This is the Trace Id: e961f07974926b1f39b09ebf93fafe01
تخطي إلى المحتوى الرئيسي
الأمان من Microsoft

ما المقصود بـ OIDC؟

تعرف على OpenID Connect (OIDC)، وهو بروتوكول مصادقة يتحقق من هويات المستخدمين عند تسجيل الدخول للوصول إلى الموارد الرقمية.

تم تعريف OpenID Connect (OIDC)

OpenID Connect (OIDC) هو بروتوكول مصادقة هوية ملحق لـ open authorization (OAuth) 2.0 وذلك لتوحيد عملية مصادقة المستخدمين وتخويلهم عند تسجيل الدخول للوصول إلى الخدمات الرقمية. يوفر OIDC المصادقة، مما يعني التحقق من أن المستخدمين هم الأشخاص الذين يدعون أنهم هم. يُخول OAuth 2.0 الأنظمة المسموح لهؤلاء المستخدمين بالوصول إليها. عادةً ما يُستخدم OAuth 2.0 لتمكين تطبيقين غير مرتبطين من مشاركة المعلومات دون تعريض بيانات المستخدم للخطر. على سبيل المثال، يستخدم العديد من الأشخاص البريد الإلكتروني أو حسابات وسائل التواصل الاجتماعي الخاصة بهم لتسجيل الدخول إلى موقع تابع لجهة خارجية بدلاً من إنشاء اسم مستخدم وكلمة مرور جديدين. كما يُستخدم OIDC لتوفير تسجيل الدخول الأحادي. يمكن للمؤسسات استخدام أحدى أنظمة إدارة الوصول والهوية (IAM) الآمنة مثل Microsoft Entra ID (المعروف سابقًا باسم Azure Active Directory) كمصدق أساسي للهويات، ثم استخدام OIDC لتمرير هذه المصادقة إلى تطبيقات أخرى. وبهذه الطريقة، يحتاج المستخدمون فقط إلى تسجيل الدخول مرة واحدة باستخدام اسم مستخدم واحد وكلمة مرور واحدة للدخول إلى تطبيقات متعددة.

 

 

المكونات الرئيسية لـ OIDC

هناك ستة مكونات أساسية في OIDC:

  • المصادقة هي عملية التحقق من أن المستخدم هو الشخص الذي يزعم أنه هو.

  • العميل هو البرنامج، مثل موقع الويب أو التطبيق، الذي يطلب الرموز المميزة التي تُستخدم لمصادقة مستخدم أو الوصول إلى أحد الموارد.

  • جهات الاعتماد هي التطبيقات التي تستخدم موفري OpenID لمصادقة المستخدمين.  

  • الرموز المميزة للهوية تحتوي على بيانات هوية بما في ذلك نتيجة عملية المصادقة، ومعرف للمستخدم ومعلومات حول كيفية مصادقة المستخدم ومتى تتم مصادقته. 

  • موفرو OpenID هم التطبيقات التي يمتلك المستخدم حسابًا لها بالفعل. يتمثل دورهم في OIDC في مصادقة المستخدم وتمرير تلك المعلومات إلى جهة الاعتماد.

  • المستخدمون هم الأشخاص أو الخدمات التي تسعى للوصول إلى تطبيق دون إنشاء حساب جديد أو تقديم اسم مستخدم وكلمة مرور. 

 

كيف تعمل مصادقة OIDC؟

تعمل مصادقة OIDC من خلال السماح للمستخدمين بتسجيل الدخول إلى أحد التطبيقات وتلقي حق الوصول إلى تطبيق آخر. على سبيل المثال، إذا أراد المستخدم إنشاء حساب في موقع أخبار، فقد يكون لديه خيار لاستخدام Facebook لإنشاء حسابه بدلاً من إنشاء حساب جديد. إذا اختار Facebook، فهو يستخدم مصادقة OIDC. يتعامل Facebook، الذي يشار إليه بموفر OpenID، مع عملية المصادقة ويحصل على موافقة المستخدم لتقديم معلومات معينة، مثل ملف تعريف المستخدم، إلى موقع الأخبار، وهو جهة الاعتماد. 

