تكوين OpenID Connect

مقدمة

يعد تكوين مصادقة آمنة وموثوقة أمرًا ضروريًا لأي عملية نشر لـ GO-Global. يرشد هذا الدليل الفني المسؤولين خلال العملية الكاملة لإعداد OpenID Connect (OIDC) عبر مزودي الهوية الرئيسيين — بما في ذلك Azure Entra ID و ADFS و Oracle Identity Cloud و Okta و ManageEngine Identity Manager Plus و KeyCloak و Google Workspace. بفضل الإرشادات الواضحة والمفصلة خطوة بخطوة، يضمن هذا الدليل تكامل GO-Global Host بشكل صحيح مع منصات الهوية الحديثة من أجل وصول سلس للمستخدمين وأمان محسّن.

أزور

يلزم اتباع الخطوات التالية لإنشاء تسجيل تطبيق Azure لاستخدامه مع Microsoft EntraID (المعروف سابقًا باسم AzureAD) لمصادقة المستخدمين الذين يتصلون بمضيف (مضيفات) GO-Global. وسيتم في ذلك استخدام OAuth2 لـ Microsoft Identity الإصدار 2.0.

الخطوة 1: تسجيل طلب جديد

1. انتقل إلى: https://portal.azure.com/#view/Microsoft_AAD_RegisteredApps/ApplicationsListBlade
2. تسجيل التطبيق الجديد:

• تحت " أنواع الحسابات المدعومة"، حدد " الحسابات الموجودة في دليل المؤسسة هذا فقط" (الدليل الافتراضي فقط - مستأجر واحد)
• في حقل "عنوان URL لإعادة التوجيه"، حدد "الويب" كنوع. وفي حقل "القيمة"، أدخل عنوان URL لإعادة التوجيه الخاص بنطاقك. على سبيل المثال، https://example.com/callback.html

الخطوة 2: تكوين العلامة التجارية والخصائص

في قسم " العلامة التجارية والممتلكات"، تأكد من أن نطاق الناشر قد تم تعيينه على النطاق الصحيح. على سبيل المثال، example.com

الخطوة 3: إنشاء مفتاح سري للعميل

1. انتقل إلى " الشهادات والأسرار".
2. انقر على «سر عميل جديد» وقم بتكوين الخيارات.
3. انسخ القيمة السرية واحفظها في مكان آمن.
   

الخطوة 4: تكوين إعدادات الرمز المميز

1. انتقل إلى " تكوين الرموز".
2. انقر على " إضافة مطالبة اختيارية".
3. التكوين:
   • نوع الرمز: ID
   • الادعاء: حدد upn
4. انقر فوق " إضافة".
5. قم بتفعيل الخيار "تشغيل أذونات ملف تعريف Microsoft Graph".
6. انقر على " إضافة " للحفظ.
   

ملاحظة:

عند إعداد تسجيل التطبيق باستخدام Azure Active Directory B2C، لا توجد شريحة "تكوين الرموز" (Token Configuration ) في واجهة مستخدم بوابة Azure. بدلاً من ذلك، أضف "المطالبات الاختيارية" (optionalClaims) عبر ملف JSON الخاص بالبيان.

على سبيل المثال:

 "optionalClaims": {
   "accessToken": [],
   "idToken": [
        {
           "additionalProperties": [],
           "essential": false,
           "name": "upn",
           "source": null
                 	} 
    ],
    "saml2Token": []
},

الخطوة 5: ضبط أذونات واجهة برمجة التطبيقات

يستخدم GO-Global أذونات الملف الشخصي بدلاً من User.Read. قم بإزالة الأذونات غير الضرورية:

1. انتقل إلى " أذونات واجهة برمجة التطبيقات".
   
2. حدد «User.Read » وانقر على «إزالة الإذن».
   
3. قم بالتأكيد بالنقر فوق «نعم، إزالة».

