الدخول الموحّد (عبر SAML2) متوفّر في OpenReplay Enterprise Edition فقط.

في لوحة تحكم مزوّد الهوية الخاص بك، أنشئ تطبيقًا جديدًا باسم openreplay (يمكنك استخدام هذه الأيقونة). في صفحة الإعداد، تأكّد من ضبط القيم التالية (يرجى التأكّد من استبدال YOUR_DOMAIN بالقيمة الصحيحة، على سبيل المثال https://openreplay.mycompany.com):

في قسم ‘Attribute Statements’ أو ‘Parameters’، يرجى التأكّد من تعريف الحقول التالية:

ينبغي أن تكون لديك الآن جميع القيم المطلوبة للخطوة/القسم التالي.

إذا كنت تستخدم خطة Cloud dedicated الخاصة بنا، فانتقل إلى وحدة التحكّم، ثم انقر على المثيل واضبط المتغيّرات ضمن قسم SSO.

وإلا، إذا كنت تشغّل Enterprise Edition الخاصة بنا، فشغّل openreplay -e وأزل التعليق ثم حدّث متغيّرات البيئة أدناه في قسم chalice:

ثم احفظ واخرج باستخدام :wq لتدخل التغييرات حيّز التنفيذ:

هذا اختياري، إذ يمكنك إضافة شهادة x509 لمزيد من أمان الدخول الموحّد:

1. شغّل هذا الأمر في خادمك أو في جهازك الآمن (يمكنك تغيير مدة صلاحية شهادتك وفقًا لاحتياجاتك):

openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout openreplay-sso.key -out openreplay-sso.crt

2. في خادمك، شغّل openreplay -e
3. ضمن قسم chalice، أضف متغيّرات البيئة التالية:

• sp_crt: يجب أن يكون سلسلة نصية من سطر واحد، بدون فواصل أسطر، من ملف ‘openreplay-sso.crt’ الذي تم إنشاؤه (يمكنك استخدام هذه الأداة لتنسيق قيمتك)
• sp_key: يجب أن يكون سلسلة نصية من سطر واحد، بدون فواصل أسطر، من ملف ‘openreplay-sso.key’ الذي تم إنشاؤه

4. احفظ واخرج باستخدام :wq لتدخل التغييرات حيّز التنفيذ
5. أضف ملف ‘openreplay-sso.crt’ الذي تم إنشاؤه إلى إعدادات تطبيق مزوّد الهوية الخاص بك

1. سجّل الدخول إلى لوحة إدارة Okta لديك وانتقل إلى ‘Applications’ > ‘Applications’
2. اضغط على ‘Create new app integration’، ثم اختر SAML 2.0 واضغط على ‘Next’
3. اضبط ‘App Name’ على OpenReplay (يمكنك رفع هذه الأيقونة) لتطبيقك) ثم اضغط على ‘Next’
4. اضبط:

• Single sign on URL على YOUR_DOMAIN/api/sso/saml2/acs/
• Audience URI (SP Entity ID) على YOUR_DOMAIN/api/sso/saml2/metadata/
• Name ID format على EmailAddress

5. اضغط على Next، اختر ‘This is an internal app that we have created’ ثم اضغط على ‘Finish’
6. في علامة التبويب Sign On، مرّر للأسفل واضغط على ‘Show legacy configuration’ ثم اضغط على ‘Edit’
7. عرّف الحقول أدناه في ‘Profile Attribute Statements’:

• tenantKey: التنسيق Basic واضبط القيمة على TENANT_KEY، وتوجد في لوحة OpenReplay ضمن ‘Preferences’ > ‘Account’ (يجب عدم إضافة هذه السمة إذا كنت تستخدم خطة Cloud Dedicated الخاصة بنا)
• firstName: التنسيق Basic واضبط القيمة على user.firstName
• lastName: التنسيق Basic واضبط القيمة على user.lastName
• internalId: التنسيق Basic واضبط القيمة على user.email

8. عرّف الحقل أدناه في ‘Group Attribute Statement’ (هذا اختياري):

• groups: التنسيق Basic، المرشّح Match Regex، القيمة OpenReplay-* (أو يمكنك تحديد مرشّح وتعبير نمطي مختلفين وفقًا لاحتياجاتك)

9. اضغط على ‘save’ ومرّر للأعلى إلى اليمين واضغط على ‘View Setup Instructions’ لرؤية إعداد SAML2 الخاص بك

إذا كنت تستخدم خطة Cloud dedicated الخاصة بنا، فانتقل إلى وحدة التحكّم، ثم انقر على المثيل واضبط المتغيّرات ضمن قسم SSO.

