تكوين تسجيل الدخول الموحّد (SAML وOIDC)

يتيح CalendarBridge لمسؤولي المؤسسات تمكين تسجيل الدخول الموحّد بحيث يسجّل مستخدموك الدخول إلى CalendarBridge بنفس موفّر الهوية الذي يستخدمونه بالفعل لكل شيء آخر. يغطي هذا الدليل كلا البروتوكولين المدعومين، والقيم الدقيقة لموفّر الخدمة التي تُعطيها لموفّر الهوية، وتعيينات السمات، والاختبار، واستكشاف الأخطاء وإصلاحها.

C Chad تم التحديث في 16 يونيو 2026 قراءة لمدة 8 دقائق

تسجيل الدخول الموحّد في لمحة

يتيح تسجيل الدخول الموحّد (SSO) لفريقك المصادقة على CalendarBridge عبر موفّر الهوية (IdP) الخاص بمؤسستك بدلاً من كلمة مرور منفصلة لـ CalendarBridge. عند فرض SSO، يُعاد توجيه كل مستخدم على نطاقك المُتحقّق منه إلى موفّر الهوية لتسجيل الدخول، ويمكن منح الوصول أو إبطاله مركزيًا.

موفّرو الهوية المدعومون

يعمل CalendarBridge مع أي موفّر هوية SAML 2.0 أو OIDC متوافق مع المعايير. تتضمن بوابة إدارة المؤسسة أدلة إعداد مدمجة خطوة بخطوة لما يلي:

موفّر الهويةSAML 2.0OpenID Connectوثائق الموفّر
Microsoft Entra ID (Azure AD) نعم نعم تكوين SSO في Entra ID
Okta نعم نعم إنشاء تطبيق SAML/OIDC في Okta
Google Workspace نعم إعداد تطبيق SAML مخصص
JumpCloud نعم SSO مع تطبيق SAML مخصص
أي موفّر هوية SAML 2.0 / OIDC آخر نعم نعم استخدم القيم العامة الواردة في هذا المقال.
info
إدراج Microsoft Entra ID في المعرض يدعم CalendarBridge SAML 2.0 الذي يبدأه موفّر الخدمة وموفّر الهوية ويتحقق من شهادة توقيع تأكيد SAML ونافذة الصلاحية والمُصدِر والجمهور. للإعداد الموصى به في Entra ID، وجّه CalendarBridge إلى عنوان URL لبيانات تعريف اتحاد التطبيق ليُعالَج تدوير الشهادات تلقائيًا.

الترخيص

تتضمّن اشتراكات مجموعات (المؤسسات) في CalendarBridge توفير SSO وSCIM. لا توجد رسوم إضافة منفصلة من CalendarBridge لتمكين SSO. لاحظ أن بعض موفّري الهوية يقصرون ميزات التوفير/SCIM على إصدارات محددة — على سبيل المثال، يتطلب التوفير التلقائي في Google Workspace خطة Enterprise Standard أو Enterprise Plus أو Education Plus. ويتطلب توفير المستخدمين تلقائيًا في Microsoft Entra ID ترخيص Microsoft Entra ID P1 أو P2 في مستأجرك.

من يمكنه تكوين SSO (الوصول المستند إلى الأدوار)

يمكن فقط لـمسؤول مؤسسة CalendarBridge عرض إعدادات SSO وSCIM أو تغييرها. لا يرى الأعضاء العاديون هذه الضوابط مطلقًا. لإدارة SSO يجب أن:

lightbulb
احتفظ بمسؤول للوصول الطارئ عند فرض SSO، تأكد من أن مسؤول مؤسسة واحدًا على الأقل لا يزال بإمكانه الوصول إلى الحساب إذا كان موفّر الهوية غير متاح. يحتفظ مسؤولو CalendarBridge بمسار تجاوز حتى لا تُحبَس خارج الحساب أبدًا أثناء انقطاع موفّر الهوية.

