تعرف على SSO التي تبدأ من الخدمة لتطبيقات B2B
تعرف على ما هي تسجيل الدخول الأحادي الذي يبدأ من موفر الخدمة (SP-initiated SSO) وكيف يمكن أن يساعد منتجك في الأعمال التجارية بين الشركات (B2B).
عندما يتعلق الأمر بنماذج الهوية، فإن منتجات B2B تعد فئة خاصة بها. يجب عليها التعامل مع تعقيدات تعدد المستأجرين مع تلبية طلبات العملاء من الشركات لإدارة هوية الموظفين والوصول عبر مجموعة واسعة من الخدمات والتطبيقات. لقد واجه Logto هذه المطالب من العملاء أيضاً. في هذه المقالة، سنتخذ نهجًا موجهًا نحو المنتج لفهم SSO التي تبدأ من الخدمة وكيف تلبي احتياجات عملائك.
المفهوم
لنبدأ بتقديم بعض العناصر الأساسية التي تحتاج إلى فهمها:
- موفر الخدمة (SP): التطبيقات أو الخدمات الخاصة بك، التي يمكن أن تكون تطبيقًا واحدًا أو أكثر تشترك في نظام هوية واحد.
- مزود هوية المؤسسة (IdP): مزود الهوية الذي تعتمد عليه عملاء الشركات لإدارة هويات الموظفين وأذونات التطبيق. قد يستخدمون مزودين مختلفين، مثل Okta، Azure AD، Google Workspace، أو حتى IdP مخصص.
- منظمة مزود الخدمة (SP Org): غالبًا ما تدعم تطبيقات B2B تعدد المستأجرين للمنظمات العميلة المختلفة.
- منظمة مزود الهوية (IdP Org): تدعم أيضًا IdPs تعدد المستأجرين للمنظمات العميلة المختلفة. من الناحية المثالية، يجب أن تكون شركة واحدة قادرة على ربط IdP Org الخاص بها بـ SP Org، مما يتيح تكرار هويات الموظفين، ولكن الواقع يمكن أن يكون أكثر تعقيدًا.
- حساب مستخدم المؤسسة: يُعرف عادة باستخدامهم لنطاق البريد الإلكتروني للشركات لتسجيل الدخول. ينتمي هذا الحساب الإلكتروني للشركة في النهاية.
ثم، غواص في SSO واثنين من البروتوكولات الرئيسية:
- تسجيل الدخول الأحادي (SSO): يسمح SSO للمستخدمين بالوصول إلى خدمات أو تطبيقات متعددة باستخدام مجموعة واحدة من بيانات الاعتماد. يبسط إدارة الوصول ويحسن الأمان.
- بروتوكولات SAML وOIDC: يعتمد SSO على هذه البروتوكولات لتوفير المصادقة والصلاحية، ولكل منها مزاياها وعيوبها.
هناك آليتين رئيسيتين لتشغيل SSO يجب أخذها في الاعتبار:
- SSO التي تبدأ من مزود الهوية (IdP-initiated SSO): في SSO التي تبدأ من IdP، يتحكم مزود الهوية بشكل رئيسي في عملية تسجيل الدخول الأحادي. يبدأ المستخدمون بالمصادقة من واجهة IdP.
- SSO التي تبدأ من موفر الخدمة (SP-initiated SSO): في SSO التي تبدأ من الخدمة، تأخذ موفر الخدمة (SP) دور البداية وإدارة عملية تسجيل الدخول الأحادي، وغالبًا ما يتم تفضيلها في سيناريوهات B2B.
الآن، لنستكشف SSO التي تبدأ من الخدمة بالتفصيل.
السطح الخارجي: ت جربة المستخدم
على عكس منتجات B2C التي يمكنها تقديم بضعة أزرار تسجيل دخول اجتماعية ثابتة لـ IdP، لا يمكن لمنتجات B2B تحديد أي موفر هويات الشركة لكل عميل يستخدمه. لذلك، يحتاج المستخدمون أولاً إلى إعلان هويتهم. بعد تأكيد أنهم عضو في مؤسسة تمكين لـ SSO، يتم إعادة توجيههم إلى IdP المؤسسة الخاصة بهم لتسجيل الدخول.
لتحقيق ذلك، يجب عليك، في صفحة تسجيل الدخول، تحديد ما إذا كان المستخدم بحاجة إلى تسجيل الدخول عبر SSO وإلى أي IdP يجب أن يتم توجيهه. تشمل الطرق الشائعة:
- تعيين نطاق البريد الإلكتروني: ربط نطاق بريد إلكتروني بموصل IdP معين. هذا يؤثر على المستخدمين الذين لديهم عناوين بريد إلكتروني تحت هذا النطاق. تأكد من التحقق من ملكية النطاق لمنع التكوينات الخبيثة.
