लेगसी एसएसओ से एसएसओ प्रोफ़ाइलों पर माइग्रेट करना

Google Workspace में, Google को आइडेंटिटी प्रोवाइडर के तौर पर इस्तेमाल करके, सिंगल साइन-ऑन (एसएसओ) सेट अप करने के दो तरीके हैं:

  • लेगसी एसएसओ प्रोफ़ाइल — इसकी मदद से, अपने संगठन के लिए सिर्फ़ एक IdP कॉन्फ़िगर किया जा सकता है.
  • एसएसओ (SSO) प्रोफ़ाइलें — एसएसओ (SSO) सेट अप करने का नया तरीका, जिसका इस्तेमाल करने का सुझाव दिया जाता है. इसकी मदद से, अपने संगठन के अलग-अलग उपयोगकर्ताओं के लिए, एसएसओ की अलग-अलग सेटिंग लागू की जा सकती हैं. यह SAML और OIDC, दोनों के साथ काम करता है. इसमें ज़्यादा नए एपीआई हैं. साथ ही, Google का फ़ोकस नई सुविधाओं के लिए इसी पर रहेगा.

हम सभी ग्राहकों को सलाह देते हैं कि वे एसएसओ प्रोफ़ाइलों पर माइग्रेट करें, ताकि इन फ़ायदों का इस्तेमाल किया जा सके. एसएसओ (SSO) प्रोफ़ाइलें, आपके संगठन की एसएसओ (SSO) प्रोफ़ाइल के साथ काम कर सकती हैं. इसलिए, पूरे संगठन को नई एसएसओ (SSO) प्रोफ़ाइलों पर माइग्रेट करने से पहले, उन्हें आज़माया जा सकता है.

माइग्रेशन की प्रोसेस के बारे में खास जानकारी

  1. Admin console में, अपने IdP के लिए एसएसओ प्रोफ़ाइल बनाएं और नई प्रोफ़ाइल को अपने IdP के साथ रजिस्टर करें.
  2. टेस्ट यूज़र को नई प्रोफ़ाइल इस्तेमाल करने के लिए असाइन करें, ताकि यह पुष्टि की जा सके कि वह काम कर रही है.
  3. अपनी सबसे बड़ी संगठनात्मक इकाई को नई प्रोफ़ाइल में असाइन करें.
  4. नई प्रोफ़ाइल का इस्तेमाल करने के लिए, डोमेन से जुड़े यूआरएल अपडेट करें.
  5. सफ़ाई करना: अपने पुराने सेवा देने वाले को अनरजिस्टर करें. साथ ही, पुष्टि करें कि उपयोगकर्ता के लिए अपने-आप प्रावधान की सुविधा अब भी काम कर रही है.

पहला चरण: एसएसओ प्रोफ़ाइल बनाना

  1. नई एसएएमएल एसएसओ (SSO) प्रोफ़ाइल बनाने के लिए, यह तरीका अपनाएं. आपकी नई प्रोफ़ाइल में उसी आईडीपी का इस्तेमाल होना चाहिए जिसका इस्तेमाल आपके संगठन की मौजूदा एसएसओ प्रोफ़ाइल में किया जाता है.

  2. नई एसएसओ प्रोफ़ाइल को, सेवा देने वाली नई कंपनी के तौर पर अपने आईडीपी (IdP) के साथ रजिस्टर करें.

    आपका IdP, नई प्रोफ़ाइल को एक अलग सेवा देने वाली कंपनी के तौर पर देखेगा. इसे "ऐप्लिकेशन" या "भरोसेमंद पक्ष" कहा जा सकता है. नए सेवा देने वाली कंपनी को रजिस्टर करने का तरीका, आपके IdP के हिसाब से अलग-अलग होगा. हालांकि, इसके लिए आम तौर पर नई प्रोफ़ाइल के लिए, इकाई का आईडी और दावा करने वाले उपभोक्ता की सेवा (एसीएस) यूआरएल को कॉन्फ़िगर करना ज़रूरी होता है.

