ضبط إعدادات موفِّر الهوية

يتم الآن عرض مستندات Apigee Edge.
انتقِل إلى مستندات Apigee X. المعلومات

بالنسبة إلى المداخل المدمَجة، يمكنك تحديد موفِّري الهوية لإتاحة أنواع المصادقة المحدَّدة في الجدول التالي.

نوع المصادقة الوصف
مدمج

يتطلب من المستخدمين تمرير بيانات الاعتماد (اسم المستخدم وكلمة المرور) إلى البوابة المدمجة للمصادقة.عند إنشاء بوابة جديدة، يتم ضبط موفِّر الهوية المُدمج وتفعيله.

للتعرّف على تجربة تسجيل الدخول من منظور المستخدم، يُرجى الاطّلاع على المقالة تسجيل الدخول إلى البوابة باستخدام بيانات اعتماد المستخدم (موفّر الخدمة المضمّن).
SAML (إصدار تجريبي)

لغة ترميز تأكيد الأمان (SAML) هي بروتوكول عادي لبيئة الدخول المُوحَّد (SSO). تمكّن مصادقة تسجيل الدخول الأحادي باستخدام SAML المستخدمين من تسجيل الدخول إلى بوابات Apigee Edge المتكاملة بدون الحاجة إلى إنشاء حسابات جديدة. ويسجّل المستخدمون الدخول باستخدام بيانات اعتماد حساباتهم المُدارة مركزيًا.

للتعرّف على تجربة تسجيل الدخول من منظور المستخدم، يُرجى الاطّلاع على مقالة تسجيل الدخول إلى البوابة باستخدام SAML.

مزايا مصادقة SAML للمداخل المتكاملة

ضبط SAML كموفِّر هوية لبوابة متكاملة توفّر المزايا التالية:

  • يمكنك إعداد برنامج المطوّر مرة واحدة وإعادة استخدامه في عدة بوابات مدمَجة. اختَر برنامج المطوّر عند إنشاء البوابة المدمجة. يمكنك بسهولة تحديث برنامج المطوِّرين أو تغييره مع تطور المتطلبات.
  • التحكّم الكامل في إدارة المستخدمين
    يمكنك ربط خادم SAML لشركتك بالبوابة المدمَجة. عندما يغادر المستخدمون مؤسستك ويتم إيقاف توفير المتطلبات اللازمة لهم مركزيًا، لن يتمكنوا بعد ذلك من المصادقة باستخدام خدمة الدخول المُوحَّد (SSO) لاستخدام البوابة المدمجة.

ضبط موفِّر الهوية المدمَج

اضبط موفّر الهوية المدمَج، كما هو موضَّح في الأقسام التالية.

الوصول إلى صفحة موفِّر الهوية المدمَج

للوصول إلى موفِّر الهوية المدمَج، اتّبِع الخطوات التالية:

  1. اختَر نشر > البوابات في شريط التنقّل الجانبي لعرض قائمة البوابات.
  2. انقر على صف البوابة التي تريد عرض الفِرق فيها.
  3. انقر على الحسابات في الصفحة المقصودة للبوابة. يمكنك بدلاً من ذلك اختيار الحسابات في القائمة المنسدلة للبوابة في شريط التنقّل العلوي.
  4. انقر على علامة تبويب المصادقة.
  5. في قسم موفّرو الهوية، انقر على نوع الموفِّر المضمَّن.
  6. اضبط موفّر الهوية المدمَج، كما هو موضَّح في الأقسام التالية:

تفعيل موفِّر الهوية المدمَج

لتفعيل موفّر الهوية المضمَّن:

  1. ادخل إلى صفحة موفِّر الهوية المدمَج.
  2. انقر على في القسم تهيئة الموفّر.

  3. ضَع علامة في مربّع الاختيار مفعّل لتفعيل موفِّر الهوية.

    لإيقاف موفِّر الهوية المدمَج، أزِل العلامة من مربّع الاختيار.

  4. انقر على حفظ.

تقييد تسجيل البوابة حسب عنوان البريد الإلكتروني أو النطاق

يمكنك فرض قيود على تسجيل البوابة من خلال تحديد عناوين البريد الإلكتروني الفردية (developer@some-company.com) أو نطاقات البريد الإلكتروني (some-company.com، بدون البادئة @) التي يمكنها إنشاء حسابات على البوابة.

