إعدادات الدخول المُوحَّد (SSO) والصيانة الاختيارية

طريقة عرض الشهادات بالتبادل

في حال تحميل شهادتين إلى ملف شخصي للدخول المُوحَّد (SSO) عبر SAML، يمكن أن تستخدم Google أيًّا من الشهادتَين للتحقّق من صحة استجابة SAML من موفِّر الهوية (idP)؛ يتيح لك ذلك التبديل الآمن لشهادة ستنتهي صلاحيتها من جهة موفِّر الهوية. يُرجى اتّباع الخطوات التالية قبل 24 ساعة على الأقل من موعد انتهاء صلاحية الشهادة:

  1. أنشِئ شهادة جديدة في موفِّر الهوية.
  2. حمِّل الشهادة كشهادة ثانية إلى "وحدة تحكّم المشرف". للاطّلاع على التعليمات، يُرجى الرجوع إلى مقالة إنشاء ملف شخصي عبر SAML.
  3. انتظِر 24 ساعة للسماح لحسابات مستخدمي Google بالتحديث باستخدام الشهادة الجديدة.
  4. ضبط موفِّر الهوية (IdP) لاستخدام الشهادة الجديدة بدلاً من الشهادة التي ستنتهي صلاحيتها.
  5. (اختياري) بعد تأكيد المستخدمين أنّ بإمكانهم تسجيل الدخول، يمكنك إزالة الشهادة القديمة من "وحدة تحكّم المشرف"؛ ويمكنك بعد ذلك تحميل شهادة جديدة في المستقبل حسب الحاجة.

استخدام ميزة "ملء البريد الإلكتروني تلقائيًا" لتسهيل تسجيل الدخول باستخدام الدخول المُوحَّد (SSO)

لمساعدة المستخدمين في تسجيل الدخول، يمكنك تفعيل خيار ملء البريد الإلكتروني تلقائيًا عند إنشاء ملف شخصي للدخول الموحَّد (SSO) الوارد عبر SAML أو تعديله.

تملأ ميزة "ملء البريد الإلكتروني تلقائيًا" حقل عنوان البريد الإلكتروني تلقائيًا في صفحة تسجيل الدخول لموفِّر الهوية الخارجي. لذلك، يُطلب من المستخدمين إدخال كلمة المرور فقط. يمكنك تفعيل خيار ملء البريد الإلكتروني تلقائيًا عند إنشاء ملف شخصي جديد للدخول المُوحَّد (SSO) الوارد عبر SAML أو تعديل ملف حالي.

تستخدم ميزة "ملء البريد الإلكتروني تلقائيًا" مَعلمة تلميح تسجيل الدخول لإرسال عناوين البريد الإلكتروني للمستخدمين بشكل آمن إلى موفِّر الهوية. هذه المَعلمة هي ميزة شائعة تتوافق مع العديد من موفِّري الهوية الخارجيين لعمليات تسجيل الدخول التي يبدأها موفِّر الهوية.

لا تتوفّر معايير لمَعلمة تلميح تسجيل الدخول، لذا تستخدم موفِّرات الهوية المختلفة صيغًا مختلفة، مثل:

  • login_hint: (متاحة في موفّري الهوية مثل Microsoft Entra)
  • LoginHint: (متاحة في موفّري الهوية مثل Okta)

وبسبب هذه الاختلافات، يجب التأكّد من التنسيق الذي يتيحه موفِّر الهوية واختيار الإعداد المناسب في "وحدة تحكّم المشرف في Google".

خيارات تفعيل ميزة "ملء البريد الإلكتروني تلقائيًا"

تفعيل ميزة "ملء البريد الإلكتروني تلقائيًا" في ملف شخصي جديد

  1. سجِّل الدخول إلى "وحدة تحكّم المشرف في Google" باستخدام حساب مشرف.

    إذا لم تكن تستخدم حساب مشرف، لن تتمكّن من الوصول إلى "وحدة تحكّم المشرف".

  2. في "وحدة تحكّم المشرف في Google"، انتقِل إلى "القائمة" ثم الأمانثمالمصادقةثمالدخول المُوحَّد (SSO) باستخدام موفِّر هوية خارجي.

    يتطلب الحصول على امتياز مشرف إعدادات الأمان.

