نقل البيانات من الملف الشخصي القديم للدخول المُوحَّد إلى الملفات الشخصية للدخول المُوحَّد

توفّر Google Workspace طريقتَين لإعداد الدخول المُوحَّد (SSO) باستخدام Google بصفتها "جهة معتمَدة" لموفِّر الهوية:

  • ملف الدخول المُوحَّد (SSO) القديم: يتيح لك ضبط موفِّر هوية واحد فقط لمؤسستك.
  • ملفّات التعريف للدخول المُوحَّد (SSO): هي الطريقة الأحدث والمُقترَحة لإعداد الدخول المُوحَّد. تتيح لك هذه الطريقة تطبيق إعدادات مختلفة للدخول المُوحَّد (SSO) على مستخدمين مختلفين في مؤسستك، وتتوافق مع كل من SAML وOIDC، كما تحتوي على واجهات برمجة تطبيقات أكثر تقدمًا، وستكون تركيز Google على الميزات الجديدة.

ننصح جميع العملاء بالانتقال إلى الملفات الشخصية للدخول المُوحَّد للاستفادة من هذه المزايا. يمكن أن تتعايش ملفات الدخول المُوحَّد (SSO) مع ملف الدخول المُوحَّد (SSO) في مؤسستك، ما يتيح لك اختبار ملفات الدخول المُوحَّد (SSO) الجديدة قبل نقل بيانات مؤسستك بالكامل.

نظرة عامة على عملية نقل البيانات

  1. في "وحدة تحكُّم المشرف"، يجب إنشاء ملف شخصي للدخول المُوحَّد (SSO) لموفِّر الهوية وتسجيل الملف الشخصي الجديد لدى موفِّر الهوية.
  2. يمكنك تخصيص مستخدمين اختباريين لاستخدام الملف الشخصي الجديد للتأكّد من أنّه يعمل.
  3. يمكنك تخصيص الوحدة التنظيمية العليا للملف الشخصي الجديد.
  4. يمكنك تعديل عناوين URL الخاصة بالنطاق لاستخدام الملف الشخصي الجديد.
  5. التنظيم: يمكنك إلغاء تسجيل مقدّم الخدمة القديم، والتأكّد من أنّ إدارة حسابات المستخدمين التلقائية لا تزال تعمل.

الخطوة 1: إنشاء ملف شخصي للدخول المُوحَّد (SSO)

  1. يُرجى اتّباع هذه الخطوات لإنشاء ملف شخصي جديد للدخول المُوحَّد (SSO) المستند إلى لغة SAML. يجب أن يستخدم ملفك الشخصي الجديد موفِّر الهوية نفسه المُستخدَم في ملفك الشخصي الحالي للدخول المُوحَّد (SSO) في مؤسستك.

  2. يجب تسجيل ملف الدخول المُوحَّد الجديد لدى موفِّر الهوية كمقدِّم خدمة جديد.

    سيظهر الملف الشخصي الجديد لموفّر الهوية كمقدّم خدمة منفصل (قد يُطلِق عليه "التطبيقات" أو "الجهات المعتمدة"). تختلف طريقة تسجيل "مقدّم الخدمة" الجديد حسب موفِّر الهوية، ولكن يتطلّب ذلك عادةً ضبط رقم تعريف الكيان وعنوان URL لخدمة Assertion Consumer Service (ACS) للملف الشخصي الجديد.

ملاحظات لمستخدمي واجهة برمجة التطبيقات

  • في حال استخدام ملف تعريف الدخول المُوحَّد (SSO) لمؤسستك، لا يمكنك استخدام سوى واجهة برمجة تطبيقات إعدادات مشرف Google Workspace لإدارة إعدادات الدخول المُوحَّد (SSO).
  • يمكن لواجهة برمجة التطبيقات Cloud Identity API إدارة الملفات الشخصية للدخول المُوحَّد (SSO) على أنّها inboundSamlSsoProfiles، وتخصيصها للمجموعات أو الوحدات التنظيمية باستخدام inboundSsoAssignments.

الاختلافات بين الملفات الشخصية للدخول المُوحَّد والملف الشخصي القديم للدخول المُوحَّد

تأكيدات المشرف المتميّز

لا تقبل الملفات الشخصية للدخول المُوحَّد (SSO) التأكيدات حول المشرفين المتميّزين. عند استخدام الملف الشخصي للدخول المُوحَّد (SSO) لمؤسستك، يتم قبول التأكيدات، ولكن لا تتم إعادة توجيه المشرفين المتميّزين إلى موفِّر الهوية. على سبيل المثال، سيتم قبول التأكيدات التالية:

  • يتبع المستخدم رابط مشغّل التطبيقات من موفِّر الهوية (SAML الذي يبدأه موفِّر الهوية).
  • ينتقل المستخدم إلى عنوان URL للخدمة الخاص بنطاق معيّن (على سبيل المثال، https://drive.google.com/a/your_domain.com).
  • يسجّل المستخدم الدخول إلى جهاز Chromebook تم ضبطه للانتقال مباشرةً إلى موفِّر الهوية (IdP). مزيد من المعلومات

إعدادات عملية التحقّق بعد الدخول المُوحَّد (SSO)

تختلف الإعدادات التي تتحكّم في عملية التحقّق بعد الدخول المُوحَّد (مثل اختبارات التحقق من تسجيل الدخول أو ميزة "التحقّق بخطوتين") في ملفات الدخول المُوحَّد عن الإعدادات في ملف الدخول المُوحَّد لمؤسستك. لتجنُّب الالتباس، ننصحك بضبط كلا الإعدادَين على القيمة نفسها. مزيد من المعلومات

الخطوة 2: تخصيص مستخدمين اختباريين للملف الشخصي

من الأفضل اختبار ملفك الشخصي الجديد للدخول المُوحَّد (SSO) في البداية على المستخدمين في مجموعة أو وحدة تنظيمية واحدة قبل التبديل إلى جميع المستخدمين. يمكنك استخدام مجموعة أو وحدة تنظيمية حالية، أو إنشاء مجموعة جديدة حسب الحاجة.

