المصادقة والدخول الموحّد¶
يتيح تبويب Authentication في الإعدادات للمسؤولين تهيئة كيفية تسجيل المستخدمين دخولهم إلى المنصة.
التسجيل الذاتي¶
- Allow self-registration: عند التمكين، يمكن للمستخدمين الجدد إنشاء حسابات بالنقر على «Sign Up» في صفحة تسجيل الدخول. عند التعطيل، يمكن للمسؤولين فقط إنشاء الحسابات عبر تدفّق دعوة المستخدم.
تهيئة الدخول الموحّد (SSO)¶
يتيح SSO للمستخدمين تسجيل الدخول باستخدام مزوّد الهوية المؤسسي بدلًا من كلمة مرور محلية. يدعم Turbo EA أربعة مزوّدي SSO:
| المزوّد | الوصف |
|---|---|
| Microsoft Entra ID | للمؤسسات التي تستخدم Microsoft 365 / Azure AD |
| Google Workspace | للمؤسسات التي تستخدم Google Workspace |
| Okta | للمؤسسات التي تستخدم Okta كمنصّة هوية لديها |
| Generic OIDC | لأي مزوّد متوافق مع OpenID Connect (مثل Authentik، Keycloak، Auth0) |
خطوات تهيئة SSO:
- انتقل إلى Admin > Settings > Authentication
- بدّل Enable SSO إلى وضع التشغيل
- اختر SSO Provider من القائمة المنسدلة
- أدخل بيانات الاعتماد المطلوبة من مزوّد الهوية لديك:
- Client ID: معرّف التطبيق/العميل من مزوّد الهوية لديك
- Client Secret: سرّ التطبيق (يُخزَّن مشفّرًا في قاعدة البيانات)
- حقول خاصة بالمزوّد:
- Microsoft: Tenant ID (مثل
your-tenant-idأوcommonلتعدّد المستأجرين) - Google: Hosted Domain (اختياري، يقيّد تسجيل الدخول بنطاق Google Workspace محدّد)
- Okta: Okta Domain (مثل
your-org.okta.com) - Generic OIDC: Issuer URL (مثل
https://auth.example.com/application/o/my-app/). بالنسبة إلى Generic OIDC، يحاول النظام الاكتشاف التلقائي عبر نقطة الطرف.well-known/openid-configuration
- Microsoft: Tenant ID (مثل
- انقر Save
نقاط طرف OIDC اليدوية (متقدّم):
إذا تعذّر على الواجهة الخلفية الوصول إلى مستند اكتشاف مزوّد الهوية لديك (مثلًا بسبب شبكة Docker أو الشهادات الموقّعة ذاتيًا)، فيمكنك تحديد نقاط طرف OIDC يدويًا:
- Authorization Endpoint: عنوان URL الذي يُعاد توجيه المستخدمين إليه للمصادقة
- Token Endpoint: عنوان URL المستخدم لمبادلة رمز التفويض بالرموز
- JWKS URI: عنوان URL لمجموعة مفاتيح الويب JSON المستخدمة للتحقّق من توقيعات الرموز
هذه الحقول اختيارية. إذا تُرِكت فارغة، يستخدم النظام الاكتشاف التلقائي. وعند ملئها، تتجاوز القيم المُكتشَفة تلقائيًا.
اختبار SSO:
بعد الحفظ، افتح تبويب متصفّح جديدًا (أو نافذة خفيّة) وتحقّق من ظهور زر تسجيل الدخول عبر SSO في صفحة تسجيل الدخول وأن المصادقة تعمل من البداية إلى النهاية.
ملاحظات مهمّة:
- يُخزَّن Client Secret مشفّرًا في قاعدة البيانات ولا يُكشَف أبدًا في استجابات API
- عند تمكين SSO، يبقى تسجيل الدخول بكلمة مرور محلية متاحًا كخيار احتياطي
- يمكنك تهيئة عنوان URI لإعادة التوجيه في مزوّد الهوية لديك على النحو التالي: https://your-turbo-ea-domain/auth/callback