This is the Trace Id: ac7dca7a771fdf0f7ef0f7e8bf74827d
تخطي إلى المحتوى الرئيسي Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel عرض المنتجات كلها الأمان عبر الإنترنت القائم على تكنولوجيا الذكاء الصناعي الأمان السحابي الإدارة وأمان البيانات الهوية والوصول للشبكة إدارة المخاطر والخصوصية أمان مدعم بالذكاء الاصطناعي الشركات الصغيرة والمتوسطة عمليات الأمان (secops) الموحدة نموذج أمان الثقة المعدومة الأسعار الخدمات الشركاء لماذا الأمان من Microsoft التوعية بالأمان عبر الإنترنت تجارب العملاء الأمان 101 الإصدارات التجريبية للمنتج التميُّز في المجال Microsoft Security Insider تقرير الدفاع الرقمي من Microsoft مركز استجابة خبراء الأمان مدوّنة الأمان من Microsoft أحداث الأمان من Microsoft مجتمع Microsoft التقني وثائق مكتبة المحتويات التقنية التدريب والشهادات Compliance Program لـ Microsoft Cloud مركز توثيق Microsoft Service Trust Portal مبادرة المستقبل الآمن من Microsoft مركز حلول الأعمال الاتصال بقسم المبيعات بدء استخدام الإصدار التجريبي المجاني الأمان من Microsoft Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoft AI Azure Space الواقع المختلط Microsoft HoloLens Microsoft Viva الحوسبة الكمية التعليم السيارات الخدمات المالية الحكومة الرعاية الصحية التصنيع البيع بالتجزئة البحث عن شريك كن أحد الشركاء شبكة الشركاء Microsoft Marketplace Software development companies المدونة Microsoft Advertising مركز المطورين الوثائق الأحداث الترخيص Microsoft Learn البحث من Microsoft عرض خريطة الموقع
صورة لعامل في بيئة صناعية يستخدم جهازاً لوحياً لمراجعة المعلومات

ما المقصود بـ OIDC؟

تعرف على OpenID Connect (OIDC)، وهو بروتوكول مصادقة يتحقق من هويات المستخدمين عند تسجيل الدخول للوصول إلى الموارد الرقمية.
تعرّف على المزيد عن Microsoft Entra ID

OpenID Connect (OIDC) معرف

OpenID Connect (OIDC) هو بروتوكول مصادقة هوية ملحق لـ open authorization (OAuth) 2.0 وذلك لتوحيد عملية مصادقة المستخدمين وتخويلهم عند تسجيل الدخول للوصول إلى الخدمات الرقمية. يوفر OIDC المصادقة، ما يعني التحقق من أن المستخدمين هم الأشخاص الذين يدعون أنهم هم. يُخول OAuth 2.0 الأنظمة المسموح لهؤلاء المستخدمين بالوصول إليها. عادةً ما يُستخدم OAuth 2.0 لتمكين تطبيقين غير مرتبطين من مشاركة المعلومات دون تعريض بيانات المستخدم للخطر. على سبيل المثال، يستخدم العديد من الأشخاص البريد الإلكتروني أو حسابات وسائل التواصل الاجتماعي الخاصة بهم لتسجيل الدخول إلى موقع تابع لجهة خارجية بدلاً من إنشاء اسم مستخدم وكلمة مرور جديدين. كما يُستخدم OIDC لتوفير تسجيل الدخول الأحادي. يمكن للمؤسسات استخدام نظام إدارة الهوية والوصول الآمن (IAM) مثل Microsoft Entra ID (المعروف سابقاً باسم Azure Active Directory) كمصادق أساسي للهويات، ثم استخدام OIDC لتمرير هذا المصادقة إلى التطبيقات الأخرى. وبهذه الطريقة، يحتاج المستخدمون فقط إلى تسجيل الدخول مرة واحدة باستخدام اسم مستخدم واحد وكلمة مرور واحدة للدخول إلى تطبيقات متعددة.

