الإعداد

قبل إضافة ميزة "تسجيل الدخول باستخدام حساب Google" أو "نقرة واحدة" أو "تسجيل الدخول تلقائيًا" إلى موقعك الإلكتروني على إعداد ضبط OAuth وضبط موقعك الإلكتروني اختياريًا سياسة أمان المحتوى.

الحصول على معرِّف عميل واجهة Google API

لتفعيل ميزة "تسجيل الدخول باستخدام حساب Google" على موقعك الإلكتروني، عليك أولاً إعداد معرِّف عميل واجهة Google API. للقيام بذلك، أكمل الخطوات التالية:

  1. افتح صفحة بيانات الاعتماد في وحدة تحكّم Google APIs.
  2. أنشِئ مشروعًا في Google APIs أو اختَره. إذا كان لديك مشروع لزر "تسجيل الدخول باستخدام حساب Google" أو ميزة "Google One Tap"، استخدِم المشروع الحالي ومعرّف عميل الويب. عند إنشاء تطبيقات الإنتاج، قد يكون هناك عدة مشاريع ضرورية، وكرِّر الخطوات المتبقية هذا القسم لكل مشروع تديره.
  3. انقر على إنشاء بيانات اعتماد > معرِّف عميل OAuth ونوع التطبيق اختَر تطبيق الويب لإنشاء معرِّف عميل جديد. لاستخدام صورة معرِّف العميل نوعًا ما من نوع تطبيق الويب.

  4. أضِف معرِّف الموارد المنتظم (URI) الخاص بموقعك الإلكتروني إلى مصادر JavaScript المعتمَدة. يتضمّن عنوان URL المخطّط واسم المضيف المؤهَّل بالكامل فقط. على سبيل المثال: https://www.example.com

  5. يمكنك، إذا أردت، عرض بيانات الاعتماد باستخدام عملية إعادة توجيه إلى نقطة نهاية بدلاً من استخدام استدعاء JavaScript. في هذه الحالة، أضِف معرّفات الموارد المنتظمة (URI) لإعادة التوجيه إلى معرّفات الموارد المنتظمة (URI) المعتمَدة لإعادة التوجيه. تتضمّن معرّفات الموارد المنتظمة لإعادة التوجيه المخطّط واسم المضيف المؤهّل بالكامل والمسار، ويجب أن تكون متوافقة مع قواعد التحقّق من معرّفات الموارد المنتظمة لإعادة التوجيه. على سبيل المثال، https://www.example.com/auth-receiver.

تتضمّن المصادقة "تسجيل الدخول باستخدام حساب Google" و"نقرة واحدة" شاشة لطلب الموافقة. والذي يخبر المستخدمين بالتطبيق الذي يطلب الوصول إلى بياناتهم، ونوع والبيانات التي يطلبون الحصول عليها والبنود التي تنطبق.

  1. افتح صفحة شاشة موافقة OAuth في واجهات برمجة التطبيقات قسم "الخدمات" في Google Developer Console.
  2. اختَر المشروع الذي أنشأته للتو إذا طُلب منك ذلك.

  3. في صفحة "شاشة طلب الموافقة المتعلّقة ببروتوكول OAuth"، املأ النموذج وانقر على الزر "حفظ".

    1. اسم التطبيق: اسم التطبيق الذي يطلب الموافقة. يجب أن يعبر الاسم عن طلبك بدقة وأن يكون متسقًا. باسم التطبيق الذي يراه المستخدمون في مكان آخر.

    2. شعار التطبيق: تظهر هذه الصورة على شاشة الموافقة للمساعدة في من المستخدمين للتعرُّف على تطبيقك. يظهر الشعار في ميزة "تسجيل الدخول باستخدام حساب Google" وشاشة طلب الموافقة وضمن إعدادات الحساب، ولكن لا يظهر في مربّع حوار "نقرة واحدة".

    3. عنوان البريد الإلكتروني لفريق الدعم: يظهر على شاشة الموافقة لفريق دعم المستخدمين ولمشرفي G Suite الذين يقيّمون إمكانية وصول المستخدمين إلى تطبيقك. يظهر عنوان البريد الإلكتروني هذا للمستخدمين على شاشة الموافقة على "تسجيل الدخول باستخدام حساب Google" عندما ينقر المستخدم على اسم التطبيق.

    4. نطاقات Google APIs:تسمح النطاقات لتطبيقك بالوصول إلى وبيانات المستخدم الخاصة. بالنسبة إلى المصادقة، يكون النطاق التلقائي (البريد الإلكتروني والملف الشخصي وopenid) كافيًا، ولا تحتاج إلى إضافة أي نطاق حساس. من أفضل الممارسات بشكل عام طلب النطاقات بشكل تدريجي، في وقت الحاجة إلى الوصول، بدلاً من طلبها مسبقًا. مزيد من المعلومات

    5. النطاقات المسموح بها: لحمايتك وحماية المستخدمين، لا تستخدم Google سوى يسمح هذا الإذن للتطبيقات التي تتم مصادقتها باستخدام بروتوكول OAuth باستخدام التفويض. النطاقات. يجب أن تكون روابط تطبيقاتك مستضافة على نطاقات معتمَدة. مزيد من المعلومات

    6. رابط الصفحة الرئيسية للتطبيق: يظهر على شاشة طلب الموافقة على ميزة "تسجيل الدخول باستخدام حساب Google" ومعلومات إخلاء المسؤولية المتوافقة مع "اللائحة العامّة لحماية البيانات" (GDPR) في ميزة "تسجيل الدخول بنقرة واحدة" تحت الزر "متابعة باستخدام". يجب أن تتم استضافته على نطاق معتمد.