رموز التعريف المميزة 

يستخدم موفر OpenID رموز التعريف المميزة لإرسال نتائج المصادقة وأي معلومات ذات صلة إلى جهة الاعتماد. تتضمن الأمثلة على نوع البيانات التي تُرسل مُعرفًا، وعنوان بريد إلكتروني واسمًا.

النطاقات

تحدد النطاقات ما يمكن للمستخدم القيام به باستخدام إمكانية الوصول الخاصة به. يوفر OIDC نطاقات قياسية، والتي تحدد أشياء مثل جهة الاعتماد التي تم إنشاء الرمز المميز لها، ووقت إنشاء الرمز المميز، ووقت انتهاء صلاحية الرمز المميز، وقوة التشفير المستخدمة لمصادقة المستخدم. 

تتضمن عملية مصادقة OIDC النموذجية الخطوات التالية:

  1. ينتقل المستخدم إلى التطبيق الذي يرغب في الوصول إليه (جهة الاعتماد).
  2. يكتب المستخدم اسم المستخدم وكلمة المرور الخاصين به.
  3. ترسل جهة الاعتماد طلبًا إلى موفر OpenID.
  4. يتحقق موفر OpenID من صحة بيانات اعتماد المستخدم ويحصل على التخويل.
  5. يرسل موفر OpenID رمزًا مميزًا للهوية وغالبًا ما يكون رمزًا مميزًا للوصول إلى جهة الاعتماد.
  6. ترسل جهة الاعتماد الرمز المميز للوصول إلى جهاز المستخدم.
  7. يحصل المستخدم على حق الوصول استنادًا إلى المعلومات المتوفرة في الرمز المميز للوصول وجهة الاعتماد. 

ما هي تدفقات OIDC؟

تحدد تدفقات OIDC كيفية طلب الرموز المميزة وتسليمها إلى جهة الاعتماد. بعض الأمثلة:

  • تدفقات تخويل OIDC: يرسل موفر OpenID رمزاً فريداً إلى جهة الاعتماد. بعد ذلك، ترجع جهة الاعتماد الرمز الفريد إلى موفر OpenID في مقابل الرمز المميز. يُستخدم هذا الأسلوب بحيث يمكن لموفر OpenID التحقق من جهة الاعتماد قبل إرسال الرمز المميز. يتعذر على المستعرض رؤية الرمز المميز في هذا الأسلوب، مما يساعد على الحفاظ على أمانه.

  • تدفقات تخويل OIDC مع ملحقات PKCE: هذا التدفق هو نفسه تدفق تخويل OIDC، باستثناء أنه يستخدم مفتاحاً عاماً لملحق تبادل الرموز (PKCE) لإرسال الاتصالات كشفرة تجزئة. يؤدي هذا إلى تقليل فرص اعتراض الرمز المميز.

  • بيانات اعتماد العميل: يوفر هذا التدفق إمكانية الوصول إلى واجهات برمجة التطبيقات على الويب باستخدام هوية التطبيق نفسه. عادةً، ما يُستخدم هذا للاتصال من خادم إلى آخر والبرامج النصية التلقائية التي لا تتطلب تفاعل المستخدم.

  • رمز الجهاز: يسمح هذا التدفق للمستخدمين بتسجيل الدخول والوصول إلى واجهات برمجة التطبيقات المستندة إلى الويب على الأجهزة المتصلة بالإنترنت التي لا تحتوي على مستعرضات أو التي لديها تجربة سيئة مع لوحة المفاتيح، مثل التلفزيون الذكي. 

لا يوصى بتدفقات إضافية، مثل التدفق الضمني لـ OIDC، المصمم للتطبيقات المستندة إلى المستعرض، لأنها تمثل مخاطرة للأمان.