لمطابقة كل النطاقات الفرعية المدمَجة، أضِف سلسلة أحرف البدل *. إلى نطاق أو نطاق فرعي. على سبيل المثال، سيتطابق *.example.com مع test@example.com وtest@dev.example.com وهكذا.

وفي حال ترك هذا الحقل فارغًا، يمكن استخدام أي عنوان بريد إلكتروني للتسجيل على البوابة.

لتقييد تسجيل البوابة حسب عنوان البريد الإلكتروني أو النطاق:

  1. ادخل إلى صفحة موفِّر الهوية المدمَج.
  2. انقر على في القسم تهيئة الموفّر.
  3. في القسم "قيود الحساب"، أدخِل عنوان البريد الإلكتروني أو نطاق البريد الإلكتروني الذي تريد السماح له بالتسجيل وتسجيل الدخول إلى البوابة في المربّع النصي، ثم انقر على +.
  4. أضِف إدخالات إضافية، حسب الحاجة.
  5. ولحذف إدخال، انقر على x بجانب الإدخال.
  6. انقر على حفظ.

إعداد الإشعارات عبر البريد الإلكتروني

بالنسبة إلى المزوّد المدمج، يمكنك تفعيل الإشعارات التالية عبر البريد الإلكتروني وضبطها:

الإشعار بالبريد الإلكتروني المستلم عامل التفعيل الوصف
إشعار الحسابموفِّر واجهة برمجة التطبيقاتمستخدم البوابة ينشئ حسابًا جديدًافي حال ضبط البوابة لطلب التفعيل اليدوي لحسابات المستخدمين، عليك تفعيل حساب المستخدم يدويًا ليتمكّن من تسجيل الدخول.
إثبات ملكية الحسابمستخدم البوابةمستخدم البوابة ينشئ حسابًا جديدًاتوفّر هذه السياسة رابطًا آمنًا للتحقّق من إنشاء الحساب. تنتهي صلاحية الرابط بعد 10 دقائق.

عند ضبط الإشعارات عبر البريد الإلكتروني:

  • استخدِم علامات HTML لتنسيق النص. احرص على إرسال رسالة إلكترونية تجريبية للتحقّق من أنّ التنسيق يظهر على النحو المتوقّع.

  • يمكنك إدراج متغير واحد أو أكثر من المتغيّرات التالية، والتي سيتم استبدالها عند إرسال إشعار عبر البريد الإلكتروني.

    متغير الوصف
    {{firstName}} الاسم الأوّل
    {{lastName}} اسم العائلة
    {{email}} عنوان البريد الإلكتروني
    {{siteurl}} رابط يؤدي إلى البوابة المباشرة
    {{verifylink}} الرابط المستخدَم لإثبات ملكية الحساب

لضبط الإشعارات عبر البريد الإلكتروني:

  1. ادخل إلى صفحة موفِّر الهوية المدمَج.

  2. لضبط الإشعارات عبر البريد الإلكتروني التي يتم إرسالها إلى:

    • موفِّرو واجهة برمجة التطبيقات لتفعيل حساب المطوّر الجديد، انقر على في قسم إشعار الحساب.
    • لمستخدمي البوابة لإثبات هويتهم، انقر على في قسم إثبات ملكية الحساب.

  3. عدِّل حقلي الموضوع والنص الأساسي.

  4. انقر على إرسال رسالة إلكترونية تجريبية لإرسال رسالة إلكترونية تجريبية إلى عنوان بريدك الإلكتروني.

  5. انقر على حفظ.

ضبط موفِّر هوية SAML (تجريبي)

اضبط موفِّر هوية SAML، كما هو موضَّح في الأقسام التالية.

الوصول إلى صفحة "موفِّر هوية SAML"

للوصول إلى موفِّر هوية SAML، اتّبِع الخطوات التالية:

  1. اختَر نشر > البوابات في شريط التنقّل الجانبي لعرض قائمة البوابات.
  2. انقر على صف البوابة التي تريد عرض الفِرق فيها.
  3. انقر على الحسابات في الصفحة المقصودة للبوابة. يمكنك بدلاً من ذلك اختيار الحسابات في القائمة المنسدلة للبوابة في شريط التنقّل العلوي.
  4. انقر على علامة تبويب المصادقة.
  5. في قسم موفِّري الهوية، انقر على نوع موفِّر SAML.

