بوابة الويب مع تسجيل الدخول الموحد (بيتا)
المتطلبات الأساسية والقيود
بوابة الويب 2026 مع SSO مصممة لـ إبداعي يستخدم السمة وجميع التخصيصات من AdminTool > Web > تخصيص بوابة الويب. إذا لم تكن السمة المحددة إبداعي لا تعرض بوابة الويب.
عند التمكين في مزرعة، يجب أن تعمل جميع الخوادم على نفس إصدار Remote Access وتمكينها لـ بوابة الويب 2026 مع تسجيل الدخول الموحد
هذه الميزة هي بيتا ويجب ليس يتم نشرها على خوادم الإنتاج.
لماذا بوابة ويب جديدة؟
مقارنةً بالبوابة الإلكترونية السابقة، توفر هذه التنفيذ موثوقية أعلى وأداءً أفضل تحت الحمل. بالإضافة إلى ذلك، فإنه يسمح:
-
قدرات SSO المتقدمة
- المصادقة المتكاملة في ويندوز (تفاوض / كيرberos / NTLM)
- تكامل مزود الهوية من طرف ثالث (حاليًا SAML)
-
تحكمات أمان أقوى
- حمايات مضادة للتزوير مدمجة
- تحديد معدل نقطة النهاية
- المصادقة الحديثة والتحكم في الكوكيز/الجلسات
ستسمح لنا بنيتها بالتعامل بسهولة مع أي ملاحظات محتملة من تدقيق الأمان.
إنه أيضًا منتج أكثر سهولة الوصول من خلال التوصيات وزيادة التباين.
مرونة خادم الويب (Kestrel بشكل افتراضي)
التطبيق غير مرتبط بخادم ويب أمامي واحد. بشكل افتراضي، يعمل على كستريل (منفذ HTTP 81). يمكن أن يكون أمامه IIS أو أباتشي كوكيل عكسي عن طريق تغيير تكوين خادم الويب.
مثال: وكيل عكسي Apache لخدمة بوابة الويب
# Apache VirtualHost exampleProxyPreserveHost OnProxyPass / http://127.0.0.1:81/ProxyPassReverse / http://127.0.0.1:81/
RequestHeader set X-Forwarded-Proto "https"RequestHeader set X-Forwarded-For "%{REMOTE_ADDR}s"هذا يحافظ على منطق بوابة الويب دون تغيير بينما يتولى Apache التعامل مع التعرض العام لـ HTTP/HTTPS.
يرجى الاتصال بفريق التطوير إذا كنت مهتمًا، حيث أن هذا السيناريو غير متاح بعد من برنامج AdminTool ويجب تكوينه يدويًا.
تفعيل بوابة الويب 2026 مع SSO
- فتح أداة الإدارة
- اذهب إلى: الويب > خادم الويب
- تمكين: بوابة الويب 2026 مع تسجيل الدخول الموحد
مهم هذه الخيار هو بيتا. استخدمه فقط في بيئات الاختبار.
أنماط تسجيل الدخول المدعومة
بوابة الويب 2026 مع دعم SSO:
- نموذج تسجيل الدخول التقليدي باستخدام بيانات اعتماد Windows
- بيانات الاعتماد على الويب. انظر: https://docs.tsplus.net/tsplus/web-credentials/
- المصادقة المتكاملة مع ويندوز (تلقائي في السيناريوهات الموثوقة / المحلية)
- موفر الهوية الخارجي عبر SAML مثل Entra ID (سابقًا Azure AD) أو Okta
ملاحظة: الدعم للمصادقة الخارجية عبر أويدك مخطط لاحقًا، عند الطلب
سلوك 2FA
يتم تطبيق 2FA على تدفقات الحسابات القياسية، بما في ذلك:
- نموذج تسجيل الدخول باستخدام بيانات اعتماد ويندوز
- بيانات الاعتماد على الويب
- المصادقة المتكاملة مع ويندوز
غالبًا ما تفرض مزودات المصادقة الخارجية MFA / 2FA الخاصة بها. لذا فإن تكوين 2FA المحدد في إضافة Remote Access 2FA لا ينطبق على هذا السيناريو.
تجاوز الشبكة المحلية متاح من خلال
إعدادات مخصصة: تجاوز المصادقة الثنائية للشبكة المحلية
المعلمة الموجودة في الملف:
C:\Program Files (x86)\TSplus\Clients\webportal\appsettings.json
، حيث
C:\Program Files (x86)\TSplus
مجلد إعداد TSplus Remote Access. عند التمكين، يحدث التجاوز فقط إذا كان العميل والبوابة في نفس الشبكة الفرعية الخاصة.