OIDC مقابل OAuth، الإصدار 2.0

تم إنشاء OIDC على أساس OAuth 2.0 لإضافة مصادقة. تم تطوير بروتوكول OAuth 2.0 أولاً ثم أُضيف OIDC لتحسين قدراته. الفرق بين الاثنين هو أن OAuth 2.0 يوفر تخويلاً، بينما يوفر OIDC المصادقة. OAuth 2.0 هو ما يسمح للمستخدمين بالوصول إلى جهة اعتماد، باستخدام حسابهم مع أحد موفري OpenID، وOIDC هو ما يسمح لموفر OpenID بتمرير ملف تعريف المستخدم إلى جهة الاعتماد. يتيح OIDC أيضًا للمؤسسات توفير تسجيل الدخول الأحادي لمستخدميهم.

 

 

فوائد مصادقة OIDC

من خلال تقليل عدد الحسابات التي يحتاجها المستخدمون للوصول إلى التطبيقات، يوفر OIDC العديد من المزايا لكل من الأفراد والمؤسسات:

تقليل مخاطر كلمات المرور المسروقة

عندما يحتاج الأشخاص إلى استخدام كلمات مرور متعددة للوصول إلى التطبيقات التي يحتاجون إليها للعمل وحياتهم الشخصية، غالبًا ما يختارون كلمات مرور سهلة الحفظ، مثل كلمة المرور 1234!، ويستخدمون نفس كلمة المرور على حسابات متعددة. وهذا يزيد من خطر قيام أحد الجهات السيئة بتخمين كلمة مرور. وبمجرد معرفة كلمة المرور لحساب واحد، قد يتمكن من الوصول إلى حسابات أخرى أيضًا. من خلال تقليل عدد كلمات المرور التي يجب على شخص ما تذكرها، يزيد ذلك من احتمالية استخدام كلمة مرور أقوى وأكثر أمانًا.

تحسين ضوابط الأمان

من خلال مركزة المصادقة في تطبيق واحد، يمكن للمؤسسات أيضًا حماية الوصول عبر العديد من التطبيقات باستخدام ضوابط قوية للوصول. يدعم OIDC المصادقة بعاملين ومتعددة العوامل، التي تتطلب من الأشخاص التحقق من هويتهم باستخدام اثنين على الأقل مما يلي:

  • شيء يعرفه المستخدم، وعادةً ما يكون كلمة المرور.

  • شيء لديه، مثل جهاز موثوق به أو رمز مميز لا يسهل تكراره. 

  • شيء يُميز المستخدم، مثل بصمة الإصبع أو مسح الوجه.

المصادقة متعددة العوامل هي طريقة مثبتة لتقليل اختراق الحسابات. يمكن للمؤسسات أيضًا استخدام OIDC لتطبيق إجراءات أمنية أخرى، مثل إدارة الوصول المتميز، أو الحماية بكلمة مرور، أو أمان تسجيل الدخول أو حماية الهوية، وذلك عبر تطبيقات متعددة. 

تبسيط تجربة المستخدم

قد يستغرق تسجيل الدخول إلى حسابات متعددة طوال اليوم وقتًا طويلاً وقد يكون مزعجًا للأشخاص. بالإضافة إلى ذلك، إذا فقدوا كلمة مرور أو نسوها، فقد تؤدي إعادة تعيينها إلى تعطيل الإنتاجية بشكل أكبر. تساعد الشركات التي تستخدم OIDC لتوفير تسجيل الدخول الأحادي لموظفيها على ضمان قضاء قواها العاملة للمزيد من الوقت في العمل الإنتاجي بدلاً من محاولة الوصول إلى التطبيقات. كما تزيد المؤسسات من احتمالية أن يسجل العملاء في خدماتهم ويستخدمونها إذا سمحت للأفراد باستخدام حساب Microsoft، أو Facebook أو Google الخاص بهم لتسجيل الدخول. 

توحيد المصادقة

تم إنشاء OIDC في OpenID Foundation الذي يتضمن علامات تجارية بارزة مثل Microsoft وGoogle. وتم تصميمه بحيث يكون قابلاً للتشغيل المتبادل ويدعم العديد من الأنظمة الأساسية والمكتبات، بما في ذلك iOS، وAndroid، وMicrosoft Windows وموفري خدمات السحابة والهويات الرئيسية.