المكونات الرئيسية لـ OIDC

هناك ستة مكونات أساسية في OIDC:
 
  • المصادقة هي عملية التحقق من أن المستخدم هو الشخص الذي يزعم أنه هو.
  • العميل هو البرنامج، مثل موقع الويب أو التطبيق، الذي يطلب الرموز المميزة التي تُستخدم لمصادقة مستخدم أو الوصول إلى أحد الموارد.
  • جهات الاعتماد هي التطبيقات التي تستخدم موفري OpenID لمصادقة المستخدمين.
  • الرموز المميزة للهوية تحتوي على بيانات هوية بما في ذلك نتيجة عملية المصادقة، ومعرف للمستخدم ومعلومات حول كيفية مصادقة المستخدم ومتى تتم مصادقته.
  • موفرو OpenID هم التطبيقات التي يمتلك المستخدم حسابًا لها بالفعل. يتمثل دورهم في OIDC في مصادقة المستخدم وتمرير تلك المعلومات إلى جهة الاعتماد.
  • المستخدمون هم الأشخاص أو الخدمات التي تسعى للوصول إلى تطبيق دون إنشاء حساب جديد أو تقديم اسم مستخدم وكلمة مرور.

كيف تعمل مصادقة OIDC؟

تعمل مصادقة OIDC من خلال السماح للمستخدمين بتسجيل الدخول إلى أحد التطبيقات وتلقي حق الوصول إلى تطبيق آخر. على سبيل المثال، إذا أراد المستخدم إنشاء حساب في موقع أخبار، فقد يكون لديه خيار لاستخدام Facebook لإنشاء حسابه بدلاً من إنشاء حساب جديد. إذا اختار Facebook، فهو يستخدم مصادقة OIDC. يتعامل Facebook، الذي يشار إليه بموفر OpenID، مع عملية المصادقة ويحصل على موافقة المستخدم لتقديم معلومات معينة، مثل ملف تعريف المستخدم، إلى موقع الأخبار، وهو جهة الاعتماد.

رموز التعريف المميزة

يستخدم موفر OpenID رموز التعريف المميزة لإرسال نتائج المصادقة وأي معلومات ذات صلة إلى جهة الاعتماد. تتضمن الأمثلة على نوع البيانات التي تُرسل مُعرفًا، وعنوان بريد إلكتروني واسمًا.

النطاقات

تحدد النطاقات ما يمكن للمستخدم القيام به باستخدام إمكانية الوصول الخاصة به. يوفر OIDC نطاقات قياسية، والتي تحدد أشياء مثل جهة الاعتماد التي تم إنشاء الرمز المميز لها، ووقت إنشاء الرمز المميز، ووقت انتهاء صلاحية الرمز المميز، وقوة التشفير المستخدمة لمصادقة المستخدم.

تتضمن عملية مصادقة OIDC النموذجية الخطوات التالية:
 
  1. ينتقل المستخدم إلى التطبيق الذي يرغب في الوصول إليه (جهة الاعتماد).
  2. يكتب المستخدم اسم المستخدم وكلمة المرور الخاصين به.
  3. ترسل جهة الاعتماد طلبًا إلى موفر OpenID.
  4. يتحقق موفر OpenID من صحة بيانات اعتماد المستخدم ويحصل على التخويل.
  5. يرسل موفر OpenID رمزًا مميزًا للهوية وغالبًا ما يكون رمزًا مميزًا للوصول إلى جهة الاعتماد.
  6. ترسل جهة الاعتماد الرمز المميز للوصول إلى جهاز المستخدم.
  7. يحصل المستخدم على حق الوصول استنادًا إلى المعلومات المتوفرة في الرمز المميز للوصول وجهة الاعتماد. 

ما هي تدفقات OIDC؟

تحدد تدفقات OIDC كيفية طلب الرموز المميزة وتسليمها إلى جهة الاعتماد. بعض الأمثلة:
 
