معلومات عن المصادقة والتفويض

تنظيم صفحاتك في مجموعات يمكنك حفظ المحتوى وتصنيفه حسب إعداداتك المفضّلة.

المصادقة والتفويض عبارة عن آليات يتم استخدامها للتحقق من الهوية والوصول إلى الموارد، على التوالي. يحدد هذا المستند المصطلحات الرئيسية التي يجب أن تعرفها قبل تنفيذ المصادقة والتفويض في تطبيقك.

ملاحظة: تركّز هذه النظرة العامة على المصادقة والتفويض لواجهات برمجة تطبيقات Google Workspace. قد لا تتعلق بعض المعلومات في هذا المستند بواجهات برمجة تطبيقات أخرى من Google.

نظرة عامة على العملية

يوضِّح الرسم البياني التالي خطوات المصادقة والتفويض عالية المستوى لواجهات برمجة تطبيقات Google Workspace:

الخطوات عالية المستوى لعملية المصادقة
    والتفويض
الشكل 1. الخطوات عالية المستوى لعملية المصادقة والتفويض
  1. ضبط مشروعك على Google Cloud وتطبيقه: أثناء التطوير، عليك تسجيل تطبيقك في Google Cloud Console مع تحديد نطاقات التفويض والوصول إلى بيانات الاعتماد لمصادقة تطبيقك باستخدام مفتاح واجهة برمجة التطبيقات أو بيانات اعتماد المستخدم أو بيانات اعتماد حساب الخدمة.

  2. مصادقة التطبيق للدخول: عند تشغيل التطبيق، يتم تقييم بيانات اعتماد الوصول المسجلة. إذا تمت مصادقة تطبيقك كمستخدم، قد يتم عرض رسالة مطالبة بتسجيل الدخول.

  3. طلب الموارد: عندما يحتاج تطبيقك إلى الوصول إلى موارد Google، يطلب من Google استخدام نطاقات الوصول ذات الصلة التي سجّلتها سابقًا.

  4. طلب موافقة المستخدم: إذا تمت مصادقة تطبيقك كمستخدم، تعرض Google شاشة موافقة OAuth حتى يتمكن المستخدم من تحديد ما إذا كان سيتم منح تطبيقك إذن الوصول إلى البيانات المطلوبة أم لا.

  5. إرسال طلب معتمد للموارد: إذا وافق المستخدم على نطاقات الوصول، سيجمع تطبيقك بيانات الاعتماد ونطاقات الوصول التي وافق عليها المستخدم في طلب. يتم إرسال الطلب إلى خادم تفويض Google للحصول على رمز الدخول.

  6. تعرض Google رمز دخول: يحتوي رمز الدخول على قائمة بنطاقات الوصول الممنوحة. إذا كانت قائمة النطاقات المعروضة محدودة أكثر من نطاقات الدخول المطلوبة، يعطِّل تطبيقك أي ميزات مقيَّدة بالرمز المميز.

  7. الوصول إلى الموارد المطلوبة: يستخدم تطبيقك رمز الدخول المميز من Google لاستدعاء واجهات برمجة التطبيقات ذات الصلة والدخول إلى الموارد.

  8. الحصول على رمز مميز لإعادة التحميل (اختياري): إذا احتاج تطبيقك الوصول إلى واجهة برمجة تطبيقات Google بعد مرور مدة صلاحية لرمز دخول واحد، سيكون بإمكانه الحصول على رمز مميز لإعادة التحميل.

  9. طلب المزيد من الموارد: إذا تطلب الأمر حق وصول إضافي، يطلب تطبيقك من المستخدم منح نطاقات وصول جديدة، ما يؤدي إلى تقديم طلب جديد للحصول على رمز دخول (الخطوات من 3 إلى 6).

مصطلحات مهمة

في ما يلي قائمة بالعبارات ذات الصلة بالمصادقة والتفويض:

المصادقة

والمقصود بالتأكد من أن المدير، الذي يمكن أن يكون مستخدمًا أو تطبيقًا يتصرف نيابةً عن المستخدم، هو الذي يقول ذلك. عند كتابة تطبيقات Google Workspace، يجب أن تكون على دراية بأنواع المصادقة التالية:

مصادقة المستخدم
إجراء مصادقة المستخدم (تسجيل الدخول) في تطبيقك. عادةً ما تتم مصادقة المستخدم من خلال عملية تسجيل دخول يستخدم فيها المستخدم اسم المستخدم وكلمة المرور لإثبات هويته للتطبيق. يمكن دمج مصادقة المستخدم في أحد التطبيقات باستخدام ميزة تسجيل الدخول باستخدام Google.
مصادقة التطبيق
إجراء التطبيق الذي تتم مصادقته مباشرة لخدمات Google نيابةً عن المستخدم الذي يشغِّل التطبيق. يتم عادةً إجراء مصادقة التطبيق باستخدام بيانات الاعتماد التي تم إنشاؤها مسبقًا في رمز التطبيق.
التفويض