  3. في قسم ملفات الدخول المُوحَّد (SSO) التابعة لجهات خارجية، انقر على إضافة ملف شخصي مُستنِد إلى SAML.
  4. بالنسبة إلى الملف الشخصي للدخول المُوحَّد (SSO) المستند إلى لغة SAML، أدخِل اسم ملف شخصي.
  5. بالنسبة إلى ملء البريد الإلكتروني تلقائيًا، اختَر الخيار الذي يتطابق مع تنسيق التلميح أثناء تسجيل الدخول المتوافق مع موفّر الهوية.
  6. في قسم تفاصيل موفِّر الهوية، أكمِل الخطوات التالية:
    1. أدخِل رقم تعريف جهة موفِّر الهوية وعنوان URL لصفحة تسجيل الدخول وعنوان URL لصفحة تسجيل الخروج التي حصلت عليها من موفِّر الهوية.
    2. بالنسبة إلى عنوان URL الخاص بتغيير كلمة المرور، أدخِل عنوان URL لتغيير كلمة المرور الخاص بموفِّر الهوية.
      سينتقل المستخدمون إلى عنوان URL هذا لإعادة ضبط كلمات المرور.
  7. انقر على حفظ وواصِل إنشاء الملف الشخصي.

تفعيل ميزة "ملء البريد الإلكتروني تلقائيًا" في ملف شخصي حالي

  1. سجِّل الدخول إلى "وحدة تحكّم المشرف في Google" باستخدام حساب مشرف.

    إذا لم تكن تستخدم حساب مشرف، لن تتمكّن من الوصول إلى "وحدة تحكّم المشرف".

  2. في "وحدة تحكّم المشرف في Google"، انتقِل إلى "القائمة" ثم الأمانثمالمصادقةثمالدخول المُوحَّد (SSO) باستخدام موفِّر هوية خارجي.

    يتطلب الحصول على امتياز مشرف إعدادات الأمان.

  3. في قسم ملفات الدخول المُوحَّد (SSO) التابعة لجهات خارجية، انقر على الملف الشخصي الذي تريد تعديله.
  4. انقر على تفاصيل مقدِّم الخدمة.
  5. بالنسبة إلى ملء البريد الإلكتروني تلقائيًا، اختَر الخيار الذي يتطابق مع تنسيق التلميح أثناء تسجيل الدخول المتوافق مع موفّر الهوية.
  6. انقر على حفظ.

إدارة عناوين URL للخدمات الخاصة بالنطاق

يتيح لك الإعداد عناوين URL للخدمة الخاصة بالنطاق التحكّم في ما يحدث عند تسجيل المستخدمين الدخول باستخدام عناوين URL للخدمة مثل https://mail.google.com/a/example.com.

  1. في "وحدة تحكّم المشرف في Google"، انتقِل إلى "القائمة" ثم الأمانثمالمصادقةثمالدخول المُوحَّد (SSO) باستخدام موفِّر هوية خارجي.

    يتطلب الحصول على امتياز مشرف إعدادات الأمان.

  2. انقر على عناوين URL للخدمة الخاصة بالنطاق لفتح الإعدادات.

وثمة خياران لذلك:

  • إعادة توجيه المستخدمين إلى موفِّر الهوية التابع لجهة خارجية حدِّد هذا الخيار لتوجيه هؤلاء المستخدمين دائمًا إلى موفِّر الهوية التابع لجهة خارجية الذي يمكنك اختياره في القائمة المنسدلة المشتمِلة على الملفات الشخصية للدخول المُوحَّد (SSO). يمكن أن يكون هذا الملف الشخصي للدخول المُوحَّد (SSO) في مؤسستك أو ملفًا شخصيًا آخر تابعًا لجهة خارجية، في حال أضفت ملفًا شخصيًا.

    ملاحظة مهمة: إذا كانت لديك وحدات تنظيمية أو مجموعات لا تستخدم خدمة الدخول المُوحَّد (SSO)، لا تختر هذا الإعداد. وسيتم توجيه المستخدمين الذين لا يستخدمون الدخول المُوحَّد (SSO) تلقائيًا إلى موفِّر الهوية (IdP) ولن يتمكّنوا من تسجيل الدخول.

  • يُطلب من المستخدمين إدخال اسم المستخدم في صفحة تسجيل الدخول على Google. باستخدام هذا الخيار، يتم أولاً إرسال المستخدمين الذين يُدخِلون عناوين URL متعلقة بالنطاق إلى صفحة تسجيل الدخول إلى Google. وإذا كان المستخدمون من مستخدمي خدمة الدخول الموحّد (SSO)، ستتم إعادة توجيههم إلى صفحة تسجيل الدخول لموفِّر الهوية (IdP).

