تخطيط نشر تسجيل دخول واحد

  • مقالة
  • قراءة خلال 6 دقائق

توفر هذه المقالة معلومات يمكنك استخدامها لتخطيط نشر تسجيل الدخول الأحادي (SSO) في Azure Active Directory (Microsoft Azure Active Directory). عند التخطيط لنشر تسجيل الدخول الأحادي (SSO) مع التطبيقات الخاصة بك في Microsoft Azure Active Directory، تحتاج إلى مراعاة هذه الأسئلة:

  • ما هي الأدوار الإدارية المطلوبة لإدارة الطلب؟
  • هل يجب تجديد الشهادة؟
  • من الذي يحتاج إلى إعلام بالتغييرات المتعلقة بتنفيذ تسجيل الدخول الأحادي (SSO)؟
  • ما هي التراخيص اللازمة لضمان الإدارة الفعالة للتطبيق؟
  • هل تستخدم حسابات المستخدمين المشاركة للوصول إلى التطبيق؟
  • هل أفهم الخيارات الخاصة بنشر تسجيل الدخول الأحادي (SSO)؟

الأدوار الإدارية

استخدم الدور دائماً مع أقل عدد من الأذونات المتاحة لإنجاز المهمة المطلوبة داخل Microsoft Azure Active Directory. راجع الأدوار المختلفة المتاحة واختر الدور المناسب لحل احتياجاتك لكل شخصية للتطبيق. قد تحتاج بعض الأدوار إلى تطبيق مؤقتاً وإزالتها بعد اكتمال النشر.

الشخصية الأدوار دور Microsoft Azure Active Directory (إذا لزم الأمر)
مسؤول مكتب المساعدة دعم الطبقة 1 بلا
مسؤول الهوية تكوين وتتبع الأخطاء عندما تتضمن المشكلات Microsoft Azure Active Directory مسؤول عام
مسؤول التطبيق إثبات المستخدم في التطبيق، التكوين لصالح مستخدمين حاصلين على أذونات بلا
مسؤولو البنية الأساسية مالك تمرير الشهادة مسؤول عام
مالك/مساهم العمل إثبات المستخدم في التطبيق، التكوين لصالح مستخدمين حاصلين على أذونات بلا

لمعرفة المزيد حول الأدوار الإدارية لـ Azure AD، راجع الأدوار المضمنة في Microsoft Azure Active Directory.

الشهادات

عند تمكين تسجيل الدخول الأحادي (SSO) الموحدة للتطبيق الخاص بك، ينشئ Microsoft Azure Active Directory شهادة صالحة بشكل افتراضي لمدة ثلاث سنوات. يمكنك تخصيص تاريخ انتهاء صلاحية هذه الشهادة إذا لزم الأمر. تأكد من وجود عمليات لتجديد الشهادات قبل انتهاء مدة صلاحيتها.

قم بتغيير مدة الشهادة في مدخل Microsoft Azure. تأكد من توثيق انتهاء الصلاحية وتعرف على كيفية إدارة تجديد الشهادة. من المهم تحديد الأدوار الصحيحة وقوائم توزيع البريد الإلكتروني التي تنطوي عليها إدارة دورة حياة توقيع الشهادة. يوصى بالقيام بالأدوار التالية:

  • مالك لتحديث خصائص المستخدم في التطبيق
  • المالك عند الاتصال لدعم استكشاف الأخطاء وإصلاحها للتطبيق
  • قائمة توزيع البريد الإلكتروني المراقبة عن كثب لإعلامات التغيير المتعلقة بالشهادة

إعداد عملية لكيفية التعامل مع تغيير الشهادة بين Microsoft Azure Active Directory وتطبيقك. من خلال وجود هذه العملية، يمكنك المساعدة في منع أو تقليل الانقطاع بسبب انتهاء صلاحية شهادة أو تبديل شهادة مفروضة. لمزيد من المعلومات، راجع إدارة الشهادات لتسجيل الدخول الأحادي في Azure Active Directory.

الاتصالات

التواصل أمر بالغ الأهمية لنجاح أي خدمة جديدة. تواصل بشكل استباقي مع المستخدمين حول كيفية تغير تجربتهم. التواصل عندما يتغير، وكيفية الحصول على الدعم إذا كنت تواجه مشاكل. راجع الخيارات الخاصة بكيفية وصول المستخدمين إلى التطبيقات التي تدعم تسجيل الدخول الأحادي (SSO)، وصياغة اتصالاتك لتتناسب مع اختيارك.