تبسيط إدارة الهويات

يمكن للمؤسسات التي تستخدم OIDC لتوفير تسجيل الدخول الأحادي لموظفيها وشركائها تقليل عدد حلول إدارة الهوية التي يحتاجون إلى إدارتها. ويؤدي هذا إلى تيسير تعقب الأذونات المتغيرة ويسمح للمسؤولين باستخدام واجهة واحدة لتطبيق نُهج الوصول وقواعده عبر تطبيقات متعددة. تقلل الشركات التي تستخدم OIDC للسماح للأشخاص بتسجيل الدخول إلى تطبيقاتهم باستخدام موفر OpenID عدد الهويات التي يحتاجون إلى إدارتها أيًا كان. 

أمثلة على OIDC وحالات استخدامه

تستخدم العديد من المؤسسات OIDC لتمكين المصادقة الآمنة عبر تطبيقات الويب والأجهزة المحمولة. وفيما يلي بعض الأمثلة على ذلك:

  • عندما يسجّل مستخدم ما في حساب Spotify، يتوفر له ثلاثة خيارات: التسجيل باستخدام Facebook أو التسجيل باستخدام Google أو التسجيل باستخدام عنوان بريدك الإلكتروني. يستخدم المستخدمون الذين يختارون التسجيل باستخدام Facebook أو Google OIDC لإنشاء حساب. سيُعاد توجيههم إلى أي موفر OpenID حددوه (إما Google أو Facebook)، وبعد ذلك بمجرد تسجيل الدخول، سيرسل موفر OpenID تفاصيل ملف تعريف Spotify الأساسي. لا يتعين على المستخدم إنشاء حساب جديد لـ Spotify وتظل كلمات المرور الخاصة به محمية.

  • يوفر LinkedIn أيضًا طريقة للمستخدمين لإنشاء حساب باستخدام حساب Google الخاص بهم بدلاً من إنشاء حساب منفصل لـ LinkedIn. 

  • ترغب الشركة في توفير تسجيل دخول أحادي للموظفين الذين يحتاجون إلى الوصول إلى Microsoft Office 365، وSalesforce، وBox وWorkday للقيام بعملهم. بدلاً من مطالبة الموظفين بإنشاء حساب منفصل لكل من هذه التطبيقات، تستخدم الشركة OIDC لتوفير إمكانية الوصول إلى التطبيقات الأربعة كلها. ينشئ الموظفون حسابًا واحدًا وفي كل مرة يسجلون فيها الدخول، يمكنهم الوصول إلى جميع التطبيقات التي يحتاجون إليها للعمل.  

تطبيق OIDC للمصادقة الآمنة

يوفر OIDC بروتوكول مصادقة لتبسيط تجارب تسجيل الدخول للمستخدمين ولتحسين الأمان. فهو حل رائع للشركات التي ترغب في تشجيع العملاء على التسجيل للحصول على خدماتهم دون عناء إدارة الحسابات. كما أنه يُمكّن المؤسسات من توفير تسجيل الدخول الأحادي الآمن إلى تطبيقات متعددة لموظفيها والمستخدمين الآخرين. يمكن للمؤسسات استخدام حلول الهوية والوصول التي تدعم OIDC، مثل Microsoft Entra، لإدارة جميع الهويات ونُهج أمان المصادقة في مكان واحد.

   

 

تعرّف على المزيد حول الأمان من Microsoft

الأسئلة المتداولة

  • OIDC هو بروتوكول مصادقة هوية يعمل مع OAuth 2.0 لتوحيد عملية مصادقة المستخدمين وتخويلهم عند تسجيل الدخول للوصول إلى الخدمات الرقمية. يوفر OIDC المصادقة، مما يعني التحقق من أن المستخدمين هم الأشخاص الذين يدعون أنهم هم. يُخول OAuth 2.0 الأنظمة المسموح لهؤلاء المستخدمين بالوصول إليها. عادةً ما يُستخدم OIDC وOAuth 2.0 لتمكين تطبيقين غير مرتبطين من مشاركة المعلومات دون تعريض بيانات المستخدم للخطر. 

