نقل البيانات من الملف الشخصي القديم للدخول المُوحَّد إلى الملفات الشخصية للدخول المُوحَّد

توفّر Google Workspace طريقتَين لإعداد الدخول المُوحَّد (SSO) باستخدام Google بصفتها "جهة معتمَدة" لموفِّر الهوية:

  • الملف الشخصي القديم للدخول المُوحَّد (SSO) : يتيح لك ضبط موفِّر هوية واحد فقط لمؤسستك.
  • ملفّات التعريف للدخول المُوحَّد (SSO) : هي الطريقة الأحدث والمُقترَحة لإعداد الدخول المُوحَّد. تتيح لك تطبيق إعدادات مختلفة للدخول المُوحَّد على مستخدمين مختلفين في مؤسستك، وتتوافق مع كلٍّ من SAML وOIDC، وتتضمّن واجهات برمجة تطبيقات أكثر حداثة، وستركّز Google عليها في الميزات الجديدة.

ننصح جميع العملاء بالانتقال إلى الملفات الشخصية للدخول المُوحَّد للاستفادة من هذه المزايا. يمكن أن تتعايش ملفات الدخول المُوحَّد (SSO) مع ملف الدخول المُوحَّد (SSO) في مؤسستك، ما يتيح لك اختبار ملفات الدخول المُوحَّد (SSO) الجديدة قبل نقل بيانات مؤسستك بالكامل.

نظرة عامة على عملية نقل البيانات

  1. في "وحدة تحكُّم المشرف"، يجب إنشاء ملف شخصي للدخول المُوحَّد (SSO) لموفِّر الهوية وتسجيل الملف الشخصي الجديد لدى موفِّر الهوية.
  2. يمكنك تخصيص مستخدمين اختباريين لاستخدام الملف الشخصي الجديد للتأكّد من أنّه يعمل.
  3. يمكنك تخصيص الوحدة التنظيمية العليا للملف الشخصي الجديد.
  4. يمكنك تعديل عناوين URL الخاصة بالنطاق لاستخدام الملف الشخصي الجديد.
  5. التنظيم: يمكنك إلغاء تسجيل مقدّم الخدمة القديم، والتأكّد من أنّ إدارة حسابات المستخدمين التلقائية لا تزال تعمل.

الخطوة 1: إنشاء ملف شخصي للدخول المُوحَّد (SSO)

  1. اتّبِع هذه الخطوات لإنشاء ملف شخصي جديد للدخول المُوحَّد (SSO) المستنِد إلى معيار SAML. يجب أن يستخدم ملفك الشخصي الجديد موفِّر الهوية نفسه المُستخدَم في ملفك الشخصي الحالي للدخول المُوحَّد (SSO) في مؤسستك.

  2. يجب تسجيل الملف الشخصي الجديد للدخول المُوحَّد (SSO) لدى موفِّر الهوية (IdP) كمقدِّم خدمة جديد.

    سيظهر الملف الشخصي الجديد لموفّر الهوية كمقدّم خدمة منفصل (قد يُطلِق عليه "التطبيقات" أو "الجهات المعتمدة"). تختلف طريقة تسجيل "مقدّم الخدمة" الجديد حسب موفِّر الهوية، ولكن يتطلّب ذلك عادةً ضبط رقم تعريف الكيان وعنوان URL لخدمة Assertion Consumer Service (ACS) للملف الشخصي الجديد.

ملاحظات لمستخدمي واجهة برمجة التطبيقات

  • في حال استخدام ملف التعريف للدخول المُوحَّد (SSO) لمؤسستك، لا يمكنك استخدام سوى واجهة برمجة تطبيقات إعدادات مشرف حسابات Google Workspace لإدارة إعدادات الدخول المُوحَّد (SSO).
  • يمكن لواجهة برمجة التطبيقات Cloud Identity API إدارة الملفات الشخصية للدخول المُوحَّد (SSO) على أنّها inboundSamlSsoProfiles، وتخصيصها للمجموعات أو الوحدات التنظيمية باستخدام inboundSsoAssignments.

الاختلافات بين الملفات الشخصية للدخول المُوحَّد والملف الشخصي القديم للدخول المُوحَّد

تأكيدات المشرف المتميّز

لا تقبل الملفات الشخصية للدخول المُوحَّد (SSO) التأكيدات حول المشرفين المتميّزين. عند استخدام ملف الدخول المُوحَّد (SSO) في مؤسستك، يتم قبول التأكيدات، ولكن لا تتم إعادة توجيه المشرفين المتميّزين إلى موفِّر الهوية. على سبيل المثال، سيتم قبول التأكيدات التالية:

  • يتبع المستخدم رابط مشغّل التطبيقات من موفِّر الهوية (SAML الذي يبدأه موفِّر الهوية).
  • ينتقل المستخدم إلى عنوان URL للخدمة الخاص بنطاق معيّن (على سبيل المثال، https://mail.google.com/a/your_domain.com).
  • يسجّل المستخدم الدخول إلى جهاز Chromebook تم ضبطه للانتقال مباشرةً إلى موفِّر الهوية (IdP). مزيد من المعلومات.

