ضبط إعدادات موفِّر الهوية

أنت تعرض مستندات Apigee Edge.
انتقل إلى مستندات Apigee X.
معلومات

بالنسبة إلى البوابات المدمجة، يمكنك تحديد موفري الهوية لدعم أنواع المصادقة المحددة في الجدول التالي.

نوع المصادقة الوصف
مدمج

يتطلب من المستخدمين تمرير بيانات الاعتماد (اسم المستخدم وكلمة المرور) إلى البوابة المدمجة للمصادقة.عند إنشاء بوابة جديدة، يتم إعداد موفِّر الهوية المُدمَج وتفعيله.

لفهم تجربة تسجيل الدخول من منظور المستخدم، يُرجى الاطّلاع على مقالة تسجيل الدخول إلى البوابة باستخدام بيانات اعتماد المستخدم (موفِّر خدمة مُضمَّن).

SAML (إصدار تجريبي)

لغة ترميز تأكيد الأمان (SAML) هي بروتوكول قياسي لبيئة الدخول المُوحَّد (SSO). تتيح مصادقة الدخول المُوحَّد (SSO) باستخدام SAML للمستخدمين تسجيل الدخول إلى بوابات Apigee Edge المدمجة بدون الحاجة إلى إنشاء حسابات جديدة. ويسجِّل المستخدمون الدخول باستخدام بيانات اعتماد الحسابات المُدارة مركزيًا.

لفهم تجربة تسجيل الدخول من منظور المستخدم، يُرجى الاطّلاع على تسجيل الدخول إلى البوابة باستخدام SAML.

مزايا مصادقة SAML للمداخل المتكاملة

يوفِّر ضبط SAML كموفِّر هوية لبوابة مدمجة المزايا التالية:

  • يمكنك إعداد برنامج المطوِّرين مرة واحدة وإعادة استخدامه في عدة بوابات مدمجة. اختَر برنامج المطوِّر عند إنشاء البوابة المدمجة. ويمكنك تحديث برنامج المطوّرين أو تغييره بسهولة مع تطوّر المتطلّبات.
  • التحكّم بشكل كامل في إدارة المستخدمين
    ربط خادم SAML لشركتك بالبوابة المدمجة. عندما يغادر المستخدمون المؤسسة ويتم إلغاء حق الوصول لهم بشكل مركزي، لن يتمكنوا بعد ذلك من المصادقة مع خدمة الدخول الموحّد (SSO) لاستخدام البوابة المدمجة.

ضبط موفِّر الهوية المدمَج

اضبط موفِّر الهوية المُدمَج، كما هو موضَّح في الأقسام التالية.

الوصول إلى صفحة "موفِّر الهوية" المُضمَّن

للوصول إلى موفِّر الهوية المُدمَج:

  1. اختَر نشر >. المداخل في شريط التنقل الجانبي لعرض قائمة البوابات.
  2. انقر على صف البوابة التي تريد عرض الفِرق لها.
  3. انقر على الحسابات في الصفحة المقصودة للبوابة. بدلاً من ذلك، يمكنك اختيار الحسابات في قائمة البوابة المنسدلة في شريط التنقّل العلوي.
  4. انقر على علامة التبويب المصادقة.
  5. في قسم موفِّر الهوية، انقر على نوع موفِّر الهوية المدمج.
  6. اضبط موفِّر الهوية المدمَج، كما هو موضَّح في الأقسام التالية:

تفعيل موفِّر الهوية المدمَج

لتفعيل موفِّر الهوية المُدمَج:

  1. الوصول إلى صفحة "موفّر الهوية المضمَّن".
  2. انقر على في قسم إعداد الموفّر.
  3. ضَع علامة في مربّع الاختيار مفعَّل لتفعيل موفِّر الهوية.

    لإيقاف موفِّر الهوية المدمَج، أزِل العلامة من مربّع الاختيار.

  4. انقر على حفظ.

تقييد تسجيل البوابة باستخدام عنوان البريد الإلكتروني أو النطاق

يمكنك تقييد تسجيل البوابة من خلال تحديد عناوين البريد الإلكتروني الفردية (developer@some-company.com) أو نطاقات البريد الإلكتروني (some-company.com، بدون @ البادئة) التي يمكنها إنشاء حسابات على البوابة.