تأكد من وجود الإذن المفوض لملف تعريف Microsoft Graph في القائمة. (من المفترض أن يتم إضافته تلقائيًا.)

الخطوة 6: تكوين المصادقة

1. في "وحدة التحكم الإدارية"، انتقل إلى " خيارات المضيف" | "المصادقة".
   
2. قم بتكوين ما يلي:

• قم بإلغاء تحديد جميع خيارات المصادقة الأخرى.
• اختر مصادقة OpenID Connect.
• اختر خيارًا واحدًا:
  • تسجيل دخول المستخدمين تلقائيًا إلى حساب Windows محلي، أو
  • تسجيل دخول المستخدمين تلقائيًا إلى حساباتهم في المجال.
• معرف العميل: انسخ معرف التطبيق (العميل) من صفحة النظرة العامة على تسجيل تطبيقات Azure.
• السر الخاص بالعميل: الصق قيمة السر التي تم نسخها سابقًا.
• عنوان URL للتفويض: احصل على معرّف الدليل (TENANTID) من صفحة النظرة العامة على تسجيل تطبيقات Azure. استبدل TENANTID في: https://login.microsoftonline.com/TENANTID/oauth2/v2.0/authorize/?response_type=code&scope=openid%20email%20profile
• رابط الرمز المميز: احصل على معرّف الدليل (TENANTID) من صفحة النظرة العامة لتسجيل تطبيق Azure. استبدل TENANTID في الرابط التالي: https://login.microsoftonline.com/TENANTID/oauth2/v2.0/token
• عنوان URL لإعادة التوجيه: استخدم نفس عنوان URL الذي تم إدخاله أثناء تسجيل التطبيق (على سبيل المثال، https://example.com/callback.html)

      3. انقر فوق " موافق " للحفظ.

ملاحظة:

في "تسجيل تطبيقات Azure"، ضمن قائمة "المصادقة "، تأكد من عدم تمكين إعدادات " المنح الضمني " و" التدفقات المختلطة ".

ADFS

الخطوات والإعدادات التالية مطلوبة لإنشاء تطبيق مؤسسي في ADFS لاستخدامه مع مضيف GO-Global.

1. على خادم Windows الخاص بـ ADFS، افتح أداة إدارة ADFS.
2. من شجرة التنقل على اليسار، انقر بزر الماوس الأيمن على "مجموعات التطبيقات " ( Application Groups) واختر "إضافة مجموعة تطبيقات" (Add Application Group ) لفتح المعالج.
3. حدد "تطبيق الخادم" (Server application ) في منطقة "التطبيقات المستقلة" (Standalone applications) بالمعالج وانقر على "التالي" (Next).
4.    أدخل اسمًا للتطبيق، وانسخ معرف العميل (Client ID) واحفظه.
5. أدخل عنوان URL للرد من GO-Global في حقل Redirect URI وانقر على Next.
6. حدد Generate a shared secret وانسخه لاستخدامه في Shared Secret.
7. انقر على Next.
8.    انقر فوق "التالي" واحفظ مجموعة التطبيقات الجديدة هذه.

لتكوين روابط "نقطة النهاية" (Endpoint) الخاصة بالتفويض والرمز المميز، استبدل "server1.domain.com" في https://server1.domain.com/adfs/oauth2/authorize و https://server1.domain.com/adfs/oauth2/token باسم المجال الكامل (FQDN) لخادم ADFS.

مثال على عنوان URL للتفويض:
https://[ADFS SERVER FQDN]/adfs/oauth2/authorize

مثال على عنوان URL للرمز المميز:
https://[ADFS SERVER FQDN]/adfs/oauth2/token 

ملاحظة:
في علامة التبويب "المصادقة" (Authentication) في مربع الحوار "خيارات المضيف" (Host Options) في وحدة التحكم الإدارية (Admin Console)، يجب عليك تحديد إما "تسجيل دخول المستخدمين تلقائيًا إلى حساب Windows محلي " أو "تسجيل دخول المستخدمين تلقائيًا إلى حسابات المجال الخاصة بهم". إذا لم يتم تحديد أحد خيارات المصادقة هذه الخاصة بـ OpenID Connect، فلن يكتمل تسجيل الدخول.  