تنفيذ خطة الاتصال الخاصة بك. تأكد من إعلام المستخدمين بأن التغيير قادم، ومتى سيصل، وماذا تفعل الآن. تأكد أيضاً من تقديم معلومات حول كيفية طلب المساعدة.

الترخيص

تأكد من أن التطبيق مشمول بمتطلبات الترخيص التالية:

  • ترخيص Microsoft Azure Active Directory - تسجيل الدخول الأحادي (SSO) لتطبيقات المؤسسات المتكاملة مسبقاً مجاني. ومع ذلك، قد يتطلب عدد الكائنات في الدليل الخاص بك والميزات التي ترغب في نشرها المزيد من التراخيص. للحصول على قائمة كاملة بمتطلبات الترخيص، راجع أسعار Azure Active Directory.

  • ترخيص التطبيق - ستحتاج إلى التراخيص المناسبة لتطبيقاتك لتلبية احتياجات عملك. العمل مع مالك التطبيق لتحديد ما إذا كان المستخدمون المعينون للتطبيق لديهم التراخيص المناسبة لأدوارهم داخل التطبيق. إذا كان Azure AD يدير التوفير التلقائي استناداً إلى الأدوار، يجب أن تتوافق الأدوار المعينة في Microsoft Azure Active Directory مع عدد التراخيص المملوكة داخل التطبيق. قد يؤدي العدد غير صحيح من التراخيص المملوكة في التطبيق إلى أخطاء أثناء توفير أو تحديث حساب مستخدم.

الحسابات المشتركة

من منظور تسجيل الدخول، لا تختلف التطبيقات ذات الحسابات المشتركة عن تطبيقات المؤسسة التي تستخدم كلمة المرور لتسجيل الدخول الأحادي (SSO) للمستخدمين الفرديين. ومع ذلك، هناك المزيد من الخطوات المطلوبة عند تخطيط وتكوين تطبيق مُخصص لاستخدام الحسابات المشتركة.

  • العمل مع المستخدمين لتوثيق المعلومات التالية:
    • مجموعة المستخدمين في المؤسسة الذين سيستخدمون التطبيق.
    • مجموعة بيانات الاعتماد الموجودة في التطبيق المقترنة بمجموعة المستخدمين.
  • لكل مجموعة من مجموعات المستخدمين وبيانات الاعتماد، قم بإنشاء مجموعة أمان في مجموعة السحابة أو المجموعة المحلية حسب متطلباتك.
  • إعادة تعيين بيانات الاعتماد المشتركة. بعد نشر التطبيق في Microsoft Azure Active Directory، لا يحتاج الأفراد إلى كلمة مرور الحساب المشترك. يقوم Microsoft Azure Active Directory بتخزين كلمة المرور ويجب عليك مراعاة إعدادها لتكون طويلة ومُعقدة.
  • تكوين التبديل التلقائي لكلمة المرور إذا كان التطبيق يدعم ذلك. بهذه الطريقة، لا يعرف حتى المسؤول الذي قام بالإعداد الأولي كلمة مرور الحساب المشترك.

خيارات تسجيل الدخول الأحادي

هناك عدة طرق لتكوين تطبيق لتسجيل الدخول الأحادي. اختيار طريقة تسجيل دخول أحادي يعتمد على كيفية تكوين التطبيق للمصادقة.

  • يمكن للتطبيقات السحابية استخدام OpenID Connect أو OAuth أو SAML أو المستندة إلى كلمة المرور أو مرتبطة بتسجيل الدخول الأحادي. يمكن أيضاً تعطيل تسجيل الدخول الأحادي.
  • يمكن للتطبيقات المحلية استخدام مصادقة Windows المتكاملة المستندة إلى كلمة المرور والمستندة إلى الرأس والمرتبطة بـ SSO. تعمل الخيارات المحلية عند تكوين التطبيقات لـ Application Proxy.

يمكن أن يساعدك هذا المخطط الانسيابي في تحديد أسلوب تسجيل الدخول الأحادي الأفضل لموقفك.

