تتولّى خدمة حسابات Google المتاحة خارجيًا بشكلٍ تلقائي عملية المصادقة لحسابات Google. عندما ينتقل مستخدم لم تتم مصادقته إلى صفحة Google تتطلّب المصادقة، يطلب نموذج تسجيل الدخول في Google من المستخدم إدخال عنوان بريده الإلكتروني وكلمة المرور. بعد أن يرسل المستخدم عنوان بريده الإلكتروني وكلمة المرور، تتحقّق مصادقة Google من صحة بيانات الاعتماد التي تم إدخالها. إذا كانت بيانات الاعتماد صحيحة، تضبط مصادقة Google ملفات تعريف الارتباط الخاصة بتسجيل دخول المستخدم.
تستخدم بعض المؤسسات نموذجًا أكثر تطورًا تتولّى فيه جهة خارجية توفير الهوية (IdP) عملية المصادقة. تتيح مصادقة Google هذا النموذج من خلال بروتوكول لغة ترميز تأكيد الأمان (SAML) المتوافق مع المعايير المتّبعة في المجال. يمكن للمشرف ضبط نطاق لاستخدام مصادقة SAML.
الحصول على كلمة مرور المستخدم
يحتاج ChromeOS إلى تحديد كلمة مرور المستخدم التي تم إدخالها أثناء تسجيل الدخول من أجل:
- تشفير بيانات المستخدم المخزّنة على محرك الأقراص
- حماية شاشة القفل
- تفعيل ميزة تسجيل الدخول بلا إنترنت عندما لا يكون هناك إمكانية الوصول إلى الشبكة
عند استخدام SAML، لا يتم إدخال كلمة المرور مباشرةً في مربّع حوار نظام ChromeOS، ولكن داخل طريقة عرض الويب التي يستضيفها موفّر الهوية. على الرغم من أنّ ChromeOS يمكنه الوصول إلى HTML، ليس هناك طريقة بسيطة ومحدّدة للحصول على كلمة المرور لأنّه من غير الواضح حقول النموذج التي تحتوي على البيانات.
هناك طريقتان للحصول على كلمة مرور المستخدم عند استخدام SAML: واجهة برمجة التطبيقات Credentials Passing API واستخراج كلمات المرور.
Chrome Credentials Passing API
توفّر Google واجهة برمجة تطبيقات لتمرير بيانات الاعتماد يمكن لموفّري الهوية تنفيذها على صفحات SAML، في JavaScript، لتمرير البيانات المطلوبة إلى ChromeOS. تستخدم مصادقة Google واجهة برمجة التطبيقات هذه، ولكن يمكن لأي موفِّر هوية SAML استخدامها أيضًا.
استخراج كلمات المرور
قد يستخدم موفِّر هوية SAML ميزة استخراج كلمات المرور عندما لا يتيح استخدام واجهة برمجة التطبيقات الخاصة بتمرير بيانات الاعتماد.
في هذه الطريقة:
- تحقن شاشة المصادقة برنامجًا نصيًا للمحتوى في طريقة عرض الويب التي تستضيف عملية تسجيل الدخول.
- يحدّد البرنامج النصي للمحتوى حقول إدخال HTML من نوع كلمة المرور وينسخ محتواها إلى مصفوفة. يتم تعديل المصفوفة كلما تغيّر محتوى حقل كلمة المرور.
- يتم إرسال كلمات المرور التي تم جمعها إلى صفحة في الخلفية لتجميعها. بهذه الطريقة، يمكن تسجيل كلمة المرور حتى إذا كان مسار تسجيل الدخول يتضمّن عمليات إعادة توجيه متعدّدة إلى صفحات HTML مختلفة.
في نهاية عملية تسجيل الدخول، يتم استرداد مصفوفة كلمات المرور التي تم جمعها من صفحة الخلفية. هناك ثلاث حالات محتملة: لم يتم استخراج أي كلمة مرور، أو تم استخراج كلمة مرور واحدة فقط، أو تم استخراج أكثر من كلمة مرور واحدة.
لم يتم استخراج أي كلمات مرور
يتعذّر على البرنامج النصي للمحتوى العثور على كلمة المرور في صفحات HTML التي يعرضها موفّر الهوية. قد لا يستخدم موفّر الهوية كلمات المرور التقليدية.
في هذه الحالة، سيطلب ChromeOS من المستخدم اختيار كلمة مرور يدوية للجهاز. إذا لم تكن كلمة المرور متوفّرة (مثل المصادقة باستخدام البطاقات الذكية أو تقنية الاتصال قريب المدى أو القياسات الحيوية)، قد تتم عملية المصادقة في ChromeOS بدون كلمة المرور.
تمت سرقة كلمة مرور واحدة بالضبط
تحدّد "برنامج نصي للمحتوى" كلمة مرور واحدة فقط. من المرجّح أنّها كلمة مرور المستخدِم المستخدَمة للمصادقة.
في هذا السيناريو، من المرجّح أنّنا جمعنا كلمة مرور المستخدم بشكل صحيح. سيستخدم نظام التشغيل ChromeOS كلمة المرور التي تم استخراجها ككلمة مرور المستخدم لمتابعة عملية المصادقة.
تم استخراج أكثر من كلمة مرور واحدة
تعثر "برنامج نص المحتوى" على كلمات مرور متعددة. قد يحدث ذلك في ظروف مثل أن يطلب موفّر خدمات تحديد الهوية من المستخدم إدخال كلمة مرور دائمة وكلمة مرور صالحة لمرة واحدة في نموذج تسجيل الدخول.
في هذا السيناريو، من المحتمل أنّنا جمعنا كلمة المرور الفعلية للمستخدم وبعض حقول كلمات المرور الإضافية التي لا تهمّ ChromeOS. لتحديد كلمة المرور الصحيحة، سيطلب ChromeOS من المستخدم إدخال كلمة المرور مرة أخرى في طلب إضافي لكلمة المرور.
إذا كانت كلمة المرور التي تم إدخالها تطابق إحدى كلمات المرور التي تم جمعها، يعني ذلك أنّه تم التعرّف على كلمة المرور الفعلية للمستخدم وستستمر عملية المصادقة. وفي حال عدم العثور على تطابق، سيُطلب من المستخدم إدخال كلمة المرور مرة أخرى. بعد عدم تطابق الرمزين مرتين، يتعذّر تسجيل الدخول وتظهر رسالة خطأ.
تسجيل المؤسسة
بالنسبة إلى التسجيل في Enterprise، يجب توفير عنوان البريد الإلكتروني للمستخدم الذي يسجّل الجهاز لربطه بالنطاق الصحيح. يتم إرسال الرسالة الإلكترونية من خادم "إدارة الأجهزة" (DM) إلى Chrome في حقل اسم المستخدم لرسالة PolicyData أثناء استرداد سياسة الجهاز. ليس من الضروري تحديد كلمة مرور المستخدم.