أوراكل

الخطوات والإعدادات التالية مطلوبة لإنشاء تطبيق في Oracle Identity Cloud لاستخدامه مع مضيف GO-Global.

1. قم بتسجيل الدخول إلى خدمة Oracle Identity Cloud.
2. انتقل إلى " التطبيقات " وانقر على "إضافة" وا ختر "تطبيق سري".
3. أدخل " اسم " للتطبيق.
4. بالنسبة إلى " عنوان URL للرد على الارتباط"، استخدم عنوان URL الخاص بملف callback.html الخاص بـ GO-Global. (على سبيل المثال: http://GO-GlobalHost.MyDomain.com:491/callback.html)
5. انقر فوق "التالي" لتكوين العميل.
6. بالنسبة إلى "أنواع المنح المسموح بها"، حدد " رمز التفويض".
7. إذا كنت بحاجة إلى استخدام عناوين URL غير HTTPS، فحدد الخيار "السماح بعناوين URL غير HTTPS".
8.    بالنسبة لعنوان URL لإعادة التوجيه، استخدم callback.html الخاص بمضيف GO-Global.
(على سبيل المثال: http://GO-GlobalHost.MyDomain.com:491/callback.html)
9. اضبط "تجاوز الموافقة " على "ممكّن".

يمكن لجميع الخيارات الأخرى استخدام الإعدادات الافتراضية التي حددتها Oracle.

بعد إنشاء التطبيق، انقر فوق التطبيق لعرض التفاصيل. يمكن العثور على معرف العميل (Client ID ) وسر العميل (Client Secret) في علامة التبويب "التكوين" | "معلومات عامة". سيتعين نسخ هذين العنصرين إلى إعدادات OpenID Connect على مضيف GO-Global.

مثال على عنوان URL للتفويض:
https://tenant-base-url/oauth2/v1/authorize?scope=openid%20email&response_type=code

مثال على عنوان URL للرمز المميز:
https://tenant-base-url/oauth2/v1/token?

ملاحظة:
في علامة التبويب "المصادقة" (Authentication) في مربع الحوار "خيارات المضيف" (Host Options) في وحدة التحكم الإدارية (Admin Console)، يجب عليك تحديد إما "تسجيل دخول المستخدمين تلقائيًا إلى حساب Windows محلي" أو "تسجيل دخول المستخدمين تلقائيًا إلى حسابات المجال الخاصة بهم". إذا لم يتم تحديد أحد خيارات المصادقة هذه الخاصة بـ OpenID Connect، فلن يكتمل تسجيل الدخول.  

سحابة الهوية من Okta

الخطوات والإعدادات التالية مطلوبة لإنشاء تطبيق في Okta Identity Cloud لاستخدامه مع مضيف GO-Global. يمكن ترك أي إعدادات لم يتم ذكرها على قيمتها الافتراضية.

لمزيد من المعلومات حول Okta، تفضل بزيارة:
https://help.okta.com/en-us/Content/Topics/Apps/Apps_App_Integration_Wizard_OIDC.htm

