الانتقال إلى السابق الموضوع السابقالموضوع التالي الانتقال إلى التالي

    مصادقة SAML

    ملاحظة: تعد مصادقة SAML أداة مصادقة متقدمة متاحة كجزء من الإصدار الاحترافي من ADSelfService Plus.

    تضيف مصادقة SAML طبقة إضافية من الأمان إلى عملية إعادة تعيين كلمة المرور وفك قفل الحساب. إذا كانت مؤسستك تمتلك بالفعل موفّر الهوية (IdP) القائم على SAML applications مثل OneLogin أو Okta، فمن المنطقي استخدام مصادقة SAML كطريقة للتحقق من هويات المستخدمين. عند تمكين مصادقة SAML، تتم إعادة توجيه المستخدمين إلى عنوان URL لتسجيل الدخول الخاص بموفّر الهوية لديهم لإجراء المصادقة أثناء عمليات الخدمة الذاتية لكلمة المرور. بعد نجاح المصادقة، يُعاد routed المستخدمون مرة أخرى إلى بوابة ADSelfService Plus حيث يمكنهم إعادة تعيين كلمة المرور أو فك قفل حسابهم. لا يتعيّن على المستخدمين النهائيين التسجيل في ADSelfService Plus لاستخدام مصادقة SAML.

    خطوات المصادقة باستخدام SAML

    يجب إجراء تهيئة مصادقة SAML في مكانين:

    1. عند مزود الخدمة (SP).
    2. عند موفر الهوية (IdP).

    هنا، IdP هو موفّر الهوية القائم على SAML application مثل OneLogin أو Okta. أما SP فهو ADSelfService Plus.

    الخطوات التمهيدية

    1. سجّل الدخول إلى وحدة تحكم ADSelfService Plus على الويب كمسؤول. انتقل إلى علامة تبويب التكوين > الخدمة الذاتية > المصادقة متعددة العوامل > إعداد عوامل المصادقة > مصادقة SAML. انقر فوق عنوان URL لـ ACS/عنوان URL للمستلم وحالة الترحيل.
    2. يجب أن يتضمن موفّر الهوية القائم على SAML الذي تعتزم استخدامه ADSelfService Plus كإحدى application المدعومة عبر SAML. إذا لم يكن مدعومًا افتراضيًا، يمكنك إضافة ADSelfService Plus كـ application جديدة في موفّر الهوية لديك. اعثر على خطوات إضافة application جديدة هنا: Okta، OneLogin، AD FS  Line Works، Microsoft Entra ID و 1Kosmos. بالنسبة لموفري الهوية الآخرين، يُرجى التواصل مع فريق دعم موفّر الهوية للحصول على مزيد من المساعدة.
    3. سجّل الدخول إلى وحدة تحكم الويب لapplication الخاص بموفر الهوية لديك باستخدام بيانات اعتماد المسؤول، ثم انتقل إلى ADSelfService Plus من قائمة الapplication المتاحة.
    4. إما تنزيل البيانات الوصفية بتنسيق XML، أو الحصول على البيانات المطلوبة عن طريق نسخ عنوان URL للجهة المُصدِّرة/معرّف الكيان، عنوان URL لتسجيل الدخول لموفّر الهوية (IdP)، وشهادة X509.

    الخطوة 1: تكوين مزود الخدمة (ADSelfService Plus)