افتح علامة تبويب تسجيل الدخول الموحّد

  1. افتح بوابة إدارة المؤسسة

    من لوحة معلومات CalendarBridge، انقر على إدارة مؤسستك، أو انتقل مباشرةً إلى calendarbridge.com/dashboard/organization.

  2. حدد علامة تبويب تسجيل الدخول الموحّد

    اختر علامة تبويب تسجيل الدخول الموحّد. إذا لم تكن قد كوّنت SSO بعد، فسترى زر تكوين SSO.

  3. انقر على تكوين SSO

    اختر البروتوكول (SAML أو OIDC)، وعيّن النطاق المُتحقّق منه الذي ينطبق عليه هذا التكوين، وحدد موفّر الهوية للكشف عن دليل إعداد مضمّن خاص بالموفّر.

تكوين SAML 2.0

إعداد SAML هو تبادل ثنائي الاتجاه: تُعطي قيم موفّر الخدمة (SP) الخاصة بـ CalendarBridge لموفّر الهوية، وتُعطي CalendarBridge بيانات تعريف موفّر الهوية في المقابل.

قيم موفّر الخدمة لإدخالها في موفّر الهوية

هذه هي القيم التي تلصقها في موفّر الهوية عند إنشاء تطبيق CalendarBridge. تُعرض القيم الدقيقة الجاهزة للنسخ لحسابك مع أزرار نسخ في علامة تبويب تسجيل الدخول الموحّد — انسخها دائمًا من البوابة بدلاً من كتابتها يدويًا.

الحقل (تختلف التسمية حسب موفّر الهوية)القيمة
Entity ID / Audience URI / SP Entity ID urn:amazon:cognito:sp:<your-pool-id> — انسخ القيمة الدقيقة من علامة تبويب SSO.
ACS URL / Reply URL / Single sign-on URL https://<your-CalendarBridge-auth-domain>/saml2/idpresponse — انسخ القيمة الدقيقة من علامة تبويب SSO.
Name ID format EmailAddress (بريد إلكتروني دائم)
Binding HTTP-POST للتأكيد؛ HTTP-Redirect للطلب.

تعيينات السمات المطلوبة

عيّن هذه المطالبات في موفّر الهوية. أدخِل اسم سمة التطبيق تمامًا كما هو معروض — وهي مدرجة أيضًا مع أزرار النسخ في البوابة.

سمة التطبيق (أدخلها تمامًا)تُعيَّن من (في موفّر الهوية)
emailPrimary email / Email / user.mail
nameFirst name / given name / user.givenname

Microsoft Entra ID (Azure AD) — SAML

  1. أنشئ التطبيق

    في مركز إدارة Microsoft Entra، انتقل إلى Enterprise applications → New application → Create your own application → "Integrate any other application you don't find in the gallery."

  2. افتح Single sign-on → SAML

    في Basic SAML Configuration، أدخِل:

    • Identifier (Entity ID): معرّف الكيان من علامة تبويب SSO في CalendarBridge.
    • Reply URL (ACS): عنوان ACS URL من علامة تبويب SSO في CalendarBridge.
  3. كوّن السمات والمطالبات

    أضِف مطالبتي email وname من تعيينات السمات أعلاه، واضبط Name ID على البريد الإلكتروني للمستخدم.

  4. انسخ عنوان URL لبيانات تعريف اتحاد التطبيق

    ضمن SAML Signing Certificate، انسخ App Federation Metadata URL (ينتهي بـ /federationmetadata/2007-06/federationmetadata.xml). استخدام عنوان URL — بدلاً من تحميل ملف XML ثابت — يتيح لـ CalendarBridge التقاط تدوير الشهادات تلقائيًا.

  5. عيّن المستخدمين، ثم أكمِل في CalendarBridge

    عيّن المستخدمين أو المجموعات الذين يجب أن يحصلوا على الوصول، ثم عُد إلى علامة تبويب SSO في CalendarBridge، والصق عنوان URL لبيانات التعريف، واحفظ.