1. من لوحة تحكم Okta Identity Cloud، انتقل إلى "التطبيقات".
2. انقر على الزر "إنشاء تكامل التطبيق".
3. بالنسبة لطريقة تسجيل الدخول، حدد OIDC - OpenID Connect.
4. حدد "تطبيق ويب"، والذي سيظهر بعد تحديد OIDC في الخطوة 3.
5. بالنسبة لنوع التطبيق، حدد "تطبيق ويب".
6. انقر على "التالي"
7. أدخل اسمًا في حقل "الاسم ".
8.    حدد "العميل الذي يعمل نيابة عن نفسه" وحد د المربع " بيانات اعتماد العميل ".
9. حدد "العميل الذي يعمل نيابة عن مستخدم" وحدد المربع " رمز التفويض". لا تحدد "ضمني (مختلط) " .
10. بالنسبة إلى عناوين URI لإعادة توجيه تسجيل الدخول، استخدم اسم المجال الكامل للمضيف هنا: http://MyHost.MyDomain.com:491/callback.html
11.    التعيينات: استخدم هذا لتكوين المستخدمين الذين سيكون لديهم حق الوصول. أو يمكن تخطي هذا وتكوينه لاحقًا، بعد إنشاء التطبيق.
12. في "التعيينات"، اختر " تقييد الوصول إلى المجموعات المحددة " أو "تخطي تعيين المجموعة في الوقت الحالي " وقم بإنشاء التطبيق دون تعيين مجموعة.
13.    انقر فوق "حفظ" لإنشاء تكامل التطبيق الجديد هذا.
14. حدد "تطبيق الويب" الجديد لإظهار صفحات التحرير.
15. من علامة التبويب "عام" ، انسخ وحفظ " معرف العميل " و" سر العميل". سيتعين نسخ هذين إلى "إعدادات OpenID Connect" على مضيف GO-Global.

إعدادات مضيف GO-Global
في وحدة التحكم الإدارية لـ GO-Global ضمن إعدادات OIDC، استخدم عناوين URL التالية الخاصة بـ Okta Authorize و Token، واستبدل "YOUR-OKTA-Domain" بنطاق Okta المخصص الخاص بك.
https://YOUR-OKTA-Domain.okta.com/oauth2/default/v1/authorize
https://YOUR-OKTA-Domain.okta.com/oauth2/default/v1/token

مثال على عنوان URL للتفويض:
https://dev-111222.okta.com/oauth2/default/v1/authorize

مثال على عنوان URL للرمز المميز:
https://dev-111222.okta.com/oauth2/default/v1/token

ملاحظة:

في علامة التبويب "المصادقة " في مربع الحوار "خيارات المضيف " في وحدة التحكم الإدارية، يجب عليك تحديد إما " تسجيل دخول المستخدمين تلقائيًا إلى حساب Windows محلي " أو " تسجيل دخول المستخدمين تلقائيًا إلى حسابات المجال الخاصة بهم". إذا لم يتم تحديد أحد خيارات المصادقة هذه الخاصة بـ OpenID Connect، فلن تكتمل عملية تسجيل الدخول.  

لمزيد من المعلومات حول Okta، يرجى زيارة الموقع: https://help.okta.com/en/prod/Content/Topics/Directory/ad-agent-main.htm.

ManageEngine - Identity Manager Plus

الخطوات التالية مطلوبة لإنشاء تطبيق في Identity Manager Plus لاستخدامه مع مضيف GO-Global.

1. من صفحة إدارة IdentityManager، انتقل إلى علامة التبويب "التطبيقات" .
2. انقر فوق "إضافة تطبيق".
3. أدخل " اسم التطبيق " و "اسم المجال".
4.    حدد علامة التبويب OAuth/OpenID Connect.
5. قم بتمكين الخيار Enable OAuth/OpenID Connect.
6. اضبط Supported SSO Flow على SP Initiated.
7. استخدم عنوان URL callback.html الخاص بـ GO-Global Host لعناوين URL لإعادة توجيه تسجيل الدخول.
8. بالنسبة إلى Response Type، تأكد من تحديد Authorization Code فقط.

9. قم بتمكين خيار "السماح برمز التحديث".
10. اضبط صلاحية رمز الوصول على 3600 ثانية.
11. اضبط خوارزمية المفتاح على HS256.
12. اضبط وضع مصادقة العميل على "اختيار سر العميل الأساسي" و"سر العميل بعد الإرسال".
13. انقر فوق "إضافة تطبيق".