    1. سجّل الدخول إلى وحدة تحكم الويب لـ ADSelfService Plus باستخدام بيانات اعتماد المسؤول.
    2. انتقل إلى علامة تبويب "التكوين" > الخدمة الذاتية > المصادقة متعددة العوامل > إعداد أدوات المصادقة.
    3. انقر على قسم مصادقة SAML. انقر على تعديل إذا كنت قد قمت بإعداده مسبقًا.
      4. مصادقة SAML
    4. اختر IdP من القائمة المنسدلة.
    5. There are two أنماط تكوين SAML: تحميل ملف البيانات الوصفية and التكوين اليدوي.
      • حدد Upload Metadata لرفع ملف بيانات تعريف IdP يدويًا تم تنزيله من موفر الهوية (راجع الخطوة 4 من قسم المتطلبات الأساسية).
        • انقر فوق استعراض لرفع ملف بيانات تعريف IdP.
      • Select التكوين اليدوي to manually configure the URLs and certificates.
        • أدخل عنوان URL للمُصدِّر/عنوان URL لمعرّف الكيان الذي تم الحصول عليه من موفر الهوية في الحقل المقابل. (راجع الخطوة 4 من قسم المتطلبات المسبقة).
        • في عنوان URL لتسجيل الدخول لـ IdP، أدخل عنوان URL لتسجيل الدخول الذي حصلت عليه من موفّر الهوية (راجع الخطوة 4 من المتطلبات الأساسية).
        • في الحقل المخصّص لـ X.509-Certificate، أدخل مفتاح الشهادة العام الذي تم جلبه من موفّر الهوية (راجع الخطوة 4 من قسم المتطلبات الأساسية).
          • ملاحظة:تبدأ شهادة X.509 بـ '-----BEGIN CERTIFICATE-----' وتنتهي بـ '-----END CERTIFICATE-----'. إذا كان هذا النمط—وإن كان الافتراضي في معظم الحالات—غير موجود، فستحتاج إلى إضافته يدويًا إلى الملف.

          تكوين SAML

          مهم:

          • افتراضيًا، يستخدم ADSelfService Plus التكوين نفسه لمصادقة SAML لكلٍ من المصادقة متعددة العوامل أثناء الخدمة الذاتية لكلمة المرور وتسجيل الدخول الموحّد (SSO) أثناء تسجيل الدخول. وهذا يعني أن تكوينات SAML الخاصة بالمصادقة متعددة العوامل ستنعكس تلقائيًا على إعدادات SSO لتسجيل الدخول، إذا كان تسجيل الدخول الموحّد ممكّنًا.
          • عند تحديد خانة الاختيار إنشاء SSO جديد لـ SAML ، يمكنك الحفاظ على تكوين SAML منفصل للمصادقة متعددة العوامل عن طريق إنشاء ACS URL/Recipient URL جديد وSP Metadata ملف جديد. استخدم عنوان ACS URL/Recipient URL الذي تم إنشاؤه حديثًا أو ملف SP Metadata لإنشاء تكوين SAML جديد لـ ADSelfService Plus في موفر الهوية لديك.
          • انقر فوق حفظ، وسيتم إنشاء ACS/Recipient URL الجديد.
          • انسخ قيمة Relay State .
        • إذا كنت تريد استخدام موفّر هوية SAML مخصصًا، فحدد SAML مخصص من القائمة المنسدلة اختيار IdP، وأدخل اسم IdP في حقل اسم IdP. يمكنك أيضًا اختيار إرفاق شعار IdP في حقل شعار IdP.
          • مصادقة SAML
        • انقر فوق الإعدادات المتقدمة لتكوين طلب واستجابة SAML اللذين تتم معالجتهما.
          • مصادقة SAML
        • حدد ما إذا كان طلب SAML المرسل إلى موفّر الهوية (IdP) موقّعًا أم غير موقّع من قائمة طلب SAML المنسدلة.
        • اختر فئة سياق المصادقة المرسلة في طلب SAML من قائمة فئة سياق المصادقة المنسدلة.
        • اختر استجابة SAML وتوقيع التوكيد من القائمتين المنسدلتين المعنيتين لتحديد ما إذا كانت الرسائل الواردة من IdP موقعة أم لا.
          • مصادقة SAML
        • حدِّد خوارزمية التوقيع التي يستخدمها موفّر الهوية (IdP) لتوقيع استجابة وتوكيد SAML من القائمة المنسدلة خوارزمية التوقيع.
          • مصادقة SAML
        • اختر ما إذا كان توكيد SAML مشفّرًا أم غير مشفّر من قائمة تشفير التوكيد المنسدلة.
          • ملاحظة: يرجى التحقق مع موفر الهوية (IdP) مما إذا كان التوكيد المشفر مدعومًا.
          مصادقة SAML
        • إذا كان توكيد SAML مشفرًا، فاختر ما إذا كانت شهادة التشفيرموقعة ذاتيًا أم موقعة من جهة إصدار شهادات (CA) من الخيارات المتاحة في القائمة المنسدلة.
        • إذا كانت شهادة التشفير موقّعة من قِبل هيئة التصديق، فقم برفع المفتاح العام لهيئة التصديق والمفتاح الخاص لهيئة التصديق كما تم تقديمهما من قِبل هيئة التصديق.
          • مصادقة SAML
        • إذا كانت شهادة التشفير موقعة ذاتيًا، فيمكنك تنزيل الشهادة الموقعة ذاتيًا بالنقر على تنزيل الشهادة الموقعة ذاتيًا. ستحتاج إلى ذلك لتهيئة مصادقة SAML في موفر الهوية (IdP).
          مصادقة SAML
          ملاحظة: يمكنك اختيار شهادة التشفير التي تريد استخدامها وفقًا لمتطلبات مؤسستك. ومع ذلك، يُنصح باستخدام شهادة تشفير موقعة من هيئة تصديق (CA).
    6. انقر فوق حفظ.
    7. يظهر أدناه ملخص لتكوين SP. انقر فوق تنزيل بيانات تعريف SP لتنزيل ملف بيانات التعريف وحفظه في مكان ما. سنحتاج إليه في خطوة لاحقة.
      8. مصادقة SAML
    8. لإعادة إنشاء شهادات توقيع SAML وشهادات التشفير الموقعة ذاتيًا، انقر على زر إعادة الإنشاء المقابل لكل من حقلي شهادة التوقيع وشهادة التشفير. تنتهي صلاحية الشهادات افتراضيًا بعد مدة عام واحد.
    ملاحظة: انقر هنا للرجوع إلى القائمة الكاملة لرموز أخطاء مصادقة SAML وأوصافها.

