إعداد الدخول الموحد (SSO)

يدعم Dotcom-Monitor تسجيل الدخول الموحد (SSO) باستخدام SAML 2.0. توفر SAML نقل بيانات المصادقة بين موفر هوية العملاء وخدمة Dotcom-Monitor. يتم تخزين جميع معلومات تسجيل دخول المستخدم على جانب مزود الهوية وليس بواسطة Dotcom-Monitor الذي يضمن مستوى عال من الأمان وتجربة مستخدم أفضل.

بمجرد إعداد مجموعات الأذونات في نظامك ، يقوم Dotcom-Monitor بتعيين هذه المجموعات إلى أدوار المستخدم الخاصة بنا ويمنح الوصول إلى نظام Dotcom-Monitor وفقا لذلك.

علاوة على ذلك في هذه المقالة، نقدم الخطوات المطلوبة لتمكين تسجيل الدخول الأحادي باستخدام Active Directory FS (ADFS) و AZURE Active Directory (Azure AD) كموفري الهوية. أيضا ، يتم توفير أدلة خطوة بخطوة لتكامل OKTA SAML.

بشكل عام، لا ينصح بإعداد مستخدم Dotcom-Monitor في مجموعات متعددة بمستويات أذونات مختلفة داخل Active Directory الخاص بك. ومع ذلك، إذا كان المستخدم ينتمي إلى مستويين أو أكثر من مستويات الأذونات في Dotcom-Monitor، فإن أدنى مستوى أذونات سيكون له الأسبقية على المستويات ذات الأذونات الأعلى. على سبيل المثال، إذا تم تعيين دور العارض (للقراءة فقط) وPower User في وقت واحد داخل النظام الأساسي Dotcom-Monitor، تطبيق أذونات دور العارض أثناء تسجيل الدخول الموحد (SSO).

الدخول الموحد (SSO) مع Active Directory FS
1. قم بتثبيت ADFS 2.0 (يمكن العثور على المساعدة في http://www.microsoft.com/en-us/download/details.aspx?id=10909).

2. تحميل
البيانات الوصفية.xml
.

3. في وحدة التحكم الإدارية ADFS 2.0 ، أضف شهادة SSL لتوقيع استجابات/طلبات Dotcom-Monitor:
- قم بتشغيل وحدة التحكم بالإدارة ADFS 2.0 وافتح “معالج تكوين الخادم“.
- انقر فوق إنشاء FS جديد وحدد FS مستقل.
- حدد شهادة SSL (إذا لم تكن هناك شهادات ، يمكنك إنشاء شهادة موقعة ذاتيا باستخدام شهادات > خادم INETMGR > إنشاء شهادة موقعة ذاتيا).
4. في وحدة التحكم الإدارية ADFS 2.0 ، أضف IDR إلى صناديق ADFS للطرف المعتمد:
- انقر فوق صناديق ائتمان الطرف المعتمد وحدد إضافة ثقة الطرف المعتمد.
- في نافذة المعالج، انقر فوق ابدأ وحدد استيراد بيانات حول الطرف المعتمد من ملف.
- اختر البيانات الوصفية.xml.
- اختر أي اسم ذي معنى (dotcom-monitor.com).
- انقر فوق التالي واتبع المطالبات.
- في الخطوة قواعد تفويض الإصدار ، حدد السماح لجميع المستخدمين بالوصول إلى هذا الطرف المعول
- في الخطوة الأخيرة انقر لإلغاء تحديد مربع الاختيار فتح مربع الحوار تحرير قواعد المطالبة لثقة الطرف المعتمد هذا عند إغلاق المعالج .
- أغلق المعالج.
5. قم بتعيين SHA-1 كخوارزمية تجزئة آمنة:
- بعد إنشاء ثقة الطرف المعتمد ، انقر بزر الماوس الأيمن فوقه في القائمة وحدد Properties.
- انتقل إلى علامة التبويب خيارات متقدمة وقم بتغيير خوارزمية التجزئة إلى SHA-1.
6- إضافة قاعدة المطالبة لإرسال سمات LDAP كمطالبات:
- انقر بزر الماوس الأيمن فوق الطرف المعتمد، وحدد تحرير قواعد المطالبة.
- انقر على إضافة قاعدة وتأكد من أن نموذج قاعدة المطالبة يحتوي على إرسال سمات LDAP كمطالبات محددة.
- أعط اسم قاعدة المطالبة.
- حدد مخزن السمات ليكون Active Directory.
- إضافة تعيينين للسمات: لتعيين اسم المستخدم الرئيسي UPN، لمجموعات الرموز المميزة – تعيين دور تعيين الأسماء غير المؤهلة.
7. إضافة قاعدة مخصصة:
- انقر بزر الماوس الأيمن فوق الطرف المعتمد، وحدد تحرير قواعد المطالبة.
- انقر على إضافة قاعدة وقم بتعيين قالب قاعدة المطالبة لإرسال المطالبات باستخدام قاعدة مخصصة.
- أعط اسم قاعدة المطالبة.
- أدخل البرنامج النصي التالي:
```
 c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer,
 OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, 
 Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:transient",
 Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://www.example.com/adfs/services/trust", 
 Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "https://userauth.dotcom-monitor.com/")
```
- يستعاض عن عبارة “http://www.example.com/adfs/services/trust” برقم تعريف كيان موفر الهوية (IdP) المناسب (“http://idpsite.com/adfs/services/trust“).
8. افتح عنوان URL في المتصفح من جهاز موفر الهوية: https://localhost/federationmetadata/2007-06/federationmetadata.xml