  6. اضبط موفّر هوية SAML، كما هو موضّح في الأقسام التالية:

تفعيل موفِّر هوية SAML

لتفعيل موفِّر هوية SAML، اتّبِع الخطوات التالية:

  1. ادخل إلى صفحة موفّر هوية SAML.
  2. انقر على في القسم تهيئة الموفّر.

  3. ضَع علامة في مربّع الاختيار مفعّل لتفعيل موفِّر الهوية.

    لإيقاف موفِّر هوية SAML، أزِل العلامة من مربع الاختيار.

  4. انقر على حفظ.

  5. وفي حال ضبط نطاق خاص، يُرجى الاطِّلاع على استخدام نطاق خاص مع موفِّر هوية SAML.

ضبط إعدادات SAML

لضبط إعدادات SAML، عليك إجراء ما يلي:

  1. ادخل إلى صفحة موفّر هوية SAML.
  2. في قسم إعدادات SAML، انقر على .

  3. انقر على نسخ بجوار عنوان URL للبيانات الوصفية لمقدم الخدمة.

  4. اضبط موفّر هوية SAML باستخدام المعلومات في ملف البيانات الوصفية لمقدّم الخدمة.

    بالنسبة إلى بعض موفِّري هوية SAML، سيُطلب منك عنوان URL للبيانات الوصفية فقط. وبالنسبة إلى حالات أخرى، سيكون عليك استخراج معلومات محدّدة من ملف البيانات الوصفية وإدخالها في نموذج.

    وفي الحالة الثانية، الصِق عنوان URL في متصفّح لتنزيل ملف البيانات الوصفية لمقدّم الخدمة واستخراج المعلومات المطلوبة. على سبيل المثال، يمكن استخراج رقم تعريف الكيان أو عنوان URL لتسجيل الدخول من العناصر التالية في ملف البيانات الوصفية لمقدّم الخدمة:

    • <md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" ID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" entityID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login">
    • <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://diyyaumzqchrbui-a5vnmu1sp8qzekbd.portal-login.apigee.com/saml/SSO/alias/diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" index="0" isDefault="true"/>

  5. اضبط إعدادات SAML لموفِّر الهوية.

    في قسم إعدادات SAML، عدِّل القيم التالية التي تم الحصول عليها من ملف البيانات الوصفية لموفِّر هوية SAML:

    إعداد SAMLالوصف
    عنوان URL لتسجيل الدخولعنوان URL الذي تتم إعادة توجيه المستخدمين إليه لتسجيل الدخول إلى موفِّر هوية SAML.
    على سبيل المثال: https://dev-431871.oktapreview.com/app/googledev431871_devportalsaml_1/exkhgdyponHIp97po0h7/sso/saml
    عنوان URL لتسجيل الخروجعنوان URL الذي تتم إعادة توجيه المستخدمين إليه لتسجيل الخروج من موفِّر هوية SAML.

    اترك هذا الحقل فارغًا في الحالات التالية:

    • لا يوفر موفِّر هوية SAML عنوان URL لتسجيل الخروج.
    • لا تريد أن يتم تسجيل خروج المستخدمين من موفِّر هوية SAML عند تسجيل الخروج من البوابة المدمجة
    • تفعيل نطاق خاص (يُرجى الرجوع إلى المشكلة المعروفة)
    رقم تعريف كيان موفِّر الهويةالمعرّف الفريد لموفّر هوية SAML.
    مثلاً: http://www.okta.com/exkhgdyponHIp97po0h7

  6. انقر على حفظ.

ضبط سمات المستخدم المُخصَّصة لموفِّر هوية SAML

لضمان الربط الصحيح بين موفِّر هوية SAML وحسابات مطوّري برامج المدخل، ننصحك بإنشاء وإعداد سمات المستخدم المخصّصة المحدّدة في الجدول التالي لموفّر هوية SAML. اضبط قيمة كل سمة مخصصة على سمة المستخدم المقابلة التي حددها موفِّر هوية SAML (على سبيل المثال، Okta).

سمة مخصّصة مثال (Okta)
first_name user.firstName
last_name user.lastName
email user.email

يوضّح ما يلي كيفية ضبط سمات المستخدم المخصّصة والسمة NameID باستخدام تطبيق Okta باعتباره موفِّر هوية SAML التابع لجهة خارجية.