وإلا، إذا كنت تشغّل Enterprise Edition الخاصة بنا:

9. اتصل عبر SSH بتثبيت OpenReplay الخاص بك وشغّل openreplay -e
10. ضمن قسم chalice، أزل التعليق ثم اضبط متغيّرات البيئة التالية:

• idp_entityId: Identity Provider Issuer
• idp_sso_url: Identity Provider Single Sign-On URL
• idp_x509cert: X.509 Certificate، يجب أن يكون سلسلة نصية من سطر واحد، بدون فواصل أسطر (يمكنك استخدام هذه الأداة لتنسيق قيمتك)
• idp_name: Okta

11. أخيرًا، احفظ واخرج باستخدام :wq لتدخل التغييرات حيّز التنفيذ

1. سجّل الدخول إلى بوّابة Azure لديك وانتقل إلى ‘Azure Active Directory’
2. اضغط على ’+ Add’، اختر ‘Enterprise application’ ثم انقر على ‘Create your own application’
3. اضبط ‘App Name’ على OpenReplay ثم اختر ‘Integrate any other application you don’t find in the gallery (Non-gallery)’ واضغط على ‘Create’
4. انتقل إلى ‘Single sign-on’ في القائمة الجانبية اليسرى واضبط القيم أدناه في كتلة ‘Basic SAML Configuration’:

• Identifier (Entity ID) على YOUR_DOMAIN/api/sso/saml2/metadata/
• Reply URL (Assertion Consumer Service URL) على YOUR_DOMAIN/api/sso/saml2/acs/
• Logout URL على YOUR_DOMAIN/api/sso/saml2/sls/

5. أضف الـ claims أدناه في كتلة ‘Attribute & Claims’ وتأكّد من ترك حقل ‘Namespace’ فارغًا لكلٍّ منها:

• tenantKey: اضبط القيمة على TENANT_KEY، وتوجد في لوحة OpenReplay ضمن ‘Preferences’ > ‘Account’ (يجب عدم إضافة هذه السمة/الـ claim إذا كنت تستخدم خطة Cloud Dedicated الخاصة بنا)
• firstName: اضبط القيمة على user.givenname
• lastName: اضبط القيمة على user.surname
• internalId: اضبط القيمة على user.mail

6. انتقل إلى ‘Users and groups’ وعيّن المستخدمين المحدّدين للتطبيق

إذا كنت تستخدم خطة Cloud dedicated الخاصة بنا، فانتقل إلى وحدة التحكّم، ثم انقر على المثيل واضبط المتغيّرات ضمن قسم SSO (توجد القيم في ‘Azure Active Directory’ > ‘OpenReplay’ > ‘Single sign-on’).

وإلا، إذا كنت تشغّل Enterprise Edition الخاصة بنا:

7. اتصل عبر SSH بتثبيت OpenReplay الخاص بك وشغّل openreplay -e
8. ضمن قسم chalice، أزل التعليق ثم اضبط متغيّرات البيئة التالية (توجد القيم في ‘Azure Active Directory’ > ‘OpenReplay’ > ‘Single sign-on’):

• idp_entityId: Azure AD Identifier
• idp_sso_url: Login URL
• idp_sls_url: Logout URL
• idp_x509cert: X.509 Certificate، يجب أن يكون سلسلة نصية من سطر واحد، بدون فواصل أسطر (يمكنك استخدام هذه الأداة لتنسيق قيمتك)
• idp_name: Active Directory

9. أخيرًا، احفظ واخرج باستخدام :wq لتدخل التغييرات حيّز التنفيذ

1. في وحدة تحكّم مسؤول Google، انتقل إلى ‘Directory’ > ‘Users’ > ‘More options’ > ‘Manage custom attributes’.
2. انقر على ‘Add Custom Attribute’.
3. اضبط الحقول التالية:

• Category: ‘OpenReplay’
• Custom fields:
• Name: ‘role’
• Info type: ‘Text’
• Visibility: ‘Visible to user and admin’
• No. of values: ‘Single-value’
• Custom fields:
• Name: ‘adminPrivileges’
• Info type: ‘Yes or No’
• Visibility: ‘Visible to user and admin’
• No. of values: ‘Single-value’

4. انقر على ‘Add’
5. لإضافة قيم إلى السمات المخصّصة الجديدة، انتقل إلى ‘Users’
6. اختر المستخدم (المستخدمين) المطلوب
7. انقر على ‘User information’ ثم عدّل قسم ‘OpenReplay’
8. غيّر قيمة role إلى الدور المطلوب في ‘OpenReplay’ (ينبغي أن يطابق الدور ذاك الذي تم إنشاؤه في لوحة OpenReplay ضمن ‘Preferences’ > ‘Roles’)
9. غيّر قيمة adminPrivileges إلى ‘Yes’ إذا كان مسموحًا للمستخدم بامتلاك صلاحيات المسؤول في OpenReplay
10. انقر على ‘Save’

1. سجّل الدخول إلى وحدة تحكّم مسؤول Google لديك وانتقل إلى ‘Apps’
2. اضغط على ‘Web and mobile apps’ ثم انقر على ‘Add app’ > ‘Add custom SAML app’
3. اضبط ‘App name’ على OpenReplay (يمكنك رفع هذه الأيقونة في خانة ‘App icon”) ثم اضغط على ‘Continue’
4. انسخ ‘SSO URL’ و’Entity ID’ و’Certificate’ ثم انقر على ‘Continue’ (سنستخدم هذه القيم في الخطوة 11)
5. اضبط:

• ACS URL على YOUR_DOMAIN/api/sso/saml2/acs/TENANT_KEY/ (TENANT_KEY توجد في لوحة OpenReplay ضمن ‘Preferences’ > ‘Account’، ولكن إذا كنت تستخدم خطة Cloud Dedicated الخاصة بنا، فاترك قيمة tenantKey فارغة)
• Entity ID على YOUR_DOMAIN/api/sso/saml2/metadata/
• Name ID format على Email
• Name ID على Basic information > Primary Email

6. انقر على ‘Continue’ ثم اضغط على ‘Add Mapping’ لإضافة السمات أدناه:

• Basic information > First Name -> firstName
• Basic information > Last Name -> lastName
• Basic information > Primary Email -> internalId
• OpenReplay > groups -> groups

7. انقر على ‘Finish’
8. في وحدة تحكّم مسؤول Google، انتقل إلى ‘Apps’ > ‘Web and mobile apps’ واختر ‘OpenReplay’
9. انقر على ‘User access’، اختر ‘ON for everyone’ ثم اضغط على ‘Save’

إذا كنت تستخدم خطة Cloud dedicated الخاصة بنا، فانتقل إلى وحدة التحكّم، ثم انقر على المثيل واضبط المتغيّرات ضمن قسم SSO.

وإلا، إذا كنت تشغّل Enterprise Edition الخاصة بنا:

10. اتصل عبر SSH بتثبيت OpenReplay الخاص بك وشغّل openreplay -e
11. ضمن قسم chalice > env، أزل التعليق واضبط السمات التالية باستخدام القيم من الخطوة 4:

• idp_sso_url: الصق قيمة ‘SSO URL’
• idp_entityId: الصق قيمة ‘Entity ID’
• idp_x509cert: استخدم هذه الأداة لتنسيق الشهادة المنسوخة/المنزّلة
• idp_name: اضبط القيمة على G-Suite
• idp_tenantKey: TENANT_KEY توجد في لوحة OpenReplay ضمن ‘Preferences’ > ‘Account’

12. أخيرًا، احفظ واخرج باستخدام :wq لتدخل التغييرات حيّز التنفيذ

1. سجّل الدخول إلى لوحة إدارة JumpCloud لديك، وفي القائمة اليسرى، انتقل إلى ‘SSO’
2. اضغط على ’+ Add New Application’، ثم اختر ‘Custom SAML App’
3. اضبط ‘Display Label’ على OpenReplay (يمكنك رفع هذه الأيقونة لتطبيقك) ثم انتقل إلى علامة التبويب ‘SSO’
4. اضبط:

• IdP Entity ID على openreplay/TENANT_KEY (TENANT_KEY توجد في لوحة OpenReplay ضمن ‘Preferences’ > ‘Account’، ولكن إذا كنت تستخدم خطة Cloud Dedicated الخاصة بنا، فاترك قيمة tenantKey فارغة)
• SP Entity ID على YOUR_DOMAIN/api/sso/saml2/metadata/
• ACS URL على YOUR_DOMAIN/api/sso/saml2/acs/
• SAMLSubject NameID على email
• SAMLSubject NameID Format: على urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
• Signature Algorithm على RSA-SHA256
• حدّد Sign Assertion
• IDP URL بحيث ينتهي بـ openreplay-TENANT_KEY (لا يمكن تغيير هذه القيمة لاحقًا، وإذا كنت تستخدم خطة Cloud Dedicated الخاصة بنا، فاترك جزء tenantKey فارغًا)

5. إذا اتبعت تعليمات شهادة OpenReplay، فيمكنك رفع ملف ‘openreplay-sso.crt’ الذي تم إنشاؤه بالضغط على ‘Upload SP Certificate’، وإلا فتجاهل هذه الخطوة
6. عرّف الحقول أدناه في ‘USER ATTRIBUTE MAPPING’ بالضغط على زرّ ‘add attribute’:

• firstName: اضبط القيمة على firstname
• lastName: اضبط القيمة على lastname
• internalId: اضبط القيمة على email
• groups: اختياري، دور المستخدم وصلاحيات المسؤول في OpenReplay، إذا كانت قيمة ثابتة لجميع المستخدمين فينبغي تعريفها في الخطوة التالية، وإلا فعليك إضافة سمة نصية جديدة إلى مجموعة JumpCloud، وتسميتها OpenReplay-groups وضبط القيمة على اسم الدور، ثم في إعداد SSO، اختر ‘Custom User or Group Attribute’ واضبط القيمة على OpenReplay-groups.

7. عرّف الحقول أدناه في ‘CONSTANT ATTRIBUTES’ بالضغط على زرّ ‘add attribute’:

• tenantKey: اضبط القيمة على TENANT_KEY، وتوجد في لوحة OpenReplay ضمن ‘Preferences’ > ‘Account’ (يجب عدم إضافة هذه السمة إذا كنت تستخدم خطة Cloud Dedicated الخاصة بنا)
• groups: اختياري، تجاهله إذا تم تعريفه في الخطوة السابقة، دور المستخدم وصلاحيات المسؤول في OpenReplay، وينبغي أن يطابق اسم الدور المعرّف مسبقًا في OpenReplay (القيمة الافتراضية = member بدون صلاحيات المسؤول)

8. في هذه المرحلة، يمكنك الانتقال إلى علامة التبويب ‘User Groups’، واختيار مجموعة المستخدمين الذين ستتاح لهم الوصول إلى OpenReplay، أو يمكنك القيام بذلك لاحقًا
9. اضغط على ‘activate’ و’continue’ في نافذة التأكيد المنبثقة
10. اضغط على أيقونة تطبيق OpenReplay الجديد، ثم في القائمة المنسدلة اليسرى ‘IDP Certificate Valid’ اختر ‘Download certificate’

إذا كنت تستخدم خطة Cloud dedicated الخاصة بنا، فانتقل إلى وحدة التحكّم، ثم انقر على المثيل واضبط المتغيّرات ضمن قسم SSO.

وإلا، إذا كنت تشغّل Enterprise Edition الخاصة بنا:

11. اتصل عبر SSH بتثبيت OpenReplay الخاص بك وشغّل openreplay -e
12. ضمن قسم chalice، أزل التعليق ثم اضبط متغيّرات البيئة التالية:

• idp_entityId: openreplay/TENANT_KEY
• idp_sso_url: https://sso.jumpcloud.com/saml2/openreplay-TENANT_KEY
• idp_x509cert: الشهادة المنزّلة، يجب أن تكون سلسلة نصية من سطر واحد، بدون فواصل أسطر (يمكنك استخدام هذه الأداة لتنسيق قيمتك)
• idp_name: JumpCloud

13. أخيرًا، احفظ واخرج باستخدام :wq لتدخل التغييرات حيّز التنفيذ

يدعم Openreplay خيار توفير هويّات المستخدمين في Enterprise Edition.