- تعيين اسم المنظمة: ربط اسم المنظمة بموصل IdP، اعتمادًا على المستخدمين لتذكر اسم منظمتهم.
- تعيين البريد الإلكتروني الشخصي للمستخدم: يتيح لك تحديد ما إذا كان حساب مستخدم مفعلًا لـ SSO مباشرةً، دون الاعتماد على نطاقات البريد الإلكتروني أو أسماء المنظمة. يمكنك تحقيق ذلك بدعوة المستخدمين يدويًا، أو تخصيص قواعد SSO المطلوبة، أو مزامنة حساباتهم تلقائيًا من خلال تزامن الدليل.
في تصميم الصفحة الرئيسية لتسجيل الدخول، هناك عادةً شكلان يمكن اختيارهما بناءً على نشاط منتجك:
- منتجات B2B: نوصي بعرض أزرار SSO مباشرة لجعلها بديهية لأعضاء عملاء المؤسسة الذين يحتاجون إلى استخدام SSO.
- منتجات متوافقة مع B2C وB2B: نظرًا لأن معظم المستخدمين لا يستخدمون SSO، قم بتقييم نطاقات البريد الإلكتروني لتحديد ما إذا كان SSO مطلوبًا. يمكنك تأجيل عرض تحقق بيانات الاعتماد، إخفائها في البداية وكشفها بمجرد تأكيد هوية المستخدم.
التعقيد الأساسي: نموذج هوية المستخدم
ومع ذلك، فإن دمج SSO في نظام الهوية الخاص بك ينطوي على تعقيد أكبر بكثير من مجرد إضافة زر SSO إلى صفحة تسجيل الدخول. تحتاج إلى النظر في الكثير من العوامل.
نادرًا ما تكون علاقات العناصر الأساسية واحدًا لواحد؛ تحتاج إلى النظر في السيناريوهات التي تشمل واحد إلى متعدد وحتى متعدد إلى متعدد. لاستكشاف هذه الاختلافات تدريجيًا:
- منظمة IdP واحدة مع نطاقات بريد إلكتروني متعددة: إذا كنت تعتمد على نطاقات البريد الإلكتروني لتحديد هوية المستخدم، فيجب أن تدعم ربطات النطاقات المتعددة.
- نطاق بريد إلكت روني واحد يراسل عدة منظمات IdP: إذا كان يمكن أن ينتمي نطاق إلى عدة منظمات IdP، يجب على المستخدمين اختيار IdP الذي يريدونه لتسجيل الدخول الأحادي.
- منظمة IdP واحدة مرتبطة بعدة منظمات SP: فكر في توفير القدرة السريعة لربط IdP واحد بعدة منظمات SP.
- حساب مستخدم واحد في عدة منظمات IdP وSP: قد تتطلب منظمات SP المختلفة التحقق من خلال IdPs مختلفة.
تمكين أو تعطيل SSO داخل المؤسسة يمكن أن يغير طريقة مصادقة المستخدمين، مما يتطلب انتقالًا آمنًا وسلسًا.
- اتخاذ القرار لتفعيل SSO: يجب اتخاذ قرارات بشأن ما إذا كان SSO يؤثر على منظمات SP معينة فقط أو جميع منظمات SP للمستأجرين. يوفر الأول مرونة، بينما يتماشى الأخير مع اتجاه التحكم في الهوية والوصول على مستوى الشركة.
- الاعتبارات خلال فترة الانتقال: كمزود SP، يجب عليك التكيف مع عدم اليقين في خدمات IdP التابعة لجهات خارجية. يجب أن يتمكن مسؤولون المؤسسة دائمًا من الوصول إلى تطبيقك عبر SSO أو بيانات الاعتماد كخيار، وقد يحتاج أعضاء المؤسسة إليها خلال الانتقال.
هذه بعض النقاط لمعالجة السيناريوهات المختلفة؛ يمكن استكشاف المزيد من القدرات والتفاصيل.
الخلاصة
نأمل أن توفر لك هذه التحل يل لـ SSO التي تبدأ من موفر الخدمة وجهات نظر جديدة عن حلول هوية المؤسسة. الخبر السار هو أن Logto يطور بشغف حلولًا تقدم تكوين بسيط وتجارب مصادقة SSO جاهزة للاستخدام. ترقبوا إصدارنا القادم، حيث سنتعمق أكثر في حلول SSO التي تبدأ من الخدمة.