الأذونات أو "الصلاحية" التي يجب على مدير المدرسة الوصول إليها أو تنفيذ العمليات. يتم تنفيذ إجراء التفويض من خلال رمز تكتبه في تطبيقك. ويُعلِمك هذا الرمز المستخدم بأنّ التطبيق يريد التصرف نيابةً عنه، وإذا سُمح له بذلك، يستخدم بيانات الاعتماد الفريدة لتطبيقك للحصول على رمز دخول من Google يُستخدم للوصول إلى البيانات أو تنفيذ العمليات.

بيانات الاعتماد

طريقة تعريف مستخدمة في أمان البرامج. في ما يتعلق بالمصادقة، غالبًا ما تكون بيانات الاعتماد هي تركيبة اسم المستخدم/كلمة المرور. في ما يتعلق بتفويض واجهات برمجة التطبيقات في Google Workspace، عادةً ما تكون بيانات الاعتماد نوعًا من أشكال التعريف، مثل سلسلة سرية فريدة لا يمكن التعرّف عليها إلا بين مطوِّر التطبيق وخادم المصادقة. تدعم Google بيانات اعتماد المصادقة هذه: مفتاح واجهة برمجة التطبيقات، ومعرّف عميل OAuth 2.0، وحسابات الخدمة.

مفتاح واجهة برمجة التطبيقات
بيانات الاعتماد المستخدَمة لطلب الوصول إلى البيانات العامة، مثل البيانات التي يتم تقديمها باستخدام واجهة برمجة تطبيقات "خرائط Google" أو ملفات Google Workspace التي تتم مشاركتها باستخدام إعداد "أي شخص على الإنترنت لديه هذا الرابط" ضمن إعدادات مشاركة Google Workspace.
معرِّف عميل OAuth 2
بيانات الاعتماد التي تم استخدامها لطلب الوصول إلى البيانات التي يملكها المستخدم وهذه هي بيانات الاعتماد الأساسية المستخدمة عند طلب الوصول إلى البيانات باستخدام واجهات برمجة تطبيقات Google Workspace. تتطلب بيانات الاعتماد هذه موافقة المستخدم.
سر العميل
سلسلة من الأحرف التي يجب أن يعرفها تطبيقك وخادم التفويض فقط. يحمي سر العميل بيانات المستخدم عن طريق منح الرموز المميزة لمقدّمي الطلبات المصرح لهم فقط. يجب عدم تضمين سر العميل في تطبيقك.
مفاتيح حساب الخدمة
تستخدمه حسابات الخدمة للحصول على تفويض لإحدى خدمات Google.
حساب الخدمة
بيانات اعتماد يتم استخدامها للتفاعلات من خادم إلى خادم، مثل تطبيق بدون وجه يعمل كعملية للوصول إلى بعض البيانات أو إجراء بعض العمليات. يتم عادةً استخدام حسابات الخدمة للوصول إلى البيانات والعمليات المستندة إلى السحابة الإلكترونية. ومع ذلك، عند استخدامها مع تفويض المرجع على مستوى النطاق، يمكن استخدامها للوصول إلى بيانات المستخدم.
النطاق

سلسلة معرّف الموارد المنتظم (URI) لبروتوكول OAuth 2.0 التي تحدّد مستوى الوصول إلى الموارد أو الإجراءات الممنوحة لأحد التطبيقات. بالنسبة إلى Google Workspace، تحتوي معرّفات الموارد المنتظمة (URI) لنطاق التفويض على اسم تطبيق Google Workspace ونوع البيانات التي يمكنها الوصول إليها ومستوى الوصول. يمكن لمستخدمي تطبيقك مراجعة النطاقات المطلوبة واختيار نوع الوصول الذي يمنحه، ثم يعرض خادم المصادقة من Google النطاقات المسموح بها إلى تطبيقك في رمز دخول. للحصول على مزيد من التفاصيل، يمكنك الرجوع إلى كيفية اختيار نطاقات لتطبيقك.

خادم التفويض

خادم Google لمنح إمكانية الدخول إلى البيانات والعمليات المطلوبة للتطبيق باستخدام رمز دخول.

رمز التفويض

رمز يتم إرساله من خادم التفويض المستخدم للحصول على رمز دخول. يلزم استخدام رمز فقط عندما يكون نوع التطبيق تطبيق خادم ويب أو تطبيقًا مثبتًا.