    الخطوة 2: إعداد SAML application في موفر الهوية

    في هذا القسم، قمنا بتغطية خطوات التهيئة لـ

    A. خطوات إعداد SAML application في Okta

    1. سجّل الدخول إلى وحدة تحكم الويب الخاصة بـ Okta باستخدام بيانات اعتماد المسؤول. تأكد من أنك مسجّل الدخول إلى بوابة المسؤول.
    2. انتقل إلى القائمة المنسدلة الخاصة بـواجهة المستخدم الكلاسيكية.
    3. انتقل إلى علامة التبويب applications > اختصار إضافة applications > زر إنشاء تطبيق جديد.
    4. في مربع الحوار الذي يظهر، حدد خيار SAML 2.0، ثم انقر فوق إنشاء.
    5. في الإعدادات العامة، أدخل اسم application الخاص بـ SAML (مثال: SelfService MFA) في حقل اسم التطبيق. حمّل شعارًا لـapplication إذا لزم الأمر، ثم انقر التالي.

      6. الإعدادات العامة

    6. في تكوين SAML، أدخل عنوان URL لـ ACS/عنوان URL للمستلم في حقلي عنوان URL لتسجيل الدخول الأحادي وعنوان URI للجمهور (معرّف كيان موفر الخدمة SP).

      7. إعدادات SAML

      ملاحظة:

      • ACS URL/Recipient URL: سجّل الدخول إلى وحدة تحكم ADSelfService Plus على الويب باستخدام بيانات اعتماد المسؤول. انتقل إلى Configuration tab > Multi-factor Authentication > SAML authentication > ACS URL/Recipient URL. انسخ ACS URL/Recipient URL.
      • إذا كان موفّر الهوية لديك يحتاج إلى بيانات التعريف لموفّر الخدمة، انقر Download SP Metadata وقم بتنزيل ملف XML لإعدادات SAML الخاصة بك.
    7. انقر فوق التالي.
    8. في الملاحظات، حدد ردًا مناسبًا ثم انقر فوق إنهاء.
    9. تظهر علامة تبويب تسجيل الدخول الخاصة بـapplication الذي تم إنشاؤه حديثًا. قم بتنزيل ملف البيانات الوصفية بالنقر على رابط البيانات الوصفية لموفر الهوية. ستحتاج إلى هذا الملف أثناء تكوين مصادقة SAML في ADSelfService Plus. لذا، احفظ هذا الملف واحتفظ به في مكان آمن. أعد تسمية ملف البيانات الوصفية الذي تم تنزيله إلى 'metadata_okta.xml'.

      10. طرق تسجيل الدخول

    10. انقر على علامة التبويب التعيينات وانتقل إلى تعيين. حدد تعيين للأشخاص أو تعيين للمجموعات وفقًا لمتطلباتك. بعد تحديد خيار، انقر على زر حفظ والرجوع.
    11. انقر على تم.