  • تدفقات تخويل OIDC: يرسل موفر OpenID رمزاً فريداً إلى جهة الاعتماد. بعد ذلك، ترجع جهة الاعتماد الرمز الفريد إلى موفر OpenID في مقابل الرمز المميز. يُستخدم هذا الأسلوب بحيث يمكن لموفر OpenID التحقق من جهة الاعتماد قبل إرسال الرمز المميز. يتعذر على المستعرض رؤية الرمز المميز في هذا الأسلوب، مما يساعد على الحفاظ على أمانه.
  • تدفقات تخويل OIDC مع ملحقات PKCE: هذا التدفق هو نفسه تدفق تخويل OIDC، باستثناء أنه يستخدم مفتاحاً عاماً لملحق تبادل الرموز (PKCE) لإرسال الاتصالات كشفرة تجزئة. يؤدي هذا إلى تقليل فرص اعتراض الرمز المميز.
  • بيانات اعتماد العميل: يوفر هذا التدفق إمكانية الوصول إلى واجهات برمجة التطبيقات على الويب باستخدام هوية التطبيق نفسه. عادةً، ما يُستخدم هذا للاتصال من خادم إلى آخر والبرامج النصية التلقائية التي لا تتطلب تفاعل المستخدم.
  • رمز الجهاز: يسمح هذا التدفق للمستخدمين بتسجيل الدخول والوصول إلى واجهات برمجة التطبيقات المستندة إلى الويب على الأجهزة المتصلة بالإنترنت التي لا تحتوي على مستعرضات أو التي لديها تجربة سيئة مع لوحة المفاتيح، مثل التلفزيون الذكي.
لا يوصى بتدفقات إضافية، مثل التدفق الضمني لـ OIDC، المصمم للتطبيقات المستندة إلى المستعرض، لأنها تمثل مخاطرة للأمان.



OIDC مقابل OAuth 2.0

سبق إنشاء OIDC على أساس OAuth 2.0 لإضافة مصادقة. تم تطوير بروتوكول OAuth 2.0 أولاً ثم أُضيف OIDC لتحسين قدراته. الفرق بين الاثنين هو أن OAuth 2.0 يوفر تخويلاً، بينما يوفر OIDC المصادقة. OAuth 2.0 هو ما يسمح للمستخدمين بالوصول إلى جهة اعتماد، باستخدام حسابهم مع أحد موفري OpenID، وOIDC هو ما يسمح لموفر OpenID بتمرير ملف تعريف المستخدم إلى جهة الاعتماد. يتيح OIDC أيضًا للمؤسسات توفير تسجيل الدخول الأحادي لمستخدميهم.



فوائد مصادقة OIDC

من خلال تقليل عدد الحسابات التي يحتاج إليها المستخدمون للوصول إلى التطبيقات، يوفر OIDC العديد من المزايا لكل من الأفراد والمؤسسات:

تقليل مخاطر كلمات المرور المسروقة

عندما يحتاج الأشخاص إلى استخدام كلمات مرور متعددة للوصول إلى التطبيقات التي يحتاجون إليها للعمل وحياتهم الشخصية، غالبًا ما يختارون كلمات مرور سهلة الحفظ، مثل كلمة المرور 1234!، ويستخدمون نفس كلمة المرور على حسابات متعددة. وهذا يزيد من خطر قيام أحد الجهات السيئة بتخمين كلمة مرور. وبمجرد معرفة كلمة المرور لحساب واحد، قد يتمكن من الوصول إلى حسابات أخرى أيضًا. من خلال تقليل عدد كلمات المرور التي يجب على شخص ما تذكرها، يزيد ذلك من احتمالية استخدام كلمة مرور أقوى وأكثر أمانًا.

تحسين ضوابط الأمان

من خلال مركزة المصادقة في تطبيق واحد، يمكن للمؤسسات أيضًا حماية الوصول عبر العديد من التطبيقات باستخدام عناصر تحكم قوية للوصول. يدعم OIDC المصادقة بعاملين ومتعددة العوامل، التي تتطلب من الأشخاص التحقق من هويتهم باستخدام اثنين على الأقل مما يلي:
 
  • شيء يعرفه المستخدم، وعادةً ما يكون كلمة المرور.
  • شيء يمتلكونه، مثل جهاز موثوق أو رمز مميز لا يمكن تكراره بسهولة. 
  • شيء يُميز المستخدم، مثل بصمة الإصبع أو مسح الوجه.
المصادقة متعددة العوامل هي طريقة مثبتة لتقليل اختراق الحسابات. يمكن للمؤسسات أيضاً استخدام OIDC لتطبيق تدابير أمنية أخرى، مثل إدارة الوصول المتميز، وحماية كلمة المرور، وأمان تسجيل الدخول، أو حماية الهوية، عبر تطبيقات متعددة.

