دمج Okta SSO و SCIM لمنصة الصحة والعافية للمؤسسات

لقد قمنا بتطبيق Okta SSO عبر SAML 2.0/OIDC للمصادقة و SCIM 2.0 لتزويد المستخدمين وإلغاء تزويدهم ومزامنة المجموعات تلقائيًا — مع دمجها في الواجهة الخلفية الحالية متعددة المستأجرين.

البنية

• موفر الهوية (Identity Provider): Okta (مستأجرون يدارون من قبل العملاء)
• بروتوكول SSO: SAML 2.0 (أساسي) + OIDC (بديل)
• التزويد (Provisioning): خادم SCIM 2.0 مدمج في الواجهة الخلفية للمنصة
• الواجهة الخلفية (Backend): NestJS مع PostgreSQL و Redis
• طبقة المصادقة (Auth Layer): جلسات قائمة على JWT مع إصدار رمز مميز (token) مدرك لـ SSO
• لوحة تحكم المسؤول (Admin Dashboard): تكوين المستأجر المستند إلى React لإعداد SSO
• المصادقة الحالية (Existing Auth): تم الاحتفاظ بالبريد الإلكتروني/كلمة المرور + Google OAuth جنبًا إلى جنب مع SSO

---

تطبيق SSO (SAML 2.0 / OIDC)

تدفق SAML 2.0

يعمل تدفق SAML الذي يبدأه موفر الخدمة (SP-initiated SAML flow) على النحو التالي: يزور المستخدم صفحة تسجيل الدخول ويختار SSO، ويدخل نطاق بريد شركته الإلكتروني، وتحدد المنصة تكوين Okta الخاص بالمستأجر من النطاق، وترسل AuthnRequest إلى Okta، ويصادق المستخدم، وتعيد Okta SAML assertion موقّعة، وتتحقق المنصة من Assertion وتنشئ جلسة باستخدام JWT tokens.

التكوين لكل مستأجر

يتم تكوين SSO لكل مستأجر باستخدام SSO URL الخاص بموفر الهوية الخاص به، و entity ID، و X.509 certificate للتحقق من التوقيع، بالإضافة إلى SP entity ID الخاص بالمنصة، و assertion consumer service URL، وتعيينات السمات من حقول ملف تعريف موفر الهوية إلى حقول مستخدم المنصة.

بديل OIDC

للعملاء الذين يفضلون OIDC على SAML، تدعم المنصة تدفق Authorization Code مع PKCE، باستخدام نفس تعيين السمات عبر OIDC claims والتحقق من ID token باستخدام JWKS.

توجيه SSO متعدد المستأجرين

توجه المنصة المستخدمين إلى موفر الهوية الصحيح بناءً على نطاق بريدهم الإلكتروني. عندما يدخل المستخدم بريده الإلكتروني، تبحث المنصة عن النطاق مقابل تكوينات SSO للمستأجر. إذا تم تكوين SSO، يتم توجيه المستخدم إلى مستأجر Okta الخاص بمؤسسته. إذا لم يكن كذلك، فإنهم يعودون إلى البريد الإلكتروني/كلمة المرور أو Google OAuth. يتم دعم Vanity URLs أيضًا للوصول المباشر إلى SSO. ---

تطبيق SCIM 2.0

خادم SCIM

تكشف المنصة عن API متوافق مع SCIM 2.0 يستدعيه Okta لإدارة المستخدمين والمجموعات. يدعم API عمليات دورة حياة المستخدم الكاملة (إنشاء، قراءة، تحديث، إلغاء تنشيط، حذف)، و CRUD للمجموعات مع إدارة العضوية، ونقاط نهاية اكتشاف SCIM القياسية للقدرات، والمخططات، وأنواع الموارد.

دورة حياة المستخدم عبر SCIM

التزويد (Provisioning):

عندما يقوم مسؤول بتعيين مستخدم لتطبيق المنصة في Okta، يرسل Okta طلب إنشاء إلى SCIM API. تنشئ المنصة حساب المستخدم مع ربط المستأجر، وتضع علامة عليه كنشط و SSO-provisioned، ويمكن للمستخدم تسجيل الدخول فورًا عبر SSO.

تحديثات الملف الشخصي:

عندما يقوم مسؤول بتحديث ملف تعريف المستخدم في Okta، يتم دفع التغييرات إلى المنصة عبر SCIM. إذا تغيرت الأقسام، يتم إعادة تقييم عضوية المجموعة تلقائيًا.

إلغاء التزويد (Deprovisioning):

عندما يتم إزالة مستخدم من التطبيق في Okta، تقوم المنصة بإلغاء تنشيط الحساب — وإلغاء جميع الجلسات النشطة فورًا، ومنع المزيد من تسجيل الدخول، والاحتفاظ بالبيانات وفقًا لسياسة الاحتفاظ، وتحرير مقعد الترخيص.