    ب. إعداد SAML application في OneLogin:

    1. سجّل الدخول إلى وحدة التحكم على الويب الخاصة بـ OneLogin باستخدام بيانات اعتماد المسؤول.
    2. انقر فوق زر الإدارة.
    3. انتقل إلى علامة تبويب التطبيقات > إضافة تطبيقات.
    4. ابحث عن SAML في قسم العثور على التطبيقات. اختر SAML Test Connector (IdP) من نتائج البحث.

      5. العثور على موصل اختبار SAML (IdP)

    5. قم بتحديث اسم العرض وشعار application. انقر حفظ.
    6. ضمن علامة التبويب Configuration، أدخل ACS URL/Recipient URL في حقول ACS (Consumer) URL Validator, ACS (Consumer) URL, Recipient وAudience.
      ملاحظة:
      • ACS URL/Recipient URL: سجّل الدخول إلى وحدة تحكم ADSelfService Plus على الويب باستخدام بيانات اعتماد المسؤول. انتقل إلى Configuration tab > Multi-factor Authentication > SAML authentication > ACS URL/Recipient URL. انسخ ACS URL/Recipient URL.
      • إذا كان موفّر الهوية لديك يحتاج إلى البيانات الوصفية لموفّر الخدمة، فانقر Download SP Metadata وقم بتنزيل ملف XML لتكوينات SAML الخاصة بك.
    7. انقر على علامة التبويب المستخدمون وقم بتعيين application للمستخدمين أو المجموعات وفقًا لاحتياجاتك.
    8. من زر المزيد من الإجراءات في اللوحة العلوية، اختر البيانات التعريفية لـ SAML لتنزيل ملف البيانات التعريفية. ستحتاج إلى هذا الملف أثناء تكوين مصادقة SAML في ADSelfService Plus. لذا، احفظ هذا الملف واحتفظ به في مكان آمن.

      9. تكوين الاتصال

    9. انقر فوق حفظ.

    C. إعداد SAML application في AD FS:

    المتطلبات الأساسية:

    لتكوين AD FS للتحقق من الهوية في ADSelfService Plus، ستحتاج إلى المكونات التالية:

    1. خادم AD FS. يمكن العثور على الخطوات التفصيلية لتثبيت AD FS وتكوينه في هذه المقالة من Microsoft.
    2. شهادة SSL لتوقيع صفحة تسجيل الدخول الخاصة بـ AD FS وبصمة تلك الشهادة.

    خطوات الإعداد

    مهم: المصادقة المستندة إلى النماذج هي الطريقة الوحيدة المُكوَّنة للمستخدمين الذين يحاولون الوصول إلى ADSelfService Plus عبر مصادقة AD FS، سواء للاستخدام على الشبكة الداخلية أو الشبكة الخارجية. يمكنك عرض هذا الإعداد في سياسات المصادقة > المصادقة الأساسية > الإعدادات العامة.

    قواعد المطالبات وثقة الطرف المعتمد

    أثناء التكوين، ستحتاج إلى إضافة ثقة لطرف معتمد وإنشاء قواعد المطالبات.

    يتم إنشاء ثقة الطرف المعتمد لإقامة الاتصال بين اثنين من application لأغراض المصادقة من خلال التحقق من المطالبات. في هذه الحالة، سيثق AD FS بـالطرف المعتمد (ADSelfService Plus) ويصادق على المستخدمين استنادا إلى المطالبات المولدة.

    يتم إنشاء المطالبات من قواعد المطالبات عبر تطبيق شروط معينة عليها. المطالبة هي السمة التي تُستخدم للتعرّف على كيان، لتمكين الوصول. على سبيل المثال، Active Directory sAMAccountName.

    الخطوة 1: إضافة علاقة ثقة للطرف المعتمد

    • يتم إنشاء الاتصال بين AD FS و ADSelfService Plus باستخدام علاقة ثقة للطرف المعتمد (RPT). اختر مجلد علاقات الثقة للطرف المعتمد من AD FS.adfs-relying-party-trusts
    • من الشريط الجانبي الإجراءات، حدد إضافة ثقة طرف معتمد. يتم فتح معالج إضافة ثقة طرف معتمد.

      add-adfs-relying-party-trusts-wizard

    • انقر فوق ابدأ.
    • في صفحة تحديد مصدر البيانات، انقر على خيار إدخال بيانات حول الطرف يدويًا ثم انقر التالي.

      adfs-enter-data-party-manually

    • في شاشة تحديد اسم العرض ، أدخل اسم عرض من اختيارك، وملاحظات إضافية إذا لزم الأمر. انقر فوق التالي.