एपीआई का इस्तेमाल करने वाले लोगों या कंपनियों के लिए नोट

  • अगर आपके संगठन की एसएसओ प्रोफ़ाइल का इस्तेमाल किया जाता है, तो एसएसओ सेटिंग मैनेज करने के लिए सिर्फ़ Google Workspace Admin Settings API का इस्तेमाल किया जा सकता है.
  • Cloud Identity API, एसएसओ (SSO) प्रोफ़ाइलों को inboundSamlSsoProfiles के तौर पर मैनेज कर सकता है. साथ ही, inboundSsoAssignments का इस्तेमाल करके उन्हें ग्रुप या संगठन की इकाइयों को असाइन कर सकता है.

एसएसओ (SSO) प्रोफ़ाइलों और लेगसी एसएसओ प्रोफ़ाइल के बीच अंतर

सुपर एडमिन के दावे

एसएसओ (SSO) प्रोफ़ाइलें, सुपर एडमिन के बारे में पुष्टि करने वाले स्टेटमेंट स्वीकार नहीं करती हैं. आपके संगठन की एसएसओ (SSO) प्रोफ़ाइल का इस्तेमाल करने पर, पुष्टि स्वीकार की जाती है. हालांकि, सुपर एडमिन को आईडीपी पर रीडायरेक्ट नहीं किया जाता. उदाहरण के लिए, इन पुष्टि को स्वीकार किया जाएगा:

  • उपयोगकर्ता, आपके IdP (IdP-initiated SAML) से ऐप्लिकेशन लॉन्चर के लिंक पर क्लिक करता है
  • उपयोगकर्ता, डोमेन की खास सेवा से जुड़े यूआरएल (उदाहरण के लिए, https://drive.google.com/a/your_domain.com) पर जाता है
  • उपयोगकर्ता, ऐसे Chromebook में साइन इन करता है जिसे सीधे आपके IdP पर जाने के लिए कॉन्फ़िगर किया गया है. ज़्यादा जानें.

एसएसओ (SSO) की पुष्टि के बाद की प्रोसेस की सेटिंग

एसएसओ (SSO) की पुष्टि के बाद की प्रक्रिया को कंट्रोल करने वाली सेटिंग (जैसे कि लॉगिन से जुड़ी चुनौतियां या दो चरणों में पुष्टि करने की सुविधा), एसएसओ (SSO) प्रोफ़ाइलों के लिए अलग होती हैं. ये सेटिंग, आपके संगठन की एसएसओ (SSO) प्रोफ़ाइल के लिए अलग होती हैं. हमारा सुझाव है कि दोनों सेटिंग के लिए एक जैसी वैल्यू सेट करें, ताकि कोई भ्रम न हो. ज़्यादा जानें.

दूसरा चरण: टेस्ट करने वाले उपयोगकर्ताओं को प्रोफ़ाइल असाइन करना

हमारा सुझाव है कि सभी उपयोगकर्ताओं के लिए नई एसएसओ प्रोफ़ाइल चालू करने से पहले, उसे किसी एक ग्रुप या संगठन की इकाई के उपयोगकर्ताओं के लिए चालू करके देख लें. किसी मौजूदा ग्रुप या संगठन की इकाई का इस्तेमाल करें या ज़रूरत के मुताबिक नया ग्रुप या संगठन की इकाई बनाएं.

अगर आपके पास मैनेज किए जा रहे ChromeOS डिवाइस हैं, तो हमारा सुझाव है कि आप संगठन की इकाई के हिसाब से टेस्टिंग करें. ऐसा इसलिए, क्योंकि ChromeOS डिवाइसों को संगठन की इकाइयों को असाइन किया जा सकता है, लेकिन ग्रुप को नहीं.

  1. (ज़रूरी नहीं) संगठन की नई इकाई या कॉन्फ़िगरेशन ग्रुप बनाएं और उसमें टेस्ट करने वाले उपयोगकर्ताओं को असाइन करें.
  2. उपयोगकर्ताओं को नई एसएसओ प्रोफ़ाइल असाइन करने के लिए, यह तरीका अपनाएं.

मैनेज किए जा रहे ChromeOS डिवाइसों का इस्तेमाल करने वाले संगठनों के लिए नोट

अगर आपने ChromeOS डिवाइसों के लिए एसएसओ (SSO) को इस तरह कॉन्फ़िगर किया है कि उपयोगकर्ता सीधे आपके IdP पर जाएं, तो आपको इन उपयोगकर्ताओं के लिए एसएसओ (SSO) के काम करने के तरीके की अलग से जांच करनी होगी.

