إعداد الدخول المُوحَّد (SSO)

يمكنك إعداد الدخول المُوحَّد (SSO) عن طريق Google كمقدِّم خدمة بعدة طرق، وفقًا لاحتياجات مؤسستك. تتوافق حزمة Google Workspace مع كلّ من بروتوكول الدخول الموحَّد (SSO) المستنِد إلى SAML والمستنِد إلى OIDC.

• تمنحك الملفات الشخصية للدخول الموحَّد (SSO) التي تتضمن إعدادات موفِّر الهوية (IdP) المرونة لتطبيق إعدادات مختلفة للدخول المُوحَّد (SSO) على مستخدمين مختلفين في مؤسستك. يمكنك إنشاء ملفات شخصية مستندة إلى معيار SAML أو ملفات شخصية مخصّصة لمعيار OIDC أو استخدام ملف Microsoft Entra OIDC الشخصي التلقائي الذي لا يحتاج إلى أيّ إعدادات.
• بعد إنشاء ملفات الدخول المُوحَّد (SSO)، يمكنك تخصيص الملفات الشخصية للوحدات التنظيمية أو المجموعات من أجل ضبط موفِّر الهوية (IdP) لهؤلاء المستخدمين. يمكنك أيضًا إيقاف خدمة "الدخول المُوحَّد" (SSO) في وحدات تنظيمية أو مجموعات معيّنة.

إذا كان المستخدمون يستخدمون عناوين URL للخدمة الخاصة بالنطاق للوصول إلى خدمات Google (على سبيل المثال، https://mail.google.com/a/example.com)، يمكنك أيضًا إدارة كيفية عمل عناوين URL هذه مع الدخول المُوحَّد (SSO).

إذا كانت مؤسستك بحاجة إلى إعادة توجيه مشروطة للدخول المُوحَّد استنادًا إلى عنوان IP، أو الدخول المُوحَّد للمشرفين المتميّزين، يمكنك أيضًا ضبط الملف الشخصي القديم للدخول المُوحَّد.

إعداد الدخول المُوحَّد باستخدام "لغة ترميز تأكيد الأمان" (SAML)

قبل البدء

لإعداد ملف شخصي للدخول المُوحَّد (SSO) المستند إلى لغة SAML، ستحتاج إلى بعض الضبط الأساسي من فريق دعم موفِّر الهوية أو مستنداته:

• رقم تعريف جهة موفِّر الهوية: هذه هي الطريقة التي يعرّف بها موفِّر الهوية نفسه عند التواصل مع Google.
• عنوان URL لصفحة تسجيل الدخول: يُعرف هذا أيضًا باسم عنوان URL للدخول الموحَّد (SSO) أو نقطة نهاية SAML 2.0 (HTTP). وهذا هو المكان الذي يسجّل فيه المستخدمون الدخول إلى موفِّر الهوية (IdP).
• عنوان URL لصفحة تسجيل الخروج: الصفحة التي يصل إليها المستخدم بعد الخروج من تطبيق Google أو الخدمة.
• عنوان URL لتغيير كلمة المرور: الصفحة التي سينتقل إليها مستخدمو الدخول الموحّد (SSO) لتغيير كلمة المرور (بدلاً من تغيير كلمة مرورهم مع Google).
• الشهادة: شهادة X.509 PEM من موفِّر الهوية. تحتوي الشهادة على المفتاح العام الذي يُستخدم لإثبات صحة عملية تسجيل الدخول من موفِّر الهوية.

إنشاء ملف شخصي للدخول المُوحَّد (SSO) عبر SAML

اتّبِع الخطوات التالية لإنشاء ملف شخصي للدخول المُوحَّد (SSO) تابع لجهة خارجية. يمكنك إنشاء ما يصل إلى 1,000 ملف شخصي في مؤسستك.

1. في "وحدة تحكّم المشرف في Google"، انتقِل إلى "القائمة" الأمانالمصادقةالدخول المُوحَّد (SSO) باستخدام موفِّر هوية خارجي.

   الانتقال إلى الدخول الموحّد (SSO) باستخدام موفِّر هوية خارجي

   يتطلب الحصول على امتياز مشرف إعدادات الأمان.

