লিগ্যাসি SSO থেকে SSO প্রোফাইলে স্থানান্তরিত হচ্ছে

আপনার আইডেন্টিটি প্রোভাইডারের জন্য গুগলকে রিলায়িং পার্টি হিসেবে রেখে সিঙ্গেল সাইন-অন (SSO) সেট আপ করার দুটি উপায় গুগল ওয়ার্কস্পেসে রয়েছে:

  • লেগ্যাসি এসএসও প্রোফাইল — এর মাধ্যমে আপনি আপনার প্রতিষ্ঠানের জন্য শুধুমাত্র একটি IdP কনফিগার করতে পারবেন।
  • SSO প্রোফাইল — SSO সেট আপ করার জন্য এটি নতুন এবং প্রস্তাবিত পদ্ধতি। এর মাধ্যমে আপনি আপনার প্রতিষ্ঠানের বিভিন্ন ব্যবহারকারীর জন্য ভিন্ন ভিন্ন SSO সেটিংস প্রয়োগ করতে পারবেন, এটি SAML এবং OIDC উভয়কেই সমর্থন করে, এর APIগুলো আরও আধুনিক, এবং নতুন ফিচারের জন্য এটিই হবে গুগলের প্রধান লক্ষ্য।

এই সুবিধাগুলো গ্রহণ করার জন্য আমরা সকল গ্রাহককে SSO প্রোফাইলে স্থানান্তরিত হওয়ার পরামর্শ দিই। SSO প্রোফাইলগুলো আপনার প্রতিষ্ঠানের SSO প্রোফাইলের সাথে সহাবস্থান করতে পারে, ফলে আপনি আপনার পুরো প্রতিষ্ঠানকে স্থানান্তরিত করার আগে নতুন SSO প্রোফাইলগুলো পরীক্ষা করে নিতে পারেন।

স্থানান্তর প্রক্রিয়ার সংক্ষিপ্ত বিবরণ

  1. অ্যাডমিন কনসোলে, আপনার IdP-এর জন্য একটি SSO প্রোফাইল তৈরি করুন এবং নতুন প্রোফাইলটি আপনার IdP-তে রেজিস্টার করুন।
  2. নতুন প্রোফাইলটি ঠিকমতো কাজ করছে কিনা তা নিশ্চিত করার জন্য পরীক্ষামূলক ব্যবহারকারীদের এটি ব্যবহার করতে দিন।
  3. আপনার শীর্ষ সাংগঠনিক ইউনিটকে নতুন প্রোফাইলটিতে নিযুক্ত করুন।
  4. নতুন প্রোফাইল ব্যবহার করার জন্য ডোমেইন-নির্দিষ্ট ইউআরএলগুলো আপডেট করুন।
  5. পরিষ্করণ: আপনার পুরানো পরিষেবা প্রদানকারীকে অনিবন্ধিত করুন, এবং যাচাই করুন যে স্বয়ংক্রিয় ব্যবহারকারী ব্যবস্থা এখনও কাজ করছে।

ধাপ ১: একটি SSO প্রোফাইল তৈরি করুন

  1. একটি নতুন SAML SSO প্রোফাইল তৈরি করতে এই ধাপগুলো অনুসরণ করুন। আপনার নতুন প্রোফাইলটিতে আপনার প্রতিষ্ঠানের বিদ্যমান SSO প্রোফাইলের মতোই একই IdP ব্যবহার করা উচিত।

  2. নতুন সার্ভিস প্রোভাইডার হিসেবে আপনার IdP-এর কাছে নতুন SSO প্রোফাইলটি রেজিস্টার করুন।

    আপনার IdP নতুন প্রোফাইলটিকে একটি স্বতন্ত্র পরিষেবা প্রদানকারী (Service Provider) হিসেবে দেখবে (এটি এগুলিকে "অ্যাপস" বা "রিলায়িং পার্টিস" বলতে পারে)। আপনি কীভাবে নতুন পরিষেবা প্রদানকারীকে নিবন্ধন করবেন তা আপনার IdP ভেদে ভিন্ন হতে পারে, তবে এর জন্য সাধারণত নতুন প্রোফাইলটির এনটিটি আইডি (Entity ID) এবং অ্যাসারশন কনজিউমার সার্ভিস (ACS) ইউআরএল (URL) কনফিগার করতে হয়।