Okta وGoogle Workspace وJumpCloud وغيرها — SAML

العملية واحدة لكل موفّر هوية: أنشئ تطبيق SAML مخصصًا، والصق قيم موفّر الخدمة، وأضِف تعيينات السمات، ثم أعطِ CalendarBridge بيانات تعريف موفّر الهوية. تُظهر البوابة مسارات القوائم الدقيقة لـ Okta وGoogle Workspace وJumpCloud عند تحديد ذلك الموفّر. يمكنك تقديم بيانات تعريف موفّر الهوية بطريقتين في علامة تبويب SSO في CalendarBridge:

تكوين OpenID Connect (OIDC)

بالنسبة لموفّري الهوية الذين تفضّل الاتصال بهم عبر OIDC/OAuth 2.0، يستخدم CalendarBridge تدفق رمز التفويض. ستُنشئ تطبيق ويب في موفّر الهوية وتُعطي CalendarBridge ثلاث قيم.

عنوان URI لإعادة التوجيه لإدخاله في موفّر الهوية

الحقلالقيمة
Redirect URI / Sign-in redirect URI (المنصة: ويب)https://<your-CalendarBridge-auth-domain>/oauth2/idpresponse — انسخ القيمة الدقيقة من علامة تبويب SSO.

القيم لإدخالها في CalendarBridge

حقل CalendarBridgeأين تجده في موفّر الهوية
Discovery URLمستند تكوين OpenID الخاص بموفّر الهوية، مثل https://<your-idp>/.well-known/openid-configuration.
Client IDمن تسجيل التطبيق الذي أنشأته.
Client Secretسر تولّده في تسجيل التطبيق.

الأذونات (النطاقات) المطلوبة وسببها

يطلب CalendarBridge فقط الحد الأدنى من نطاقات OIDC القياسية اللازمة لتحديد هوية المستخدم الذي يسجّل الدخول. وهو لا يطلب الوصول إلى البريد أو الملفات أو بيانات التقويم عبر اتصال SSO.

النطاقسبب طلبه (المبرّر التجاري)
openidمطلوب لإجراء مصادقة OpenID Connect واستلام رمز هوية.
emailيُستخدم كمعرّف فريد للمستخدم لمطابقته بمؤسسة CalendarBridge ونطاقك المُتحقّق منه.
profileيقرأ الملف الشخصي الأساسي (الاسم الأول) لتعبئة اسم العرض للمستخدم عند أول تسجيل دخول.
info
موافقة بأقل امتياز هذه نطاقات مفوَّضة لتسجيل الدخول فقط. يمنح مسؤول (أو المستخدم، وفقًا لسياسة موافقة مستأجرك) الموافقة مرة واحدة عند أول تسجيل دخول. لا يطلب CalendarBridge أي أذونات تطبيق ولا أي أذونات بريد/تقويم في Microsoft Graph كجزء من SSO.

Microsoft Entra ID — OIDC

  1. سجّل التطبيق

    في مركز إدارة Microsoft Entra، انتقل إلى App registrations → New registration.

  2. أضِف عنوان URI لإعادة التوجيه

    أضِف عنوان URI لإعادة توجيه منصة الويب مضبوطًا على عنوان URI لإعادة توجيه OIDC في CalendarBridge المعروض في علامة تبويب SSO.

  3. أنشئ سر العميل

    ضمن Certificates & secrets → New client secret، أنشئ سرًا وانسخ قيمته فورًا.

  4. انسخ عنوان URL للاكتشاف (بيانات التعريف)

    من Overview → Endpoints، انسخ عنوان URL لـ OpenID Connect metadata document. الصق عنوان URL للاكتشاف ومعرّف العميل وسر العميل في علامة تبويب SSO في CalendarBridge واحفظ.