إعدادات التحقّق بعد الدخول المُوحَّد (SSO)

تختلف الإعدادات التي تتحكّم في عملية التحقّق بعد الدخول المُوحَّد (مثل اختبارات التحقق من تسجيل الدخول أو ميزة "التحقّق بخطوتين") في ملفات الدخول المُوحَّد عن الإعدادات في ملف الدخول المُوحَّد لمؤسستك. لتجنُّب الالتباس، ننصحك بضبط كلا الإعدادَين على القيمة نفسها. مزيد من المعلومات

الخطوة 2: تخصيص مستخدمين اختباريين للملف الشخصي

من المستحسن اختبار ملف الدخول المُوحَّد (SSO) الجديد في البداية على مستخدمين في مجموعة أو وحدة تنظيمية واحدة قبل نقله إلى جميع المستخدمين. يمكنك استخدام مجموعة أو وحدة تنظيمية حالية، أو إنشاء مجموعة جديدة حسب الحاجة.

إذا كانت لديك أجهزة ChromeOS مُدارة، ننصحك بإجراء الاختبار استنادًا إلى الوحدة التنظيمية، لأنّه يمكنك تخصيص أجهزة ChromeOS إلى الوحدات التنظيمية، ولكن ليس إلى المجموعات.

  1. (اختياري) يمكنك إنشاء وحدة تنظيمية أو مجموعة ضبط جديدة وتخصيص المستخدمين الاختباريين لها.
  2. اتّبِع هذه الخطوات لـ تخصيص المستخدمين لملف الدخول المُوحَّد (SSO) الجديد.

ملاحظات للمؤسسات التي تستخدم أجهزة ChromeOS مُدارة

إذا أعددت خدمة الدخول المُوحَّد (SSO) لأجهزة ChromeOS لكي يتمكّن المستخدمون من الانتقال مباشرةً إلى موفِّر الهوية (IdP)، ستحتاج إلى اختبار سلوك الدخول المُوحَّد بشكل منفصل لهؤلاء المستخدمين.

يُرجى العِلم أنّه لكي تنجح عملية تسجيل الدخول، يجب أن يتطابق ملف الدخول المُوحَّد (SSO) المُخصَّص للوحدة التنظيمية للجهاز مع ملف الدخول المُوحَّد (SSO) المُخصَّص للوحدة التنظيمية لمستخدم الجهاز.

على سبيل المثال، إذا كانت لديك حاليًا وحدة تنظيمية لموظفي "المبيعات" الذين يستخدمون أجهزة Chromebook مُدارة ويسجلون الدخول مباشرةً إلى موفِّر الهوية، يمكنك إنشاء وحدة تنظيمية مثل "sales_sso_testing"، وضبطها لاستخدام الملف الشخصي الجديد، ثم نقل بعض المستخدمين وأجهزة Chromebook التي يستخدمونها إلى تلك الوحدة التنظيمية.

الخطوة 3: تخصيص الوحدة التنظيمية العليا وتعديل عناوين URL للخدمة

بعد اختبار ملف الدخول المُوحَّد (SSO) الجديد بنجاح على مجموعة أو وحدة تنظيمية اختبارية، يمكنك نقله إلى مستخدمين آخرين.

  1. انتقِل إلى الأمان ثم الدخول المُوحَّد (SSO) باستخدام موفِّري هوية خارجيين ثم إدارة عمليات تخصيص الملفات الشخصية للدخول المُوحَّد (SSO).
  2. انقر على إدارة.
  3. يجب اختيار الوحدة التنظيمية ذات المستوى الأعلى وتخصيصها للملف الشخصي الجديد للدخول المُوحَّد (SSO).
  4. (اختياري) إذا تم تخصيص وحدات تنظيمية أو مجموعات أخرى لملف الدخول المُوحَّد (SSO) في مؤسستك، يمكنك تخصيصها لملف الدخول المُوحَّد (SSO) الجديد.

الخطوة 4: تعديل عناوين URL الخاصة بالنطاق

إذا كانت مؤسستك تستخدم عناوين URL خاصة بالنطاق (على سبيل المثال، https://mail.google.com/a/your_domain.com)، يمكنك تعديل هذا الإعداد لاستخدام ملف الدخول المُوحَّد (SSO) الجديد:

  1. انتقِل إلى الأمان ثم الدخول المُوحَّد (SSO) باستخدام موفِّري هوية خارجيين ثم عناوين URL للخدمة الخاصة بالنطاق.
  2. ضمن "إعادة توجيه المستخدمين تلقائيًا إلى موفِّر الهوية (IdP) التابع لجهة خارجية في الملف الشخصي التالي للدخول المُوحَّد (SSO)"، اختَر الملف الشخصي الجديد للدخول المُوحَّد (SSO) من القائمة المنسدلة.

الخطوة 5: التنظيم

  1. في قسم الأمان ثم الدخول المُوحَّد (SSO) باستخدام موفِّري هوية خارجيين ثم ملفات التعريف للدخول المُوحَّد (SSO)، انقر على الملف الشخصي القديم للدخول المُوحَّد (SSO) لفتح إعدادات الملف الشخصي.
  2. أزِل العلامة من المربّع تفعيل الملف الشخصي القديم للدخول المُوحَّد (SSO) لإيقاف الملف الشخصي القديم.
  3. يُرجى التأكُّد من أنّ عملية التوفير التلقائي لمتطلبات المستخدمين اللازمة التي تم إعدادها باستخدام موفِّر الهوية تعمل بشكل صحيح مع ملفك الشخصي الجديد للدخول المُوحَّد.
  4. يمكنك إلغاء تسجيل "مقدّم الخدمة" القديم من موفِّر الهوية.