تبسيط تجربة المستخدم

قد يستغرق تسجيل الدخول إلى حسابات متعددة طوال اليوم وقتاً طويلاً وقد يكون مزعجاً للأشخاص. بالإضافة إلى ذلك، إذا فقدوا كلمة مرور أو نسوها، فقد تؤدي إعادة تعيينها إلى تعطيل الإنتاجية بشكل أكبر. تساعد الشركات التي تستخدم OIDC لتوفير تسجيل الدخول الأحادي لموظفيها على ضمان قضاء قواها العاملة للمزيد من الوقت في العمل الإنتاجي بدلاً من محاولة الوصول إلى التطبيقات. كما تزيد المؤسسات من احتمالية أن يسجل العملاء في خدماتهم ويستخدمونها إذا سمحت للأفراد باستخدام حساب Microsoft، أو Facebook أو Google الخاص بهم لتسجيل الدخول.

توحيد المصادقة

سبق إنشاء OIDC في OpenID Foundation الذي يتضمن علامات تجارية بارزة مثل Microsoft وGoogle. ومصمم بحيث يكون قابلاً للتشغيل المتبادل ويدعم العديد من الأنظمة الأساسية والمكتبات، بما في ذلك iOS، وAndroid، وMicrosoft Windows وموفري خدمات السحابة والهويات الرئيسية.

تبسيط إدارة الهويات

يمكن للمؤسسات التي تستخدم OIDC لتوفير تسجيل الدخول الأحادي لموظفيها وشركائها تقليل عدد حلول إدارة الهوية التي يحتاجون إلى إدارتها. ويؤدي هذا إلى تيسير تعقب الأذونات المتغيرة ويسمح للمسؤولين باستخدام واجهة واحدة لتطبيق نُهج الوصول وقواعده عبر تطبيقات متعددة. تقلل الشركات التي تستخدم OIDC للسماح للأشخاص بتسجيل الدخول إلى تطبيقاتهم باستخدام موفر OpenID عدد الهويات التي يحتاجون إلى إدارتها أيًا كان.

أمثلة عن OIDC وحالات استخدامه

تستخدم العديد من المؤسسات OIDC لتمكين المصادقة الآمنة عبر تطبيقات الويب والأجهزة المحمولة. وفيما يلي بعض الأمثلة على ذلك:
 
  • عندما يسجّل مستخدم ما في حساب Spotify، يتوفر له ثلاثة خيارات: التسجيل باستخدام Facebook أو التسجيل باستخدام Google أو التسجيل باستخدام عنوان بريدك الإلكتروني. يستخدم المستخدمون الذين يختارون التسجيل باستخدام Facebook أو Google OIDC لإنشاء حساب. سيُعاد توجيههم إلى أي موفر OpenID حددوه (إما Google أو Facebook)، وبعد ذلك بمجرد تسجيل الدخول، سيرسل موفر OpenID تفاصيل ملف تعريف Spotify الأساسي. لا يتعين على المستخدم إنشاء حساب جديد لـ Spotify وتظل كلمات المرور الخاصة به محمية.
     
  • يوفر LinkedIn أيضًا طريقة للمستخدمين لإنشاء حساب باستخدام حساب Google الخاص بهم بدلاً من إنشاء حساب منفصل لـ LinkedIn.
     
  • ترغب الشركة في توفير تسجيل دخول أحادي للموظفين الذين يحتاجون إلى الوصول إلى Microsoft Office 365، وSalesforce، وBox وWorkday للقيام بعملهم. بدلاً من مطالبة الموظفين بإنشاء حساب منفصل لكل من هذه التطبيقات، تستخدم الشركة OIDC لتوفير إمكانية الوصول إلى التطبيقات الأربعة كلها. ينشئ الموظفون حساباً واحداً وفي كل مرة يسجلون فيها الدخول، يمكنهم الوصول إلى جميع التطبيقات التي يحتاجون إليها للعمل.

