- ما إصدار SAML الذي توفّره واجهة برمجة تطبيقات الدخول المُوحَّد (SSO)؟
- هل يعمل الدخول المُوحَّد (SSO) المستند إلى SAML مع بروتوكول POP3 أو بروتوكول IMAP؟
- هل يعمل الدخول المُوحَّد (SSO) المستند إلى SAML مع خلاصة Gmail Atom؟
- هل يعمل الدخول المُوحَّد (SSO) المستند إلى SAML مع AuthSub؟
- هل يمكننا استخدام RSA بدلاً من DSA لتنفيذ الدخول المُوحَّد؟
- كيف يمكنني إنشاء شهادة التحقق المطلوبة للدخول المُوحَّد (SSO)؟
- إذا نفّذ نطاقنا الدخول المُوحَّد (SSO)، هل سيظل بإمكاننا تسجيل الدخول إلى Google مباشرةً؟
- كيف يمكن حذف ملف تعريف الارتباط للجلسة غير الدائم الذي يحدّد مستخدمًا أثناء جلسة متصفّح (عند تسجيل الخروج مثلاً)؟
- لماذا لا يعمل "تغيير عنوان URL لكلمة المرور"؟
- لماذا يعمل نموذج HTML لاستجابة SAML في Firefox، ولكن لا يعمل في Internet Explorer؟
- كيف يمكنني السماح للمستخدمين بعرض صفحة الشريك الرئيسية بدون مصادقة؟
- ما المقصود بسمة المستلم المطلوبة في استجابة SAML؟
- كيف يمكنني التأكد من أنّ موفر الهوية من جهة خارجية يحدد سمة المستلم الصحيحة؟
ما إصدار SAML الذي توفّره واجهة برمجة تطبيقات الدخول المُوحَّد (SSO)؟
نوفّر حاليًا الإصدار 2.0 من SAML. يمكنك الانتقال إلى http://www.oasis-open.org/specs/index.php#samlv2.0 للعثور على تفاصيل بشأن إصدار 2.0 القياسي من SAML.
هل يعمل الدخول المُوحَّد (SSO) المستند إلى SAML مع بروتوكول POP3 أو بروتوكول IMAP؟
لا، يعمل SAML فقط مع تطبيقات الويب في Google Workspace.
هل يعمل الدخول المُوحَّد (SSO) المستند إلى SAML مع خلاصة Gmail Atom؟
لا، تستخدم خلاصة Gmail Atom مصادقة HTTP الأساسية.
هل يعمل الدخول المُوحَّد (SSO) المستند إلى SAML مع AuthSub؟
نعم، يعمل SAML مع AuthSub.
هل يمكننا استخدام RSA بدلاً من DSA لتنفيذ الدخول المُوحَّد؟
نعم، يمكنك اختيار استخدام خوارزمية التشفير RSA أو DSA. ونقبل كليهما.
كيف يمكنني إنشاء شهادة التحقق المطلوبة للدخول المُوحَّد (SSO)؟
يمكنك إنشاء شهادات X509 باستخدام الأمر openssl. للاطّلاع على التفاصيل، يُرجى قراءة مقالة إنشاء مفاتيح وشهادات من أجل الدخول المُوحَّد (SSO).
إذا نفّذ نطاقنا الدخول المُوحَّد (SSO)، هل سيظل بإمكاننا تسجيل الدخول إلى Google مباشرةً؟
بتنفيذ الدخول المُوحَّد (SSO)، لا يمكن لمستخدمي النطاق تسجيل الدخول إلى Google مباشرةً. ولكن يظل بإمكان المشرفين المتميزين تسجيل الدخول إلى لوحة التحكّم في Google (مثل http://www.google.com/a/example.com).
كيف يمكن حذف ملف تعريف الارتباط غير الدائم للجلسة والذي يحدّد مستخدمًا أثناء جلسة متصفّح (عند تسجيل الخروج مثلاً)؟
بعد إجراء مصادقة ناجحة عبر SAML، تعيّن Google ملف تعريف ارتباط لجلسة لتحديد جلسة مستخدم. عندما يسجّل المستخدم الخروج صراحةً (بالنقر على زر "تسجيل الخروج")، يلزم تدمير ملف تعريف الارتباط هذا. إذا تضمن التنفيذ إدارة جلسة دائمة (وظيفة "تذكرني على هذا الكمبيوتر")، قد يلزمك التحكم في كيفية ووقت تدمير ملف تعريف الارتباط هذا. عند تسجيل الخروج، تعيد Google التوجيه إلى سيرفلت تسجيل الخروج. في سيرفلت تسجيل الخروج، قد تقدّم للمستخدم بعض الخيارات التي قد تحدد ما إذا يجب حذف ملف تعريف الارتباط للجلسة أم لا.
