الانتقال إلى السابق الموضوع السابقالموضوع التالي الانتقال إلى التالي

    تكوين مصادقة البطاقة الذكية عبر ADSelfService Plus

    باستخدام مُصادِق البطاقات الذكية، يمكنك حماية تطبيقات المؤسسات، وأجهزة Windows، وإجراءات الخدمة الذاتية مثل إعادة تعيين كلمات المرور وإلغاء قفل الحسابات، وتسجيلات الدخول إلى Outlook على الويب، وتسجيلات الدخول إلى VPN عبر روابط تحقق آمنة، وتسجيلات الدخول إلى ADSelfService Plus.

    تكوين البطاقات الذكية للمصادقة متعددة العوامل

    اتبع الخطوات أدناه لمعرفة كيفية إعداد البطاقات الذكية للمصادقة متعددة العوامل.

    المتطلبات الأساسية

    • يجب أن يستخدم ADSelfService Plus اتصالًا عبر HTTPS. تعرّف على المزيد.
    • احصل على الشهادة الجذرية من جهة إصدار الشهادات (CA). احتفظ بهذه الشهادة في مكان آمن، فستحتاج إلى هذا الملف أثناء تكوين مُصادِق البطاقة الذكية. إذا كنت تستخدم خدمات شهادات Active Directory (AD CS) كجهة الإصدار لديك، فقم بتنزيل ملف الشهادة من http://<CertificateAuthorityServerName>/certsrv/.
    ملاحظة: استبدل <CertificateAuthorityServerName> في عنوان URL باسم AD Server الخاص بك.
    مهم: يوفّر Windows عمليات تسجيل دخول قائمة على البطاقات الذكية بشكل افتراضي، وستحتاج إلى تعطيلها لاستخدام أداة مصادقة البطاقات الذكية في ADSelfService Plus، وطرق المصادقة متعددة العوامل الأخرى، والتحقق من كلمة مرور AD لتأمين عمليات تسجيل الدخول إلى الأجهزة. للتعرّف على ماهية البطاقات الذكية، وكيف تعمل عملية المصادقة، وطرق أخرى للاستفادة من مصادقة البطاقات الذكية باستخدام ADSelfService Plus، انقر هنا.

    إعداد بيئة مصادقة البطاقة الذكية الخاصة بك

    يمكن إجراء التسجيل لمصادقة البطاقة الذكية من قبل المستخدمين وكذلك من قبل المسؤول. ستحتاج إلى الرجوع إلى الوثائق التي يوفرها مزوّد البطاقة الذكية لديك لتحقيق ذلك. فيما يلي الخطوات العامة الواجب اتباعها.

    1. يحتاج المستخدمون إلى أن تصدر لهم سلطة إصدار الشهادات (CA) في مؤسستك شهادة رقمية ومفتاحًا خاصًا. إذا كنت تستخدم AD CS، يمكنك الرجوع إلى دليل Microsoft، الذي يشرح كيف يمكن لكل من المسؤولين والمستخدمين طلب الشهادات والحصول عليها.
    2. يجب إضافة الشهادات المصدرة على هذا النحو إلى السمة userCertificate في AD للمستخدمين المعنيين.
    ملاحظة: يمكن تجاهل الخطوة الثانية عندما تكون خدمات شهادات Active Directory (AD CS) هي سلطة إصدار الشهادات (CA)، إذ يتم ربط الشهادات الرقمية للمستخدمين تلقائيًا بسمة userCertificate الخاصة بهم في Active Directory (AD). إذا تم استخدام سلطة إصدار شهادات خارجية لتسجيل البطاقات الذكية، فيجب استيراد الشهادات إلى AD وربطها بسمة userCertificate. معرفة المزيد.
    1. الآن، يجب تسجيل الشهادة والمفتاح الخاص (اللذان يصدران عادةً معًا كملف PFX) الخاصين بالمستخدمين والصادرين من سلطة إصدار الشهادات (CA) على البطاقات الذكية لإتمام خطوات الإعداد.