نتائج ربط الشبكة

أقنعة الشبكات هي عناوين IP يتم تمثيلها باستخدام رموز التوجيه بين النطاقات بدون فئات (CIDR). يحدد CIDR عدد وحدات البت التي يتم تضمينها لعنوان IP. يمكن أن يستخدم ملف التعريف للدخول المُوحَّد (SSO) في مؤسستك أقنعة الشبكات لتحديد عناوين IP أو نطاقات عناوين IP التي سيتم تقديمها مع خدمة الدخول المُوحَّد (SSO).

ملاحظة: بالنسبة إلى إعدادات أقنعة الشبكات، تتم إعادة توجيه عناوين URL للخدمة الخاصة بالنطاق فقط، مثل service.google.com/a/example.com، إلى صفحة تسجيل الدخول المُوحَّد (SSO).

من المهم أن يستخدم كل قناع شبكة الصيغة الصحيحة. ففي مثال IPv6 التالي، تُمثّل الشرطة المائلة (/) والرقم الذي يليها رمز CIDR. لن يتم أخذ آخر 96 وحدة بت في الاعتبار، وستتأثر جميع عناوين IP في نطاق الشبكة هذا.

  • 2001:db8::/32

في مثال IPv4 هذا، لن يتم أخذ آخر 8 وحدات بت (بمعنى: الصفر) في الاعتبار، وستتأثر جميع عناوين IP التي كانت في النطاق من 64.233.187.0 إلى 64.233.187.255.

  • 64.233.187.0/24

في النطاقات التي لا تحتوي على قناع الشبكة، يجب إضافة المستخدمين الذين ليسوا مشرفين متميزين إلى موفِّر الهوية (IdP).

تجربة المستخدم للدخول المُوحَّد عند الانتقال إلى عناوين URL لخدمات Google

يعرض الجدول التالي تجربة المستخدم للزيارات المباشرة إلى عناوين URL لخدمة Google، مع قناع شبكة وبدونه:

بدون قناع الشبكة المشرفون المتميّزون هم: المستخدمون هم:
service.google.com سيُطلب منهم إدخال عنوان بريدهم الإلكتروني وكلمة مرورهم على Google. سيُطلب منهم إدخال عناوين بريدهم الإلكتروني، ثم ستتم إعادة توجيههم إلى صفحة تسجيل الدخول إلى الدخول المُوحَّد (SSO).
باستخدام قناع الشبكة المشرفون المتميّزون والمستخدمون المتميّزون:
service.google.com سيُطلب منهم إدخال عنوان البريد الإلكتروني وكلمة المرور.
service.google.com
/a/your_domain.com*
(ضمن قناع الشبكة)		 تتم إعادة توجيهك إلى صفحة تسجيل الدخول إلى الدخول الموحّد (SSO).
service.google.com
/a/your_domain.com
(خارج قناع
الشبكة)		 سيُطلب منهم إدخال عنوان البريد الإلكتروني وكلمة المرور.
accounts.google.com/
o/oauth2/v2/auth?login_hint=
xxxxx@example.com

تتم إعادة توجيه المستخدمين الذين يصلون إلى نقطة نهاية بروتوكول OAuth 2.0 من Google باستخدام مَعلمة عنوان URL‏ login_hint إلى صفحة تسجيل الدخول باستخدام خدمة الدخول المُوحَّد (SSO).

* لا تتوافق جميع الخدمات مع نمط عنوان URL هذا. في ما يلي أمثلة على الخدمات المتوافقة: Gmail وDrive.

انتهاء صلاحية الجلسة عند ضبط قناع الشبكة

قد يتم إنهاء جلسة Google نشطة لمستخدم ويطلب المستخدم إعادة المصادقة في الحالات التالية:

  • وصول مدة جلسة المستخدم إلى الحد الأقصى المسموح به كما هو محدَّد في إعداد التحكّم في جلسة Google ضمن "وحدة تحكّم المشرف".
  • تعديل المشرف حساب المستخدم من خلال تغيير كلمة المرور أو طلب تغيير كلمة المرور من المستخدم عند تسجيل الدخول التالي له (إما من خلال "وحدة تحكّم المشرف" أو باستخدام SDK للمشرف).

تجربة المستخدم

إذا بدأ المستخدم الجلسة على موفِّر هوية تابع لجهة خارجية، سيتم محو الجلسة ويُعاد توجيه المستخدم إلى صفحة "تسجيل الدخول بحساب Google".

