- ما إصدار SAML الذي توفّره واجهة برمجة تطبيقات الدخول المُوحَّد (SSO)؟
- هل يعمل الدخول المُوحَّد (SSO) المستند إلى SAML مع بروتوكول POP3 أو بروتوكول IMAP؟
- هل يعمل الدخول المُوحَّد (SSO) المستند إلى SAML مع خلاصة Gmail Atom؟
- هل يعمل الدخول المُوحَّد (SSO) المستند إلى SAML مع AuthSub؟
- هل يمكننا استخدام RSA بدلاً من DSA لتنفيذ الدخول المُوحَّد؟
- كيف يمكنني إنشاء شهادة التحقّق المطلوبة للدخول المُوحَّد (SSO)؟
- إذا نفّذ نطاقنا الدخول المُوحَّد (SSO)، هل سيظل بإمكاننا تسجيل الدخول إلى Google مباشرةً؟
- كيف يمكن حذف ملف تعريف الارتباط غير الدائم للجلسة والذي يحدّد مستخدمًا أثناء جلسة متصفّح (عند تسجيل الخروج مثلاً)؟
- لماذا لا يعمل "تغيير عنوان URL لكلمة المرور"؟
- لماذا يعمل نموذج HTML لاستجابة SAML في Firefox، ولكن لا يعمل في Internet Explorer؟
- كيف يمكنني السماح للمستخدمين بعرض صفحة الشريك الرئيسية بدون مصادقة؟
- ما المقصود بسمة المستلم المطلوبة في استجابة SAML؟
- كيف يمكنني التأكد من أنّ موفّر الهوية من جهة خارجية يحدّد سمة المستلم الصحيحة؟
ما إصدار SAML الذي توفّره واجهة برمجة تطبيقات الدخول المُوحَّد (SSO)؟
نوفّر حاليًا الإصدار 2.0 من SAML. يمكنك زيارة http://www.oasis-open.org/specs/index.php#samlv2.0 للعثور على تفاصيل بشأن إصدار 2.0 القياسي من SAML.
هل يعمل الدخول المُوحَّد (SSO) المستند إلى SAML مع بروتوكول POP3 أو بروتوكول IMAP؟
لا، يعمل SAML فقط مع تطبيقات الويب في Google Workspace.
هل يعمل الدخول المُوحَّد (SSO) المستند إلى SAML مع خلاصة Gmail Atom؟
لا، تستخدم خلاصة Gmail Atom مصادقة HTTP الأساسية.
هل يعمل الدخول المُوحَّد (SSO) المستند إلى SAML مع AuthSub؟
نعم، يعمل SAML مع AuthSub.
هل يمكننا استخدام RSA بدلاً من DSA لتنفيذ الدخول المُوحَّد؟
نعم، يمكنك اختيار استخدام خوارزمية التشفير RSA أو DSA. ونقبل كليهما.
كيف يمكنني إنشاء شهادة التحقق المطلوبة للدخول المُوحَّد (SSO)؟
يمكنك إنشاء شهادات X509 باستخدام الأمر openssl. للاطّلاع على التفاصيل، يُرجى قراءة مقالة إنشاء مفاتيح وشهادات من أجل الدخول المُوحَّد (SSO).
إذا نفّذ نطاقنا الدخول المُوحَّد (SSO)، هل سيظل بإمكاننا تسجيل الدخول إلى Google مباشرةً؟
بتنفيذ الدخول المُوحَّد (SSO)، لا يمكن لمستخدمي النطاق تسجيل الدخول إلى Google مباشرةً. ولكن يظل بإمكان المشرفين المتميزين تسجيل الدخول إلى لوحة التحكّم في Google (مثل http://www.google.com/a/example.com).
كيف يمكن حذف ملف تعريف الارتباط للجلسة غير الدائم الذي يحدّد مستخدمًا أثناء جلسة متصفّح (عند تسجيل الخروج مثلاً)؟
بعد إجراء مصادقة ناجحة عبر SAML، تعيّن Google ملف تعريف ارتباط لجلسة لتحديد جلسة مستخدم. عندما يسجّل المستخدم الخروج صراحةً (بالنقر على زر "تسجيل الخروج" مثلاً)، يلزم تدمير ملف تعريف الارتباط هذا. إذا تضمن التنفيذ إدارة جلسة دائمة (وظيفة "تذكرني على هذا الكمبيوتر")، قد يلزمك التحكم في كيفية ووقت تدمير ملف تعريف الارتباط هذا. عند تسجيل الخروج، تعيد Google التوجيه إلى سيرفلت تسجيل الخروج. في سيرفلت تسجيل الخروج، قد تقدّم للمستخدم بعض الخيارات التي قد تحدد ما إذا يجب حذف ملف تعريف الارتباط للجلسة أم لا.
