تشرح هذه المقالة كيف يمكن للمعنيين بالتكامل والمسؤولين الاستفادة من مستخدمي خدمة Brightspace وبيانات اعتماد عميل OAuth 2.0 للمصادقة على عمليات التكامل الآمنة بين الخوادم، وأتمتة مهام سير العمل، وإدارة الوصول إلى واجهة برمجة التطبيقات بين الأجهزة من دون حسابات بشرية.
المقدمة
لطالما طالب المطورون والمسؤولون عبر منظومة Brightspace بطريقة أبسط وأكثر أمانًا لدعم عمليات التكامل والأتمتة والخدمات الخلفية، من دون الاعتماد على الحسابات البشرية أو الرموز المميزة طويلة الأجل. واليوم، نسعد بالإعلان عن خطوة كبيرة نحو تلبية هذا الطلب: "مستخدمو الخدمة"، وهو نوع جديد من الهويات غير البشرية المصممة خصوصًا لأحمال العمل بين الأجهزة (M2M).
تندمج حسابات "مستخدمي الخدمة" مع اعتمادات عميل OAuth 2.0 الجديد من Brightspace مع تأكيدات عميل JWT، وتقدم معًا نموذج مصادقة حديثًا قائمًا على المعايير ومبدأ الحد الأدنى من الامتيازات لعمليات التكامل المؤتمتة. كما تتيح معًا وصولاً آمنًا إلى واجهات برمجة التطبيقات من دون الحاجة إلى مطالبات المستخدم أو عمليات إعادة التوجيه في المستعرض أو رموز التحديث المميزة.
يفتح هذا التحسين الكبير في Brightspace الباب أمام عمليات تكامل أكثر نظافة وأمانًا وقابلية للصيانة عبر المنصة.
ما المقصود بمستخدمي الخدمة؟
مستخدمو الخدمة هي حسابات مستخدمين متخصصة على Brightspace مصممة للأنظمة وعمليات التكامل المؤتمتة. وعلى عكس الحسابات البشرية العادية، فإنها:
- تمتلك مصادقة واجهة برمجة تطبيقات غير تفاعلية
- تتبع مبادئ الحد الأدنى من الامتيازات الصارمة
- مرتبطة بتطبيق واحد فقط
- تدعم الأذونات المحددة النطاق بدقة باستخدام أدوار Brightspace
- تشارك في نموذج الوصول الخاص بالمؤسسة بطرق يمكن التنبؤ بها
يمكنك التفكير فيهم كمشغلي آلات في بيئة Brightspace الخاصة بك؛ إذ تعمل هذه الحسابات نيابة عن التطبيق وليس الشخص، ولا تملك سوى الأذونات التي يختار المسؤولون منحها إياها.
الأسباب التي دفعتنا إلى إنشاء مستخدمي الخدمة
لطالما طالبت المؤسسات والشركاء بوضع حل من الدرجة الأولى من أجل:
- وظائف مزامنة أنظمة معلومات الطلاب (SIS) أو البرامج الوسيطة المجدولة
- العمليات الخلفية المؤتمتة
- توليد التحليلات من جانب الخادم
- عمليات تحديث المحتوى ومزامنة الكتالوج
- جسور الربط بين الأنظمة عبر البنية التحتية المؤسسية
كان من الصعب دعم هذه السيناريوهات باستخدام تدفقات OAuth المفوضة المصممة للمستخدمين البشريين. ومن هنا، تأتي حسابات مستخدمي الخدمة لتقدم نموذج هوية مثاليًا للوصول المؤتمت يتسم بالشفافية والأمان ويتوافق مع احتياجات أحمال العمل غير التفاعلية.
كيفية ملاءمة مستخدمي الخدمة مع أمان Brightspace
تعتمد أداة مستخدمي الخدمة مباشرةً على نموذج الأدوار للمستخدمين في Brightspace وتتبع مبادئ التفويض الأساسية نفسها التي يعرفها المسؤولون بالفعل.
الوصول المتتالي
يمكن تسجيل مستخدمي الخدمة في أي مستوى ضمن هيكل Brightspace التنظيمي، مع إمكانية تتالي هذه التسجيلات عبر الوحدات التنظيمية عند الاقتضاء. ويسمح ذلك لعملية التكامل بالوصول فقط إلى المقررات التعليمية أو الوحدات التنظيمية التي يحتاج إليها بالضبط، من دون منح الوصول غير الضروري. كما يمكن للمسؤولين إدارة هذه التسجيلات والأذونات باستخدام النماذج نفسها التي يستخدمونها بالفعل للحسابات البشرية.
فصل واضح لواجهة المستخدم
للحفاظ على التنظيم الجيد للإدارة وتجنُّب خلط الهويات المؤتمتة مع الأشخاص الحقيقيين:
- تظهر حسابات مستخدمي الخدمة في موقع مخصص ضمن إدارة القابلية للتوسع.
- يتم استبعادها من قوائم الصفوف العادية، وعمليات البحث عن المستخدمين، وعمليات التصدير، ومجموعات البيانات، وواجهات برمجة التطبيقات غير ذات الصلة.
