SSO المؤسسة: ما هو وكيف يعمل ولماذا هو مهم

ما هو SSO المؤسسة؟#

قبل الخوض في التعريف، من المهم توضيح الفرق بين SSO وSSO المؤسسة، حيث يمكن أن يسبب هذا كثيرًا من الالتباس.

• SSO (تسجيل الدخول الأحادي) هو مصطلح عام يشير إلى قدرة المستخدم على تسجيل الدخول مرة واحدة والوصول إلى تطبيقات أو موارد متعددة دون الحاجة لتسجيل الدخول مرة أخرى.
• SSO المؤسسة هو نوع محدد من SSO مصمم للموظفين داخل المؤسسة.

ما زلت غير متأكد؟ لننظر إلى مثال:

موقع تسوق عبر الإنترنت يُسمى Amazed لديه تطبيقان على الويب: واحد للعملاء وآخر لأصحاب المتاجر. يسجل العملاء الدخول إلى تطبيق التسوق لشراء المنتجات، بينما يسجل أصحاب المتاجر الدخول إلى تطبيق أصحاب المتاجر لإدارة متاجرهم. تستخدم كلا التطبيقين نفس مزود الهوية للتحقق. ونتيجة لذلك، يحتاج المستخدمون فقط لتسجيل الدخول مرة واحدة للوصول إلى كلا التطبيقين، مما يوفر تجربة تسجيل دخول أحادي.

داخليًا، يستخدم Amazed تطبيقات متعددة للتواصل بين الفريق وإدارة المشاريع ودعم العملاء. لتبسيط سير العمل اليومي، ينفذ Amazed SSO المؤسسة لموظفيه. مع SSO المؤسسة، يمكن للموظفين الوصول إلى جميع التطبيقات الداخلية بتسجيل دخول واحد.

عادةً، توفر حلول SSO المؤسسة أيضًا لوحة معلومات مركزية للموظفين للوصول إلى جميع التطبيقات بنقرة واحدة. تُسمى هذه اللوحة غالبًا لوحة SSO.

باختصار، كلا السيناريوهين هما أمثلة على تسجيل الدخول الأحادي. الفرق هو أن المثال الأول هو SSO عام، بينما الثاني هو SSO المؤسسة. هذه هي الاستخدامات النموذجية لـ Customer IAM (إدارة الهوية والوصول للعملاء) وWorkforce IAM على التوالي.

كيف يعمل SSO المؤسسة؟#

يعمل SSO المؤسسة عن طريق ربط تطبيقات متعددة بمزود هوية مركزي. يمكن أن يكون الاتصال باتجاه واحد (من التطبيق إلى مزود الهوية) أو بزجهين (بين التطبيق ومزود الهوية). تُستخدم معايير وبروتوكولات متنوعة، مثل SAML وOpenID Connect وOAuth 2.0، لهذه الاتصالات.

بغض النظر عن البروتوكول، يكون سير العمل الأساسي عادةً مشابهًا:

1. يصل المستخدم إلى تطبيق (مثل تطبيق التواصل) يتطلب التحقق.
2. يعيد التطبيق توجيه المستخدم إلى مزود الهوية للتحقق.
3. يسجل المستخدم الدخول إلى مزود الهوية.
4. يرسل مزود الهوية استجابة التحقق مرة أخرى إلى التطبيق.
5. يتحقق التطبيق من الاستجابة ويمنح المستخدم الوصول.

عند وصول المستخدم إلى تطبيق آخر (مثل تطبيق إدارة المشاريع) متصل بنفس مزود الهوية، يتم تسجيل دخوله تلقائيًا دون الحاجة لإدخال بيانات الاعتماد مرة أخرى. في هذه الحالة، يتم تخطي الخطوة 3، ولأن الخطوات 2 و4 و5 تحدث في الخلفية، قد لا يلاحظ المستخدم حتى عملية التحقق.

تسمى هذه العملية SSO المبدوء من مقدم الخدمة (SP-Initiated SSO)، حيث يبدأ التطبيق (SP) عملية التحقق.

في سيناريو آخر، يوفر مزود الهوية لوحة معلومات مركزية للمستخدمين للوصول إلى جميع التطبيقات المتصلة. يكون سير العمل المبسط:

1. يسجل المستخدم الدخول إلى مزود الهوية.
2. يعرض مزود الهوية قائمة بالتطبيقات التي يمكن للمستخدم الوصول إليها.
3. ينقر المستخدم على تطبيق (مثل تطبيق دعم العملاء) للوصول إليه.
4. يقوم مزود الهوية بإعادة توجيه المستخدم إلى التطبيق بمعلومات التحقق.
5. يتحقق التطبيق من المعلومات ويمنح المستخدم الوصول.

تسمى هذه العملية SSO المبدوء من مزود الهوية (IdP-Initiated SSO)، حيث يبدأ مزود الهوية (IdP) عملية التحقق.