لمطابقة جميع النطاقات الفرعية المتداخلة، أضِف سلسلة حرف البدل *. إلى نطاق أو نطاق فرعي. على سبيل المثال، ستتم مطابقة *.example.com مع test@example.com وtest@dev.example.com وهكذا.

في حال ترك هذا الحقل فارغًا، يمكن استخدام أي عنوان بريد إلكتروني للتسجيل على البوابة.

لتقييد تسجيل البوابة باستخدام عنوان البريد الإلكتروني أو النطاق:

  1. الوصول إلى صفحة "موفّر الهوية المضمَّن".
  2. انقر على في قسم إعداد الموفّر.
  3. في قسم "قيود الحساب"، أدخِل عنوان بريد إلكتروني أو نطاق بريد إلكتروني تريد السماح له بالتسجيل في البوابة، ثم سجِّل الدخول إلى البوابة في مربّع النص وانقر على +.
  4. أضِف إدخالات إضافية حسب الحاجة.
  5. لحذف إدخال، انقر على الرمز x بجانب الإدخال.
  6. انقر على حفظ.

ضبط الإشعارات عبر البريد الإلكتروني

بالنسبة إلى الموفّر المدمَج، يمكنك تفعيل إشعارات البريد الإلكتروني التالية وضبطها:

الإشعار بالبريد الإلكتروني المستلم عامل التفعيل الوصف
إشعار الحسابموفِّر واجهة برمجة التطبيقاتينشئ مستخدم البوابة حسابًا جديدًاإذا ضبطت البوابة لطلب التفعيل اليدوي لحسابات المستخدمين، عليك تفعيل حساب المستخدم يدويًا قبل أن يتمكّن مستخدم البوابة من تسجيل الدخول.
إثبات ملكية الحسابمستخدم البوابةينشئ مستخدم البوابة حسابًا جديدًايتم توفير رابط آمن للتحقُّق من إنشاء الحساب. تنتهي صلاحية الرابط بعد 10 دقائق.

عند ضبط الإشعارات عبر البريد الإلكتروني:

  • استخدم علامات HTML لتنسيق النص. تأكد من إرسال بريد إلكتروني تجريبي للتحقق من ظهور التنسيق على النحو المتوقع.
  • يمكنك إدراج واحد أو أكثر من المتغيّرات التالية التي سيتم استبدالها عند إرسال الإشعار عبر البريد الإلكتروني.

    متغير الوصف
    {{firstName}} الاسم الأول
    {{lastName}} اسم العائلة
    {{email}} عنوان البريد الإلكتروني
    {{siteurl}} رابط إلى البوابة المباشرة
    {{verifylink}} الرابط المستخدَم لإثبات ملكية الحساب

لضبط الإشعارات عبر البريد الإلكتروني:

  1. الوصول إلى صفحة "موفّر الهوية المضمَّن".
  2. لضبط الإشعارات عبر البريد الإلكتروني المُرسَلة إلى:

    • بالنسبة إلى موفِّري واجهات برمجة التطبيقات لتفعيل حساب المطوّر الجديد، انقر على في قسم إشعار الحساب.
    • لإثبات هويات مستخدمي البوابة، انقر على في قسم إثبات ملكية الحساب.
  3. عدِّل الحقلين الموضوع والنص الأساسي.

  4. انقر على إرسال رسالة إلكترونية تجريبية لإرسال رسالة إلكترونية تجريبية إلى عنوان بريدك الإلكتروني.

  5. انقر على حفظ.

ضبط موفِّر هوية SAML (إصدار تجريبي)

اضبط موفّر هوية SAML، كما هو موضح في الأقسام التالية.

الوصول إلى صفحة "موفّر هوية SAML"

للوصول إلى موفِّر هوية SAML:

  1. اختَر نشر >. المداخل في شريط التنقل الجانبي لعرض قائمة البوابات.
  2. انقر على صف البوابة التي تريد عرض الفِرق لها.
  3. انقر على الحسابات في الصفحة المقصودة للبوابة. بدلاً من ذلك، يمكنك اختيار الحسابات في قائمة البوابة المنسدلة في شريط التنقّل العلوي.
  4. انقر على علامة التبويب المصادقة.
  5. في قسم موفّرو الهوية، انقر على نوع موفِّر SAML.
  6. اضبط موفّر هوية SAML، كما هو موضح في الأقسام التالية:

تفعيل موفِّر هوية SAML

لتفعيل موفِّر هوية SAML:

  1. الوصول إلى صفحة "موفّر هوية SAML".
  2. انقر على في قسم إعداد الموفّر.
  3. ضَع علامة في مربّع الاختيار مفعَّل لتفعيل موفِّر الهوية.