      • adfs-تحديد-اسم-العرض

    • في شاشة اختيار ملف التعريف، انقر فوق زر ملف تعريف ADFS FS. انقر التالي.

      • ملف تعريف ADFS FS

    • في شاشة تكوين الشهادة، تم تطبيق الإعدادات الافتراضية بالفعل. انقر فوق التالي.

      • تكوين شهادة ADFS

    • على شاشة تكوين عنوان URL، حدِّد مربع الاختيار المسمى تمكين دعم بروتوكول SAML 2.0 WebSSO. سيكون عنوان URL لخدمة SSO الخاصة بـ SAML 2.0 للطرف المعتمد هو ACS URL الخاص بخادم ADSSP لديك. لاحظ أنه لا توجد شرطة مائلة لاحقة في نهاية عنوان URL. على سبيل المثال:

      • https://selfservice.com/samlLogin/fdc0aa2a6d1801c525635ee0a71eb34196906b0f 

    ملاحظة: ACS URL/Recipient URL: سجّل الدخول إلى وحدة تحكم ADSelfService Plus على الويب باستخدام بيانات اعتماد المسؤول. انتقل إلى Configuration tab > Multi-factor Authentication > SAML authentication > ACS URL/Recipient URL. انسخ ACS URL/Recipient URL.

    ثقة الطرف المعتمد في AD FS

    • في الشاشة التالية، ضمن خيار معرّفات ثقة الطرف المعتمد، أضف عنوان URL لمُصدِر SP (مثال: https://selfservice.com/samlLogin/fdc0aa2a6d1801c525635ee0a71eb34196906b0f)

      • معرّفات ثقة الطرف المعتمد في ADFS

    • في الشاشة التالية، يمكنك اختيار تكوين إعدادات المصادقة متعددة العوامل لثقة الطرف المعتمد. انقر التالي.
    • على شاشة اختيار قواعد تفويض الإصدار، يمكنك اختيار إما السماح لجميع المستخدمين بالوصول إلى هذا الطرف الموثوق به أو منع جميع المستخدمين من الوصول إلى هذا الطرف الموثوق به. انقر  التالي.
    • ستعرض الشاشتان التاليتان نظرة عامة على الإعدادات التي قمت بتكوينها. في شاشة Finish، انقر Close للخروج من المعالج. إذا كنت قد حددت Open the Edit Claim Rules dialog for this relying party trust when the wizard closes الخيار، فسيُفتح محرر قواعد المطالبات تلقائيًا.

      • مربع حوار قواعد ADFS للطرف المعتمد

    الخطوة 2: إنشاء قواعد المطالبات

    بمجرد تكوين ثقة الطرف المعتمد، يمكنك إنشاء قواعد المطالبات باستخدام محرّر قواعد المطالبات الذي يفتح بشكل افتراضي عند الانتهاء من إنشاء علاقة الثقة.

    • لإنشاء قاعدة جديدة، انقر على إضافة قاعدة.
      • محرر قواعد المطالبات في ADFS
    • من قائمة قوالب قواعد المطالبات المتاحة، اختر إرسال سمات LDAP كمطالبات. انقر فوق التالي.

      • إرسال سمات LDAP كمطالبات في AD FS

    • في الصفحة التالية، أدخل اسم قاعدة المطالبة واختر Active Directory كمخزن السمات.
    • من سمة LDAP العمود, اختر SAMAccountName.
    • من نوع المطالبة الصادرة العمود، اختر معرّف الاسم.
    • انقر فوق إنهاء لحفظ القاعدة.
    ملاحظة: يمكنك اختيار سمات LDAP متعددة وربطها بأنواع المطالبات الصادرة المقابلة لها. على سبيل المثال، يمكنك إضافة سمات مثل الاسم الأول، اسم العائلة، رقم الهاتف، إلخ.