استخدام نطاق خاص مع موفِّر هوية SAML

بعد ضبط موفِّر هوية SAML، يمكنك ضبط نطاق خاص (مثل developers.example.com)، كما هو موضَّح في تخصيص نطاقك.

من المهم الحفاظ على مزامنة إعدادات الضبط بين النطاق المخصَّص وموفّر هوية SAML. وفي حال لم تتم مزامنة إعدادات الضبط، قد تواجه مشاكل أثناء التفويض. على سبيل المثال، قد يحتوي طلب التفويض المُرسَل إلى موفِّر هوية SAML على AssertionConsumerServiceURL لم يتم تحديده باستخدام النطاق الخاص.

للحفاظ على مزامنة إعدادات الضبط بين النطاق الخاص وموفِّر الهوية SAML، اتّبِع الخطوات التالية:

  • في حال ضبط النطاق الخاص أو تعديله بعد تفعيل موفِّر هوية SAML وضبطه، احفظ إعدادات النطاق الخاص وتأكَّد من تفعيلها. انتظِر لمدة 30 دقيقة تقريبًا إلى أن يتم إلغاء صلاحية ذاكرة التخزين المؤقت، ثم أعِد ضبط موفِّر هوية SAML باستخدام المعلومات المعدَّلة في ملف البيانات الوصفية لمقدِّم الخدمة، كما هو موضَّح في ضبط إعدادات SAML. ومن المفترض أن يظهر لك نطاقك الخاص في البيانات الوصفية لمقدم الخدمة (SP).

  • في حال ضبط نطاق مخصّص قبل ضبط موفِّر هوية SAML وتفعيله، عليك إعادة ضبط النطاق الخاص (الموضّح أدناه) لضمان ضبط موفِّر هوية SAML بشكل صحيح.

  • إذا كنت بحاجة إلى إعادة ضبط موفّر هوية SAML (إيقافه وإعادة تفعيله)، كما هو موضّح في تفعيل موفِّر هوية SAML، عليك أيضًا إعادة ضبط النطاق الخاص (الموضّح أدناه).

إعادة ضبط النطاق الخاص

لإعادة ضبط (إيقاف وتفعيل) النطاق الخاص:

  1. اختَر نشر > البوابات في شريط التنقّل الأيمن، ثم اختَر البوابة.
  2. انقر على الإعدادات في القائمة المنسدلة في شريط التنقّل العلوي أو على الصفحة المقصودة.
  3. انقر على علامة التبويب Domains (النطاقات).
  4. انقر على إيقاف لإيقاف النطاق الخاص.
  5. انقر على تفعيل لإعادة تفعيل النطاق الخاص.

لمزيد من المعلومات، يُرجى الاطِّلاع على تخصيص نطاقك.

تحميل شهادة جديدة

لتحميل شهادة جديدة:

  1. نزِّل الشهادة من موفِّر هوية SAML.

  2. ادخل إلى صفحة موفّر هوية SAML.

  3. انقر على صف منطقة الهوية التي تريد تحميل شهادة جديدة لها.

  4. في قسم الشهادة، انقر على .

  5. انقر على تصفّح وانتقِل إلى الشهادة في الدليل المحلي.

  6. انقر على فتح لتحميل الشهادة الجديدة.
    يتم تعديل حقول معلومات الشهادة لتعكس الشهادة التي تم اختيارها.

  7. التحقّق من صلاحية الشهادة وعدم انتهاء صلاحيتها.

  8. انقر على حفظ.

تحويل شهادة x509 إلى تنسيق PEM

في حال تنزيل شهادة x509، يجب تحويلها إلى تنسيق PEM.

لتحويل شهادة x509 إلى تنسيق PEM:

  1. انسخ محتوى ds:X509Certificate element من ملف البيانات الوصفية لموفِّر الهوية SAML والصقه في محرِّر النصوص المفضّل لديك.
  2. أضِف السطر التالي في أعلى الملف:
    -----BEGIN CERTIFICATE-----
  3. أضِف السطر التالي أسفل الملف:
    -----END CERTIFICATE-----
  4. احفظ الملف باستخدام الامتداد .pem.

في ما يلي مثال على محتوى ملف PEM:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----