    لإيقاف موفِّر هوية SAML، يجب إزالة العلامة من مربّع الاختيار.

  4. انقر على حفظ.

  5. في حال ضبط نطاق خاص، يُرجى الاطِّلاع على استخدام نطاق خاص مع موفِّر هوية SAML.

ضبط إعدادات SAML

لضبط إعدادات SAML:

  1. الوصول إلى صفحة "موفّر هوية SAML".
  2. في قسم إعدادات SAML، انقر على .
  3. انقر على نسخ بجانب عنوان URL للبيانات الوصفية لمقدِّم الخدمة.

  4. اضبط موفِّر هوية SAML باستخدام المعلومات الواردة في ملف البيانات الوصفية لمقدِّم الخدمة (SP).

    بالنسبة إلى بعض موفِّري هوية SAML، سيُطلب منك إدخال عنوان URL للبيانات الوصفية فقط. أما بالنسبة إلى التطبيقات الأخرى، فيجب استخراج معلومات محدّدة من ملف البيانات الوصفية وإدخالها في نموذج.

    وفي الحالة الثانية، يجب لصق عنوان URL في متصفّح لتنزيل ملف البيانات الوصفية لمقدِّم الخدمة واستخراج المعلومات المطلوبة. على سبيل المثال، يمكن استخراج رقم تعريف الكيان أو عنوان URL لصفحة تسجيل الدخول من العناصر التالية في ملف البيانات الوصفية لمقدِّم الخدمة:

    • <md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" ID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" entityID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login">
    • <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://diyyaumzqchrbui-a5vnmu1sp8qzekbd.portal-login.apigee.com/saml/SSO/alias/diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" index="0" isDefault="true"/>
  5. ضبط إعدادات SAML لموفِّر الهوية

    في قسم إعدادات SAML، عدِّل القيم التالية التي تم الحصول عليها من ملف البيانات الوصفية لموفِّر هوية SAML:

    إعداد SAMLالوصف
    عنوان URL لتسجيل الدخولعنوان URL الذي تتم إعادة توجيه المستخدمين إليه لتسجيل الدخول إلى موفِّر هوية SAML.
    على سبيل المثال: https://dev-431871.oktapreview.com/app/googledev431871_devportalsaml_1/exkhgdyponHIp97po0h7/sso/saml
    عنوان URL لتسجيل الخروجعنوان URL الذي تتم إعادة توجيه المستخدمين إليه لتسجيل الخروج من موفِّر هوية SAML.

    اترك هذا الحقل فارغًا في الحالات التالية:

    • لا يوفر موفِّر هوية SAML عنوان URL لتسجيل الخروج
    • عدم تسجيل خروج المستخدمين من موفِّر هوية SAML عند تسجيل خروجهم من البوابة المتكاملة
    • تريد تفعيل نطاق خاص (يُرجى الاطّلاع على المشكلة المعروفة)
    رقم تعريف كيان موفِّر الهوية (idP)معرّف فريد لموفِّر هوية SAML.
    على سبيل المثال: http://www.okta.com/exkhgdyponHIp97po0h7
  6. انقر على حفظ.

ضبط السمات المخصّصة للمستخدم لموفِّر هوية SAML

لضمان الربط الصحيح بين موفِّر هوية SAML وحسابات مطوّري برامج البوابة، ننصحك بإنشاء سمات المستخدم المخصَّصة المحدّدة في الجدول التالي وضبطها لموفِّر هوية SAML. اضبط قيمة كل سمة مخصّصة على سمة المستخدم المقابلة التي يحددها موفِّر هوية SAML (مثلاً، Okta).

السمة المخصّصة مثال (Okta)
first_name user.firstName
last_name user.lastName
email user.email

يوضح ما يلي كيفية ضبط السمات المخصّصة للمستخدم والسمة NameID باستخدام Okta كموفِّر هوية SAML التابع لجهة خارجية.

