العربية
  • SAML
  • SSO
  • موفر الهوية

تبسيط تكامل تطبيقات SAML للمطورين

تعلم ما هو SAML، وكيفية تنفيذ تسجيل الدخول الموحد، وخطوات سريعة لتكامل تطبيقات SAML كموفر هوية (IdP) أو مزود خدمة (SP).

Ran
Ran
Product & Design

توقف عن إضاعة أسابيع في مصادقة المستخدم
أطلق تطبيقات آمنة بشكل أسرع مع Logto. قم بدمج مصادقة المستخدم في دقائق وركز على منتجك الأساسي.
ابدأ الآن
Product screenshot

تسجيل الدخول الموحد (SSO) هو المفتاح للتطبيقات الحديثة، و SAML يتيح المصادقة الآمنة والودية عبر أنظمة هوية الأعمال. يبسّط هذا الدليل SAML للمطورين والمصممين بخطوات واضحة وأمثلة عملية لمساعدتك في تنفيذه بكفاءة.

ما هي SAML SSO وتطبيقات SAML؟

لغة تأكيد الأمن (SAML) هي معيار قائم على XML يستخدم لتبادل بيانات المصادقة والتفويض بين لاعبين رئيسيين: موفر الهوية (IdP) و مزود الخدمة (SP). إنه حل شائع لتسجيل الدخول الموحد (SSO) في المؤسسات، مما يجعل الحياة أسهل للمستخدمين من خلال السماح لهم بتسجيل الدخول مرة واحدة والوصول إلى تطبيقات متعددة.

موفر الهوية (IdP) هو المسؤول عن إدارة والتحقق من بيانات اعتماد المستخدم، مثل أسماء المستخدمين وكلمات المرور. عندما يحاول المستخدم الوصول إلى خدمة محمية، يؤكد موفر الهوية هويته ويرسل هذا التأكيد إلى الخدمة.

  • مثال: تخيل أنك تعمل لصالح شركة كبيرة تستخدم Microsoft Azure AD لإدارة حسابات الموظفين. عندما تريد تسجيل الدخول إلى Salesforce، يعمل Azure AD كموفر الهوية. يتحقق من بيانات اعتمادك ويعلم Salesforce بأنك مخول لاستخدامه.

مزود الخدمة (SP) هو التطبيق أو الخدمة التي يحاول المستخدمون فعليًا الوصول إليها. يعتمد على موفر الهوية للقيام بالجهد الكبير في المصادقة.

  • مثال: متابعة لسيناريو سابق، يعتبر Salesforce هو مزود الخدمة. يعتمد على Microsoft Azure AD (موفر الهوية) لتأكيد هويتك. بمجرد أن يزكيك Azure AD، يتيح لك Salesforce الدخول.

عند التحدث عن "تطبيق SAML," يشير الناس عادةً إلى مزود الخدمة.

باستخدام بروتوكول SAML، يمكنك إعداد خدمتك بصفتها موفر هوية لدعم تكامل التطبيقات (مثل Azure AD / Google Workspace)؛ أو كمزود خدمة (مثل Salesforce / Slack) لدعم تسجيل الدخول الموحد للمستخدمين.

SAML Assertion هو قلب بروتوكول SAML. إنها "ملاحظة" رقمية تم إنشاؤها بوساطة موفر الهوية وترسل إلى مزود الخدمة التي تقول، "لقد أكدت هوية هذا المستخدم." سنناقش الآن كيفية عمل هذه العملية لكل من موفر الهوية ومزود الخدمة.

عند الأداء كموفر هوية SAML

عند أداء خدمتك كموفر هوية، يمكنك تمكين مصادقة SAML عبر تطبيقات متعددة. يتيح ذلك للمستخدمين الوصول إلى خدمات متنوعة من خلال هوية واحدة للمؤسسة.

as_saml_identity_provider_idp.png

إليك تدفق عمل SAML SSO المعتاد لموفر الهوية:

  1. يحاول المستخدم الوصول إلى تطبيق (SP)، مثل Salesforce.
  2. يعيد التطبيق توجيه المستخدم إلى موفر الهوية الخاص بك للمصادقة.
  3. يقوم المستخدم بإدخال بيانات اعتماده على صفحة تسجيل الدخول الخاصة بموفر الهوية.
  4. يتحقق موفر الهوية من بيانات الاعتماد.
  5. إذا تم التحقق من بيانات الاعتماد، يرسل موفر الهوية تأكيد SAML مرة أخرى إلى مزود الخدمة.
  6. يقوم مزود الخدمة بمعالجة التأكيد، ويؤكد صلاحيته، ويمنح المستخدم الوصول.