فرض SSO على نطاقك

افتراضيًا، يجعل تمكين SSO متاحًا للمستخدمين على النطاق. حدّد فرض SSO في نموذج الإعداد لجعله مطلوبًا: يجب عندئذٍ على كل مستخدم على ذلك النطاق المُتحقّق منه تسجيل الدخول عبر موفّر الهوية، ويُعطَّل تسجيل الدخول المباشر بكلمة المرور بالنسبة لهم.

warning
اختبر قبل أن تفرض تأكد من أن مستخدمًا تجريبيًا يمكنه تسجيل الدخول عبر SSO (القسم التالي) قبل تمكين الفرض، حتى لا تحبس المستخدمين خارج الحساب بسبب خطأ في بيانات التعريف أو تعيين السمات. يحتفظ مسؤولو CalendarBridge بمسار تجاوز للوصول الطارئ.

الاختبار مع مستخدمين تجريبيين

  1. تأكد من أن التكوين نشط

    بعد الحفظ، تُظهر بطاقة التكوين شارة حالة. انتظر حتى تقرأ نشط. تعني شارة قيد الانتظار أن CalendarBridge لم يتحقق بعد من بيانات تعريف موفّر الهوية؛ وتُظهر شارة خطأ السبب مضمّنًا.

  2. عيّن مستخدمًا تجريبيًا في موفّر الهوية

    عيّن مستخدمًا أو مستخدمَين تجريبيَّين لتطبيق CalendarBridge في موفّر الهوية، لكن اترك الفرض معطَّلاً الآن.

  3. سجّل الدخول عبر SSO

    اطلب من المستخدم التجريبي تسجيل الدخول إلى CalendarBridge باستخدام بريد/نطاق مؤسستك. ينبغي إعادة توجيهه إلى موفّر الهوية ثم إعادته إلى CalendarBridge مسجَّل الدخول. تأكد من تعبئة اسمه وبريده الإلكتروني بشكل صحيح.

  4. الطرح

    بمجرد نجاح التجربة، عيّن بقية مستخدميك، وإذا رغبت، فعّل فرض SSO.

استكشاف الأخطاء وإصلاحها

إذا أظهرت بطاقة التكوين حالة خطأ، فإن الرسالة المعروضة على البطاقة تشرح الفشل المحدد. الحالات الشائعة:

العرَض / الرسالةالسبب المحتمل والإصلاح
الحالة عالقة على قيد الانتظار أو "تعذّر جلب بيانات التعريف" عنوان URL لبيانات التعريف غير قابل للوصول أو أعاد محتوى ليس XML. تحقق من تحميل عنوان URL في المتصفح، أو بدّل إلى تحميل ملف XML لبيانات التعريف.
خطأ "Invalid signature" / "certificate" دُوِّرت شهادة توقيع موفّر الهوية وبيانات التعريف المخزّنة قديمة. أعِد الحفظ باستخدام عنوان URL لبيانات تعريف موفّر الهوية (موصى به) ليُلتقَط التدوير تلقائيًا، أو أعِد تحميل XML الحالي.
عدم تطابق "Audience" / "Issuer" معرّف الكيان / Audience URI في موفّر الهوية لا يطابق تمامًا القيمة من علامة تبويب SSO. أعِد نسخه من البوابة.
يسجّل المستخدم الدخول لكن الاسم/البريد فارغ أو مرفوض تعيينات سمتي email وname مفقودة أو مسمّاة خطأً. أعِد فحص تعيينات السمات المطلوبة — الأسماء حساسة لحالة الأحرف.
"AADSTS50105" / المستخدم غير مُعيَّن (Entra ID) المستخدم غير مُعيَّن لتطبيق مؤسسة CalendarBridge في Entra ID. عيّن المستخدم أو مجموعته.
عدم تطابق عنوان Redirect/Reply URL عنوان ACS URL (SAML) أو Redirect URI (OIDC) في موفّر الهوية لا يطابق القيمة في علامة تبويب SSO. أعِد نسخ القيمة الدقيقة.

الحصول على المساعدة

إذا واجهت صعوبة بعد التحقق من رسالة الخطأ على بطاقة التكوين وجدول استكشاف الأخطاء أعلاه، تواصل مع دعم CalendarBridge. أرفِق نطاق مؤسستك، والبروتوكول (SAML/OIDC)، وموفّر الهوية، ورسالة الحالة الدقيقة المعروضة على البطاقة.