  • كل من OIDC ولغة ترميز تأكيد الأمان (SAML) هما بروتوكولات مصادقة الهوية التي تسمح للمستخدمين بتسجيل الدخول بأمان مرة واحدة والوصول إلى تطبيقات متعددة. SAML هو بروتوكول قديم تم اعتماده على نطاق واسع لتسجيل الدخول الأحادي. ويرسل البيانات باستخدام تنسيق XML. OIDC هو بروتوكول أحدث يستخدم تنسيق JSON لإرسال بيانات المستخدم. يكتسب OIDC شهرة لأنه أسهل في التنفيذ من SAML ويعمل بشكل أفضل مع تطبيقات الأجهزة المحمولة.

  • يشير OIDC إلى بروتوكول OpenID Connect، وهو بروتوكول مصادقة هوية يُستخدم لتمكين تطبيقين غير مرتبطين لمشاركة معلومات ملف تعريف المستخدم دون تعريض بيانات اعتماد المستخدم للخطر.

  • تم إنشاء OIDC على أساس OAuth 2.0 لإضافة مصادقة. تم تطوير بروتوكول OAuth 2.0 أولاً ثم أُضيف OIDC لتحسين قدراته. الفرق بين الاثنين هو أن OAuth 2.0 يوفر تخويلاً، بينما يوفر OIDC المصادقة. OAuth 2.0 هو ما يسمح للمستخدمين بالوصول إلى جهة اعتماد، باستخدام حسابهم مع أحد موفري OpenID، وOIDC هو ما يسمح لموفر OpenID بتمرير ملف تعريف المستخدم إلى جهة الاعتماد. تسمح هذه الوظيفة أيضًا للمؤسسات بتوفير تسجيل الدخول الأحادي للمستخدمين. تتشابه تدفقات OAuth 2.0 وOIDC فيما عدا أنها تستخدم مصطلحات مختلفة قليلاً. 

    يحتوي تدفق OAuth 2.0 النموذجي على الخطوات التالية:

    1. ينتقل المستخدم إلى التطبيق الذي يرغب في الوصول إليه (خادم الموارد).
    2. يعيد خادم الموارد توجيه المستخدم إلى التطبيق الذي لديه حساب به (العميل).
    3. يسجل المستخدم الدخول باستخدام بيانات الاعتماد الخاصة به لدى العميل.
    4. يصادق العميل على وصول المستخدم.
    5. يرسل العميل رمز وصول مميزًا إلى خادم الموارد.
    6. يمنح خادم الموارد حق الوصول للمستخدم.

    يحتوي تدفق OIDC النموذجي على الخطوات التالية:

    1. ينتقل المستخدم إلى التطبيق الذي يرغب في الوصول إليه (جهة الاعتماد).
    2. يكتب المستخدم اسم المستخدم وكلمة المرور الخاصين به.
    3. ترسل جهة الاعتماد طلبًا إلى موفر OpenID.
    4. يتحقق موفر OpenID من صحة بيانات اعتماد المستخدم ويحصل على التخويل.
    5. يرسل موفر OpenID رمزًا مميزًا للهوية وغالبًا ما يكون رمزًا مميزًا للوصول إلى جهة الاعتماد.
    6. ترسل جهة الاعتماد الرمز المميز للوصول إلى جهاز المستخدم.
    7. يحصل المستخدم على حق الوصول استنادًا إلى المعلومات المتوفرة في الرمز المميز للوصول وجهة الاعتماد. 

  • يستخدم موفر OpenID رموز التعريف المميزة لإرسال نتائج المصادقة وأي معلومات ذات صلة إلى تطبيق جهة الاعتماد. تتضمن الأمثلة على نوع البيانات التي تُرسل مُعرفًا، وعنوان بريد إلكتروني واسمًا.

متابعة الأمان من Microsoft