يمكن العثور على معرّف العميل وسر العميل وعناوين URL الخاصة بالرمز والتفويض في Identity Manager Plus | التطبيقات. انقر فوق رابط "التفاصيل " في عمود " تفاصيل مزود الهوية ".

مثال على عنوان URL للتفويض:
https://identitymanager.manageengine.com/sso/oauth/[manageengine_ID]/authorize

مثال على عنوان URL للرمز المميز:
https://identitymanager.manageengine.com/sso/oauth/[manageengine_ID]/token

KeyCloak

يدعم GO-Global KeyCloak باستخدام عنوان URL القياسي للتفويض.

يمكن للمسؤولين تحديد الحقل في رمز الهوية الذي يحتوي على اسم المستخدم. بشكل افتراضي، يحاول GO-Global الحصول على اسم المستخدم من حقل البريد الإلكتروني المقدم من KeyCloak، ولكن يمكن تهيئته للحصول على اسم المستخدم من حقول أخرى عبر الخاصية OpenIDConnectUserNameField في ملف HostProperties.xml.

لتعيين الخاصية OpenIDConnectUserNameField

‍
1. أوقف خدمة نشر التطبيقات.
2. افتح ملف %PROGRAMDATA%\GraphOn\GO-Global\HostProperties.xml في محرر نصوص.
3. ابحث عن الخاصية OpenIDConnectUserNameField وقم بتغيير القيمة إلى اسم المطالبة في رمز تعريف OIDC الخاص بالمستخدم، والذي يحتوي على اسم المستخدم العام (UPN) الذي يجب أن يستخدمه GO-Global لمصادقة المستخدم على نظام Windows.
4.    احفظ ملف HostProperties.xml.
5. أعد تشغيل خدمة نشر التطبيقات.

Google Workspace/Cloud Identity

قبل البدء، تأكد من أنك تمتلك إما حساب "Google Workspace Premium" مع نطاق مخصص أو حساب "Cloud Identity Premium" مع نطاق مخصص. تحقق من وجود مؤسستك في "Google Admin Console". بالنسبة للحسابات الجديدة، قد يستغرق الأمر بعض الوقت حتى يتم إنشاء نطاقك المخصص تلقائيًا. قم بإنشاء مستخدمين جدد إذا لزم الأمر. توصي GraphOn بتفعيل "التحقق بخطوتين" لجميع المستخدمين.

دليل Google Cloud Console
أ. أنشئ مشروعًا جديدًا (مثل GG-OIDC-Project) وانتقل إلى المشروع الذي تم إنشاؤه حديثًا.

ب. إعداد شاشة موافقة OAuth
1. انتقل إلى "واجهات برمجة التطبيقات والخدمات" (APIs & Services). حدد "شاشة موافقة OAuth" من شريط التنقل الأيسر. أو بدلاً من ذلك، من صفحة "منصة Google Auth" الجديدة، حدد "العلامة التجارية" (Branding) على اليسار.
2. حدد "نوع المستخدم": داخلي (Internal).
3. حدد اسم التطبيق (على سبيل المثال، GG-Auth-Consent).
4.    في مربع " صفحة التطبيق الرئيسية "، اكتب عنوان URL لمضيف GO-Global أو موزع الحمل. (على سبيل المثال، https://myapp.example.com)
5. في مربع "المجال المصرح به "، اكتب المجال ذي المستوى الأعلى (TLD) لمضيف GO-Global. (على سبيل المثال، example.com)
6. انقر فوق "حفظ ومتابعة".
7.    تخطي إضافة النطاقات ما لم تتطلب سياسة مؤسستك ذلك.
8. انقر على "حفظ ومتابعة".