عند الأداء كمزود خدمة SAML

إذا كانت خدمتك هي المزود الخدمة SP، فسوف تتكامل مع موفرين للهوية متنوعين لتزويد المستخدمين بقدرة تسجيل الدخول الموحد. يتيح ذلك لمستخدمي المؤسسة من منظمات أو مستأجرين مختلفين الوصول بأمان وكفاءة إلى التطبيق الخاص بك.

as_saml_service_provider_sp.png

إليك تدفق عمل لتسجيل الدخول الموحد المسارِد بواسطة مزود الخدمة SP:

  1. يحاول المستخدم تسجيل الدخول إلى التطبيق الخاص بك.
  2. يقوم التطبيق الخاص بك بإنشاء طلب SAML ويعيد توجيه المستخدم إلى صفحة تسجيل دخول موفر الهوية.
  3. يُسجّل المستخدم الدخول في موفر الهوية (أو يتجاهل هذه الخطوة إذا كان مسجلاً بالفعل).
  4. يحقق موفر الهوية في هوية المستخدم، وبمجرد التأكيد، يعبِّئ تفاصيل المستخدم في تأكيد SAML.
  5. يرسل موفر الهوية التأكيد مرة أخرى إلى التطبيق الخاص بك.
  6. تتحقق خدمتك من صحة التأكيد. إذا كان صالحًا، يُمنح المستخدم الوصول إلى التطبيق الخاص بك.

المعلمات الرئيسية في SAML SSO

لتحقيق تكامل ناجح في SAML SSO، يجب على كل من موفري الهوية SP و IdPs تبادل معلمات محددة. هنا نظرة على الأساسيات:

معلمات من موفر الهوية

  1. IdP Entity ID: معرف فريد لموفر الهوية في اتصالات SAML، مثل بطاقة تعريف رقمية.
  2. SSO URL: نقطة النهاية للتسجيل (عنوان URL) حيث يعيد مزود الخدمة توجيه المستخدمين للمصادقة.
  3. شهادة X.509: مفتاح عام يُستخدم لتوقيع تأكيد SAML، مما يضمن أمانه. هذا هو "الختم" الذي يتحقق من الأصالة.

نصيحة: إذا قدم موفر الهوية الخاص بك عنوان URL لبيانات التعريف الخاصة بـ SAML، تصبح الأمور أسهل. يحتوي هذا العنوان على جميع المعلومات الأساسية (مثل الشهادات، عناوين URL الخاصة بـ SSO، وIdP Entity ID) في مكان واحد. يُقلل من مخاطر الأخطاء الناتجة عن النسخ واللصق اليدوي ويُزيل عناء تحديث ملفات الشهادات يدويًا.

معلمات من مزود الخدمة SP

  1. SP Entity ID: معرف فريد لمزود الخدمة، مشابه لـ IdP's Entity ID.
  2. عنوان URL لخدمة المستهلك للتأكيد (ACS): هذه هي نقطة نهاية SP حيث يتوقع مزود الخدمة SP تلقي تأكيد SAML من موفر الهوية (IdP).
  3. RelayState (اختياري): تُستخدم لتمرير البيانات أثناء عملية SAML، مثل عنوان URL الذي كان المستخدم يحاول زيارته في الأصل.

تعيين سمات SAML والتشفير

  1. صيغة NameID: يحدد صيغة معرف المستخدم (مثلاً، عنوان البريد الإلكتروني أو اسم المستخدم).
  2. سمات SAML: هذه تفاصيل إضافية عن المستخدم، مثل الأدوار، البريد الإلكتروني، أو القسم، التي يرسلها موفر الهوية إلى مزود الخدمة.
    • مثال: إذا تضمّن تأكيد SAML الموقَّع من قِبَل موفر الهوية البريد الإلكتروني ([email protected]الدور (مدير)، والقسم (الهندسة). يمكن لمزود الخدمة استخدام الدور لإعطاء صلاحيات المدير أو القسم لتجميع المستخدم ضمن الفريق الصحيح. لذلك، للحصول على بيانات المستخدم الأساسية هذه، يجب على كل من موفر الهوية ومزود الخدمة تحديد كيفية تعيين السمات. على سبيل المثال، قد يعرّف موفر الهوية (القسم) تحت اسم فريق، بينما يتوقع مزود الخدمة أن يكون كمجموعة. التعيين الجيد يضمن سلاسة الاتصال.
  3. التأكيدات المشفرة (اختياري): لحماية بيانات المصادقة الحساسة، يمكن تشفير تأكيدات SAML.
    • دور موفر الهوية: يشفر التأكيد باستخدام المفتاح العام لمزود الخدمة.
    • دور مزود الخدمة: يفك تشفير التأكيد بمفتاحه الخاص لقراءة تفاصيل المستخدم.

بحلول الآن، يجب أن تكون لديك المعلومات الضرورية لإعداد اتصال SAML. لتكامل Salesforce (مزود الخدمة) مع Azure AD (موفر الهوية)، اتبع هذه الخطوات:

  • احصل على معرف الكيان لموفر الهوية (IdP Entity ID)، عنوان URL لـ SSO، والشهادة من Azure AD وقم بتكوينها في Salesforce.
  • قدم معرّف الكيان لمزود الخدمة (SP Entity ID) وعنوان URL لـ ACS الخاص بـ Salesforce إلى Azure AD.

