العربية
  • SSO
  • IdP
  • SAML
  • Enterprise SSO
  • OIDC

SSO مقابل SAML، مشروح للجميع

غالبًا ما يتم استخدام SSO و SAML بطريقة غامضة ويمكن تفسيرها بطرق مختلفة. في هذه المقالة، سنوضح هذه المفاهيم، نشرح كيف ترتبط ببعضها البعض، ونقدم أمثلة حقيقية لتسهيل فهمها.

Guamian
Guamian
Product & Design

غالبًا ما يتم استخدام SSO و SAML بطريقة غامضة ويمكن تفسيرها بطرق مختلفة. في هذه المقالة، سنوضح هذه المفاهيم، نشرح كيف ترتبط ببعضها البعض، ونقدم أمثلة حقيقية لتسهيل فهمها.

ما هو SSO؟

SSO (تسجيل الدخول الموحد) هو عملية مصادقة تسمح للمستخدم بتسجيل الدخول مرة واحدة والوصول إلى تطبيقات أو خدمات متعددة دون الحاجة إلى تسجيل الدخول مرة أخرى لكل واحدة منها. ومع ذلك، يمكن أن تنطبق هذه التعريفات العامة على سيناريوهات مختلفة عندما يتم استخدام SSO.

هناك سيناريوهات مختلفة تتطلب استخدام SSO.

SSO الاجتماعي

في بعض الأحيان، يُشير الناس إلى تسجيل الدخول الاجتماعي على أنه SSO اجتماعي. على سبيل المثال، يمكن للمستخدمين استخدام تسجيل الدخول عبر Google لإنشاء حساب في تطبيق جديد باستخدام الهوية والمعلومات المخزنة في Google مباشرةً. في هذا السيناريو، يدير المستخدم هويته الخاصة.

يجعل SSO الاجتماعي من السهل للمستخدمين التحكم في معلوماتهم، مما يقلل من الخطوات المملة في عملية إنشاء الحساب وتسجيل الدخول. يعتمد SSO الاجتماعي عادةً على بروتوكولات معيارية مفتوحة مثل OAuth 2.0 و OIDC.

sign-in-social-linking.png

SSO الخاص بالمؤسسات

أولاً، دعونا نشرح مفاهيم مزود الهوية و مزود الخدمة بعبارات بسيطة.

  1. مزود الهوية (IdP) هو بمثابة "حارس البوابة" لهويتك. إنه النظام الذي يحتفظ بمعلومات تسجيل الدخول الخاصة بك ويؤكد هويتك. فكر فيه كسلطة موثوقة تقول: "نعم، هذا الشخص هو حقًا من يدعي أنه." تشمل الأمثلة Google Workspace، Microsoft Entra، و Okta Workforce Identity.
  2. مزود الخدمة (SP) هو "التطبيق" أو "الخدمة" التي تريد الوصول إليها بمجرد تأكيد هويتك. إنه المكان الذي تحاول تسجيل الدخول إليه، مثل تطبيق أو موقع ويب. على سبيل المثال، Zoom و Slack وأدوات شركتك الداخلية كلها مزودو خدمة.

بعبارات بسيطة، يثبت مزود الهوية من أنت، ويمنحك مزود الخدمة الوصول إلى خدماته بمجرد تأكيد هويتك.

يُستخدم SSO الخاص بالمؤسسات في سيناريوهات تركز على الأعمال التجارية، ومقسم حسب المصطلحين الموضحين أعلاه، هناك حالتان نموذجان: SSO الذي يبدأ من IdP و SSO الذي يبدأ من SP. على الرغم من أن المصطلحات قد تبدو تقنية، إلا أن السيناريوهات تتم بوضوح تام.

IdP-initiated SSO

فكر في الوقت الذي تقوم فيه، كموظف، بالانضمام إلى تطبيقات وموارد شركتك. عادةً، سيقوم قسم الموارد البشرية بإنشاء حساب لك. ثم تستخدم ذلك الحساب لتسجيل الدخول إلى منصة مثل Okta أو Google Workspace. بمجرد تسجيل الدخول، ستنتقل إلى بوابة الشركات حيث يمكنك الوصول إلى جميع تطبيقات الشركة، مثل أنظمة الرواتب، وأدوات التعاون، وWorkday، والمزيد.

idp-initiated-sso-portal.png

SP-initiated SSO

دعونا نلقي نظرة على الأمر من منظور آخر. في بعض الأحيان، تحتاج إلى البدء من صفحة تسجيل الدخول لمنتج معين. على سبيل المثال، إذا كنت ترغب في استخدام Zoom لعقد اجتماع عبر الإنترنت مع زملائك في العمل، سترى خيارًا "تسجيل الدخول باستخدام SSO". يُعرف هذا السيناريو باسم SSO الذي يبدأ من SP.

sso-button-sign-in.png

ما المشاكل التي يحلها SSO الخاص بالمؤسسات

الفائدة الأولى من SSO الخاص بالمؤسسات هي أنه يسمح للشركات بإدارة هويات القوى العاملة بسهولة ومرونة وأمان.

