تكوين SSO وLDAP
هذا الدليل لـ مسؤولي المستأجر ومالكي الحساب الذين يدمجون وقتي مع أنظمة الهوية المؤسسية. يعكس التطبيق كيف تُربط جلسات SSO وSAML 2.0 ومزامنة LDAP.
نظرة عامة على تسجيل الدخول الموحد (SSO)
يخزن وقتي تعريفات مزوّدي SSO لكل مستأجر في قاعدة البيانات المركزية. لكل مزوّد نوع (مثل Google Workspace أو Microsoft Entra ID أو SAML 2.0) واسم للعرض وعلامة نشط وأسرار ونقاط نهاية حسب النوع.
يرى المستخدمون SSO في تسجيل دخول المستأجر: يمكن للتطبيق عرض المزوّدين المتاحين للمستأجر الحالي. اختيار مزوّد يبدأ التدفق؛ بعد المصادقة الناجحة تُنشأ أو تُطابق الجلسة وتُوجَّه إلى لوحة التحكم.
مزوّدات OAuth (Google، Entra)
لمزوّدي OAuth، يبني وقتي رابط التفويض ويحوّل المستخدم إلى مزوّد الهوية. بعد الموافقة يعيد المزوّد التوجيه إلى مسار callback في وقتي مع رمز تفويض (وstate لمكافحة تزوير الطلبات).
تُستبدَل الرموز، وتُربط سمات الملف الشخصي بمستخدمي وقتي (البريد والاسم وحقول أخرى حسب الافتراضات). يُنشأ المستخدم أو يُربط وفق إعدادات المزوّد (التوفير التلقائي والدور الافتراضي مُخزَّنان على سجل المزوّد).
أنواع OAuth المدعومة في المنتج تشمل:
- Microsoft Entra ID (
entra) — تخطيط سمات للبريد والاسم والاسم الأول واللقب. - Google Workspace (
google) — تخطيط للبريد والاسم والاسم الأول والأخير والصورة.
عند تسجيل تطبيق OAuth لدى المورّد، اضبط عنوان إعادة التوجيه ليطابق نمط callback الخاص بمستأجر وقتي (مسار التطبيق المسمّى لـ SSO callback على نطاق مستأجرك). نقطة الدخول للدخول تحل المزوّد برقم معرّف أو بمفتاح نوع (مثل google) عند وجود مزوّد نشط مطابق.
SAML 2.0
لمزوّد SAML يوفّر مزوّد الخدمة (SP):
- Assertion Consumer Service (ACS) — نقطة POST تستقبل
SAMLResponseمن IdP. - Metadata — مستند XML يصف SP لاستيراده في IdP (معرّف الكيان والربط والشهادات كما يولّدها التطبيق).
يتحقق معالج SAML من الاستجابة ويطبّق تخطيط السمات (افتراضيات شائعة للبريد والاسم؛ ويمكن تخزين تخطيط مخصص على المزوّد) ويُسجّل الدخول عند النجاح.
يمر تسجيل الخروج المفرد (SLO) عبر مسار SAML مخصص: ينهي المتحكم الجلسة المحلية ويبطل ملف تعريف الارتباط للجلسة ثم يعيد المستخدم لصفحة الدخول. نسّق SLO المبدأ من IdP مع مسؤول الهوية إذا طُلب تسجيل خروج شامل على المؤسسة.
تفعيل المزوّدين
المزوّدون المعلَّمون نشطين فقط يشاركون في تسجيل الدخول. إن حاول أحد استخدام مزوّد غير نشط تُعاد رسالة خطأ. كل سجل مزوّد مقيَّد بمستأجر واحد؛ الاستخدام عبر المستأجرين يُرفض بـ 403 في وقت التشغيل.
تتضمن سجلات المزوّد اختيارياً معرّف العميل وسر العميل (OAuth) ومعرّفات مستأجر خارجي عند حاجة Entra، ولـ SAML: معرّف كيان IdP ورابط SSO لـ IdP ورابط SLO اختياري وشهادة توقيع IdP ومعرّف كيان SP وتنسيق NameID وتخطيط السمات بصيغة JSON.
إذا زوّدكم الدعم أو لوحة مركزية بإعداد المزوّد، تحققوا من الأسماء وحالة التفعيل قبل الإطلاق.
تكامل دليل LDAP
يربط LDAP وقتي ببنيات Active Directory أو OpenLDAP أو Oracle Fusion المدعومة في الخدمة المدمجة. يُخزَّن التكوين على سجل المستأجر (كلمة مرور الربط مشفّرة، وحقل ldap_config بصيغة JSON).