بسبب بدء المستخدم لجلسة Google على موفِّر هوية تابع لجهة خارجية، قد لا يعرف سبب ضرورة تسجيل الدخول إلى Google لاستعادة إمكانية الوصول إلى حسابه. قد تتم إعادة توجيه المستخدمين إلى صفحة "تسجيل الدخول بحساب Google" حتى عند محاولة الانتقال إلى عناوين URL الأخرى على Google.

في حال كنت تخطط لإجراء بعض أعمال الصيانة التي تتضمن إنهاء جلسات المستخدمين النشطة وتجنب حدوث ارتباك بين المستخدمين، يمكنك الطلب من المستخدمين تسجيل الخروج من جلساتهم والبقاء على هذا الحال حتى اكتمال أعمال الصيانة.

استرداد حساب المستخدم

عندما تظهر للمستخدم صفحة "تسجيل الدخول بحساب Google" بسبب إنهاء جلسته النشطة، يمكنه استعادة إمكانية الوصول إلى حسابه من خلال تنفيذ أحد الإجراءات التالية:

  • في حال اطِّلاع المستخدم على الرسالة "في حال وصلت إلى هذه الصفحة عن طريق الخطأ، يُرجى النقر هنا لتسجيل الخروج ومحاولة تسجيل الدخول مرة أخرى"، يمكنه النقر على الرابط في الرسالة.
  • في حال لم يطَّلع المستخدم على هذه الرسالة أو الرابط، عليه تسجيل الخروج ثم تسجيل الدخول مرة أخرى من خلال الانتقال إلى https://accounts.google.com/logout.
  • يمكن للمستخدم محو ملفات تعريف الارتباط في المتصفِّح.

وبعد استخدام أي طريقة من طرق الاسترداد، يتم إنهاء جلسة Google بشكل كامل ويمكن للمستخدم تسجيل الدخول بعد ذلك.

إعداد ميزة "التحقّق بخطوتين" باستخدام الدخول المُوحَّد (SSO)

  1. في "وحدة تحكّم المشرف في Google"، انتقِل إلى "القائمة" ثم الأمانثمالمصادقةثماختبارات التحقُّق من تسجيل الدخول.

    يتطلب الحصول على امتياز مشرف إدارة أمان المستخدم.

  2. على يمين الصفحة، اختَر الوحدة التنظيمية التي تريد ضبط السياسة فيها.

    بالنسبة إلى جميع المستخدمين، اختَر الوحدة التنظيمية ذات المستوى الأعلى. في البداية، تكتسب الوحدات التنظيمية الفرعية الإعدادات نفسها الموجودة في الوحدة التنظيمية الأساسية.

  3. انقر على إثبات الهوية بعد الدخول المُوحَّد.

  4. اختَر الإعدادات وفقًا لكيفية استخدام ملفات الدخول المُوحَّد (SSO) في مؤسستك. يمكنك تطبيق إعدادات على المستخدمين الذين يستخدمون الملف الشخصي القديم للدخول المُوحَّد (SSO) والمستخدمين الذين يسجِّلون الدخول باستخدام الملفات الشخصية الأخرى للدخول المُوحَّد (SSO).

  5. انقر على حفظ في أسفل يسار الصفحة.

    تنشئ Google إدخالاً في سجلّ تدقيق المشرف يشير إلى أي تغيير في السياسة.

يعتمد الإعداد التلقائي لإثبات الهوية بعد الدخول المُوحَّد (SSO) على نوع مستخدم خدمة الدخول المُوحَّد:

  • بالنسبة إلى المستخدمين الذين يسجِّلون الدخول باستخدام الملف الشخصي القديم للدخول المُوحَّد (SSO)، يكون الإعداد التلقائي هو تجاوز اختبارات التحقُّق من تسجيل الدخول الإضافية وميزة "التحقُّق بخطوتين".
  • بالنسبة إلى المستخدمين الذين يسجِّلون الدخول باستخدام ملفات الدخول المُوحَّد (SSO)، يكون الإعداد التلقائي هو تطبيق اختبارات التحقُّق من تسجيل الدخول الإضافية وتطبيق ميزة "التحقُّق بخطوتين".

انظر أيضًا


إنّ Google وGoogle Workspace والعلامات والشعارات المرتبطة بهما هي علامات تجارية مسجَّلة مملوكة من قِبل شركة Google LLC. وجميع أسماء الشركات والمنتجات الأخرى هي علامات تجارية تملكها الشركات ذات الصلة بها.