العربية
  • الموافقة
  • التسجيل الموحد
  • المصادقة
  • مزود الهوية

مقدمة في شاشة موافقة المستخدم

ما هي شاشة موافقة المستخدم وكيف تعمل؟ يشرح هذا المقال الأفكار الأساسية وراء شاشة موافقة المستخدم وكيف ينبغي استخدامها.

Simeng
Simeng
Developer

ما هي شاشة موافقة المستخدم

تخيل أنك تقوم بالتسجيل في تطبيق اجتماعي جديد باستخدام حسابك في Google. تضغط على زر "تسجيل الدخول باستخدام Google" ويتم تحويلك إلى Google لإكمال عملية تسجيل الدخول. بعد المصادقة بنجاح مع Google، يتم تحويلك إلى صفحة تطلب منك منح هذا التطبيق حق الوصول إلى ملفك الشخصي في حساب Google. شيئاً كهذا:

شاشة موافقة Google

هذه الصفحة هي ما نطلق عليه صفحة الموافقة أو شاشة الموافقة. هي عنصر في واجهة المستخدم تعرضه التطبيقات أو المواقع الإلكترونية خلال عملية التقديم. الغرض الأساسي منها هو إبلاغ المستخدمين بجمع ومعالجة واستخدام بياناتهم الشخصية وطلب موافقتهم الصريحة على هذه الأنشطة.

في صفحة الموافقة، يُعرض على المستخدمين عادة معلومات حول أنواع البيانات التي سيتم جمعها، وكيف سيتم استخدامها، وما إذا كانت ستشارك مع أطراف ثالثة. هذه المعلومات ضرورية للشفافية، مما يسمح للمستخدمين باتخاذ قرارات مستنيرة حول خصوصيتهم وأمان البيانات الخاصة بهم.

تكون صفحات الموافقة مهمة بشكل خاص في سياق اللوائح المتعلقة بالخصوصية مثل اللائحة العامة لحماية البيانات (GDPR) في الاتحاد الأوروبي أو قانون حماية خصوصية المستهلكين في كاليفورنيا (CCPA) في الولايات المتحدة، التي تتطلب من المؤسسات الحصول على موافقة واضحة وإيجابية من المستخدمين قبل معالجة معلوماتهم الشخصية.

متى نحتاج إلى شاشة موافقة؟

قبل أن نتمكن من الإجابة على هذا السؤال، نحتاج إلى فهم بعض المفاهيم الأساسية حول مصادقة المستخدم.

مزود الهوية (IdP) ومزود الخدمة (SP)

كما ذكرنا أعلاه، الغرض الرئيسي من شاشة الموافقة هو إبلاغ المستخدمين بجمع ومعالجة واستخدام بياناتهم الشخصية وطلب موافقتهم الصريحة على هذه الأنشطة. لذلك، نحتاج إلى شاشة موافقة عندما نقوم بجمع أو معالجة أو استخدام بيانات شخصية مملوكة لطرف آخر، مثل Google.

في سياق مصادقة المستخدم، نسمي الطرف الذي يملك بيانات المستخدم مزود الهوية (IdP). أما بالنسبة للتطبيق الذي يطلب الوصول إلى بيانات المستخدم، نسميه مزود الخدمة (SP). في المثال أعلاه، تعد Google IdP والتطبيق الاجتماعي هو SP.

يتحمل IdP مسؤولية مصادقة المستخدم وتوفير معلومات ملف المستخدم الشخصي لـ SP. و SP هو الطرف الذي يحتاج إلى معلومات ملف المستخدم الشخصي لتقديم خدماته.

المصادقة الواحدة (SSO)

في المثال أعلاه، يستخدم التطبيق الاجتماعي Google كـ IdP. وهذا سيناريو شائع في الصناعة. تستخدم العديد من التطبيقات خدمات الطرف الثالث مثل Google أو Facebook كـ IdP. وهذا يُسمى التسجيل الواحد (SSO). SSO هو خاصية للتحكم في الوصول لأنظمة البرمجيات المتعلقة ولكن المستقلة. باستخدام هذه الخاصية، يسجل المستخدم دخولاً بفردية واحدة وكلمة مرور لكسب الوصول إلى أي من التطبيقات المتعلقة. يمكنك الرجوع إلى CIAM 101: Authentication, Identity, SSO لمزيد من التفاصيل.

مزود الهوية الأول والثالث

مزود الهوية الأول هو IdP الذي تملكه نفس المنظمة التي تملك SP. وقد يشارك SP نفس اسم المجال كـ IdP. لذلك SP يطلب الوصول إلى بيانات المستخدم التي تملكها نفس المنظمة. على سبيل المثال، إذا كنت تستخدم Google Workspace، فإن Google هو IdP الخاص بك.