تكوين تدفق مصادقة ويندوز
للمستخدمين الذين يقومون بتسجيل الدخول باستخدام مصادقة Windows، يتطلب أحد الأمور التالية:
-
سجل بيانات الاعتماد مسبقًا باستخدام أمر TSplus:
AdminTool.exe /windowscredential-addorupdate. راجع الوثائق في https://docs.tsplus.net/tsplus/commands-list/#add-or-update-credentials-to-the-windows-credentials-manager-windowscredential-addorupdate - أو دع المستخدم يسجل الدخول مرة واحدة من خلال نموذج تسجيل الدخول في بوابة الويب باستخدام بيانات اعتماد Windows.
لتكوين مصادقة Windows المدمجة، يرجى الاطلاع على: تمكين مصادقة Windows المدمجة على مجال Active Directory. نظرًا لأن وضع المصادقة هذا صعب التكوين، غالبًا ما يفضل العملاء إعداد مزود هوية خارجي.
تكوين المصادقة الخارجية (SAML)
الإعدادات المطلوبة في
appsettings.json
الملف
appsettings.json
يقع في
C:\Program Files (x86)\TSplus\Clients\webportal
، حيث
C:\Program Files (x86)\TSplus
مجلد إعداد TSplus Remote Access.
عدل الـ
Saml2
القسم:
-
بيانات تعريف موفر الهوية -
المصدر -
وجهة تسجيل الدخول الموحداختياري إذا كانت البيانات الوصفية توفرها -
وجهة تسجيل الخروج الفرديةاختياري إذا كانت البيانات الوصفية توفرها - حقول متعلقة بالشهادة
توفر كلمة مرور Windows لإطلاق الجلسة
للمصادقة الخارجية باستخدام SAML، لا يزال يتطلب بدء الجلسات بيانات اعتماد Windows قابلة للاستخدام. استخدم واحدة من:
-
تسجيل بيانات اعتماد Windows باستخدام الأمر:
AdminTool.exe /windowscredential-addorupdate. راجع الوثائق في https://docs.tsplus.net/tsplus/commands-list/#add-or-update-credentials-to-the-windows-credentials-manager-windowscredential-addorupdate -
أو إعادة توجيه كلمة المرور من مطالبة IdP عن طريق الإعداد
إعدادات مخصصة: استخدم مطالبة كلمة مرور SAMLإلى نوع المطالبة الذي يحتوي على كلمة مرور Windows.
إذا لم يكن هناك كلمة مرور متاحة من مطالبة أو مخزن بيانات الاعتماد، فإن التحقق من صحة المستخدم يفشل.
مرجع ملف تكوين appsettings.json الكامل
الملف
appsettings.json
يقع في
C:\Program Files (x86)\TSplus\Clients\webportal
، حيث
C:\Program Files (x86)\TSplus
مجلد إعداد TSplus Remote Access.
تسجيل الدخول
| معامل | الغرض | القيم الممكنة | افتراضي |
|---|---|---|---|
تسجيل: مستوى السجل: افتراضي
|
مستوى السجل الأدنى العالمي. |
تتبع
,
تصحيح الأخطاء
,
معلومات
,
تحذير
,
خطأ
,
حرج
,
لا شيء
|
معلومات
|
تسجيل: مستوى السجل: Microsoft.AspNetCore
|
مستوى سجل إطار عمل ASP.NET Core. | نفس الشيء كما هو مذكور أعلاه |
تحذير
|
تسجيل: مستوى السجل: Microsoft.AspNetCore.Authentication
|
مستوى سجل نظام المصادقة. | نفس الشيء كما هو مذكور أعلاه |
تحذير
|
إعداد المضيف العالمي
| معامل | الغرض | القيم الممكنة | افتراضي |
|---|---|---|---|
AllowedHosts
|
تصفية رأس المضيف لحماية مضيف ASP.NET Core. |
*
(قائمة المضيفين المفصولة بفواصل أو منقوطة)
|
*
|
تحديد معدل IP
| معامل | الغرض | القيم الممكنة | افتراضي |
|---|---|---|---|
تحديد معدل IP: تمكين تحديد معدل نقطة النهاية
|
يمكن أن يتيح قواعد تحديد السرعة الخاصة بالنقطة النهائية. |
صحيح
/
خطأ
|
صحيح
|
تحديد معدل IP: الطلبات المحجوبة في المكدس
|
إذا
صحيح
تستمر الطلبات المحجوبة في زيادة العدادات.