Decision flowchart for single sign-on method

تتوفر بروتوكولات تسجيل الدخول الأحادي التالية للاستخدام:

  • OpenID Connect وOAuth - اختر OpenID Connect وOAuth 2.0 إذا كان التطبيق الذي تتصل به يدعم ذلك. لمزيد من المعلومات، راجع بروتوكولات OAuth 2.0 وOpenID Connect على النظام الأساسي للهوية في Microsoft. للحصول على خطوات لتطبيق تسجيل الدخول الأحادي لـ OpenID Connect، راجع إعداد تسجيل الدخول الأحادي المستند إلى OIDC لتطبيق في Azure Active Directory.

  • SAML - اختر SAML كلما أمكن للتطبيقات الموجودة التي لا تستخدم OpenID Connect أو OAuth. لمزيد من المعلومات، راجع تسجيل الدخول الأحادي لبروتوكول SAML. للحصول على مقدمة سريعة لتطبيق لتسجيل الدخول الأحادي لـ SAML، راجع بداية سريعة: إعداد تسجيل الدخول الأحادي المستند إلى SAML لتطبيق في Azure Active Directory.

  • مستند إلى كلمة المرور - اختر كلمة المرور عندما يحتوي التطبيق على صفحة تسجيل دخول HTML. يُعرف تسجيل الدخول الأحادي المستند إلى كلمة المرور أيضاً باسم مخزن كلمة المرور. تمكنك ميزة تسجيل الدخول الأحادي المستندة إلى كلمة المرور من إدارة وصول المستخدم وكلمات المرور لتطبيقات الويب التي لا تدعم اتحاد الهوية. إنه مفيد أيضاً عندما يحتاج العديد من المستخدمين إلى مشاركة حساب واحد، مثل حسابات تطبيقات الوسائط الاجتماعية لمؤسستك.

    يدعم تسجيل الدخول الأحادي المستند إلى كلمة المرور التطبيقات التي تتطلب عدة حقول تسجيل الدخول وللتطبيقات التي تتطلب أكثر من مجرد اسم المستخدم وكلمة المرور لتسجيل الدخول. يمكنك تخصيص تسميات حقول اسم المستخدم وكلمة المرور التي يراها المستخدمون على "My Apps" عند إدخال بيانات اعتمادهم. للحصول على خطوات لتطبيق تسجيل الدخول الأحادي المستند إلى كلمة المرور، راجع تسجيل الدخول الأحادي المستند إلى كلمة المرور.

  • مرتبط - اختر مرتبط عند تكوين التطبيق لتسجيل الدخول الأحادي في خدمة موفر هوية آخر. يتيح لك الخيار المرتبط تكوين الموقع المستهدف عندما يقوم مستخدم بتحديد التطبيق في المؤسسة في المداخل. يمكنك إضافة ارتباط إلى تطبيق ويب مخصص يستخدم حالياً الاتحاد، مثل خدمات الأمان المشترك لـ Active Directory (AD FS).

    يمكنك أيضاً إضافة ارتباطات إلى صفحات ويب معينة تريد ظهورها على لوحات وصول المستخدم وإلى تطبيق لا يتطلب مصادقة. لا يوفر الخيار المرتبط وظيفة تسجيل الدخول من خلال بيانات اعتماد Microsoft Azure Active Directory. للحصول على خطوات لتنفيذ تسجيل الدخول الأحادي المرتبط، راجع تسجيل الدخول الأحادي المرتبط.

  • معطل - اختر تسجيل دخول أحادي مُعطل عندما يكون التطبيق غير جاهز ليتم تكوينه لتسجيل الدخول الأحادي.

  • مصادقة Windows المتكاملة (IWA) - اختر تسجيل الدخول الأحادي IWA للتطبيقات التي تستخدم IWA، أو للتطبيقات المدركة للمطالبات. لمزيد من المعلومات، راجع تفويض Kerberos المُقيد لتسجيل الدخول الأحادي إلى تطبيقاتك باستخدام وكيل التطبيقات.

  • المستند إلى العنوان -اختيار تسجيل الدخول الأحادي المستند إلى العنوان عند استخدام التطبيق عناوين للمصادقة. لمزيد من المعلومات، راجع تسجيل الدخول الأحادي المستند إلى العنوان.

الخطوات التالية