- تم تبسيط خيارات التكوين للتركيز على التكامل والتحكم في الوصول.
يضمن هذا الفصل أن تظل هويات الخدمة المؤتمتة سهلة الإدارة ومميزة بوضوح عن المستخدمين البشريين.
تقديم بيانات اعتماد العميل OAuth 2.0 مع تأكيدات العميل JWT
لدعم مستخدمي الخدمة، توفر Brightspace الآن تدفق مصادقة جديدًا قويًا مستندًا إلى OAuth 2.0.
منح بيانات اعتماد العميل (CCG)
تم تصميم منح بيانات اعتماد العميل للمصادقة بين الأجهزة، حيث يقوم التطبيق بمصادقة هويته بصفته الشخصية.
تأكيدات العميل JWT
على عكس أسرار العميل التقليدية، فإن تأكيد العميل هو رمز ويب JSON مميز موقَّع وقصير الأجل وموقّع، تم إنشاؤه باستخدام المفتاح الخاص بالتطبيق. وتتحقق Brightspace من صحة هذا الرمز باستخدام المفاتيح العامة المخزَّنة في JWKS التي يحددها المسؤول في أثناء تسجيل التطبيق.
ويوفر هذا النهج المزايا الآتية:
- عدم الحاجة إلى إدارة أسرار مشتركة
- الحماية ضد هجمات إعادة التشغيل
- رموز مميزة قصيرة الأجل وغير قابلة للتحديث
- التشفير غير المتماثل القوي
- التوافق مع أفضل ممارسات OAuth 2.0 (RFC 7523، RFC 7519، RFC 6749)
يوازن هذا النهج بين المرونة للمطورين والأمان القوي للمسؤولين.
كيفية عمل مستخدمي الخدمة مع بيانات اعتماد العميل
يجب إقران كل تطبيق من تطبيقات بيانات اعتماد العميل OAuth2.0 بحساب مستخدم خدمة. وعندما يطلب التطبيق رمزًا مميزًا:
- يرسل التطبيق تأكيد JWT موقَّعًا.
- تتحقق Brightspace من صحة التوقيع باستخدام مفاتيح JWKS المسجلة.
- تصدر Brightspace رمزًا مميزًا للوصول قصير الأجل.
- يتم إجراء أي استدعاء لواجهة برمجة التطبيقات باستخدام هذا الرمز المميز وفق أذونات مستخدم الخدمة المرتبط به.
تسجيل تطبيق: نظرة سريعة
لتسجيل تطبيق يستخدم بيانات اعتماد العميل في Brightspace، ما على المسؤولين سوى اتباع الخطوات الآتية:
- إنشاء مستخدم خدمة
- تعيين أذونات محدودة النطاق
- تسجيل تطبيق OAuth وتحديد عنوان URL الخاص بمفاتيح JWKS
- ربط مستخدم الخدمة بالتطبيق
- الاختبار والنشر
يحافظ سير العمل هذا على بساطة التكوين ويساعد المؤسسات على الحفاظ على حدود أمان قوية.
حالات استخدام تدفقات OAuth المختلفة
السيناريو
|
التدفق الموصى به
|
|---|
| يقوم مستخدم بشري بتسجيل الدخول ومنح الوصول |
رمز التفويض بالإضافة إلى رموز التحديث المميزة |
| يحتاج نظام خلفي إلى وصول مستمر من دون وجود مستخدم |
بيانات اعتماد العميل بالإضافة إلى مستخدم الخدمة |
| مهام مجدولة، ومسارات بيانات، وبرامج وسيطة، ومزامنات خلفية |
بيانات اعتماد العميل بالإضافة إلى مستخدم الخدمة |
ملاحظة: إذا لم يكن هناك مستخدم بشري مشارك، فيجب على التطبيق مصادقة هويته بصفته الشخصية باستخدام مستخدم خدمة.
الآثار على المطورين والمسؤولين
من خلال مستخدمي الخدمة ومنح بيانات اعتماد العميل OAuth2.0 الجديد، توفر Brightspace الآن ما يأتي:
- نهج مصادقة حديث مبني على معايير الصناعة
- أمان قوي من دون الحاجة إلى أسرار مشتركة
- فصل واضح بين الحسابات البشرية والحسابات الآلية
- تحكم دقيق في أذونات واجهة برمجة التطبيقات (API)
- إدارة مباشرة لدورة حياة التكامل
- أساس قابل للتوسع لإجراء تحسينات مستقبلية في قابلية التوسعة
تعزِّز هذه الإمكانات تجربة تكامل Brightspace بشكل عام لكل من المؤسسات والمطورين.
الخطوات القادمة
سنواصل توسيع المستندات والأمثلة وأدوات المطورين التي تدعم تكاملات OAuth وBrightspace. كما يوفر هذا الإصدار أساسًا مهمًا للتحسينات المستقبلية في كيفية تكوين عمليات التكامل وإدارتها من قِبل المسؤولين.
سواء كنت بصدد إنشاء تكامل جديد أو صيانة تكامل حالي مع Brightspace، ابقَ على اطلاع دائم على ملاحظات الإصدار القادمة وتحديثات مستندات المطورين لدينا.
موارد إضافية