    اختيار نوع القاعدة في ADFS

    • انقر فوق إنهاء، ويمكنك عرض القاعدة التي تم إنشاؤها.

      adfs-edit-claim-details

    بعد إكمال تكوين AD FS، قم بتنزيل ملف بيانات التعريف بالنقر على رابط بيانات التعريف لموفر الهوية. على سبيل المثال:
     https://server_name/FederationMetadata/2007-06/FederationMetadata.xml. 

    ستحتاج إلى هذا الملف أثناء تكوين مصادقة SAML في ADSelfService Plus. لذا، احفظ هذا الملف واحتفظ به في مكان آمن.

    الخطوة 3: تمكين خيار تسجيل الخروج عبر SAML

    • انتقل إلى علاقات ثقة الطرف المعتمد وابحث عن القاعدة التي قمت بإنشائها.
    • انقر بزر الماوس الأيمن على القاعدة المحددة، ثم انقر على خصائص.
    • في النافذة التي تظهر، ابحث عن علامة التبويب Endpoints وانقر فوق زر Add SAML.

      • إضافة SAML إلى ADFS

    • في Trusted URL، الصق SP Logout URL المنسوخ من الخطوة 1 من المتطلبات الأساسية.
    • في علامة التبويب التوقيع، قم بتحميل شهادة X.509 بتنسيق PEM من الخطوة 4 من المتطلبات الأساسية.
    • انقر فوق موافق.

    تسجيل الدخول الأحادي (SSO) الذي يبدأه موفر الهوية (IdP) لـ ADSelfService Plus

    اتبع هذه الخطوات للمصادقة على حساب ADSelfService Plus الخاص بك من خلال AD FS.

    المتطلبات الأساسية

    فعّل RelayState في AD FS.

    • لـ Windows Server 2012:
      • انتقل إلى
        %systemroot%\ADFS\Microsoft.IdentityServer.Servicehost.exe.config الملف في AD FS Server لديك.
      • في قسم <microsoft.identityServer.web>، أدخل الشيفرة التالية: <useRelayStateForIdpInitiatedSignOn enabled="true" />

        مثال على الشيفرة:

        <microsoft.identityServer.web>
        …..
        <useRelayStateForIdpInitiatedSignOn enabled="true" />
        </microsoft.identityServer.web>

      • أعِد تشغيل AD FS Server.
    • لنظام Windows Server 2016:
      • افتح Powershell بصلاحيات المسؤول على AD FS Server.
      • شغّل الأمر التالي لتمكين SSO الذي يبدأ من IdP:
        Set-ADFSProperties -EnableIdPInitiatedSignonPage $true
      • شغّل الشيفرة التالية لتمكين RelayState:
        Set-ADFSProperties -EnableRelayStateForIDPInitiatedSignon $true
      • أعد تشغيل ADFS Server.

    خطوات لإنشاء عنوان URL لـ IdP:

    • سجّل الدخول إلى وحدة تحكم الويب لـ ADSelfService Plus باستخدام بيانات اعتماد المسؤول.
    • انتقل إلى علامة تبويب المسؤول > إعدادات تسجيل الدخول الموحد.
    • في قسم تفاصيل موفر الخدمة ضمن مصادقة SAML، انسخ حالة الترحيل وعنوان URL لجهة إصدار SP.
    • افتح برنامج معالجة الكلمات وأدخل الأمر التالي:
      <IdP_URL_String>RelayState=RPID=<SP_Issuer_URL>&RelayState=<Relay State>
      ملاحظة: بدلاً من IdP URL String، أدخل https://<ADFSserver>/adfs/ls/idpinitiatedsignon.aspx, حيث يشير ADFSserver إلى الخادم الذي تم نشر ADFS عليه.
    • أعطِ مستند Word اسمًا واحفظه. رمّز عنوان URL المحفوظ.

      مثال على الشيفرة:

      بعد إجراء الترميز، سيبدو كما في عنوان URL أدناه:

      https://example.com/adfs/ls/idpinitiatedsignon.aspx?RelayState=RPID%3Dhttps%253A%252F%252Fselfservice-0001%253A9267%252FsamlLogin%252F88d9537b8c5f7376fc78fdfb7591601e85aa8ebb%26RelayState%3DaHR0cHM6Ly9raXJ1YmhhLTUyNTg6OTI2Ny9zYW1sTG9naW4vTG9naW5BdXRo

    D. خطوات إعداد SAML application في Line Works

    1. سجّل الدخول إلى لوحة تحكم مطوري Line Works. انتقل إلى قسم التطبيقات > تطبيقات SAML ثم انقر زر إضافة إلى.