এপিআই ব্যবহারকারীদের জন্য নোট

  • আপনি যদি আপনার প্রতিষ্ঠানের জন্য SSO প্রোফাইল ব্যবহার করেন, তাহলে SSO সেটিংস পরিচালনা করার জন্য আপনি শুধুমাত্র Google Workspace Admin Settings API ব্যবহার করতে পারবেন।
  • ক্লাউড আইডেন্টিটি এপিআই, ইনবাউন্ডস্যামলএসএসওপ্রোফাইলস (inboundSamlSsoProfiles) হিসেবে এসএসও প্রোফাইলগুলো পরিচালনা করতে পারে এবং ইনবাউন্ডএসএসওঅ্যাসাইনমেন্টস (inboundSsoAssignments) ব্যবহার করে সেগুলোকে গ্রুপ বা সাংগঠনিক ইউনিটে বরাদ্দ করতে পারে।

SSO প্রোফাইল এবং লিগ্যাসি SSO প্রোফাইলের মধ্যে পার্থক্য

সুপার অ্যাডমিনের দাবি

SSO প্রোফাইল সুপারঅ্যাডমিনদের সম্পর্কে অ্যাসারশন গ্রহণ করে না। আপনার প্রতিষ্ঠানের জন্য SSO প্রোফাইল ব্যবহার করার সময় অ্যাসারশন গৃহীত হয়, কিন্তু সুপারঅ্যাডমিনদের IdP-তে রিডাইরেক্ট করা হয় না। উদাহরণস্বরূপ, নিম্নলিখিত অ্যাসারশনগুলো গৃহীত হবে:

  • ব্যবহারকারী আপনার IdP থেকে একটি অ্যাপ-লঞ্চার লিঙ্ক অনুসরণ করে (IdP-প্রবর্তিত SAML)।
  • ব্যবহারকারী একটি ডোমেন-নির্দিষ্ট পরিষেবা ইউআরএল-এ যান (উদাহরণস্বরূপ, https://drive.google.com/a/ your_domain.com )
  • ব্যবহারকারী আপনার IdP-তে সরাসরি নেভিগেট করার জন্য কনফিগার করা একটি ক্রোমবুকে সাইন ইন করেন। আরও জানুন

পোস্ট-এসএসও যাচাইকরণ সেটিংস

এসএসও-পরবর্তী যাচাইকরণ (যেমন লগইন চ্যালেঞ্জ বা ২-ধাপ যাচাইকরণ) নিয়ন্ত্রণকারী সেটিংসগুলো এসএসও প্রোফাইলের জন্য এবং আপনার প্রতিষ্ঠানের এসএসও প্রোফাইলের জন্য ভিন্ন হয়ে থাকে। বিভ্রান্তি এড়াতে, আমরা উভয় সেটিংস একই মানে সেট করার পরামর্শ দিই। আরও জানুন

ধাপ ২: পরীক্ষামূলক ব্যবহারকারীদের প্রোফাইলে যুক্ত করুন।

সমস্ত ব্যবহারকারীকে স্থানান্তর করার আগে, প্রাথমিকভাবে একটিমাত্র গ্রুপ বা সাংগঠনিক ইউনিটের ব্যবহারকারীদের উপর আপনার নতুন SSO প্রোফাইলটি পরীক্ষা করে নেওয়া ভালো। প্রয়োজন অনুযায়ী একটি বিদ্যমান গ্রুপ বা সাংগঠনিক ইউনিট ব্যবহার করুন, অথবা নতুন একটি তৈরি করুন।

আপনি যদি ChromeOS ডিভাইস পরিচালনা করে থাকেন, তাহলে আমরা সাংগঠনিক ইউনিট-ভিত্তিক পরীক্ষার পরামর্শ দিই, কারণ এক্ষেত্রে আপনি ChromeOS ডিভাইসগুলোকে সাংগঠনিক ইউনিটে যুক্ত করতে পারলেও গ্রুপে পারেন না।

  1. (ঐচ্ছিক) একটি নতুন সাংগঠনিক ইউনিট বা কনফিগারেশন গ্রুপ তৈরি করুন এবং এতে পরীক্ষামূলক ব্যবহারকারীদের নিযুক্ত করুন।
  2. নতুন SSO প্রোফাইলে ব্যবহারকারীদের যুক্ত করতে এই ধাপগুলো অনুসরণ করুন।

পরিচালিত ChromeOS ডিভাইসযুক্ত সংস্থাগুলির জন্য নোট

আপনি যদি ChromeOS ডিভাইসগুলির জন্য SSO কনফিগার করে থাকেন যাতে ব্যবহারকারীরা সরাসরি আপনার IdP-তে চলে যায় , তাহলে আপনাকে এই ব্যবহারকারীদের জন্য SSO-এর আচরণ আলাদাভাবে পরীক্ষা করতে হবে।