رمز الدخول

رمز مميز يمنح إمكانية الوصول إلى واجهة برمجة تطبيقات Google Workspace. يمكن أن يمنح رمز الدخول المميز درجات متفاوتة، تُعرف باسم النطاقات، للدخول إلى واجهات برمجة تطبيقات متعددة. يطلب رمز التفويض في تطبيقك رموز الدخول ويستخدمها لاستدعاء واجهات برمجة تطبيقات Google Workspace.

خادم الموارد

الخادم الذي يستضيف واجهة برمجة التطبيقات التي يحتاج تطبيقك إلى طلبها.

إطار عمل OAuth 2.0

معيار يمكن لتطبيقك استخدامه لتوفير "الوصول المفوَّض الآمن" أو الوصول إلى البيانات والعمليات نيابة عن مستخدم التطبيق. وتمثل آليات المصادقة والتفويض التي تستخدمها في تطبيقك تنفيذ إطار عمل OAuth 2.0.

العميد

كيان، يُعرف أيضًا باسم الهوية، ويمكن منحه حق الوصول إلى أحد الموارد. توفّر واجهات برمجة تطبيقات Google Workspace نوعَين من المدراء: حسابات المستخدمين وحسابات الخدمات. لمزيد من التفاصيل، يُرجى الرجوع إلى المدراء.

نوع البيانات

في سياق المصادقة والتفويض، يشير نوع البيانات إلى الكيان الذي يمتلك البيانات التي يحاول تطبيقك الوصول إليها. هناك ثلاثة أنواع من البيانات:

بيانات النطاق العام
البيانات التي يمكن لأي شخص الوصول إليها، مثل بعض بيانات "خرائط Google" ويتم عادةً الوصول إلى هذه البيانات باستخدام مفتاح واجهة برمجة تطبيقات.
بيانات المستخدمين
البيانات التي تخص مستخدمًا نهائيًا أو مجموعة مُعيَّنة، مثل ملفات Google Drive لمستخدم معيَّن. ويتم عادةً الوصول إلى هذا النوع من البيانات باستخدام معرِّف عميل OAuth 2 أو حساب خدمة.
بيانات السحابة الإلكترونية
البيانات التي يمتلكها مشروع Google Cloud يتم عادةً الوصول إلى نوع البيانات هذا من خلال حساب خدمة.
موافقة المستخدم

خطوة تفويض تتطلَّب من مستخدم تطبيقك تفويض التطبيق بالوصول إلى البيانات وتنفيذ العمليات نيابةً عن المستخدم.

نوع التطبيق

نوع التطبيق الذي تريد إنشاؤه. عند إنشاء بيانات اعتماد باستخدام Google Cloud Console، يُطلب منك اختيار نوع التطبيق. أنواع التطبيقات هي: تطبيق الويب (JavaScript) وAndroid وتطبيق Chrome وiOS وأجهزة التلفزيون وأجهزة الإدخال المحدودة وتطبيق سطح المكتب (يُعرف أيضًا باسم "التطبيق المُثبَّت") ونظام التشغيل Windows العام (UWP).

حساب الخدمة

نوع خاص من حسابات Google يهدف إلى تمثيل مستخدم غير بشري يحتاج إلى المصادقة وأن يكون مصرحًا له بالدخول إلى البيانات. يفترض تطبيقك هوية حساب الخدمة لاستدعاء Google APIs، حتى لا يشارك المستخدمون مباشرةً. ولا يمكن استخدام حسابات الخدمة في حد ذاتها للوصول إلى بيانات المستخدمين، إذ يمكن الوصول إلى البيانات بشكلٍ مخصّص باستخدام واجهات برمجة تطبيقات Workspace. ومع ذلك، يمكن لحساب الخدمة الوصول إلى بيانات المستخدم من خلال تنفيذ تفويض تفويض على مستوى النطاق. لمزيد من التفاصيل، يُرجى الرجوع إلى فهم حسابات الخدمة.

تفويض المرجع على مستوى النطاق

ميزة إدارية يمكنها تفويض تطبيق للوصول إلى بيانات المستخدمين نيابةً عن المستخدمين في مؤسسة Google Workspace. يمكن استخدام التفويض على مستوى النطاق لتنفيذ المهام ذات الصلة بالمشرف على بيانات المستخدم. ولتفويض التفويض بهذه الطريقة، يستخدم مشرفو Google Workspace حسابات الخدمة مع OAuth 2.0. وبسبب فعالية هذه الميزة، لا يمكن إلا للمشرفين المتميّزين تفعيل تفويض التفويض على مستوى النطاق. لمزيد من التفاصيل، يُرجى الرجوع إلى تفويض تفويض على مستوى النطاق إلى حساب خدمة.

الخطوة التالية

ضبط شاشة طلب الموافقة المتعلّقة ببروتوكول OAuth في تطبيقك للتأكّد من أن المستخدمين يمكنهم فهم أذونات الوصول التي يحصل عليها تطبيقك إلى بياناتهم والموافقة عليها.