تطبيق OIDC للمصادقة الآمنة

يوفر OIDC بروتوكول مصادقة لتبسيط تجارب تسجيل الدخول للمستخدمين ولتحسين الأمان. فهو حل رائع للشركات التي ترغب في تشجيع العملاء على التسجيل للحصول على خدماتهم دون عناء إدارة الحسابات. كما أنه يُمكّن المؤسسات من توفير تسجيل الدخول الأحادي الآمن إلى تطبيقات متعددة لموظفيها والمستخدمين الآخرين. يمكن للمؤسسات استخدام حلول الهوية والوصول التي تدعم OIDC، مثل Microsoft Entra، لإدارة جميع الهويات ونُهج أمان المصادقة في مكان واحد.



الموارد

تعرّف على المزيد حول الأمان من Microsoft

  1.
صورة لرجل وامرأة يجلسان على طاولة، بينما تكتب المرأة في دفتر، مع وجود حاسوب محمول ظاهر على الطاولة.

Microsoft Entra ID

يمكنك ربط الموظفين، والعملاء والشركاء بأمان بتطبيقاتهم، وأجهزتهم وبياناتهم باستخدام أحد حلول إدارة الهوية والوصول السحابية.
تعرّف على المزيد عن Microsoft Entra ID
صورة لشخص يجلس إلى مكتب ويستخدم جهاز كمبيوتر محمول.

Microsoft Entra ID Governance

تأكد من حصول الأشخاص المناسبين على إمكانات الوصول المناسبة للخدمات والتطبيقات المنشودة.
تعرّف على المزيد عن Microsoft Entra ID Governance
صورة لسيدة تنظر إلى هاتفها الجوال.

معرّف تم التحقق منه في Microsoft Entra

يمكنك توفير هويات غير مركزية باستخدام خدمة بيانات اعتماد مُدارة يمكن التحقق منها استنادًا إلى المعايير المفتوحة.
تعرّف على المزيد عن خدمة معرّف تم التحقق منه في Microsoft Entra
صورة لمجموعة من ثلاثة أشخاص في مكتب مضاء بشكل جيد، يبتسمون ويتفاعلون باهتمام خلال النظر إلى جهاز كمبيوتر محمول يحمله أحد الأشخاص.

هوية حمل عمل Microsoft Entra

يمكنك إدارة وتأمين الهويات الممنوحة للتطبيقات والخدمات.
تعرّف على المزيد عن "هوية حمل عمل Microsoft Entra"
الرجوع إلى قسم المنتجات ذات الصلة
الأسئلة المتداولة

الأسئلة المتداولة

  • OIDC هو بروتوكول مصادقة هوية يعمل مع OAuth 2.0 لتوحيد عملية مصادقة المستخدمين وتخويلهم عند تسجيل الدخول للوصول إلى الخدمات الرقمية. يوفر OIDC المصادقة، مما يعني التحقق من أن المستخدمين هم الأشخاص الذين يدعون أنهم هم. يُخول OAuth 2.0 الأنظمة المسموح لهؤلاء المستخدمين بالوصول إليها. عادةً ما يُستخدم OIDC وOAuth 2.0 لتمكين تطبيقين غير مرتبطين من مشاركة المعلومات دون تعريض بيانات المستخدم للخطر.
  • كل من OIDC ولغة ترميز تأكيد الأمان (SAML) هما بروتوكولان مصادقة الهوية اللذان يسمحان للمستخدمين بتسجيل الدخول بأمان مرة واحدة والوصول إلى تطبيقات متعددة. SAML هو بروتوكول قديم سبق اعتماده على نطاق واسع لتسجيل الدخول الأحادي. ويرسل البيانات باستخدام تنسيق XML. OIDC هو بروتوكول أحدث يستخدم تنسيق JSON لإرسال بيانات المستخدم. يكتسب OIDC شهرة لأنه أسهل في التنفيذ من SAML ويعمل بشكل أفضل مع تطبيقات الأجهزة المحمولة.
  • يشير OIDC إلى بروتوكول OpenID Connect، وهو بروتوكول مصادقة هوية يُستخدم لتمكين تطبيقين غير مرتبطين لمشاركة معلومات ملف تعريف المستخدم دون تعريض بيانات اعتماد المستخدم للخطر.
  • سبق إنشاء OIDC على أساس OAuth 2.0 لإضافة مصادقة. تم تطوير بروتوكول OAuth 2.0 أولاً ثم أُضيف OIDC لتحسين قدراته. الفرق بين الاثنين هو أن OAuth 2.0 يوفر تخويلاً، بينما يوفر OIDC المصادقة. OAuth 2.0 هو ما يسمح للمستخدمين بالوصول إلى جهة اعتماد، باستخدام حسابهم مع أحد موفري OpenID، وOIDC هو ما يسمح لموفر OpenID بتمرير ملف تعريف المستخدم إلى جهة الاعتماد. تسمح هذه الوظيفة أيضًا للمؤسسات بتوفير تسجيل الدخول الأحادي للمستخدمين. تتشابه تدفقات OAuth 2.0 وOIDC فيما عدا أنها تستخدم مصطلحات مختلفة قليلاً.