ج. إنشاء معرف عميل OAuth
1. انتقل إلى "واجهات برمجة التطبيقات والخدمات" | "بيانات الاعتماد" | "إنشاء بيانات الاعتماد" | "معرف عميل OAuth". أو بدلاً من ذلك، من صفحة منصة Google Auth الجديدة، حدد "العملاء" على اليسار.
2. بالنسبة إلى "نوع التطبيق"، حدد "تطبيق ويب".
3.    قم بتسمية عميل OAuth. (على سبيل المثال، GG-Auth-Client)
4. أضف عنوان URI لإعادة التوجيه المصرح به، باستخدام عنوان URL لخادم الويب GO-Global أو عنوان URL لموزع الحمل مع اللاحقة /callback.html (على سبيل المثال، https://myapp.example.com:491/callback.html). تجاهل :491 إذا كانت الواجهة الأمامية لموزع الحمل تستمع على المنفذ 443.
5. أنشئ العميل.
6. قم بتخزين معرف العميل (Client ID ) وسر العميل (Client Secret) اللذين تم إنشاؤهما بشكل آمن.

تكوين مضيف GO-Global

‍قم بتكوينالإعدادات التالية في مضيف (مضيفات) GO-Global الخاص بك:
1. انتقل إلى «أدوات» | «خيارات المضيف» | «المصادقة».
2. قم بإلغاء تحديد جميع خانات الاختيار.
3. قم بتمكين مصادقة OpenID Connect.
4. حدد إما «تسجيل دخول المستخدمين تلقائيًا إلى حسابات Windows المحلية » أو «تسجيل دخول المستخدمين تلقائيًا إلى حسابات نطاقهم».
5.    اكتب سلسلة معرف العميل من تكوين خادم OpenID Connect في مربع معرف العميل.
6. اكتب سلسلة سر العميل من تكوين خادم OpenID Connect في مربع سر العميل.
7. اكتب عنوان URL للتفويض المستخدم لمصادقة المستخدمين مع خادم OpenID Connect في مربع عنوان URL للتفويض. على سبيل المثال،
https://accounts.google.com/o/oauth2/v2/auth?response_type=code&scope=openid+email
8. اكتب عنوان URL الرمز المستخدم لمصادقة المستخدمين مع خادم OpenID Connect الخاص بك في مربع عنوان URL الرمز. على سبيل المثال، https://oauth2.googleapis.com/token
9.    في مربع عنوان URL لإعادة التوجيه ، اكتب عنوان URL لخادم الويب GO-Global الخاص بك، أو خادم الويب التابع لجهة خارجية، أو موزع الحمل، مع إضافة اللاحقة /callback.html.
(على سبيل المثال، https://myapp.example.com:491/callback.html). احذف :491 إذا كانت الواجهة الأمامية لموزع الحمل تستمع على المنفذ 443.
10. انقر فوق "موافق".

استنتاج

يعد تكوين مصادقة آمنة وموثوقة أمرًا ضروريًا لأي عملية نشر لـ GO-Global. يرشد هذا الدليل الفني المسؤولين خلال العملية الكاملة لإعداد OpenID Connect (OIDC) عبر مزودي الهوية الرئيسيين — بما في ذلك Azure Entra ID و ADFS و Oracle Identity Cloud و Okta و ManageEngine Identity Manager Plus و KeyCloak و Google Workspace. بفضل الإرشادات الواضحة والمفصلة خطوة بخطوة، يضمن هذا الدليل تكامل GO-Global Host بشكل صحيح مع منصات الهوية الحديثة من أجل وصول سلس للمستخدمين وأمان محسّن.

هل أنت من بائعي البرمجيات المستقلين الذين يستكشفون تقديم التطبيقات المستندة إلى السحابة؟ اتصل بنا لمعرفة كيف يمكن ل GO-Global مساعدتك في تبسيط وصول المستخدمين النهائيين إلى البرامج. أو قم بتنزيل نسخة تجريبية مجانية لاختبارها بنفسك.