एसएसओ के बारे में जानकारी

एसएसओ (SSO) सेट अप करने के बाद, तीसरे पक्ष के आईडीपी (IdP) में साइन इन करने वाले उपयोगकर्ता, Google के ऐप्लिकेशन को बिना किसी अन्य तरीके से पुष्टि किए ऐक्सेस कर सकते हैं. हालांकि, इन मामलों में ऐसा नहीं होता:

• अगर उन्होंने पहले ही अपने आईडीपी (IdP) में साइन इन किया है, तब भी सुरक्षा के लिए, Google कभी-कभी उनसे अपनी पहचान की पुष्टि करने के लिए कहेगा. ज़्यादा जानकारी के लिए (और ज़रूरत पड़ने पर, पुष्टि करने की इस सुविधा को बंद करने के तरीके के बारे में जानने के लिए), एसएएमएल के ज़रिए सुरक्षित तरीके से साइन इन करने की सुविधा को समझना पर जाएं.
• Google की सेवाओं को ऐक्सेस करने वाले उपयोगकर्ताओं के लिए, दो चरणों में पुष्टि करने की सुविधा सेट अप की जा सकती है. एसएसओ (SSO) चालू होने पर, आम तौर पर दो चरणों में पुष्टि करने की सुविधा काम नहीं करती. ज़्यादा जानकारी के लिए, एसएसओ (SSO) के साथ चुनौती की सुविधा चालू करना पर जाएं.

पहली इमेज में, उस प्रोसेस के बारे में बताया गया है जिससे कोई उपयोगकर्ता, Google के किसी ऐप्लिकेशन (जैसे, Gmail) में साइन इन करता है. इसके लिए, पार्टनर की ओर से मैनेज की जाने वाली, एसएएमएल आधारित एसएसओ (SSO) सेवा का इस्तेमाल किया जाता है. इमेज के बाद दी गई नंबर वाली सूची में, हर चरण के बारे में जानकारी दी गई है.

अहम जानकारी: इस प्रोसेस के शुरू होने से पहले, पार्टनर को Google को अपनी एसएसओ (SSO) सेवा का यूआरएल देना होगा. साथ ही, उसे सार्वजनिक कुंजी भी देनी होगी, जिसका इस्तेमाल Google को एसएएमएल के जवाबों की पुष्टि करने के लिए करना चाहिए.

पहली इमेज: इसमें, एसएएमएल आधारित एसएसओ (SSO) सेवा का इस्तेमाल करके, Google में साइन इन करने की प्रोसेस दिखाई गई है.

इस इमेज में, ये चरण दिखाए गए हैं.

1. उपयोगकर्ता, होस्ट किए गए Google के किसी ऐप्लिकेशन (जैसे, Gmail, Google Calendar या Google की किसी अन्य सेवा) को ऐक्सेस करने की कोशिश करता है.
2. Google, एसएएमएल से पुष्टि करने का अनुरोध जनरेट करता है. इसे कोड में बदला जाता है और पार्टनर की एसएसओ (SSO) सेवा के यूआरएल में एम्बेड किया जाता है. एसएसओ (SSO) के यूआरएल में, RelayState पैरामीटर भी एम्बेड किया जाता है. इसमें, Google के उस ऐप्लिकेशन का कोड में बदला गया यूआरएल होता है जिसे उपयोगकर्ता ऐक्सेस करने की कोशिश कर रहा है. RelayState पैरामीटर, एक ऐसा ओपेक आइडेंटिफ़ायर है जिसे बिना किसी बदलाव या जांच के वापस पास किया जाता है.
3. Google, उपयोगकर्ता के ब्राउज़र पर रीडायरेक्ट भेजता है. रीडायरेक्ट यूआरएल में, एसएएमएल से पुष्टि करने का कोड में बदला गया अनुरोध शामिल होता है. इसे पार्टनर की एसएसओ (SSO) सेवा को सबमिट किया जाना चाहिए.
4. ब्राउज़र, एसएसओ (SSO) के यूआरएल पर रीडायरेक्ट होता है.
5. पार्टनर, एसएएमएल के अनुरोध को डिकोड करता है. साथ ही, Google की ACS (Assertion Consumer Service) और उपयोगकर्ता के डेस्टिनेशन यूआरएल (RelayState पैरामीटर), दोनों के लिए यूआरएल निकालता है.
6. इसके बाद, पार्टनर उपयोगकर्ता की पुष्टि करता है. पार्टनर, उपयोगकर्ताओं की पुष्टि करने के लिए, मान्य लॉगिन क्रेडेंशियल मांग सकते हैं या मान्य सेशन कुकी की जांच कर सकते हैं.
7. पार्टनर, एसएएमएल का एक जवाब जनरेट करता है. इसमें, पुष्टि किए गए उपयोगकर्ता का उपयोगकर्ता नाम शामिल होता है. एसएएमएल v2.0 की खास जानकारी के मुताबिक, इस जवाब पर पार्टनर की सार्वजनिक और निजी DSA/RSA कुंजियों से डिजिटल हस्ताक्षर किए जाते हैं.
8. पार्टनर, एसएएमएल के जवाब और RelayState पैरामीटर को कोड में बदलता है. इसके बाद, वह जानकारी उपयोगकर्ता के ब्राउज़र को वापस भेजता है. पार्टनर, एक ऐसा तरीका उपलब्ध कराता है जिससे ब्राउज़र, उस जानकारी को Google की ACS को फ़ॉरवर्ड कर सके. उदाहरण के लिए, पार्टनर किसी फ़ॉर्म में एसएएमएल के जवाब और डेस्टिनेशन यूआरएल को एम्बेड कर सकता है. साथ ही, एक बटन उपलब्ध करा सकता है, जिस पर क्लिक करके उपयोगकर्ता, Google को फ़ॉर्म सबमिट कर सकता है. पार्टनर, पेज पर JavaScript भी शामिल कर सकता है, जो Google को फ़ॉर्म सबमिट करती है.
9. ब्राउज़र, ACS के यूआरएल पर एक जवाब भेजता है. Google की ACS, पार्टनर की सार्वजनिक कुंजी का इस्तेमाल करके, एसएएमएल के जवाब की पुष्टि करती है. अगर जवाब की पुष्टि हो जाती है, तो ACS, उपयोगकर्ता को डेस्टिनेशन यूआरएल पर रीडायरेक्ट करती है.
10. उपयोगकर्ता, Google के ऐप्लिकेशन में साइन इन हो जाता है.