للتكامل مع خدمة SCIM في Openreplay، فعّل ببساطة توفير SCIM في لوحة تحكّم مزوّد الهوية الخاص بك. يرجى التأكّد من ضبط القيم التالية لتكامل سلس:

بعد ضبط هذه القيم، اتبع التوجيهات من لوحة تحكّم مزوّد الهوية الخاص بك لاختبار التكامل والترخيص للتطبيق.

بعد ذلك، ستتمكّن من توفير هويّات المستخدمين باستخدام Openreplay كمزوّد خدمة SCIM.

ملاحظة: رغم أن Openreplay يعمل كمزوّد خدمة SCIM، فإنه لا يدعم تقسيم المستخدمين إلى مجموعات متعدّدة (أي أن كل مستخدم يمكنه الانتماء إلى مجموعة واحدة فقط). إذا لم يُحترم ذلك، فقد يُعيَّن مستخدم لعدد أقل أو أكثر من المشاريع مما هو متوقّع، وقد يمتلك صلاحيات أقل أو أكثر في تطبيق Openreplay.

في تطبيق SAML 2.0 الخاص بك، نفّذ ما يلي

1. انقر على علامة التبويب General
2. في قسم App Settings، انقر على Edit
3. في حقل Provisioning، اختر SCIM، وانقر على Save

1. انقر على علامة التبويب Provisioning. تظهر إعدادات اتصال SCIM ضمن Settings > Integration.
2. في Settings > Integration، انقر على Edit.
3. حدّد الـ SCIM connector base URL واسم حقل المعرّف الفريد لمستخدميك المذكور أعلاه.
4. ضمن Supported provisioning actions، اختر إجراءات التوفير المذكورة أعلاه.
5. اضبط القائمة المنسدلة Authentication Mode على القيمة المذكورة أعلاه.
6. اضبط Access token endpoint وAuthorization endpoint وClient id وClient secret كما هو مذكور أعلاه.
7. انقر على Save.
8. انقر على Authenticate application.
9. في علامة التبويب Provisioning، انقر على To App.
10. انقر على Edit، فعّل Create Users وUpdate User Attributes وDeactivate Users واحفظ التغييرات (تأكّد من أن هذه الخيارات محدّدة بعد الضغط على حفظ، وإلا فأعد تحميل الصفحة وكرّر هذه الخطوة من جديد).

• قبل البدء بالخطوة التالية، نوصي بإنشاء مجموعات جديدة في Okta، باسم OpenReplay-admin تُدرج فيها المستخدمين ذوي صلاحيات المسؤول في OpenReplay، وOpenReplay-members تُدرج فيها المستخدمين الذين لديهم دور member في OpenReplay، …

11. انتقل إلى علامة التبويب Push Groups، انقر على + Push Groups (بالاسم أو بالقاعدة)، اختر المجموعة التي تريد دفعها إلى OpenReplay، واضغط على save

• عند هذه النقطة، تمثّل المجموعات المدفوعة الأدوار وصلاحيات المسؤول في OpenReplay، ولا تحتوي على قائمة المستخدمين الموفَّرين لـ OpenReplay.

12. انتقل إلى علامة التبويب Assignmets، وأضف المستخدمين بالطريقة التي تناسبك (باستخدام الأشخاص أو المجموعات)

هذا أمر شائع جدًّا، ويعود سببه إلى عدم وجود ترويسة ‘X-Forwarded-Proto’ في الطلب. لحلّ ذلك، تأكّد من أن الـ Load Balancer يمرّر الترويسة بشكل صحيح إلى الواجهة الخلفية لـ OpenReplay، وشغّل openreplay -e، ضمن قسم ingress-nginx > config، أزل التعليق عن السطر use-forwarded-headers: true.