    7. رابط سياسة خصوصية التطبيق: يظهر على شاشة طلب الموافقة على ميزة "تسجيل الدخول باستخدام حساب Google"، وعلى معلومات بيان إخلاء المسؤولية المتوافق مع "اللائحة العامّة لحماية البيانات" (GDPR) في ميزة "تسجيل الدخول بنقرة واحدة" تحت الزر "متابعة باسم". يجب أن تكون مستضافة على نطاق مفوَّض.

    8. رابط بنود خدمة التطبيق (اختياري): يظهر على شاشة طلب الموافقة على ميزة "تسجيل الدخول باستخدام حساب Google" ومعلومات إخلاء المسؤولية المتوافقة مع "اللائحة العامّة لحماية البيانات" (GDPR) في ميزة "تسجيل الدخول بنقرة واحدة" تحت الزر "متابعة باسم". يجب أن تكون مستضافة على نطاق مفوَّض.

  4. راجِع "حالة إثبات الملكية". إذا كان طلبك بحاجة إلى إثبات الملكية، انقر على الزر "إرسال الطلب لإثبات الملكية" لإرسال طلبك لإثبات الملكية. يُرجى الرجوع إلى متطلبات إثبات الهوية باستخدام بروتوكول OAuth لمعرفة التفاصيل.

عرض إعدادات OAuth أثناء تسجيل الدخول

النقرة الواحدة باستخدام FedCM

إعدادات موافقة OAuth على النحو الذي يعرضه Chrome One Tap باستخدام FedCM

يتم عرض النطاق المفوَّض من المستوى الأعلى أثناء موافقة المستخدم في Chrome.

ميزة "نقرة واحدة" بدون FedCM

إعدادات موافقة OAuth على النحو الذي تعرضه ميزة "نقرة واحدة"

يتم عرض اسم التطبيق أثناء موافقة المستخدم.

الشكل 1: إعدادات موافقة OAuth التي تعرضها ميزة "نقرة واحدة" في Chrome.

سياسة أمان المحتوى

سياسة أمان المحتوى اختيارية يُنصح باستخدامه لتأمين تطبيقك ومنع استخدام البرمجة النصية على المواقع الإلكترونية (XSS) الهجمات. لمزيد من المعلومات، يُرجى الاطّلاع على مقدّمة عن سياسة أمان المحتوى (CSP) وCSP وXSS.

قد تتضمّن سياسة أمان المحتوى توجيهًا واحدًا أو أكثر، مثل connect-src أو frame-src أو script-src أو style-src أو default-src.

إذا كان مقدّم خدمة إدارة المحتوى (CSP) يتضمّن ما يلي:

  • توجيه connect-src، أضِف https://accounts.google.com/gsi/ للسماح لصفحة بتحميل عنوان URL الرئيسي لنقاط نهاية Google Identity Services من جهة الخادم.
  • frame-src، أضِف https://accounts.google.com/gsi/ للسماح بالملفان الشقيقان لعنوان URL الرئيسي لإطارَي iframe لزرَّي One Tap و"تسجيل الدخول باستخدام حساب Google".
  • التوجيه script-src، يُرجى إضافة https://accounts.google.com/gsi/client إلى السماح بعنوان URL لمكتبة JavaScript في "خدمات هوية Google".
  • التوجيه style-src، يجب إضافة https://accounts.google.com/gsi/style للسماح عنوان URL لأوراق أنماط خدمات هوية Google.
  • default-src، في حال استخدامه، يجب تضمين عنصر احتياطي في حال استخدام الأوامر السابقة (connect-src أو frame-src أو script-src أو لم يتم تحديد style-src)، أضف https://accounts.google.com/gsi/ إلى السماح لصفحة بتحميل عنوان URL الرئيسي لـ "خدمات هوية Google" من جهة الخادم والنقاط النهائية.

تجنَّب إدراج عناوين URL فردية لنظام المعلومات الجغرافية عند استخدام connect-src. يساعد هذا في تقليل حالات الفشل عند تحديث نظام المعلومات الجغرافية (GIS). على سبيل المثال، بدلاً من إضافة https://accounts.google.com/gsi/status، استخدِم عنوان URL الرئيسي لنظام المعلومات الجغرافية https://accounts.google.com/gsi/.

يتيح مثال عنوان الاستجابة هذا لخدمات Google Identity Services التحميل والتنفيذ بنجاح:

Content-Security-Policy-Report-Only: script-src
https://accounts.google.com/gsi/client; frame-src
https://accounts.google.com/gsi/; connect-src https://accounts.google.com/gsi/;

السياسة المحدّدة لفتح المستندات المشتركة المصدر

قد يتطلب الزر "تسجيل الدخول باستخدام حساب Google" وميزة "نقرة واحدة" إجراء تغييرات على Cross-Origin-Opener-Policy (COOP) بالترتيب لإنشاء نوافذ منبثقة بنجاح.

عند تفعيل FedCM، يعرض المتصفّح النوافذ المنبثقة مباشرةً ولا يلزم إجراء أي تغييرات.

ومع ذلك، عند إيقاف FedCM، اضبط عنوان COOP:

  • إلى same-origin و
  • تضمين same-origin-allow-popups.

يؤدي عدم تعيين العنوان المناسب إلى انقطاع الاتصال بين النوافذ، مما يؤدي إلى إلى نافذة منبثقة فارغة أو أخطاء مماثلة.