لوجتو يجعل التكامل مع SAML بسيطًا

يمكن أن يعمل لوجتو كموفر هوية أو مزود خدمة لدعم SAML SSO لتطبيقاتك.

استخدام لوجتو كموفر هوية SAML

يتيح لوجتو لتطبيقات أخرى الاعتماد عليه للمصادقة بهويات فدرالية ويدعم المصادقة متعددة العوامل (MFA) لتعزيز الأمان.

  1. إنشاء تطبيق لوجتو اذهب إلى لوجتو كونسول > التطبيقات وأنشئ تطبيق SAML جديد.
  2. تكوين معايير SAML أعد النظر في إعداد التطبيق مع عنوان URL لخدمة المستهلك للتأكيد SP و معرّف كيان SP.
  3. توفير عنوان URL للبيانات البحثية توفر Logto عنوان URL للبيانات البحثية الخاصة بـ IdP التي يمكن أن تُستخدم من قبل مزودي الخدمة للحصول تلقائيًا على التفاصيل الأساسية، مثل عناوين URL لـ SSO والشهادات.
  4. التكوين المتقدم (اختياري)
    • يمكنك إنشاء عدة شهادات جديدة مع بصمات الأصابع وتعيين تواريخ انتهاء الصلاحية، لكن يمكن أن تكون هناك شهادة واحدة نشطة فقط في كل مرة.
    • تعديل صيغة معرف الاسم لتناسب احتياجات عملك.
    • تمكين تشفير تأكيد SAML من خلال نسخ ولصق شهادة x509 من موفر الخدمة الخاص بك لتشفير التأكيدات.
  5. **تخطيط السمات **(اختياري) يمكنك تخصيص كيفية مشاركة سمات المستخدم مع مزودي الخدمة (SPs) بسهولة.

logto_saml_apps_saml_providers.png

للحصول على إرشادات مفصلة، قم بزيارة الوثائق الرسمية هنا: تطبيق SAML

استخدام لوجتو كمزود خدمة SAML

يتكامل لوجتو أيضًا مع أي موفري هوية مؤسساتيين عبر بروتوكولات SAML أو OIDC. سواء كنت تُفعل SSO مُبادَرة بواسطة مزود الخدمة لصفحات تسجيل الدخول الموحدة أو تُكوّن SSO مُبادَرة بواسطة موفر الهوية، فإن العملية مباشرة.

  1. إنشاء موصل مؤسساتي انتقل إلى لوجتو كونسول > تسجيل الدخول الموحد للمؤسسات وأنشئ موصل مؤسسة جديد. اختر SAML كبروتوكول قياسي.
  2. تكوين معايير SAML وفر إما عنوان URL للبيانات البحثية أو ملف XML للبيانات البحثية من موفر الهوية الخاص بك. إذا لم تكن البيانات البحثية متاحة، بدّل إلى التكوين اليدوي بإدخال معرف كيان موفر الهوية، وعنوان URL لـ SSO، وتحميل شهادة التوقيع.
  3. شارك عنوان URL لـ ACS ومعرّف كيان SP قدم عنوان URL لـ ACS الخاص بـ Lojto ومعرّف كيان SP إلى موفر الهوية الخاص بك لإكمال تكوين التكامل.
  4. تخطيط السمات (اختياري) تهيئة تعيينات بيانات المستخدم، مثل البريد الإلكتروني أو الأسماء، لضمان تمرير المعلومات بشكل صحيح بين موفر الهوية و Lojto.
  5. إضافة مجالات البريد الإلكتروني للمؤسسة في علامة التبويب "تجربة SSO" للموصل المؤسساتي، أضف واحدًا أو أكثر من مجالات البريد الإلكتروني. هذا يضمن أن يتمكن فقط المستخدمون ذوو المجالات المحددة من المصادقة عبر SSO.
  6. تمكين SSO المُبادِر من موفر الهوية (اختياري) قم بتمكين SSO المُبادِر من موفر الهوية فقط إذا دعت الحاجة من عملاء مؤسساتك. تتيح هذه الميزة للمستخدمين تسجيل الدخول إلى تطبيقاتك مباشرة من لوحة تحكم موفر الهوية.

logto-enterprise-saml-sso.png

للحصول على إرشادات مفصلة، قم بزيارة الوثائق الرسمية هنا: وثائق SSO للمؤسسات.

أفكار ختامية

يوفر SAML طريقة قياسية وآمنة لتسجيل الدخول الموحد، مما يجعل عملية المصادقة أكثر سلاسة. Logto يسهل العملية سواء كنت تقوم بتكوينها كموفر هوية أو مزود خدمة. مع واجهته سهلة الاستخدام والدعم لكل من النسخة السحابية والنسخة مفتوحة المصدر، تأخذ Logto تعقيدات التكامل مع SAML. بمجرّد تكوين بعض البارامترات، يمكنك ربط خدماتك بأي موفر هوية أو مزود خدمة SAML والتركيز على بناء تجارب رائعة لمستخدميك.