2. في قسم ملفات الدخول المُوحَّد (SSO) التابعة لجهات خارجية، انقر على إضافة ملف شخصي مُستنِد إلى SAML.
3. بالنسبة إلى الملف الشخصي للدخول المُوحَّد (SSO) المستند إلى لغة SAML، أدخِل اسم ملف شخصي.
4. (اختياري) بالنسبة إلى ملء البريد الإلكتروني تلقائيًا، اختَر الخيار الذي يتطابق مع تنسيق التلميح أثناء تسجيل الدخول المتوافق مع موفّر الهوية. لمزيد من التفاصيل، يُرجى الانتقال إلى استخدام ميزة "ملء البريد الإلكتروني تلقائيًا" لتسهيل تسجيل الدخول باستخدام الدخول المُوحَّد (SSO).
5. في قسم تفاصيل موفِّر الهوية، أكمِل الخطوات التالية:
   1. أدخِل رقم تعريف جهة موفِّر الهوية وعنوان URL لصفحة تسجيل الدخول وعنوان URL لصفحة تسجيل الخروج التي حصلت عليها من موفِّر الهوية.
   2. بالنسبة إلى عنوان URL الخاص بتغيير كلمة المرور، أدخِل عنوان URL لتغيير كلمة المرور الخاص بموفِّر الهوية. سينتقل المستخدمون إلى عنوان URL هذا لإعادة ضبط كلمات المرور.

6. انقر على تحميل الشهادة.

   يمكنك تحميل شهادتَين كحد أقصى، ما يمنحك خيار تبديل الشهادتين عند الضرورة.

7. انقر على حفظ.

8. في القسم تفاصيل مقدِّم الخدمة، انسخ رقم تعريف الجهة وعنوان URL لخدمة ACS واحفظهما. ستحتاج إلى هذه القيم لضبط الدخول المُوحَّد (SSO) مع Google في لوحة تحكُّم المشرف لموفِّر الهوية (IdP).

9. (اختياري) إذا كان موفِّر الهوية يتيح تأكيد التشفير، يمكنك إنشاء شهادة ومشاركتها باستخدام موفِّر الهوية لتفعيل التشفير. يمكن أن يحتوي كل ملف شخصي للدخول المُوحَّد (SSO) عبر SAML على ما يصل إلى شهادتَي مقدِّم الخدمة.

   1. انقر على قسم تفاصيل مقدِّم الخدمة للدخول إلى وضع التعديل.
   2. بالنسبة إلى شهادة مقدّم الخدمة، انقر على إنشاء شهادة.
   3. انقر على حفظ. انسخ محتوى الشهادة أو نزِّلها كملف.
   4. شارِك الشهادة مع موفِّر الهوية.
   5. (اختياري) لتغيير شهادة، يمكنك الرجوع إلى تفاصيل مقدِّم الخدمة والنقر على إنشاء شهادة أخرى، ثم مشاركة الشهادة الجديدة مع موفِّر الهوية. وبعد التأكُّد من استخدام موفِّر الهوية للشهادة الجديدة، يمكنك حذف الشهادة الأصلية.

ضبط موفِّر الهوية

لضبط موفِّر الهوية من أجل استخدام ملف الدخول المُوحَّد هذا، يُرجى إدخال المعلومات الواردة في قسم تفاصيل مقدِّم الخدمة في الملف الشخصي في الحقول المناسبة في إعدادات الدخول المُوحَّد لموفِّر الهوية. يكون كل من عنوان URL لخدمة ACS ورقم تعريف الكيان فريدًا لهذا الملف الشخصي.

نقل البيانات من الملفات الشخصية القديمة المستندة إلى لغة SAML إلى الملفات الشخصية للدخول المُوحَّد (SSO)

إذا كانت مؤسستك تستخدم الملف الشخصي القديم للدخول المُوحَّد (SSO)، ننصحك بالانتقال إلى الملفات الشخصية للدخول المُوحَّد (SSO) التي توفّر العديد من المزايا، بما في ذلك توافقها مع بروتوكول OpenID Connect ‫(OIDC) واستخدام واجهات برمجة تطبيقات أكثر حداثة ومرونة أكبر في تطبيق إعدادات الدخول المُوحَّد (SSO) على مجموعات المستخدمين. مزيد من المعلومات

إعداد الدخول المُوحَّد باستخدام بروتوكول OIDC

يُرجى اتّباع الخطوات التالية لاستخدام الدخول المُوحَّد المستنِد إلى بروتوكول OIDC:

1. يمكنك اختيار أحد خيارات OIDC، إما إنشاء ملف شخصي مخصّص لمعيار OIDC، حيث تقدّم معلومات لشريكك في OIDC، أو استخدام ملف Microsoft Entra OIDC الشخصي الذي تم ضبطه مسبقًا.
2. يُرجى اتّباع الخطوات الواردة في تحديد المستخدمين الذين عليهم استخدام الدخول المُوحَّد (SSO) لتخصيص ملف OIDC الشخصي الذي تم ضبطه مسبقًا للوحدات التنظيمية/المجموعات المُحدَّدة.