إعادة التنشيط:

إعادة تعيين مستخدم في Okta يعيد تنشيط حسابه مع الحفاظ على جميع البيانات التاريخية سليمة.

مزامنة المجموعات

تُعيّن مجموعات Okta إلى أدوار المنصة ومستويات البرامج — مما يتحكم في الوصول إلى مستويات ميزات مختلفة، وقدرات المسؤول، ولوحات المعلومات المتخصصة، والتسجيل في البرامج الحصرية. يتم دفع تغييرات عضوية المجموعة في Okta عبر SCIM وتنعكس في الوقت الفعلي دون الحاجة إلى إعادة تسجيل الدخول. ---

الأمان والمصادقة

إصدار الرمز المميز بعد SSO

بعد التحقق من SAML assertion، تصدر المنصة JWTs محدودة المستأجر مع مطالبات لهوية المستخدم، والمؤسسة، والأدوار (المستمدة من عضوية مجموعة SCIM)، وطريقة المصادقة، وموفر الهوية — مما يمكن من التمييز في التدقيق بين SSO وطرق المصادقة الأخرى.

إدارة الجلسات

• تحترم جلسات SSO عمر جلسة Okta
• يتم دعم Single Logout (SLO) لإنهاء الجلسة عندما يقوم المستخدم بتسجيل الخروج من Okta
• خطاف الويب (webhook) لتسجيل الخروج عبر القناة الخلفية (back-channel) لإلغاء الجلسة فورًا
• يلغي إلغاء تنشيط SCIM جميع الجلسات النشطة في غضون 60 ثانية

ضوابط الأمان

• التحقق من توقيع استجابة SAML مقابل شهادة X.509 للمستأجر
• منع إعادة تشغيل Assertion عبر تتبع الاستخدام لمرة واحدة
• تسامح انحراف الساعة للتحقق من طابع وقت Assertion
• التحقق من قيود الجمهور
• يتم دعم assertions المشفرة للعمليات الحساسة
• مصادقة نقطة نهاية SCIM عبر Bearer tokens لكل مستأجر
• تحديد معدل الطلبات (Rate limiting) على نقاط نهاية SCIM

---

لوحة تحكم إعدادات المسؤول

إعداد SSO للمستأجر

توفر لوحة تحكم المسؤول تدفق إعداد الخدمة الذاتية:

1. اختيار البروتوكول — اختر SAML 2.0 أو OIDC
2. تحميل البيانات الوصفية (Metadata Upload) — قم بتحميل ملف IdP metadata XML (يقوم بملء التكوين تلقائيًا)
3. تعيين السمات (Attribute Mapping) — قم بتعيين حقول ملف تعريف موفر الهوية إلى حقول مستخدم المنصة
4. التحقق من النطاق (Domain Verification) — تحقق من ملكية نطاق(ات) البريد الإلكتروني لتوجيه SSO
5. اختبار الاتصال (Test Connection) — ابدأ اختبار تسجيل الدخول عبر SSO قبل التمكين لجميع المستخدمين
6. إعداد SCIM — قم بإنشاء Bearer token لتكوين تزويد SCIM
7. تعيين المجموعات (Group Mapping) — قم بتعيين مجموعات موفر الهوية إلى أدوار ومستويات المنصة

توفر لوحة التحكم أيضًا SP metadata قابلة للتنزيل لسهولة تكوين تطبيق موفر الهوية. ---

الميزات الرئيسية

1. دعم SAML 2.0 + OIDC — خيار بروتوكول مرن لكل مستأجر
2. تزويد SCIM 2.0 — إنشاء المستخدمين وتحديثهم وإلغاء تنشيطهم تلقائيًا
3. تعيين المجموعات إلى الأدوار — تتحكم مجموعات موفر الهوية في مستويات الوصول والبرامج للمنصة
4. إلغاء التزويد الفوري — إلغاء تنشيط SCIM يلغي الوصول في غضون 60 ثانية
5. توجيه SSO متعدد المستأجرين — اكتشاف IdP القائم على نطاق البريد الإلكتروني عبر المستأجرين
6. طرق مصادقة متعايشة — SSO جنبًا إلى جنب مع البريد الإلكتروني/كلمة المرور و Google OAuth
7. إعداد الخدمة الذاتية — لوحة تحكم المسؤول لتكوين SSO بدون دعم هندسي
8. تسجيل الخروج الموحد (Single Logout) — يتم إنهاء جلسة المنصة عندما يقوم المستخدم بتسجيل الخروج من موفر الهوية
9. مسار التدقيق (Audit Trail) — يتم تسجيل كل عملية SCIM وحدث SSO للامتثال
10. مزامنة مجموعات SCIM — تغييرات الأدوار والبرامج في الوقت الفعلي من عضوية مجموعات موفر الهوية