9. احفظ محتوى XML كملف وأرسله إلى دعم Dotcom-Monitor باستخدام نظام التذاكر.

عند تمكين الدخول الموحد (SSO)، يمكنك إضافة مستخدمي موقع ويب Dotcom-Monitor عن طريق إنشاء مستخدمين جدد في AD أو إضافة مستخدمين حاليين إلى إحدى المجموعات التالية: “Dotcom-Monitor_Administrators” و”Dotcom-Monitor_Users” و”Dotcom-Monitor_Power_Users” و”Dotcom-Monitor_Accounting_Users” و”Dotcom-Monitor_ReadOnly_Users” و”Dotcom-Monitor_Operators“. ويجب أن يكون لكل مجموعة من هذه المجموعات النطاق “العالمي” أو “العالمي” ونوع “الأمن“.
الدخول الموحد (SSO) مع AZURE Active Directory
1. قم بتسجيل الدخول إلى مدخل Azure كمسؤول عمومي أو مسؤول مشارك.

2. في البوابة الإلكترونية، في لوحة التنقل اليمنى، حدد Azure Active Directory.

3. لإدارة (إنشاء) المستخدمين لتسجيل الدخول الموحد (SSO) المستقبلي باستخدام Azure AD، ضمن القسم إدارة في لوحة التنقل Azure Active Directory ، حدد المستخدمون > جميع المستخدمين:

https://portal.azure.com/#blade/Microsoft_AAD_IAM/UserManagementMenuBlade/Overview/menuId/

4. إنشاء تطبيق مؤسسة جديد:
- في لوحة التنقل Azure Active Directory ، حدد تطبيقات المؤسسة.
- انقر فوق تطبيق جديد، ثم فوق تطبيق غير معرض.
- في الصفحة إضافة التطبيق الخاص بك قم بتعيين اسم التطبيق الجديد (“userauth.dotcom-monitor.com“) وانقر فوق إضافة.
https://portal.azure.com/#blade/Microsoft_AAD_IAM/StartboardApplicationsMenuBlade/Overview/menuId/