      2. إضافة SAML إلى LINE WORKS

    2. في النافذة التي تظهر، قم بإدخال اسم التطبيق، الوصف والشعار على نحو ملائم في الحقول المخصصة.
    3. في حقلي ACS URL و Issuer URL/Entity ID، أدخل ACS URL/Recipient URL الخاص بـ ADSelfService Plus.
      ملاحظة: ACS URL/Recipient URL: سجّل الدخول إلى واجهة ADSelfService Plus على الويب باستخدام بيانات اعتماد المسؤول. انتقل إلى Configuration tab > Multi-factor Authentication > SAML authentication > ACS URL/Recipient URL. انسخ ACS URL/Recipient URL.

      lineworks-add-saml

    4. في النافذة المنبثقة التي تظهر، انقر فوق موافق.
    5. انتقل إلى قسم تطبيقات SAML وابحث عن الapplication الذي أنشأته للتو. انقر زر تغيير وقم بتغيير الحالة إلى 'الفعالية'. انقر حفظ.

      6. إضافة SAML لـ Lineworks

    E. خطوات إعداد SAML application في Microsoft Entra ID

    1. سجّل الدخول إلى Microsoft Entra ID باستخدام بيانات اعتماد مسؤول عام.
    2. انتقل إلى Azure Azure Active Directory > المؤسسة applications > جميع applications.
    3. اختر جديد application.

      saml-mfa-authentication

    4. انقر فوق أنشئ application الخاص بك.

      saml-mfa-authentication

    5. في النافذة المنبثقة التي تظهر، أدخل اسمًا لـ ADSelfService Plus. حدد زر الاختيار دمج أي application آخر لا تجده في المعرض، ثم انقر فوق إنشاء.

      saml-mfa-authentication

    6. في الصفحة التالية، حدد إعداد تسجيل الدخول الموحد.

      saml-mfa-authentication

    7. حدد SAML، وانقر على تحرير ضمن التكوين الأساسي لـ SAML. املأ التفاصيل التالية المنسوخة في الخطوة 4 من المتطلبات الأساسية:
      • المعرّف: عنوان URL لجهة إصدار SP
      • عنوان URL للرد: عنوان URL لـ ACS/عنوان URL للمستلم
      • حالة الترحيل: Relay State
      • عنوان URL لتسجيل الدخول: عنوان URL للوصول إلى ADSelfService Plus

      saml-mfa-authentication

    8. انتقل إلى شهادة توقيع SAML، ثم انقر فوق إضافة شهادة. هنا يمكنك إنشاء شهادة توقيع SAML جديدة، أو تحميل شهادة موقعة ذاتيًا قمت بإنشائها، أو تحميل شهادة تم الحصول عليها من سلطة إصدار شهادات (CA).
    • لاستيراد شهادة: انقر استيراد شهادة.
    • قم بتحميل الشهادة وأدخل كلمة مرور PFX.

      • مصادقة SAML متعددة العوامل


      مصادقة SAML متعددة العوامل

    • لإضافة شهادة جديدة: انقر على شهادة جديدة ثم حفظ.

      • مصادقة SAML متعددة العوامل


      المصادقة متعددة العوامل عبر SAML

    • انقر على أيقونة المزيد الأيقونة ضمن إدخال الشهادة، ثم اختر تفعيل الشهادة.

      • مصادقة SAML متعددة العوامل

  • بعد إغلاق الشاشة، قم بتنزيل ملف بيانات التعريف بالنقر فوق زر تنزيل الموجود بجوار Federation Metadata XML.

    • المصادقة متعددة العوامل عبر SAML (MFA)

  • بعد إكمال خطوات تهيئة ADSelfService Plus (SP)، اختبر ميزة تسجيل الدخول الموحد بالنقر فوق اختبار.