إذا كانت لديك أجهزة ChromeOS مُدارة، ننصحك بإجراء الاختبار استنادًا إلى الوحدة التنظيمية، لأنّه يمكنك تخصيص أجهزة ChromeOS إلى الوحدات التنظيمية، ولكن ليس إلى المجموعات.

  1. (اختياري) يمكنك إنشاء وحدة تنظيمية أو مجموعة ضبط جديدة وتخصيص المستخدمين الاختباريين لها.
  2. يُرجى اتّباع هذه الخطوات لتخصيص المستخدمين للملف الشخصي الجديد للدخول المُوحَّد.

ملاحظات للمؤسسات التي تستخدم أجهزة ChromeOS مُدارة

إذا أعددت خدمة الدخول المُوحَّد (SSO) لأجهزة ChromeOS لكي يتمكّن المستخدمون من الانتقال مباشرةً إلى موفِّر الهوية (IdP)، ستحتاج إلى اختبار سلوك الدخول المُوحَّد بشكل منفصل لهؤلاء المستخدمين.

يُرجى العِلم أنّه لكي يتمكّن المستخدم من تسجيل الدخول، يجب أن يتطابق الملف الشخصي للدخول المُوحَّد (SSO) الذي تم تخصيصه للوحدة التنظيمية للجهاز مع الملف الشخصي للدخول المُوحَّد الذي تم تخصيصه للوحدة التنظيمية لمستخدم الجهاز.

على سبيل المثال، إذا كانت لديك حاليًا وحدة تنظيمية للمبيعات خاصة بالموظفين الذين يستخدمون أجهزة Chromebook مُدارة ويسجّلون الدخول مباشرةً إلى موفِّر الهوية، أنشئ وحدة تنظيمية مثل "sales_sso_testing"، واضبطها لاستخدام الملف الشخصي الجديد، وانقل بعض المستخدمين وأجهزة Chromebook التي يستخدمونها إلى تلك الوحدة التنظيمية.

الخطوة 3: تخصيص الوحدة التنظيمية العليا وتعديل عناوين URL للخدمة

بعد اختبار ملف الدخول المُوحَّد الجديد بنجاح في مجموعة اختبارية أو وحدة تنظيمية، تصبح مستعدًا لتبديل المستخدمين الآخرين.

  1. انتقِل إلى الأمانثمالدخول المُوحَّد (SSO) باستخدام موفِّري هوية خارجيينثمإدارة عمليات تخصيص الملفات الشخصية للدخول المُوحَّد (SSO).
  2. انقر على إدارة.
  3. اختَر الوحدة التنظيمية ذات المستوى الأعلى وخصِّصها لملف الدخول المُوحَّد (SSO) الجديد.
  4. (اختياري) في حال تخصيص وحدات تنظيمية أو مجموعات أخرى إلى ملف الدخول المُوحَّد (SSO) لمؤسستك، يمكنك تخصيصها لملف الدخول المُوحَّد (SSO) الجديد.

الخطوة 4: تعديل عناوين URL الخاصة بالنطاق

إذا كانت مؤسستك تستخدم عناوين URL خاصة بالنطاق (على سبيل المثال، https://mail.google.com/a/your_domain.com)، يمكنك تعديل هذا الإعداد لاستخدام الملف الشخصي الجديد للدخول المُوحَّد (SSO):

  1. انتقِل إلى الأمانثمالدخول المُوحَّد (SSO) باستخدام موفِّري هوية خارجيينثمعناوين URL للخدمة الخاصة بالنطاق.
  2. ضمن "إعادة توجيه المستخدمين تلقائيًا إلى موفِّر الهوية (IdP) التابع لجهة خارجية في الملف الشخصي التالي للدخول المُوحَّد (SSO)"، اختَر الملف الشخصي الجديد للدخول المُوحَّد (SSO) من القائمة المنسدلة.

الخطوة 5: التنظيف

  1. في قسم الأمانثمالدخول المُوحَّد (SSO) باستخدام موفِّري هوية خارجيينثمملفات الدخول المُوحَّد (SSO)، انقر على الملف الشخصي القديم للدخول المُوحَّد (SSO) لفتح إعدادات الملف الشخصي.
  2. أزِل العلامة من المربّع تفعيل الملف الشخصي القديم للدخول المُوحَّد (SSO) لإيقاف الملف الشخصي القديم.
  3. يُرجى التأكُّد من أنّ عملية التوفير التلقائي لمتطلبات المستخدمين اللازمة التي تم إعدادها باستخدام موفِّر الهوية تعمل بشكل صحيح مع ملفك الشخصي الجديد للدخول المُوحَّد.
  4. يمكنك إلغاء تسجيل "مقدّم الخدمة" القديم من موفِّر الهوية.