    بالنسبة إلى البطاقات الذكية على الأجهزة:

    • ويندوز: استورد ملف PFX مباشرةً إلى المخزن الشخصي للمستخدم عبر أداة إدارة الشهادات (certmgr.exe).
    • macOS: غير قابل للتطبيق (لا تتوافق مع macOS إلا البطاقات الذكية المادية).
    • لينكس: باستخدام إعدادات متصفحك، قم باستيراد ملف PFX عبر علامة تبويب مدير الشهادات، وشهادة الجذر لسلطة التصديق (CA) عبر علامة تبويب السلطات.

    For physical smart cards, please refer to the documentation provided by your smart card vendor on how to enroll the certificates with the hardware.

    خطوات الإعداد

    1. سجّل الدخول إلى بوابة ADSelfService Plus على الويب باستخدام بيانات اعتماد المسؤول.
    2. انتقل إلى التكوين > المصادقة متعددة العوامل > مصادقة البطاقة الذكية.

    لقطة شاشة

    1. في حقل استيراد شهادة الجذر لسلطة الشهادات، انقر فوق استعراض لاستيراد ملف شهادة الجذر المطلوب (شهادة X.509) الذي تم الحصول عليه في الخطوة الثانية من قسم المتطلبات المسبقة أعلاه.
    2. انقر فوق حفظ.

    ملاحظة:

    • يُوصى بإعادة تشغيل ADSelfService Plus بعد تكوين البطاقة الذكية لضمان عمل عامل المصادقة بشكل صحيح.
    • في الوقت الحالي، يمكن استخدام المصادقة عبر البطاقات الذكية لحماية تطبيقات المؤسسات، وأجهزة Windows، وإجراءات الخدمة الذاتية مثل إعادة تعيين كلمات المرور وإلغاء قفل الحسابات، وعمليات تسجيل الدخول إلى Outlook على الويب، وتسجيلات الدخول إلى VPN عبر روابط تحقق آمنة، وتسجيلات الدخول إلى ADSelfService Plus.
    • يمكن تكوين عمليات تسجيل دخول بدون كلمة مرور لبوابة ADSelfService Plus باستخدام البطاقات الذكية. تعرف على المزيد.
    • لا تُدعَم المصادقة بالبطاقة الذكية لتسجيلات الدخول إلى أجهزة macOS أو Linux، أو موقع ADSelfService Plus المخصص للجوّال، أو تطبيق الجوّال.
    • تتطلب المصادقة بالبطاقة الذكية أن يكون عامل تسجيل الدخول بالإصدار 8.6 أو أعلى لميزة MFA لتسجيل الدخول إلى Windows. إذا كان عامل تسجيل الدخول بإصدار أقدم وكانت المصادقة بالبطاقة الذكية مُصادِقاً إلزامياً أو طريقة MFA الوحيدة المُعدّة لتسجيلات الدخول إلى الأجهزة، فسيتم رفض الوصول.
    • لا تُدعَم المصادقة بالبطاقة الذكية عند تمكين موازن التحميل أو الوكيل العكسي لـ ADSelfService Plus.
    • إن إعداد الثقة بهذا المتصفح غير مدعوم لتسجيلات الدخول إلى تطبيقات المؤسسات أو بوابة ADSelfService Plus عندما تكون المصادقة بالبطاقة الذكية هي عامل المصادقة الوحيد المُكوَّن.

    تعطيل موفر بيانات اعتماد البطاقة الذكية في Windows

    عند تأمين عمليات تسجيل الدخول إلى الأجهزة باستخدام مُصادق البطاقة الذكية الخاص بـ ADSelfService Plus، تكون كلمة المرور مطلوبة أولاً، تليها المصادقة بالبطاقة الذكية (MFA). ومع ذلك، يوفّر Windows أيضاً مصادقة أصلية بالبطاقة الذكية تتيح للمستخدمين تسجيل الدخول إلى الأجهزة بمجرد إدخال بطاقة ذكية، مما يلغي الحاجة إلى إدخال كلمة مرور. ولضمان تأمين الأجهزة باستخدام كلٍ من كلمة المرور والمصادقة متعددة العوامل (MFA) الخاصة بـ ADSelfService Plus، ستحتاج إلى تعطيل عمليات تسجيل الدخول الأصلية بالبطاقة الذكية على الأجهزة عبر كائن نهج المجموعة (GPO) باتباع الخطوات أدناه.