إذا كان لديك مستخدمون داخل وحدة تنظيمية (على سبيل المثال في وحدة تنظيمية فرعية) لا يحتاجون إلى الدخول الموحّد (SSO)، يمكنك أيضًا استخدام المهام لإيقاف الدخول الموحّد لهؤلاء المستخدمين.

ملاحظة: لا تتيح واجهة سطر أوامر Google Cloud حاليًا إعادة المصادقة باستخدام OIDC.

قبل البدء

لإعداد ملف شخصي مخصّص لبروتوكول OIDC، ستحتاج إلى بعض الإعدادات الأساسية من فريق دعم موفِّر الهوية أو مستنداته:

• عنوان URL لجهة الإصدار: عنوان URL الكامل لخادم مصادقة موفِّر الهوية.
• عميل OAuth، يتم تحديده من خلال معرّف العميل ويتم مصادقة استخدامه من خلال سر العميل.
• عنوان URL لتغيير كلمة المرور الصفحة التي سينتقل إليها مستخدمو الدخول الموحّد (SSO) لتغيير كلمة المرور (بدلاً من تغيير كلمة مرورهم مع Google).

تحتاج Google أيضًا إلى موفِّر الهوية لتنفيذ ما يلي:

• يجب أن تتطابق مطالبة email الواردة من موفِّر الهوية مع عنوان البريد الإلكتروني الأساسي للمستخدم من جانب Google.
• ويجب أن تستخدم مسار رمز التفويض.

إنشاء ملف شخصي مخصّص لمعيار OIDC

1. في "وحدة تحكّم المشرف في Google"، انتقِل إلى "القائمة" الأمانالمصادقةالدخول المُوحَّد (SSO) باستخدام موفِّر هوية خارجي.

   الانتقال إلى الدخول الموحّد (SSO) باستخدام موفِّر هوية خارجي

   يتطلب الحصول على امتياز مشرف إعدادات الأمان.

2. ضمن ملفات الدخول المُوحَّد (SSO) التابعة لجهات خارجية، انقر على إضافة ملف شخصي عبر OIDC.
3. أدخِل اسمًا لملف OIDC الشخصي.
4. أدخِل تفاصيل OIDC: "معرِّف العميل" و"عنوان URL الخاص بجهة الإصدار" و"سر العميل".
5. انقر على حفظ.
6. في صفحة إعدادات الدخول المُوحَّد باستخدام بروتوكول OIDC في الملف الشخصي الجديد، يجب نسخ معرّف الموارد المنتظم (URI) لإعادة التوجيه. ستحتاج إلى تعديل عميل OAuth في موفِّر الهوية للردّ على الطلبات باستخدام معرّف الموارد المنتظم هذا.

لتعديل الإعدادات، مرِّر مؤشر الماوس فوق تفاصيل بروتوكول OIDC، ثم انقر على "تعديل" .

استخدام ملف Microsoft Entra OIDC الشخصي

يُرجى التأكُّد من ضبط المتطلّبات الأساسية التالية لاستخدام OIDC في مستأجر Microsoft Entra ID الخاص بمؤسستك:

• يجب أن يكون مستأجر Microsoft Entra ID قد تم التحقّق منه باستخدام النطاق.
• يجب أن يكون لدى المستخدمين النهائيين تراخيص Microsoft 365.
• يجب أن يتطابق اسم المستخدم (البريد الإلكتروني الأساسي) لمشرف Google Workspace الذي يخصّص الملف الشخصي للخدمة مع عنوان البريد الإلكتروني الأساسي لحساب المشرف مستأجر Azure AD.

تحديد المستخدمين الذين يجب عليهم استخدام الدخول المُوحَّد (SSO)

يمكنك تفعيل الدخول المُوحَّد (SSO) لوحدة تنظيمية أو مجموعة من خلال تخصيص ملف شخصي للدخول المُوحَّد (SSO) وموفِّر الهوية (IdP) المرتبط به. أو يمكنك إيقاف الدخول المُوحَّد (SSO) من خلال تحديد القيمة "بدون" للملف الشخصي الخاص بالدخول المُوحَّد (SSO). يمكنك أيضًا تطبيق سياسة دخول مُوحَّد (SSO) مختلطة على وحدة تنظيمية أو مجموعة، مثل تفعيل الدخول المُوحَّد (SSO) للوحدة التنظيمية بالكامل ثم إيقافها لوحدة تنظيمية فرعية.

إذا لم يسبق لك إنشاء ملف SAML أو OIDC، يجب إجراء ذلك قبل المتابعة. أو يمكنك تخصيص ملف OIDC الشخصي الذي تم ضبطه مسبقًا.