لماذا لا يعمل "تغيير عنوان URL لكلمة المرور"؟
تستغرق التغييرات التي تطرأ على تغيير عنوان URL لكلمة المرور في إعدادات الدخول الموحد ساعة واحدة لكي تصبح سارية المفعول.
لماذا يعمل نموذج HTML لاستجابة SAML في Firefox، ولكن لا يعمل في Internet Explorer؟
قد يكون ذلك بسبب إساءة Internet Explorer لتفسير لغة RelayState. يفسّر المتصفح Internet Explorer "<mpl" على أنّها "<mpl". لمنع حدوث ذلك، يجب تخطي أحرف XML الخاصة في RelayState. يمكنك تغيير { &, <, >, ', " } إلى { &, <, >, ', " }.
كيف يمكنني السماح للمستخدمين بعرض صفحة الشريك الرئيسية بدون مصادقة؟
اطّلع على هذا الموضوع في مجموعة المناقشة للحصول على مثال حول استجابة SAML.
ما المقصود بسمة المستلم المطلوبة في استجابة SAML؟
وفقًا للفقرة 4.1.4.2 من مواصفات الملفات الشخصية SAML 2.0، يجب أن تكون سمة المستلم مساوية لعنوان URL لخدمة Assertion Consumer Service (ACS). يمكنك العثور عليه هنا:
<samlp:Response ...>
<saml:Assertion ...>
<saml:Subject>
<saml:NameID ...>user@domain.com</saml:NameID>
<saml:SubjectConfirmation ...>
<saml:SubjectConfirmationData Recipient="https://www.google.com/a/domain.com/acs" .../>
</saml:SubjectConfirmation>
</saml:Subject>
</saml:Assertion>
</samlp:Response>
اطّلِع على الأسئلة أدناه لمعرفة كيف يمكنك إضافة المستلم إلى استجابة SAML.
كيف يمكنني التأكد من أنّ موفّر الهوية من جهة خارجية يحدّد سمة "المستلم" الصحيحة؟
إذا كان موفر الهوية التجاري أو مفتوح المصدر يتيح استخدام SAML 2.0، من المفترض أن يحدّد سمة المستلم الصحيحة. إذا ظهرت لك إحدى رسائل الخطأ أعلاه، فهذا يعني أنّ سمة "المستلم" غير صحيحة. وفي هذه الحالة، اتصل بالمورد أو مُصلح البرنامج، وأرسل إليه الرابط لهذه الصفحة.
باستخدام الدخول المُوحَّد، هل يمكن للمستخدمين مصادقة أنفسهم باستخدام عنوان URL لصفحة تسجيل دخول عنصر تحكّم خاص بالمشرف؟
نعم. يسمح لك الدخول الموحَّد (SSO) المستند إلى SAML بنقل صلاحية تسجيل الدخول إلى Google Workspace إلى برنامج موفر الهوية التابع لك (مثل: بوابة تسجيل الدخول الحالية). يتحكّم برنامجك في مصادقة حسابات المستخدم ويديرها، وسيعيد Google Workspace توجيه محاولة تسجيل الدخول إلى بوابة الدخول المُوحَّد. ولكن من المهم تذكُّر أنّه سيظل بإمكان المشرفين إدارة هذه الخدمات باستخدام عنوان URL لصفحة تسجيل الدخول للمشرف في "وحدة تحكّم المشرف في Google" (https://www.google.com/a/example.com). وهذا يمنحك المرونة إذا كانت بوابة الدخول الموحّد (SSO) تواجه مشكلة أو تحتاج إلى التحديث.
ماذا تعني رسالة الخطأ هذه "لا يمكن الوصول إلى هذه الخدمة؛ لأن طلب تسجيل الدخول لا يحتوي على أي معلومات للمستلم"؟
يعني ذلك أنّ استجابة SAML تفتقد سمة المستلم المطلوبة.
ماذا تعني رسالة الخطأ هذه: "لا يمكن الوصول إلى هذه الخدمة لأن طلب تسجيل الدخول يحتوي على معلومات مستلم غير صالحة"؟
يعني ذلك أنّ سمة المستلم في استجابة SAML لا تتطابق مع عنوان URL لخدمة Assertion Consumer Service (ACS).
ما المقصود برسالة الخطأ هذه: "لا يمكن الوصول إلى هذا الحساب؛ نظرًا لتعذُّر التحقّق من صحة بيانات اعتماد تسجيل الدخول"؟
يعني هذا عادةً أنّ المفتاح الخاص المستخدَم للتوقيع على SAMLResponse لا يتطابق مع شهادة المفتاح العام المحفوظة في Google Workspace. يُرجى تحميل الشهادة في إعدادات الدخول المُوحَّد (SSO) في لوحة التحكم وإعادة المحاولة.