استخدام نطاق خاص مع موفِّر هوية SAML

بعد ضبط موفِّر هوية SAML وتفعيله، يمكنك ضبط نطاق خاص (مثل developers.example.com)، كما هو موضَّح في تخصيص نطاقك.

ومن المهم الحفاظ على مزامنة إعدادات الضبط بين النطاق الخاص وموفِّر هوية SAML. في حال عدم مزامنة إعدادات الضبط، قد تواجه مشاكل أثناء التفويض. على سبيل المثال، قد يشتمل طلب التفويض المُرسَل إلى موفِّر هوية SAML على AssertionConsumerServiceURL لم يتم تحديده باستخدام النطاق الخاص.

للحفاظ على مزامنة إعدادات الضبط بين النطاق الخاص وموفِّر هوية SAML:

  • في حال ضبط النطاق الخاص أو تعديله بعد تفعيل موفِّر هوية SAML وإعداده، احفظ إعدادات النطاق الخاص وتأكَّد من تفعيله. انتظر لمدة 30 دقيقة تقريبًا حتى يتم إيقاف ذاكرة التخزين المؤقت، ثم أعِد ضبط موفِّر هوية SAML باستخدام المعلومات المعدّلة في ملف البيانات الوصفية لمقدِّم الخدمة (SP)، كما هو موضَّح في ضبط إعدادات SAML. ومن المفترض أن يظهر نطاقك الخاص في "البيانات الوصفية لمقدّم الخدمة".

  • في حال ضبط نطاق خاص قبل ضبط موفِّر هوية SAML وتفعيله، عليك إعادة ضبط النطاق الخاص (الموضّح أدناه) لضمان ضبط موفِّر هوية SAML بشكلٍ صحيح.

  • وفي حال كنت بحاجة إلى إعادة ضبط موفِّر هوية SAML (أو إيقافه وإعادة تفعيله)، كما هو موضَّح في تفعيل موفِّر هوية SAML، عليك أيضًا. إعادة ضبط النطاق الخاص (على النحو الموضَّح أدناه)

إعادة ضبط النطاق الخاص

لإعادة ضبط النطاق الخاص (أو إيقافه وتفعيله):

  1. اختَر نشر >. المداخل في شريط التنقل الأيمن واختَر البوابة.
  2. اختَر الإعدادات في القائمة المنسدلة في شريط التنقّل العلوي أو على الصفحة المقصودة.
  3. انقر على علامة التبويب Domains (النطاقات).
  4. انقر على إيقاف لإيقاف النطاق الخاص.
  5. انقر على تفعيل لإعادة تفعيل النطاق الخاص.

لمزيد من المعلومات، يُرجى الاطّلاع على تخصيص نطاقك.

تحميل شهادة جديدة

لتحميل شهادة جديدة:

  1. نزِّل الشهادة من موفِّر هوية SAML.

  2. الوصول إلى صفحة "موفّر هوية SAML".

  3. انقر على صف منطقة الهوية التي تريد تحميل شهادة جديدة لها.

  4. في قسم الشهادة، انقر على .

  5. انقر على تصفّح وانتقِل إلى الشهادة في الدليل المحلي.

  6. انقر على فتح لتحميل الشهادة الجديدة.
    يتم تعديل حقول معلومات الشهادة لتعكس الشهادة المحدّدة.

  7. تأكَّد من أنّ الشهادة صالحة ولم تنتهِ صلاحيتها.

  8. انقر على حفظ.

تحويل شهادة x509 إلى تنسيق PEM

في حال تنزيل شهادة x509، يجب تحويلها إلى تنسيق PEM.

لتحويل شهادة x509 إلى تنسيق PEM:

  1. انسخ محتوى ds:X509Certificate element من ملف البيانات الوصفية لموفِّر هوية SAML والصقه في محرِّر النصوص المفضَّل لديك.
  2. أضِف السطر التالي في أعلى الملف:
    -----BEGIN CERTIFICATE-----
  3. أضِف السطر التالي في أسفل الملف:
    -----END CERTIFICATE-----
  4. احفظ الملف بامتداد .pem.

في ما يلي مثال على محتوى ملف PEM:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----