من ناحية أخرى، مزود الهوية الثالث هو IdP الذي تملكه منظمة أخرى بخلاف SP. يطلب SP الوصول إلى بيانات المستخدم التي لا يملكها بنفسه. على سبيل المثال، إذا كنت تستخدم Google كـ IdP وقمت بتسجيل الدخول إلى تطبيق اجتماعي مثل المثال السابق، فإن Google هو IdP الطرف الثالث للتطبيق الاجتماعي.

موافقة المستخدم

عندما يقوم المستخدم بتسجيل الدخول إلى تطبيق، من المهم أن يكون المستخدم مدركاً للبيانات التي يتم جمعها وكيف سيتم استخدامها.

بالنسبة لمزود الهوية الأول، يتم تغطية هذه المعلومات عادة في سياسة الخصوصية وشروط الخدمة للمنظمة. يُطلب عادة من المستخدم الموافقة على سياسة الخصوصية وشروط الخدمة قبل التسجيل للخدمة. لذلك، يكون المستخدم مدركاً بالفعل للبيانات التي يتم جمعها وكيف سيتم استخدامها. في هذه الحالة، تكون موافقة المستخدم ضمنية.

ومع ذلك، من المهم أن يحافظ IdP على سيطرة صارمة على البيانات التي يملكها. لا يجب أن يسمح IdP لأي SP طرف ثالث بالوصول إلى بيانات المستخدم بدون موافقة صريحة من المستخدم. يُعتبر أي وصول للبيانات من قبل SP طرف ثالث نشاط مشاركة البيانات. يجب إبلاغ المستخدم بنشاط مشاركة البيانات ويجب أن يوافق عليه صراحة.

لذلك، بالنسبة لمزود الهوية الطرف الثالث، تكون موافقة المستخدم دائماً مطلوبة. لهذا السبب، تطلب جميع مزودي الهوية الرئيسيين، مثل Google وFacebook وMicrosoft، من SP عرض شاشة موافقة للمستخدم قبل أن يتمكن المستخدم من تسجيل الدخول إلى SP.

على سبيل المثال، في حالة Google، عند محاولة إنشاء عميل OAuth لـ Google، سيُطلب منك تقديم تكوين تفصيلي لشاشة الموافقة.

تكوين شاشة موافقة Google

هذا يضمن أن المستخدم مدرك لنشاط مشاركة البيانات وقد أعطى موافقته الصريحة عليه.

ما المعلومات التي يجب تضمينها في شاشة الموافقة؟

عرض توضيحي لشاشة الموافقة

من المهم أن تقدم شاشة الموافقة للمستخدم معلومات كافية ليتمكن من اتخاذ قرار مستنير. تشمل بما في ذلك على سبيل المثال لا الحصر:

  • أي طرف (SP) يطلب الوصول إلى بيانات المستخدم؟
  • ما هو هوية المستخدم الحالية؟
  • ما هي بيانات المستخدم التي يتم جمعها؟
  • كيف سيتم استخدام بيانات المستخدم؟
  • ما هي الخدمات الإضافية أو واجهات برمجة التطبيقات المقدمة من IdP التي سيتم استخدامها؟
  • ما هي الأذونات الإضافية التي ستمنح لـ SP؟
  • ما هي سياسة الخصوصية لـ SP؟

يجب أن تتضمن شاشة الموافقة جميع المعلومات أعلاه بدقة ووضوح. يجب أن يتمكن المستخدم من فهم المعلومات بدون أي غموض. هذا مهم للغاية خاصة للبيانات المستخدمة التي يتم جمعها وكيف سيتم استخدامها.

من مسؤولية IdP التأكد من أن بيانات المستخدم تُستخدم فقط للغرض الذي وافق عليه المستخدم. لا ينبغي أن يسمح IdP لـ SP باستخدام بيانات المستخدم لأي غرض آخر بدون موافقة صريحة من المستخدم.

الخلاصة

باختصار، تعمل صفحة الموافقة كآلية للحصول على إذن صريح من المستخدمين بشأن التعامل مع بياناتهم، وتعزز الشفافية والامتثال لقوانين الخصوصية. وهي مطلوبة حالياً من قبل جميع مزودي الهوية الرئيسيين لخدمات الطرف الثالث، وتلعب دوراً مهماً في حماية خصوصية المستخدم وأمان البيانات. خاصةً إذا كنت تقدم خدمة طرف ثالث لـ IdP.