لنفترض أنك تدير شركة، وجميع موظفيك يحتاجون إلى الوصول إلى المنتجات والخدمات التي اشتريتها. نظرًا لأن الموارد التي تنتجها الشركة تنتمي إلى الشركة، فإن نظام هوية يملكه الشركة ضروري. إذا كان الموظفون سيستخدمون هويات شخصية للوصول إلى موارد الشركة، فإن ذلك سيخلق تحديات أمنية وإدارية.

من ناحية أخرى، في سيناريو مثل SSO الذي يبدأ من SP، يحصل الموظفون على الوصول إلى تطبيقات وخدمات متعددة مملوكة للشركة. عندما ينضم الموظفون أو يغادرون، يجب على قسم الموارد البشرية إنشاء وحذف العديد من الحسابات على جميع منتجات وخدمات الشركة، وهو أمر مرهق ويستغرق وقتًا طويلاً.

يبسط SSO الخاص بالمؤسسات هذه العملية من خلال نظام هوية موحد، وتتيح أدوات مثل SCIM (نظام إدارة الهوية عبر النطاقات) و التوفير الفوري الفوري جعله أكثر كفاءة.

بالنسبة إلى SSO الذي يبدأ من IdP، فإنه مفيد لمصممي المنتجات الذين يرغبون في أن يكونوا "جاهزين للعمل". على سبيل المثال، إذا كنت شركة ناشئة تركز في البداية على المستهلكين الفرديين، وفي وقت لاحق ترغب شركة كبيرة في استخدام منتجك، فقد يتطلبون من الموظفين تسجيل الدخول باستخدام Microsoft Entra، على سبيل المثال. في هذه الحالة، ستحتاج إلى دمج SSO الخاص بالمؤسسات في منتجك لإتمام الصفقة.

ما هو SAML؟

SAML (لغة ترميز التأكيد الأمني) هو بروتوكول مفتوح المعايير يستخدم للمصادقة والتفويض. إلى جانب OAuth و OIDC، يُستخدم SAML على نطاق واسع في أنظمة إدارة الهوية، خصوصًا في إدارة الهوية الخاصة بالقوى العاملة. تقدم مزودو الهوية التجاريون مثل Okta و Microsoft Entra دعمًا لـ SAML كواحد من البروتوكولات القياسية.

تقدم بعض الأنظمة القديمة ومزودي تسجيل الدخول الاجتماعي أيضًا دعمًا لـ SAML، لذلك يمكن أن يساعد وجود SAML في النظام في ضمان التوافق مع مجموعة أوسع من مزودو الهوية ونمو النظام البيئي في المستقبل.

متى يكون SAML ضروريًا؟

يُستخدم SAML غالبًا في سيناريوهات SSO الخاص بالمؤسسات. على سبيل المثال، فكر في هذا الموقف:

يصل فريق المبيعات الخاص بك إلى مطوري المنتج ويقول: "لدينا عميل كبير، ويحتاجون تسجيل الدخول باستخدام SAML. نحتاج إلى دعم هذه التقنية."

بالنسبة للمهندسين الذين ليسوا على دراية بـ SAML أو إدارة الهوية والوصول (IAM)، ستكون خطوتهم الأولى على الأرجح هي البحث عن "SAML" أو "تسجيل الدخول باستخدام SAML."

في النهاية، الهدف هو دمج SSO الخاص بالمؤسسات في منتجك، وجعله "جاهزًا للعمل" لتلبية احتياجات العملاء الأكبر الذين يعتمدون على تقنيات مثل SAML لمصادقة آمنة.

كيف يعمل SAML

إليك تحليل مبسط للنوعين:

تدفق يبدأ من SP

  1. يحاول المستخدم الوصول إلى مورد SP.
  2. يقوم SP بإعادة توجيه المستخدم إلى IdP مع طلب مصادقة SAML.
  3. يقوم المستخدم بتسجيل الدخول في IdP ويتم المصادقة عليه.
  4. يقوم IdP بإنشاء تأكيدSAML بهوية المستخدم وربما بيانات التفويض.
  5. يرسل IdP تأكيد SAML مرة أخرى إلى SP، عادة عبر متصفح المستخدم.
  6. يعالج SP التأكيد، يتحقق من صحته، ويمنح أو يمنع الوصول للمستخدم.