1. انقر على إدارة عمليات تخصيص الملفات الشخصية للدخول المُوحَّد (SSO).
2. إذا كانت هذه هي المرة الأولى التي تُخصِّص فيها الملف الشخصي للدخول المُوحَّد (SSO)، انقر على "البدء". بخلاف ذلك، يمكنك النقر على إدارة المهام.
3. على يمين الصفحة، اختَر الوحدة التنظيمية أو المجموعة التي تريد أن تخصص لها الملف الشخصي للدخول المُوحَّد (SSO).
   • في حال اختلاف تخصيص الملف الشخصي للدخول الموحَّد (SSO) لوحدة تنظيمية أو مجموعة عن تخصيص الملف الشخصي على مستوى النطاق، سيظهر تحذير إلغاء عند اختيار هذه الوحدة التنظيمية أو المجموعة.
   • لا يمكنك تخصيص الملف الشخصي للدخول المُوحَّد (SSO) لكل مستخدم على حدة. تتيح لك طريقة عرض "المستخدمون" التحقّق من الإعداد لمستخدم محدّد.
4. اختَر تخصيص الملف الشخصي للدخول المُوحَّد (SSO) للوحدة التنظيمية أو المجموعة المحدّدة:
   • لاستبعاد الوحدة التنظيمية أو المجموعة من الدخول المُوحَّد (SSO)، اختَر بدون. وسيسجّل المستخدمون في الوحدة التنظيمية أو المجموعة الدخول مباشرةً باستخدام حساب Google.
   • لتخصيص موفِّر هوية (IdP) آخر للوحدة التنظيمية أو المجموعة، اختَر ملف شخصي آخر للدخول المُوحَّد (SSO)، ثم اختَر الملف الشخصي للدخول المُوحَّد (SSO) من القائمة المنسدلة.

5. (الملفات الشخصية للدخول الموحَّد (SSO) عبر SAML فقط) بعد اختيار ملف شخصي عبر SAML، حدِّد خيار تسجيل الدخول للمستخدمين الذين ينتقلون مباشرةً إلى خدمة Google بدون تسجيل الدخول أولاً إلى موفِّر الهوية (IdP) التابع لجهة خارجية في الملف الشخصي للدخول المُوحَّد (SSO). يمكنك توجيه المستخدمين إلى اسم مستخدم Google الخاص بهم ثم إعادة توجيههم إلى موفِّر الهوية، أو يمكنك مطالبة المستخدمين بإدخال اسم المستخدم وكلمة المرور لحسابهم على Google.

   ملاحظة: إذا اخترت أن يُطلب من المستخدمين إدخال اسم المستخدم وكلمة المرور لحساب Google، سيتم تجاهُل الإعداد عنوان URL لتغيير كلمة المرور لهذا الملف الشخصي للدخول الموحّد (SSO) عبر SAML (متاح في الملف الشخصي للدخول الموحّد (SSO) > تفاصيل موفِّر الهوية (IDP)). يضمن ذلك قدرة المستخدمين على تغيير كلمات مرور Google حسب الحاجة.

6. انقر على حفظ.

7. (اختياري) يمكنك تخصيص ملفات الدخول المُوحَّد (SSO) الشخصية للوحدات التنظيمية أو المجموعات الأخرى حسب الحاجة.

بعد إغلاق بطاقة إدارة عمليات تخصيص الملفات الشخصية للدخول المُوحَّد (SSO)، ستظهر لك عمليات التخصيص التي تم تعديلها للوحدات التنظيمية والمجموعات في القسم إدارة عمليات تخصيص الملفات الشخصية للدخول المُوحَّد (SSO).

إزالة عملية تخصيص ملف شخصي للدخول المُوحَّد (SSO)

1. انقر على اسم مجموعة أو وحدة تنظيمية لفتح إعدادات تخصيص الملف الشخصي.
2. استبدِل إعدادات عملية التخصيص الحالية بإعدادات الوحدة التنظيمية الرئيسية:
   • بالنسبة إلى عمليات تخصيص الوحدات التنظيمية، انقر على اكتساب.
   • بالنسبة إلى عمليات التخصيص الجماعية، انقر على غير محدَّد.

ملاحظة: تظهر الوحدة التنظيمية العليا دائمًا في قائمة تخصيص الملف الشخصي، حتى إذا تم ضبط "الملف الشخصي" على "بدون".

انظر أيضًا

• إعدادات الدخول المُوحَّد (SSO) والصيانة الاختيارية
• تحديد مشاكل الدخول المُوحَّد (SSO) وحلّها
• موافقة جهات متعددة على الإجراءات الحسّاسة

إنّ Google وGoogle Workspace والعلامات والشعارات المرتبطة بهما هي علامات تجارية مسجَّلة مملوكة من قِبل شركة Google LLC. وجميع أسماء الشركات والمنتجات الأخرى هي علامات تجارية تملكها الشركات ذات الصلة بها.