkeys-report.html) التسجيل فقط على الجهاز المحدد. يمكنك الاطلاع على خطوات التحقق التفصيلية [هنا](https://www.manageengine.com/products/self-service-password/help/user-guide/adselfserviceplus-identity-verification-techniques.html). ## نصائح 1. **أنهِ التهيئة قبل النشر:** سيؤدي تغيير عنوان URL للوصول بعد التسجيل إلى فقدان بيانات التسجيل. 2. **اختر نطاق RP ID المناسب:** استخدم النطاق الكامل لتقييد الاستخدام. 3. **هيّئ آليات احتياطية:** تأكد من إعداد PIN كخيار احتياطي لمفاتيح الأمان البيومترية.