    • المصادقة متعددة العوامل عبر SAML

    F. خطوات إعداد SAML application في 1Kosmos

    المتطلب المسبق

    أولاً، تحتاج إلى إعداد 1Kosmos كموفّر هوية (IdP) باستخدام الخطوات التالية:

    1. سجّل الدخول إلى بوابة 1Kosmos AdminX باستخدام بيانات اعتماد المسؤول.
    2. انتقل إلى الإعدادات > تكوين موفر الهوية.
    3. انقر إنشاء موفر الهوية لإضافة IdP جديد.
    4. ضمن قسم التكوين الأساسي، أدخل التفاصيل التالية:
      1. الاسم: وفّر اسمًا فريدًا (على سبيل المثال: 1Kosmos).
      2. طلب المصادقة: اختر موقَّعة لضمان أمان طلبات مصادقة SAML.
    5. من قسم بيانات تعريف SAML، قم بتنزيل ملف بيانات تعريف SAML لاستخدامه لاحقًا في ADSelfService Plus.
    6. انقر فوق حفظ.

    خطوات إعداد IdP

    1. سجّل الدخول إلى بوابة 1Kosmos AdminX باستخدام بيانات اعتماد المسؤول.
    2. انتقل إلى التطبيقات > إدارة التطبيقات، ثم انقر فوق إضافة تطبيق.
    3. اعثر على SAML 2.0 Generic ضمن التطبيق المخصص، ثم انقر إضافة تكامل لبدء تكوين SAML application.
    4. راجع المعلومات المعروضة التي توضح الوصول والامتيازات المطلوبة للمتابعة، ثم انقر فوق إضافة تطبيق.
    5. ضمن قسم الإعدادات الأساسية:
      1. أدخل اسم التطبيق المناسب (مثلًا: ADSelfService Plus).
      2. اختر نوع المثيل المطلوب (الإنتاج أو بيئة الاختبار).
      3. أدخل عنوان الوصول الخاص بـ ADSelfService Plus بالتنسيق التالي: https://<FQDN_FOR_ADSSP>/

        على سبيل المثال: https://adselfservice.com/

    6. يمكن إجراء تكوينات SAML إما عن طريق تحميل ملف البيانات التعريفية أو عن طريق إدخال القيم المطلوبة يدويًا.

      (أ) في قسم إعدادات SAML، يمكنك تحميل ملف البيانات التعريفية الذي تم تنزيله من ADSelfService Plus. سيؤدي ذلك إلى تعبئة عبارة التأكيد تلقائيًا ضمن إعدادات SAML، وكذلك معرّف الكيان وعنوان URL لـ ACS ضمن الخيارات المتقدمة.

      (ب) بدلاً من ذلك، يمكنك تكوين ما يلي يدويًا:

      • عبارة التأكيد ضمن إعدادات SAML
        • التنسيق: urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
        • القيمة: email (موجود ضمن سمات جلسة BlockID)
      • الخيارات المتقدمة
        • معرّف الكيان: أدخل عنوان URL لمُصدر مزود الخدمة (SP) الذي تم الحصول عليه من ADSelfService Plus.
        • عنوان URL لخدمة مستهلك التأكيد (ACS): أدخل عنوان URL لـ ACS الذي تم الحصول عليه من ADSelfService Plus وعيّن الطريقة إلى POST.
    7. ضمن قسم الخيارات المتقدمة، انتقل إلى قسم الشهادات لتحميل شهادة X.509 المُرمَّزة بتنسيق PEM التي تم تنزيلها من ADSelfService Plus، وقم بتمكين خانة الاختيار التوكيد لضمان توقيع توكيد SAML.
    8. انقر فوق حفظ.
    الانتقال إلى السابق الموضوع السابقالموضوع التالي الانتقال إلى التالي

    شكرًا!

    تم تقديم طلبك إلى فريق الدعم الفني لـ ADSelfService Plus. سيقوم فريق الدعم الفني لدينا بمساعدتك في أقرب وقت ممكن.

     

    هل تحتاج إلى مساعدة تقنية؟

    • أدخل عنوان بريدك الإلكتروني
    • تحدث إلى الخبراء
    •  
       
    •  
    • بالنقر على 'تحدث إلى الخبراء' فإنك توافق على معالجة البيانات الشخصية وفقًا لـ سياسة الخصوصية.

    لم تجد ما تبحث عنه؟

    •  

      قم بزيارة مجتمعنا

      انشر أسئلتك في المنتدى.

       
    •  

      اطلب موارد إضافية

      أرسل إلينا متطلباتك.

       
    •  

      هل تحتاج إلى مساعدة في التنفيذ؟

      جرّب OnboardPro