    1. لتعطيل موفر بيانات اعتماد البطاقة الذكية، يجب تكوين إعداد نهج مجموعة Windows باستخدام إما محرر نهج المجموعة المحلي (gpedit.msc) أو محرر إدارة نهج المجموعة (gpmc.msc):
      1. قم بتعديل نهج مجموعة موجود أو أنشئ نهج مجموعة جديدًا ثم انتقل إلى تكوين الكمبيوتر > النهج > القوالب الإدارية > النظام > تسجيل الدخول > استبعاد موفري بيانات الاعتماد.
      2. انقر بزر الماوس الأيمن فوق استبعاد موفري بيانات الاعتماد، ثم انقر فوق تحرير.
      3. اختر مفعّل.

    لقطة شاشة

    1. في الحقل استبعاد موفري بيانات الاعتماد التاليين، أدخل {8FD7E19C-3BF7-489B-A72C-846AB3678C96} لتعطيل المصادقة الافتراضية عبر البطاقة الذكية في ويندوز لعمليات تسجيل الدخول إلى الجهاز.
    ملاحظة: يُوصى بتعطيل جميع موفري بيانات الاعتماد في Windows باستثناء موفر بيانات اعتماد كلمة المرور، أثناء تأمين عمليات تسجيل الدخول إلى أجهزة Windows باستخدام ADSelfService Plus.

    لقطة شاشة

    1. انقر فوق تطبيق ثم موافق.

    إدارة تكوينات المصادقة بالبطاقة الذكية

    بعد إضافة بطاقة ذكية للمصادقة، يمكنك تنفيذ أي من الوظائف التالية:

    لقطة شاشة

    إضافة بطاقة ذكية جديدة
    1. انتقل إلى التكوين > المصادقة متعددة العوامل > مصادقة البطاقة الذكية.
    2. انقر فوق زر إضافة سلطة إصدار الشهادات في الزاوية العلوية اليمنى.
    3. أدخل جميع التفاصيل المطلوبة ثم انقر على حفظ.
    تمكين أو تعطيل بطاقة ذكية مهيأة
    1. انتقل إلى التكوين > المصادقة متعددة العوامل > مصادقة البطاقة الذكية.
    2. لتمكين أو تعطيل بطاقة ذكية مكونة، انقر فوق الأيقونة الحمراء (أيقونة التعطيل) أو أيقونة علامة الاختيار الخضراء (أيقونة التمكين) الموجودة في عمود الإجراءات لبطاقة ذكية معينة.
    حذف بطاقة ذكية مهيأة
    1. انتقل إلى التكوين > المصادقة متعددة العوامل > مصادقة البطاقة الذكية.
    2. انقر على أيقونة الحذف (أيقونة الحذف) على البطاقة الذكية التي ترغب في حذفها.
    3. انقر فوق نعم لتأكيد الحذف.
    الانتقال إلى السابق الموضوع السابقالموضوع التالي الانتقال إلى التالي

     

    شكرًا!

    تم تقديم طلبك إلى فريق الدعم الفني لـ ADSelfService Plus. سيساعدك فريق الدعم الفني لدينا في أقرب وقت ممكن.

     

    هل تحتاج إلى مساعدة فنية؟

    • أدخل بريدك الإلكتروني
    • تحدث إلى الخبراء
    •  

       

    •  

    • بالنقر على 'تحدث إلى الخبراء' فإنك توافق على معالجة البيانات الشخصية وفقًا لـ سياسة الخصوصية.
     

    لم تجد ما تبحث عنه؟

    • قم بزيارة مجتمعنا

      انشر أسئلتك في المنتدى.

    • اطلب موارد إضافية

      أرسل إلينا متطلباتك.

    • هل تحتاج إلى مساعدة في التنفيذ؟

      جرّب OnboardPro