لماذا لا يعمل "تغيير عنوان URL لكلمة المرور"؟
تستغرق التغييرات التي تطرأ على تغيير عنوان URL لكلمة المرور في إعدادات الدخول الموحد ساعة واحدة لكي تصبح سارية المفعول.
لماذا يعمل نموذج HTML لاستجابة SAML في Firefox، ولكن لا يعمل في Internet Explorer؟
قد يكون ذلك بسبب إساءة Internet Explorer لتفسير لغة RelayState. يفسّر المتصفح Internet Explorer "<mpl" على أنّها "<mpl". لمنع حدوث ذلك، يجب تخطي أحرف XML الخاصة في RelayState. يمكنك تغيير { &, <, >, ', " } إلى { &, <, >, ', " }.
كيف يمكنني السماح للمستخدمين بعرض صفحة الشريك الرئيسية بدون مصادقة؟
اطلع على هذا الموضوع في مجموعة المناقشة للحصول على مثال حول استجابة SAML.
ما المقصود بسمة المستلم المطلوبة في استجابة SAML؟
وفقًا للفقرة 4.1.4.2 من مواصفات الملفات الشخصية SAML 2.0، يجب أن تكون سمة المستلم مساوية لعنوان URL لخدمة Assertion Consumer Service (ACS). وتوجد هنا:
<samlp:Response ...>
<saml:Assertion ...>
<saml:Subject>
<saml:NameID ...>user@domain.com</saml:NameID>
<saml:SubjectConfirmation ...>
<saml:SubjectConfirmationData Recipient="https://www.google.com/a/domain.com/acs" .../>
</saml:SubjectConfirmation>
</saml:Subject>
</saml:Assertion>
</samlp:Response>
اطلع على الأسئلة أدناه لمعرفة كيف يمكنك إضافة المستلم إلى استجابة SAML.
كيف يمكنني التأكد من أن موفر الهوية من جهة خارجية يحدد سمة المستلم الصحيحة؟
إذا دعم موفر هوية تجاري أو برنامج مفتوح المصدر SAML 2.0، فمن المفترض تحديد سمة المستلم الصحيحة بالفعل. إذا حصلت على إحدى رسائل الخطأ أعلاه، فهذا يعني أن سمة المستلم غير صحيحة. وفي هذه الحالة، اتصل بالمورد أو مُصلح البرنامج، وأرسل إليه الرابط لهذه الصفحة.
باستخدام الدخول الموحد، هل يمكن للمستخدمين مصادقة أنفسهم باستخدام عنوان URL لصفحة تسجيل دخول لوحة تحكم المشرف؟
نعم. يسمح لك الدخول الموحَّد (SSO) المستند إلى SAML بنقل صلاحية تسجيل الدخول إلى Google Workspace إلى برنامج موفر الهوية التابع لك (مثل: بوابة تسجيل الدخول الحالية). يتحكّم برنامجك في مصادقة حسابات المستخدم ويديرها، وسيعيد Google Workspace توجيه محاولة تسجيل الدخول إلى بوابة الدخول المُوحَّد. ولكن من المهم تذكر أنه سيظل بإمكان المشرفين إدارة هذه الخدمات باستخدام عنوان URL لصفحة تسجيل الدخول للمشرف في وحدة تحكم المشرف في Google (https://www.google.com/a/example.com). وهذا يمنحك المرونة إذا كانت بوابة الدخول الموحّد (SSO) تواجه مشكلة أو تحتاج إلى التحديث.
ماذا تعني رسالة الخطأ هذه "لا يمكن الوصول إلى هذه الخدمة؛ لأن طلب تسجيل الدخول لا يحتوي على أي معلومات للمستلم"؟
يعني ذلك أن استجابة SAML تفقد سمة المستلم المطلوبة.
ماذا تعني رسالة الخطأ هذه: "لا يمكن الوصول إلى هذه الخدمة لأن طلب تسجيل الدخول يحتوي على معلومات مستلم غير صالحة"؟
يعني ذلك أن سمة المستلم في استجابة SAML لا تطابق عنوان URL لخدمة مستهلك Assertion (ACS).
ما المقصود برسالة الخطأ هذه: "لا يمكن الوصول إلى هذا الحساب؛ نظرًا لتعذر التحقق من صحة بيانات اعتماد تسجيل الدخول"؟
يعني هذا عادةً أنّ المفتاح الخاص المستخدَم للتوقيع على SAMLResponse لا يتطابق مع شهادة المفتاح العام المحفوظة في Google Workspace. يُرجى تحميل الشهادة في إعدادات الدخول المُوحَّد (SSO) في لوحة التحكم وإعادة المحاولة.