মনে রাখবেন যে, সাইন-ইন সফল হওয়ার জন্য, ডিভাইসের অর্গানাইজেশনাল ইউনিটে নির্ধারিত SSO প্রোফাইলটি অবশ্যই ডিভাইস ব্যবহারকারীর অর্গানাইজেশনাল ইউনিটে নির্ধারিত SSO প্রোফাইলের সাথে মিলতে হবে।

উদাহরণস্বরূপ, যদি আপনার বর্তমানে এমন কর্মীদের জন্য একটি 'সেলস' অর্গানাইজেশনাল ইউনিট থাকে যারা ম্যানেজড ক্রোমবুক ব্যবহার করেন এবং সরাসরি আপনার IdP-তে সাইন ইন করেন, তাহলে 'sales_sso_testing'-এর মতো একটি অর্গানাইজেশনাল ইউনিট তৈরি করুন, সেটিকে নতুন প্রোফাইলটি ব্যবহার করার জন্য অ্যাসাইন করুন, এবং কিছু ব্যবহারকারী ও তাদের ব্যবহৃত ক্রোমবুকগুলোকে সেই অর্গানাইজেশনাল ইউনিটে স্থানান্তর করুন।

ধাপ ৩: আপনার শীর্ষ সাংগঠনিক ইউনিট নির্ধারণ করুন এবং পরিষেবা URL গুলি আপডেট করুন।

একটি টেস্ট গ্রুপ বা অর্গানাইজেশনাল ইউনিটে নতুন SSO প্রোফাইলটি সফলভাবে পরীক্ষা করার পর, আপনি অন্যান্য ব্যবহারকারীদের পরিবর্তন করার জন্য প্রস্তুত।

  1. নিরাপত্তায় যান এবং তারপর তৃতীয় পক্ষের আইডিপি-দের সাথে এসএসও এবং তারপর SSO প্রোফাইল অ্যাসাইনমেন্ট পরিচালনা করুন
  2. পরিচালনা করুন- এ ক্লিক করুন।
  3. আপনার শীর্ষ-স্তরের সাংগঠনিক ইউনিটটি নির্বাচন করুন এবং এটিকে নতুন SSO প্রোফাইলে বরাদ্দ করুন।
  4. (ঐচ্ছিক) যদি আপনার প্রতিষ্ঠানের SSO প্রোফাইলে অন্য কোনো সাংগঠনিক ইউনিট বা গ্রুপ সংযুক্ত থাকে, তাহলে সেগুলোকে নতুন SSO প্রোফাইলে সংযুক্ত করুন।

ধাপ ৪: ডোমেন-নির্দিষ্ট URL গুলি আপডেট করুন

যদি আপনার সংস্থা ডোমেন-নির্দিষ্ট URL ব্যবহার করে থাকে (উদাহরণস্বরূপ, https://mail.google.com/a/ your_domain.com ), তাহলে নতুন SSO প্রোফাইলটি ব্যবহার করার জন্য সেই সেটিংটি আপডেট করুন:

  1. নিরাপত্তায় যান এবং তারপর তৃতীয় পক্ষের আইডিপি-দের সাথে এসএসও এবং তারপর ডোমেন-নির্দিষ্ট পরিষেবা ইউআরএল
  2. ‘নিম্নলিখিত SSO প্রোফাইলে ব্যবহারকারীদের স্বয়ংক্রিয়ভাবে তৃতীয় পক্ষের IdP-তে পুনঃনির্দেশ করুন’ বিকল্পের অধীনে, ড্রপডাউন তালিকা থেকে নতুন SSO প্রোফাইলটি নির্বাচন করুন।

ধাপ ৫: পরিষ্কার করুন

  1. নিরাপত্তায় এবং তারপর তৃতীয় পক্ষের আইডিপি-দের সাথে এসএসও এবং তারপর SSO প্রোফাইলগুলির জন্য , প্রোফাইল সেটিংস খুলতে Legacy SSO প্রোফাইলটিতে ক্লিক করুন।
  2. লিগ্যাসি প্রোফাইলটি নিষ্ক্রিয় করতে ‘Enable legacy SSO profile’ থেকে টিক চিহ্নটি তুলে দিন।
  3. আপনার IdP-তে সেট আপ করা স্বয়ংক্রিয় ব্যবহারকারী প্রোভিশনিং আপনার নতুন SSO প্রোফাইলের সাথে সঠিকভাবে কাজ করছে কিনা তা নিশ্চিত করুন।
  4. আপনার IdP থেকে পুরোনো সার্ভিস প্রোভাইডারকে অনিবন্ধিত করুন।