التحكم بالوصول
فقط مسؤولو المستأجر ومالك الحساب يفتحون إعدادات LDAP أو يحفظون التكوين أو يختبرون الاتصال أو يشغّلون المزامنة.
معاملات الاتصال
عند حفظ إعدادات LDAP يتحقق التطبيق من:
| الحقل | الغرض |
|---|---|
| مفعّل | تفعيل أو تعطيل LDAP للمستأجر |
| نوع الدليل | active_directory أو openldap أو oracle_fusion |
| المضيف | اسم خادم LDAP |
| المنفذ | منفذ LDAP (افتراضي 389 إن وُجد فارغ) |
| SSL / TLS | أعلام أمان النقل |
| Base DN | جذر البحث للمستخدمين والمجموعات |
| Bind DN | حساب الخدمة الذي ينفّذ الاستعلامات |
| كلمة مرور الربط | مشفّرة في السكن؛ اترك القناع (********) للإبقاء على السر السابق |
| مرشح المستخدمين | مرشح LDAP للمستخدمين (افتراضي يشمل من لديهم بريد) |
| مرشح المجموعة | مرشح للوحدات التنظيمية/المجموعات |
| فترة المزامنة | hourly أو daily أو weekly أو يدوي |
| إنشاء المستخدمين تلقائياً | إنشاء مستخدمي وقتي لإدخالات دليل جديدة |
| إنشاء الأقسام تلقائياً | إنشاء أقسام من بنية الدليل |
| الدور الافتراضي | دور اختياري للمستخدمين الجدد |
| تخطيط الحقول | تخطيط السمات حسب نوع الدليل |
تعرض شاشة الإعدادات أنواع الدليل المدعومة وقوالب تخطيط الحقول لكل نوع لمواءمة السمات (مثل mail وcn) مع حقول مستخدم وقتي.
اختبار الاتصال
استخدم اختبار الاتصال مع المضيف وBind DN وكلمة مرور حية. إذا أرسلت placeholder القناع، يحاول الخادم فك تشفير السر المخزّن للاختبار. فشل فك التشفير يعيد رسالة تطلب إعادة إدخال كلمة المرور.
مزامنة المستخدمين
مزامنة المستخدمين تتصل بالتكوين المحفوظ، وتشغّل مسار الاستيراد، وتحدّث ldap_last_sync، وتعرض أعداد مُنشأ ومُحدَّث ومتخطّى وأخطاء اختيارية. يلزم تفعيل LDAP وتكوين غير فارغ؛ وإلا تُعاد رسالة «غير مُكوَّن» محلية.
مزامنة الأقسام
مزامنة الأقسام تستورد أو تحدّث الوحدات التنظيمية كأقسام باستخدام مرشح المجموعة وبنية الدليل. تلخّص النتائج مُنشأ ومُحدَّث.
شغّل اختباراً بعد أي تغيير جدار ناري أو اعتماد أو Base DN قبل جدولة مزامنات واسعة.
فك ربط هويات SSO (المستخدمون)
بينما مزوّدو SSO على مستوى المستأجر، فإن الهويات المربوطة تخص مستخدمين أفراداً. في الإعدادات ← الأمان يرى المستخدم مزوّدي SSO النشطين للمستأجر وحساباته المربوطة (اسم المزوّد، البريد، آخر دخول).
يمكن فك الربط إذا بقي طريقة دخول صالحة: يمنع التطبيق فك الربط عند عدم وجود كلمة مرور وعدم وجود هوية أخرى مربوطة لتجنب قفل الحساب.
بعد فك الربط يدخل المستخدم بكلمة المرور أو مزوّد آخر كالمعتاد.
قائمة تشغيلية
- DNS وTLS — نطاق المستأجر يحل بشكل صحيح؛ شهادات موثوقة لدى IdP والمتصفحات.
- عناوين إعادة التوجيه / ACS — تطابق تماماً ما سجّل في Entra أو Google أو IdP لـ SAML.
- انزياح الوقت — نوافذ صلاحية SAML تفترض توقيتاً متزامناً بين الخوادم وIdP.
- تدوير الأسرار — حدّث أسرار عميل OAuth وكلمة مرور ربط LDAP في وقتي عند تدويرها في IT؛ نفّذ اختباراً فوراً.
- تجريب — فعّل مزوّداً واحداً لمجموعة تجريبية قبل فرض SSO على المؤسسة.
مواضيع ذات صلة
- الأمان — ممارسات أمان أوسع
- المستخدمون — الأدوار والدعوات