SSO সম্পর্কে

যখন SSO সেট আপ করা থাকে, তখন ব্যবহারকারীরা তাদের থার্ড-পার্টি IdP-তে সাইন ইন করে অতিরিক্ত যাচাইকরণ ছাড়াই গুগল অ্যাপ অ্যাক্সেস করতে পারেন, তবে নিম্নলিখিত ব্যতিক্রমগুলো রয়েছে:

• এমনকি যদি তারা ইতিমধ্যেই তাদের IdP-তে সাইন ইন করে থাকেন, তবুও অতিরিক্ত নিরাপত্তা ব্যবস্থা হিসেবে Google মাঝে মাঝে তাদের পরিচয় যাচাই করতে বলবে। আরও তথ্যের জন্য (এবং প্রয়োজনে এই যাচাইকরণটি কীভাবে নিষ্ক্রিয় করা যায় তার বিশদ বিবরণের জন্য), 'Understanding SAML secure sign-in' দেখুন।
• যারা গুগল পরিষেবা ব্যবহার করেন, তাদের জন্য আপনি অতিরিক্ত দ্বি-পদক্ষেপ যাচাইকরণ সেট আপ করতে পারেন। SSO চালু থাকলে সাধারণত দ্বি-পদক্ষেপ যাচাইকরণ এড়িয়ে যাওয়া হয়। আরও তথ্যের জন্য, ‘Enable challenges with SSO’-তে যান।

চিত্র ১-এ সেই প্রক্রিয়াটি দেখানো হয়েছে, যার মাধ্যমে একজন ব্যবহারকারী একটি পার্টনার-পরিচালিত SAML-ভিত্তিক SSO পরিষেবার মাধ্যমে Gmail-এর মতো কোনো Google অ্যাপ্লিকেশনে সাইন ইন করেন। চিত্রটির পরে থাকা সংখ্যাযুক্ত তালিকাটিতে প্রতিটি ধাপের বিস্তারিত বিবরণ দেওয়া হয়েছে।

গুরুত্বপূর্ণ: এই প্রক্রিয়াটি শুরু হওয়ার আগে, পার্টনারকে অবশ্যই গুগলকে তার SSO সার্ভিসের URL এবং সেই পাবলিক কী প্রদান করতে হবে, যা গুগল SAML রেসপন্স যাচাই করার জন্য ব্যবহার করবে।

চিত্র ১: এখানে একটি SAML-ভিত্তিক SSO পরিষেবা ব্যবহার করে গুগলে সাইন ইন করার প্রক্রিয়া দেখানো হয়েছে।

এই চিত্রটিতে নিম্নলিখিত ধাপগুলো দেখানো হয়েছে।

1. ব্যবহারকারী জিমেইল, গুগল ক্যালেন্ডার বা অন্য কোনো গুগল পরিষেবার মতো একটি হোস্টেড গুগল অ্যাপ্লিকেশনে পৌঁছানোর চেষ্টা করছেন।
2. গুগল একটি SAML অথেনটিকেশন রিকোয়েস্ট তৈরি করে, যা এনকোড করে পার্টনারের SSO সার্ভিসের URL-এ এমবেড করা হয়। ব্যবহারকারী যে গুগল অ্যাপ্লিকেশনে পৌঁছানোর চেষ্টা করছেন, তার এনকোড করা URL সম্বলিত RelayState প্যারামিটারটিও SSO URL-এ এমবেড করা থাকে। এই RelayState প্যারামিটারটি একটি অস্বচ্ছ আইডেন্টিফায়ার, যা কোনো রকম পরিবর্তন বা যাচাই ছাড়াই ফেরত পাঠানো হয়।
3. গুগল ব্যবহারকারীর ব্রাউজারে একটি রিডাইরেক্ট পাঠায়। এই রিডাইরেক্ট ইউআরএল-এ এনকোডেড SAML অথেনটিকেশন রিকোয়েস্টটি অন্তর্ভুক্ত থাকে, যা পার্টনারের SSO সার্ভিসে জমা দিতে হয়।
4. ব্রাউজারটি SSO URL-এ রিডাইরেক্ট করে।
5. পার্টনারটি SAML রিকোয়েস্টটি ডিকোড করে গুগলের ACS (অ্যাসারশন কনজিউমার সার্ভিস) এবং ব্যবহারকারীর গন্তব্য URL (রিলেস্টেট প্যারামিটার) উভয়ের জন্য URL-টি এক্সট্র্যাক্ট করে।
6. এরপর পার্টনার ব্যবহারকারীকে প্রমাণীকরণ করে। পার্টনাররা বৈধ লগইন ক্রেডেনশিয়াল চেয়ে অথবা বৈধ সেশন কুকি যাচাই করে ব্যবহারকারীদের প্রমাণীকরণ করতে পারে।
7. পার্টনার একটি SAML রেসপন্স তৈরি করে, যাতে প্রমাণীকৃত ব্যবহারকারীর ইউজারনেম থাকে। SAML v2.0 স্পেসিফিকেশন অনুসারে, এই রেসপন্সটি পার্টনারের পাবলিক ও প্রাইভেট DSA/RSA কী ব্যবহার করে ডিজিটালভাবে স্বাক্ষরিত হয়।
8. পার্টনার SAML রেসপন্স এবং RelayState প্যারামিটারকে এনকোড করে এবং সেই তথ্য ব্যবহারকারীর ব্রাউজারে ফেরত পাঠায়। পার্টনার এমন একটি ব্যবস্থা প্রদান করে, যার মাধ্যমে ব্রাউজার সেই তথ্য গুগলের ACS-এ ফরোয়ার্ড করতে পারে। উদাহরণস্বরূপ, পার্টনার একটি ফর্মে SAML রেসপন্স এবং ডেস্টিনেশন URL এমবেড করতে পারে এবং একটি বাটন দিতে পারে, যেটিতে ক্লিক করে ব্যবহারকারী ফর্মটি গুগলে সাবমিট করতে পারবে। পার্টনার পেজটিতে জাভাস্ক্রিপ্টও অন্তর্ভুক্ত করতে পারে, যা ফর্মটি গুগলে সাবমিট করে।
9. ব্রাউজারটি ACS URL-এ একটি প্রতিক্রিয়া পাঠায়। গুগলের ACS পার্টনারের পাবলিক কী ব্যবহার করে SAML প্রতিক্রিয়াটি যাচাই করে। প্রতিক্রিয়াটি সফলভাবে যাচাই করা হলে, ACS ব্যবহারকারীকে গন্তব্য URL-এ রিডাইরেক্ট করে।
10. ব্যবহারকারী গুগল অ্যাপে সাইন ইন করেছেন।