|
صحيح
/
خطأ
|
خطأ
|
تحديد معدل IP: رمز حالة HTTP
|
حالة HTTP التي تم إرجاعها عندما يتم حظر الطلب. |
رمز HTTP صحيح (عادةً
429
)
|
429
|
تحديد معدل IP: رأس IP الحقيقي
|
رأس يُستخدم لحل عنوان IP للعميل خلف الوكيل. | اسم العنوان |
X-Forwarded-For
|
تحديد معدل IP: رأس معرف العميل
|
رأس العميل-id اختياري لتحديد معدل مخصص. | اسم العنوان |
معرف العميل X
|
تحديد معدل IP: القواعد العامة
كل كائن قاعدة له:
| معامل | الغرض | القيم الممكنة | الافتراضي في الملف المرسل |
|---|---|---|---|
نقطة النهاية
|
نمط المسار/الطريقة للحماية. |
تنسيق
فعل:/المسار
|
الافتراضات المتعددة (انظر أدناه) |
فترة
|
نافذة التقييم. |
على سبيل المثال
1 ثانية
,
1م
,
5م
,
1 ساعة
,
1d
|
5م
(لكل القواعد الافتراضية)
|
حدود
|
أقصى عدد من الطلبات في الفترة. | عدد صحيح موجب |
5
(لكل القواعد الافتراضية)
|
نقاط النهاية المحمية افتراضيًا:
-
POST:/Account/Login -
POST:/Account/ResetPassword -
نشر:/إطلاق -
POST:/RemoteApp -
POST:/2FA/Validate -
POST:/2FA/إعادة_إرسال_الرمز -
POST:/2FA/Status
Saml2
| معامل | الغرض | القيم الممكنة | افتراضي |
|---|---|---|---|
Saml2:IdPMetadata
|
رابط بيانات التعريف لمزود الهوية المستخدم لتحميل تكوين مزود SAML. | رابط HTTPS صالح |
""
|
Saml2:المصدر
|
معرف كيان SP (هوية بوابة الويب هذه). | سلسلة URI |
""
|
Saml2:وجهة تسجيل الدخول الموحد
|
رابط نقطة نهاية IdP SSO (يمكن حله تلقائيًا من البيانات الوصفية). | رابط HTTPS |
""
|
Saml2:وجهة تسجيل الخروج الفردي
|
رابط نقطة نهاية SLO لمزود الهوية (يمكن حله تلقائيًا من البيانات الوصفية). | رابط HTTPS |
""
|
Saml2:خوارزمية التوقيع
|
خوارزمية توقيع XML. | قيمة URI المقبولة من مكتبة SAML |
http://www.w3.org/2001/04/xmldsig-more#rsa-sha256
|
Saml2:SigningCertificateFile
|
ملف شهادة توقيع SP المحلي (نسبي لمسار قاعدة التطبيق). | اسم الملف/المسار |
""
|
Saml2:كلمة مرور شهادة التوقيع
|
كلمة المرور لملف شهادة التوقيع. | سلسلة |
""
|
Saml2:ملف شهادة التحقق من التوقيع
|
ملف شهادة IdP المستخدم للتحقق من التوقيعات (اختياري إذا كانت البيانات الوصفية توفر الشهادات). | اسم الملف/المسار |
""
|
وضع التحقق من الشهادة
|
وضع التحقق من سلسلة الشهادات. |
لا شيء
,
بيرترست
,
تشين ترست
,
ثقة الأقران أو السلسلة
,
ثقة الجذر المخصصة
|
تشين ترست
|
Saml2:وضع الإلغاء
|
سلوك إلغاء الشهادة. |
لا تحقق
,
عبر الإنترنت
,
غير متصل
|
غير متصل
|
Saml2:XmlCanonicalizationMethod
|
خوارزمية توحيد XML URI. | URI توحيد XML-DSig |
http://www.w3.org/2001/10/xml-exc-c14n#
|
إعدادات مخصصة
في
appsettings.json
، يتم تخزين هذه القيم كسلاسل
صحيح
/
خطأ
) وتمت خريطتها إلى قيم منطقية بواسطة ربط تكوين .NET.
| معامل | الغرض | القيم الممكنة | افتراضي |
|---|---|---|---|
إعدادات مخصصة: استخدام المسار الكامل للتطبيق
|
يتحكم فيما إذا كان يتم استخدام المسار الكامل للتطبيق عند سرد/تشغيل التطبيقات المعينة. |
صحيح
/
خطأ
|
خطأ
|
إعدادات مخصصة: تمكين المصادقة التلقائية لنظام Windows على المضيف المحلي
|
يسمح بالمصادقة التلقائية على Windows في سيناريو localhost/loopback. |
صحيح
/
خطأ
|
خطأ
|
إعدادات مخصصة: تمكين تشفير كلمة المرور
|
يشفّر اسم النطاق/اسم المستخدم/كلمة المرور في سلسلة اتصال إطلاق HTML5 باستخدام معلمات RSA. |
صحيح
/
خطأ
|
صحيح
|
إعدادات مخصصة: تجاوز المصادقة الثنائية للشبكة المحلية
|
يتجاوز بوابة الويب 2FA عندما يكون العميل في نفس الشبكة الفرعية الخاصة مثل الخادم. |
صحيح
/
خطأ
|
خطأ
|
إعدادات مخصصة: استخدم مطالبة كلمة مرور SAML
|
نوع مطالبة SAML المستخدم ككلمة مرور ويندوز محولة لإطلاق الجلسة. | نوع المطالبة URI/اسم أو سلسلة فارغة |
""
|