تدفق يبدأ من IdP

  1. يكون المستخدم قد سجل الدخول بالفعل إلى IdP ويحدد خدمة/موردًا من بوابة IdP.
  2. يقوم IdP بإنشاء تأكيد SAML بناءً على جلسة المستخدم الحالية، ويحتوي على الهوية والسمات.
  3. يرسل IdP التأكيد مباشرة إلى SP، دون طلبٍ سابقٍ من SP.
  4. يعالج SP التأكيد، يتحقق من سلامته، ويستخرج هوية المستخدم وسماته.
  5. يمنح أو يمنع SP الوصول بناءً على التأكيد.

لمعرفة كيف يعمل SAML من منظور تقني، تحقق من كيف يعمل SAML

الفرق بين SAML و SSO

غالبًا ما يتم خلط تعريفات SAML و SSO، ولكن إليك التحليل البسيط:

  1. SSO هو عملية مصادقة تُستخدم بواسطة التطبيقات والبرامج، مما يسمح للمستخدمين بتسجيل الدخول مرة واحدة والوصول إلى خدمات متعددة.
  2. SAML هو بروتوكول تقني يُستخدم أساسًا في إدارة الهوية الخاصة بالعمل لتبادل بيانات المصادقة بأمان.

تخيل هذا: تدخل إلى مكتبك في الصباح، وبدلاً من الحاجة إلى تسجيل الدخول إلى كل تطبيق على حدة—بريدك الإلكتروني، تقويمك، أدوات إدارة المشاريع— تقوم ببساطة بتسجيل الدخول مرة واحدة ولديك الوصول إلى كل شيء. هذه هي التجربة السلسة لـ SSO (تسجيل الدخول الموحد). إنها مثل امتلاك مفتاح عالمي يفتح جميع الأبواب لأدوات عملك.

ولكن كيف يعمل SSO؟

هنا يأتي دور SAML (لغة ترميز التأكيد الأمني). فكر في SAML كرسول موثوق بين نظام تسجيل الدخول الخاص بك (المسمى مزود الهوية، أو IdP) والتطبيقات التي تريد استخدامها (المسمى مقدمي الخدمات، أو SPs). عندما تقوم بتسجيل الدخول عبر SSO، يقوم SAML بإرسال "دليل" لهويتك من IdP إلى التطبيق بأمان، مؤكداً أنك من تقول أنك.

لذلك، باختصار:

  1. SSO هو تجربة المستخدم: تسجيل دخول واحد للوصول إلى تطبيقات متعددة.
  2. SAML هو البروتوكول الذي يعمل خلف الكواليس لجعل تلك التجربة السلسة ممكنة من خلال التعامل بأمان مع التحقق من الهوية.

بينما يحسن SSO الراحة، يضمن SAML أن يظل كل شيء آمنًا ومترابطًا، مما يتيح لك الوصول إلى كل شيء دون التفكير مرتين.

هل يستخدم SSO الخاص بالمؤسسات بروتوكولات أخرى؟

نعم، بالإضافة إلى SAML، يُستخدم OIDC بروتوكول آخر شائع في سيناريوهات SSO الخاصة بالمؤسسات. على سبيل المثال، في موصلات Logto الخاصة بالمؤسسات، يدعم كلا من Microsoft Entra (OIDC) و Microsoft Entra (SAML).

standard connector.png

هل يجب أن أستخدم SAML SSO؟

إذا كنت تبيع للعملاء المؤسسيين، فمن المهم النظر في دعم SAML في أقرب وقت ممكن. ولكن لا تركز فقط على دعم بروتوكول SAML — فكر في تدفق المصادقة الكامل لـ SSO الخاص بالمؤسسات. إليك بعض السيناريوهات الأساسية التي يجب مراعاتها:

  1. السماح لعملائك بالانضمام وإعداد SSO الخاص بالمؤسسات ذاتيًا.
  2. ضمان انضمام الموظفين تلقائيًا إلى المؤسسات الصحيحة في التطبيقات متعددة الملاكين (يمكن القيام بذلك عن طريق التوفير الفوري وSCIM).
  3. تنفيذ تدفق تسجيل دخول متكامل يتوافق مع عملية تسجيل الدخول التي تواجه المستهلك.

تنفيذ SAML و SSO الخاص بالمؤسسات مع Logto

توفر Logto تدفقات SSO الخاصة بالمؤسسات من البداية إلى النهاية وتدعم العديد من موصلات SAML. يمكن دمجها في العديد من السيناريوهات الشائعة التي قد تحتاجها. استكشف جميع ميزات Logto، من Logto Cloud إلى Logto OSS، على موقع Logto.