5. تحرير البيانات الوصفية للتطبيق لإضافة مجموعات مراقبة دوت كوم:
- في لوحة التنقل Azure Active Directory ، حدد تسجيلات التطبيقات.
https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/RegisteredApps
- انقر فوق تطبيق “userauth.dotcom-monitor.com” ، ثم ضمن قسم الإدارة ، حدد البيان.
- في محرر البيانات المستند إلى ويب، أضف الأدوار التالية ضمن عقدة appRoles واحفظ:
```
   {  "allowedMemberTypes": [  
        "User"      
      ],
      "displayName": "Dotcom-Monitor_Administrators",
      "id": "b9632174-c057-4f7e-951b-be3adc52aaaa",
      "isEnabled": true,
      "description": "Dotcom-Monitor_Administrators", 
      "value": "Dotcom-Monitor_Administrators"
   }, 
   {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_Power_Users",
      "id": "b9632174-c057-4f7e-951b-be3adc52baaa",
      "isEnabled": true,
      "description": "Dotcom-Monitor_Power_Users",
      "value": "Dotcom-Monitor_Power_Users"
    }, 
    {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_Users",
      "id": "b9632174-c057-4f7e-951b-be3adc52babc",
      "isEnabled": true,
      "description": "Dotcom-Monitor_Users",
      "value": "Dotcom-Monitor_Users"
    }, 
    {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_Accounting_Users",
      "id": "b9632174-c057-4f7e-951b-be3adc52bbbb",
      "isEnabled": true,
      "description": "Dotcom-Monitor_Accounting_Users",
      "value": "Dotcom-Monitor_Accounting_Users"
    },
    {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_ReadOnly_Users",
      "id": "b9632174-c057-4f7e-951b-be3adc52bccc",
      "isEnabled": true,
      "description": "Dotcom-Monitor_ReadOnly_Users",
      "value": "Dotcom-Monitor_ReadOnly_Users"
    },
    {
      "allowedMemberTypes": [
        "User"
      ],
      "displayName": "Dotcom-Monitor_Operators",
      "id": "b9632174-c057-4f7e-951b-be3adc52bddd",
      "isEnabled": true,
      "description": "Dotcom-Monitor_Operators",
      "value": "Dotcom-Monitor_Operators"
    },
```
5. تعديل إعدادات الدخول الموحد (SSO):
- في لوحة التنقل Azure Active Directory ، حدد تطبيقات المؤسسة، وانقر فوق كافة التطبيقات.
https://portal.azure.com/#blade/Microsoft_AAD_IAM/StartboardApplicationsMenuBlade/AllApps/menuId/
- انقر فوق تطبيق “userauth.dotcom-monitor.com“.
- ضمن القسم إدارة ، حدد تسجيل الدخول الموحد.
- حدد SAML لتهيئة تسجيل الدخول الأحادي. في صفحة إعداد الدخول الموحد باستخدام SAML – معاينة تهيئة خيارات SAML الأساسية:
```
Identifier: “https://userauth.dotcom-monitor.com/” 
Reply URL: “https://userauth.dotcom-monitor.com/Login.ashx”
Unique User Identifier: “user.userprincipalname”
```
- حدد أيقونة تحرير (قلم رصاص) في الزاوية العلوية اليسرى من قسم سمات المستخدم والمطالبات وأضف السمات الجديدة:
```
 Name: “Roles”
 Value: “user.assignedroles”
```
- حدد رمز التعديل (قلم رصاص) في الزاوية العلوية اليسرى من قسم شهادة توقيع SAML .
- في قسم شهادة توقيع SAML، انقر على تنزيل XML للبيانات الوصفية واحفظها على القرص. يجب إرسال هذا الملف إلى dotcom-monitor.com الدعم.
- حدد جعل الشهادة الجديدة نشطة ( فقط بعد تنزيل البيانات الوصفية ) وقم بتأكيد الإجراء.
- حدد إظهار إعدادات توقيع الشهادة المتقدمة وقم بتعيين SHA-1 كخوارزمية التوقيع.
- انقر على حفظ.
6. تعيين الأدوار:
- في لوحة التنقل Azure Active Directory ، حدد تطبيقات المؤسسة، وانقر فوق كافة التطبيقات.
https://portal.azure.com/#blade/Microsoft_AAD_IAM/StartboardApplicationsMenuBlade/AllApps/menuId/
- انقر على تطبيق “userauth.dotcom-monitor.com“، ثم حدد المستخدمون والمجموعات.
- انقر فوق إضافة مستخدم، وحدد مستخدم، وحدد الدور (أحد أدوار شاشة الdotcom)، وانقر فوق تعيين. افعل ذلك لجميع المستخدمين اللازمين.
7. إرسال البيانات الوصفية .xml إلى دعم مراقبة الدوت كوم. انقر هنا ، وقم بتسجيل الدخول إلى حسابك ، وأرسل تذكرة.
الدخول الموحد (SSO) مع OKTA