لماذا SSO المؤسسة مهم؟#

SSO المؤسسة في Workforce IAM#

إدارة مركزية#

الفائدة الأساسية من SSO المؤسسة ليست فقط الراحة للموظفين، بل أيضًا تعزيز الأمان والامتثال للمؤسسات. بدلاً من إدارة بيانات اعتماد متعددة لتطبيقات مختلفة وتكوين التحقق والتفويض لكل منها بشكل منفصل، يمكن للمؤسسات إدارة هويات المستخدم والسياسات التحكم في الوصول وسجلات التدقيق بشكل مركزي.

على سبيل المثال، عندما يغادر موظف الشركة، يمكن لقسم تقنية المعلومات تعطيل حساب الموظف في مزود الهوية، مما يؤدي فورًا إلى إلغاء الوصول إلى جميع التطبيقات. هذا أمر حاسم لمنع الوصول غير المصرح به وتسريبات البيانات، وهي عملية تُعرف بإدارة دورة الحياة.

التحكم في الوصول#

غالبًا ما تشمل حلول SSO المؤسسة ميزات التحكم في الوصول، مثل التحكم في الوصول القائم على الدور (RBAC) والتحكم في الوصول القائم على السمات (ABAC). تسمح هذه الميزات للمؤسسات بتحديد سياسات وصول مفصلة بناءً على أدوار المستخدم والسمات والمعلومات السياقية الأخرى، لضمان أن يتمتع الموظفون بمستوى الوصول المناسب إلى الموارد الصحيحة.

لمقارنة مفصلة بين RBAC وABAC، راجع RBAC وABAC: نماذج التحكم في الوصول التي يجب أن تعرفها.

تعزيز الأمان#

فائدة أخرى هي القدرة على فرض أساليب التحقق القوية، مثل التحقق متعدد العوامل (MFA)، والتحقق بدون كلمة مرور، والتحقق التكيفي، عبر جميع التطبيقات. تساعد هذه الأساليب في حماية البيانات الحساسة والامتثال للوائح الصناعة.

لمزيد من المعلومات حول MFA، راجع استكشاف MFA: النظر في التحقق من منظور المنتج.

SSO المؤسسة في Customer IAM#

يظهر مصطلح "SSO المؤسسة" أيضًا في حلول Customer IAM. ماذا يعني ذلك في هذا السياق؟ لنعاود المثال Amazed: بعض أصحاب المتاجر مسجلون كشركات. أحد أصحاب المتاجر، Banana Inc.، ينفذ SSO المؤسسة لموظفيه. كجزء من الاتفاقية، تطلب Banana Inc. من Amazed فرض SSO المؤسسة لجميع عناوين البريد الإلكتروني من Banana Inc. (مثل *@banana.com) عند الوصول إلى تطبيق أصحاب المتاجر.

في هذه الحالة، يحتاج Amazed إلى دمج مزود الهوية الخاص به مع مزود الهوية الخاص بـ Banana Inc. لتمكين SSO المؤسسة لموظفي Banana Inc. يُعرف هذا التكامل، الذي يتم غالبًا من خلال بروتوكولات قياسية مثل SAML وOpenID Connect وOAuth، بشكل شائع باسم اتصال SSO المؤسسة، موصل SSO المؤسسة، أو اتحاد SSO.

لشرح مفصل حول Customer IAM، راجع سلسلة CIAM الخاصة بنا:

• CIAM 101: التحقق، الهوية، SSO
• CIAM 102: التفويض والتحكم في الوصول القائم على الدور

كون جاهزًا للمؤسسات#

في سيناريوهات الأعمال إلى الأعمال (B2B)، يُعد SSO المؤسسة ميزة ضرورية لمزودي SaaS مثل Amazed لدعم عملائهم من المؤسسات. إنه ليس فقط حول الراحة؛ إنه أيضًا حول الأمان والامتثال لكلا الطرفين. يمكن لـ SSO المؤسسة فرض كافة الهويات التي يتم إدارتها بواسطة العميل المؤسسي للتحقق من خلال مزود الهوية المؤسسي، مما يضمن للمؤسسة الحفاظ على السيطرة على مستخدميها وبياناتها وسياسات الوصول والأمان.

يُعد SSO المؤسسة عاملًا رئيسيًا في تحقيق جاهزية المؤسسة، أي القدرة على تلبية احتياجات العملاء المؤسسيين. ومع ذلك، فإن إدارة الهوية والوصول، خاصة في سياق العملاء المؤسسيين، معقدة وتتطلب استثمارًا كبيرًا في الوقت والموارد والخبرة. غالبًا ما تختار مزودو SaaS الحديثة منصات إدارة الهوية للوصول للتعامل مع هذه التعقيدات.

ملاحظات ختامية#

SSO المؤسسة قوي. إنه يفيد جميع الأطراف المعنية: الموظفين، الهيئات والمنظمات والعملاء. يتمتع قسم تقنية المعلومات بتقليل أعباء العمل، ويتجنب الموظفون إرهاق كلمة المرور مع التحقق بدون كلمة مرور، ويقدر العملاء تجربة المستخدم المحسنة. إذا كنت تقوم ببناء أو تخطط لدعم عملاء مؤسسيين مع منتج SaaS، فكر في Logto للحصول على حل جاهز ومناسب للمطورين.