    يحتوي تدفق OAuth 2.0 النموذجي على الخطوات التالية:
     
    1. ينتقل المستخدم إلى التطبيق الذي يرغب في الوصول إليه (خادم الموارد).
    2. يعيد خادم الموارد توجيه المستخدم إلى التطبيق الذي لديه حساب به (العميل).
    3. يسجل المستخدم الدخول باستخدام بيانات الاعتماد الخاصة به لدى العميل.
    4. يصادق العميل على وصول المستخدم.
    5. يرسل العميل رمز وصول مميزًا إلى خادم الموارد.
    6. يمنح خادم الموارد حق الوصول للمستخدم.
       
    يحتوي تدفق OIDC النموذجي على الخطوات التالية:
     
    1. ينتقل المستخدم إلى التطبيق الذي يرغب في الوصول إليه (جهة الاعتماد).
    2. يكتب المستخدم اسم المستخدم وكلمة المرور الخاصين به.
    3. ترسل جهة الاعتماد طلبًا إلى موفر OpenID.
    4. يتحقق موفر OpenID من صحة بيانات اعتماد المستخدم ويحصل على التخويل.
    5. يرسل موفر OpenID رمزًا مميزًا للهوية وغالبًا ما يكون رمزًا مميزًا للوصول إلى جهة الاعتماد.
    6. ترسل جهة الاعتماد الرمز المميز للوصول إلى جهاز المستخدم.
    7. يحصل المستخدم على حق الوصول استنادًا إلى المعلومات المتوفرة في الرمز المميز للوصول وجهة الاعتماد.
  • يستخدم موفر OpenID رموز التعريف المميزة لإرسال نتائج المصادقة وأي معلومات ذات صلة إلى تطبيق جهة الاعتماد. تتضمن الأمثلة على نوع البيانات التي تُرسل مُعرفًا، وعنوان بريد إلكتروني واسمًا.

متابعة الأمان من Microsoft

Surface Pro Surface Laptop Copilot للمؤسسات Copilot للاستخدام الشخصي Microsoft 365 استكشف منتجات Microsoft ملف تعريف الحساب مركز التنزيل تعقب الطلب Microsoft Education أجهزة التعليم Microsoft Teams للتعليم Microsoft 365 Education Office Education تدريب المعلمين وتطويرهم عروض للطلاب وأولياء الأمور Azure للطلاب
Microsoft AI الأمان من Microsoft Azure Dynamics 365 Microsoft 365 Microsoft Advertising Microsoft 365 Copilot Microsoft Teams مطور Microsoft Microsoft Learn دعم تطبيقات مواقع تسوق الذكاء الاصطناعي مجتمع Microsoft Tech Microsoft Marketplace Microsoft Power Platform Marketplace Rewards Visual Studio الوظائف نبذة عن Microsoft الخصوصية في Microsoft المستثمرون
العربية (المملكة العربية السعودية) خصوصية صحة المستهلك الاتصال بشركة Microsoft الخصوصية إدارة ملفات تعريف الارتباط بنود الاستخدام العلامات التجارية حول إعلاناتنا