ध्यान दें कि साइन-इन करने के लिए, डिवाइस के संगठन की इकाई को असाइन की गई एसएसओ (SSO) प्रोफ़ाइल, डिवाइस के उपयोगकर्ता के संगठन की इकाई को असाइन की गई एसएसओ (SSO) प्रोफ़ाइल से मेल खानी चाहिए.

उदाहरण के लिए, अगर आपके पास फ़िलहाल मैनेज किए जा रहे Chromebook का इस्तेमाल करने वाले कर्मचारियों के लिए, सेल्स वाली संगठनात्मक इकाई है और वे सीधे आपके IdP में साइन इन करते हैं, तो "sales_sso_testing" जैसी कोई संगठनात्मक इकाई बनाएं. इसे नई प्रोफ़ाइल का इस्तेमाल करने के लिए असाइन करें. साथ ही, कुछ उपयोगकर्ताओं और उनके इस्तेमाल किए गए Chromebook को उस संगठनात्मक इकाई में ले जाएं.

तीसरा चरण: अपनी सबसे बड़ी संगठनात्मक इकाई असाइन करना और सेवा के यूआरएल अपडेट करना

टेस्ट ग्रुप या संगठन की इकाई पर नई एसएसओ (SSO) प्रोफ़ाइल की जांच करने के बाद, अन्य उपयोगकर्ताओं के लिए इसे चालू किया जा सकता है.

  1. सुरक्षा इसके बाद तीसरे पक्ष के आईडीपी (IDPs) के साथ एसएसओ (SSO) इसके बाद एसएसओ (SSO) प्रोफ़ाइल असाइनमेंट मैनेज करें पर जाएं.
  2. मैनेज करें पर क्लिक करें.
  3. अपनी टॉप-लेवल संगठन इकाई चुनें और उसे नई एसएसओ प्रोफ़ाइल असाइन करें.
  4. (ज़रूरी नहीं) अगर आपके संगठन की एसएसओ (SSO) प्रोफ़ाइल को संगठन की अन्य इकाइयों या ग्रुप को असाइन किया गया है, तो उन्हें नई एसएसओ (SSO) प्रोफ़ाइल को असाइन करें.

चौथा चरण: डोमेन के हिसाब से यूआरएल अपडेट करना

अगर आपका संगठन डोमेन के हिसाब से यूआरएल इस्तेमाल करता है (उदाहरण के लिए, https://mail.google.com/a/your_domain.com), तो नई एसएसओ प्रोफ़ाइल का इस्तेमाल करने के लिए, उस सेटिंग को अपडेट करें:

  1. सुरक्षा इसके बाद तीसरे पक्ष के आईडीपी (IDPs) के साथ एसएसओ (SSO) इसके बाद डोमेन की खास सेवा से जुड़े यूआरएल पर जाएं.
  2. 'उपयोगकर्ताओं को, इस एसएसओ (SSO) प्रोफ़ाइल के साथ सेट अप किए गए तीसरे पक्ष के आईडीपी (IdP) के पेज पर अपने-आप भेज दिया जाता है' में जाकर, ड्रॉपडाउन सूची से नई एसएसओ (SSO) प्रोफ़ाइल चुनें.

पांचवां चरण: साफ़ करना

  1. सुरक्षा इसके बाद तीसरे पक्ष के आईडीपी के साथ एसएसओ (SSO) इसके बाद एसएसओ प्रोफ़ाइलें पर जाकर, प्रोफ़ाइल की सेटिंग खोलने के लिए लेगसी एसएसओ प्रोफ़ाइल पर क्लिक करें.
  2. लेगसी प्रोफ़ाइल को बंद करने के लिए, लेगसी एसएसओ प्रोफ़ाइल चालू करें से सही का निशान हटाएं.
  3. पुष्टि करें कि आपके आईडीपी (IdP) के साथ सेट अप की गई, उपयोगकर्ता के लिए अपने-आप प्रावधान की सुविधा, आपकी नई एसएसओ (SSO) प्रोफ़ाइल के साथ ठीक से काम करती है.
  4. अपने आईडीपी से, सेवा देने वाली पुरानी कंपनी का रजिस्ट्रेशन रद्द करें.