تحقق من المواد التالية لتكوين تكامل OKTA مع Dotcom-Monitor وتمكين الدخول الموحد (SSO):

OKTA – دليل تكامل شاشة الدوت كوم PDF

تكامل OKTA SAML مع فيديو الإرشادات التفصيلية لشاشة Dotcom

فيديو تسجيل الدخول إلى SAML

انظر أيضا الأدلة البديلة التالية:

Okta إلى Dotcom-Monitor دليل بديل

Okta إلى Dotcom-Monitor فيديو تكوين SAML

تكوين الدخول الموحد (SSO) للأقسام

إذا كان لديك قسم تم إنشاؤه لحساب Dotcom-Monitor ، فيمكنك تكوين مستخدمي SSO لتسجيل الدخول إليه.

لتمكين الدخول الموحد (SSO) للإدارات، أضف اسم القسم كلاحقة إلى اسم المجموعة أو الدور المحجوز لأغراض Dotcom-Monitor في AD. استخدم واصلة مزدوجة كفاصل:

<AD Group Name>--<Department Name>

لإعداد الدخول الموحد (SSO) باستخدام Dotcom-Monitor، يرجى استخدام الأسماء التالية لتكوين أدوار الدخول الموحد (SSO) في خدمة الدليل:

اسم مجموعة AD (دور تسجيل الدخول الأحادي)	دور المستخدم في الدوت كوم مونيتور
دوت كوم Monitor_Administrators	المشرف
دوت كوم Monitor_Users	مستخدم
دوت كوم Monitor_Accounting_Users	محاسبة
دوت كوم Monitor_ReadOnly_Users	المشاهد
دوت كوم Monitor_Power_Users	قوة المستخدم
دوت كوم Monitor_Operators	المشغل

على سبيل المثال، للسماح لمستخدم بتسجيل الدخول إلى قسم “AlphaDep” باستخدام أذونات دور Power User ، أضف اللاحقة التالية إلى مجموعة Dotcom-Monitor_Power_Users AD:

«Dotcom-Monitor_Power_Users--AlphaDep»

لتغيير اسم مجموعة ADFS، انقر بزر الماوس الأيمن فوق المجموعة وحدد إعادة تسمية. بمجرد إعادة تسميته، قم بتغيير اسم ما قبل Windows 2000 أيضا في المربع المنبثق أو من خصائص > اسم المجموعة العامة > (قبل Windows 2000).

يمكنك أيضا إضافة أسماء عدة أقسام واحدة تلو الأخرى باستخدام نفس التنسيق. على سبيل المثال:

«Dotcom-Monitor_Accounting_Users--AlphaDep--BetaDep--Department3»

للسماح للمستخدمين بتسجيل الدخول إلى الحساب الجذر، حدد مجموعة AD ذات صلة بدون لاحقة قسم كما هو موضح أعلاه:

«Dotcom-Monitor_ReadOnly_Users»

إذا تم تضمين مستخدم في عدة مجموعات إعلانية «Dotcom-Monitor_» مع الدخول الموحد (SSO) الذي تم تكوينه للإدارات، تمكين تسجيل الدخول إلى جميع الأقسام المقابلة (إذا كانت الأقسام موجودة في حساب Dotcom-Monitor).

راجع أيضا: تسجيل الدخول باستخدام الدخول الموحد (SSO)

الدخول الموحد (SSO) مع Active Directory FS

الدخول الموحد (SSO) مع AZURE Active Directory

الدخول الموحد (SSO) مع OKTA

تكوين الدخول الموحد (SSO) للأقسام