يدعم Brightspace المصادقة عبر واجهة برمجة التطبيقات من خادم إلى خادم باستخدام آلية منح بيانات اعتماد العميل OAuth 2.0 مع تأكيد العميل (JWT بالمفتاح الخاص). ويتيح هذا النموذج لعمليات التكامل الموثوقة استدعاء واجهات برمجة تطبيقات Brightspace دون الحاجة إلى تفاعل المستخدم، مع ضمان حماية البيانات الحساسة في نظام إدارة التعلّم.
ولاستخدام هذه الميزة، يجب عليك أولاً إنشاء مستخدم خدمة مخصص لعملية التكامل، ثم تسجيل تطبيق OAuth 2.0 يستخدم مستخدم الخدمة هذا للحصول على رموز الوصول المميزة.
|
مهم: تتوفر المصادقة من خادم إلى خادم فقط لتطبيقات OAuth 2.0 المقترنة بمستخدم خدمة. ويجب عليك استخدام مستخدم خدمة مخصص وغير بشري يتمتع بأقل الامتيازات الممكنة لكل عملية تكامل. للحصول على معلومات حول إنشاء مستخدمي الخدمة، راجع إدارة مستخدمي الخدمة.
للحصول على معلومات حول إعداد مصادقة OAuth 2.0 للمطورين، راجع إعداد مصادقة OAuth 2.0 في مستندات مطور Brightspace.
|
الأذونات المطلوبة
لتسجيل تطبيق OAuth 2.0 للمصادقة من خادم إلى خادم، يجب أن يتمتع دورك بالأذونات الآتية:
- مستخدمو الخدمة > رؤية أداة مستخدمي الخدمة
- إدارة قابلية التوسع > إمكانية إدارة تطبيقات واجهة برمجة التطبيقات
الوصول إلى قائمة تطبيقات OAuth 2.0
يدير المسؤولون تطبيقات OAuth 2.0 من صفحة إدارة قابلية التوسع.
للوصول إلى قائمة تطبيقات OAuth 2.0:
- انتقل إلى أدوات المسؤول > إدارة قابلية التوسع.
- انقر فوق علامة التبويب OAuth 2.0 لعرض قائمة التطبيقات المسجلة.
تسرد الصفحة تطبيقات OAuth 2.0 الموجودة وأنواع المنح الخاصة بها.
تسجيل تطبيق OAuth 2.0 من خادم إلى خادم
لتسجيل تطبيق OAuth 2.0 جديد يستخدم آلية منح بيانات اعتماد العميل مع تأكيد العميل باستخدام JWT موقَّع:
- من علامة التبويب OAuth 2.0، انقر فوق تسجيل تطبيق. وعندئذٍ، تُفتح صفحة تسجيل تطبيق.
- ضمن نوع المنح، حدد بيانات اعتماد العميل.
- في اسم التطبيق، أدخل اسمًا واضحًا يحدد هوية التكامل. على سبيل المثال، عميل واجهة برمجة التطبيقات من خادم إلى خادم أو اسم خدمة المورد.
- في عنوان URL الخاص بـ JWKS، أدخل عنوان URL لبروتوكول HTTPS الذي يستضيف مجموعة مفاتيح ويب JSON (JWKS) لخادم التخويل لديك. إذ يستخدم Brightspace عنوان URL هذا من أجل استرداد المفاتيح العامة اللازمة للتحقق من صحة تأكيدات العميل الموقَّعة.
- في النطاق، أدخل النطاقات المسموح للتطبيق بطلبها. ويجب أن تستخدم النطاقات التنسيق الآتي:
مجموعة:مورد:أذونات. كذلك، افصل بين النطاقات المتعددة بمسافات. ولا يمكن أن يكون جزء المجموعة قيمة حرف بديل.
- في مدة بقاء الرمز المميّز للوصول (بالثواني)، أدخل عدد الثواني التي يجب أن يظل خلالها كل رمز مميّز للوصول صالحًا. علمًا بأن الحد الأدنى 1800 ثانية (30 دقيقة)، والحد الأقصى 72000 ثانية (20 ساعة).
- ضمن مستخدم الخدمة، انقر فوق إضافة مستخدم خدمة وقم بما يأتي:
- في مربع حوار إضافة مستخدم خدمة، ابحث عن مستخدم الخدمة الذي أنشأته سابقًا لهذا التكامل.
- حدد مستخدم الخدمة وانقر فوق إضافة
- راجع الوصف الذي يوضح الغرض من التطبيق والنظام الذي يمثله، أو أدخل وصفًا جديدًا.
- حدد أوافق على اتفاقية مطور واجهة برمجة التطبيقات.
- انقر فوق تسجيل.
حينئذٍ، يظهر تطبيق OAuth 2.0 في قائمة التطبيقات، ويكون نوع المنح الخاص به هو بيانات اعتماد العميل. ومن هذه القائمة، تستطيع التأكد من تسجيل التطبيق، وإزالته لاحقًا عند الحاجة.
|
ملاحظة: إن عملية التسجيل في Brightspace تُكمل فقط الجانب الخاص بالمنصة من عملية التكوين. ويجب على المطورين أيضًا تكوين خادم التخويل الخاص بهم لإصدار تأكيدات العميل الموقَّعة التي تشير إلى التطبيق المسجل وعنوان URL الخاص بـ JWKS.
|
الخطوات التالية للمطورين
بعد تسجيل تطبيق OAuth 2.0، يمكن للمطورين البدء في استخدامه للمصادقة من خادم إلى خادم عبر واجهة برمجة التطبيقات.
- تكوين خادم التخويل الخارجي لتوقيع رمز ويب JSON (JWT) المميز باستخدام المفتاح الخاص الذي يقابل المفتاح العام في عنوان URL الخاص بـ JWKS.
- تنفيذ تدفق بيانات اعتماد العميل OAuth 2.0 مع JWT بالمفتاح الخاص لتبادل JWT الموقَّع مقابل رمز مميّز للوصول من Brightspace.
- استدعاء واجهات برمجة تطبيقات Brightspace باستخدام الرمز المميّز للوصول في رأس
التخويل: الحامل.
|
مهم: تُحدَّد الأذونات المتوفرة لاستدعاءات واجهة برمجة التطبيقات بناءً على الدور والأذونات المعيَّنة لمستخدم الخدمة المرتبط بتطبيق OAuth 2.0. لذا، اتبع ممارسات مبدأ الامتياز الأقل، وامنح فقط الأذونات اللازمة لعمل التكامل.
|