আপনার পরিচয় প্রদানকারীর উপর নির্ভরশীল পক্ষ হিসেবে Google-এর সাথে একক সাইন-অন (SSO) সেট আপ করার জন্য Google Workspace দুটি উপায় অফার করে:
- লিগ্যাসি SSO প্রোফাইল — আপনার প্রতিষ্ঠানের জন্য শুধুমাত্র একটি IdP কনফিগার করার অনুমতি দেয়।
- SSO প্রোফাইল — SSO সেট আপ করার নতুন, প্রস্তাবিত উপায়। এটি আপনাকে আপনার প্রতিষ্ঠানের বিভিন্ন ব্যবহারকারীর জন্য বিভিন্ন SSO সেটিংস প্রয়োগ করতে দেয়, SAML এবং OIDC উভয়কেই সমর্থন করে, আরও আধুনিক API রয়েছে এবং নতুন বৈশিষ্ট্যগুলির জন্য Google এর ফোকাস হবে।
এই সুবিধাগুলি উপভোগ করার জন্য আমরা সকল গ্রাহককে SSO প্রোফাইলে স্থানান্তরিত হওয়ার পরামর্শ দিচ্ছি। SSO প্রোফাইলগুলি আপনার প্রতিষ্ঠানের SSO প্রোফাইলের সাথে সহাবস্থান করতে পারে, তাই আপনি আপনার সম্পূর্ণ প্রতিষ্ঠান পরিবর্তন করার আগে নতুন SSO প্রোফাইল পরীক্ষা করতে পারেন।
মাইগ্রেশন প্রক্রিয়ার সারসংক্ষেপ
- অ্যাডমিন কনসোলে, আপনার আইডিপির জন্য একটি SSO প্রোফাইল তৈরি করুন এবং আপনার আইডিপি দিয়ে নতুন প্রোফাইলটি নিবন্ধন করুন।
- নতুন প্রোফাইলটি কাজ করছে কিনা তা নিশ্চিত করার জন্য পরীক্ষামূলক ব্যবহারকারীদের এটি ব্যবহার করার জন্য বরাদ্দ করুন।
- নতুন প্রোফাইলে আপনার শীর্ষ সাংগঠনিক ইউনিটকে বরাদ্দ করুন।
- নতুন প্রোফাইল ব্যবহার করার জন্য ডোমেন-নির্দিষ্ট URL গুলি আপডেট করুন।
- পরিষ্কার করুন: আপনার পুরানো পরিষেবা প্রদানকারীর নিবন্ধন বাতিল করুন, যাচাই করুন যে স্বয়ংক্রিয় ব্যবহারকারীর প্রভিশনিং এখনও কাজ করছে।
ধাপ ১: একটি SSO প্রোফাইল তৈরি করুন
- একটি নতুন SAML SSO প্রোফাইল তৈরি করতে এই ধাপগুলি অনুসরণ করুন। আপনার নতুন প্রোফাইলটি আপনার প্রতিষ্ঠানের জন্য বিদ্যমান SSO প্রোফাইলের মতো একই IdP ব্যবহার করবে।
নতুন পরিষেবা প্রদানকারী হিসেবে আপনার আইডিপি-তে নতুন SSO প্রোফাইল নিবন্ধন করুন।
আপনার আইডিপি নতুন প্রোফাইলটিকে একটি স্বতন্ত্র পরিষেবা প্রদানকারী হিসেবে দেখবে (এটি "অ্যাপস" বা "নির্ভরশীল পক্ষ" নামে ডাকতে পারে)। আপনি কীভাবে নতুন পরিষেবা প্রদানকারী নিবন্ধন করবেন তা আপনার আইডিপি অনুসারে পরিবর্তিত হবে, তবে সাধারণত নতুন প্রোফাইলের জন্য সত্তা আইডি এবং অ্যাসারশন কনজিউমার সার্ভিস (ACS) URL কনফিগার করার প্রয়োজন হয়।
API ব্যবহারকারীদের জন্য নোট
- আপনার প্রতিষ্ঠানের জন্য SSO প্রোফাইল ব্যবহার করলে, SSO সেটিংস পরিচালনা করার জন্য আপনি শুধুমাত্র Google Workspace অ্যাডমিন সেটিংস API ব্যবহার করতে পারবেন।
- ক্লাউড আইডেন্টিটি এপিআই SSO প্রোফাইলগুলিকে ইনবাউন্ডSamlSsoProfiles হিসেবে পরিচালনা করতে পারে এবং ইনবাউন্ডSsoAssignments ব্যবহার করে গ্রুপ বা সাংগঠনিক ইউনিটগুলিতে সেগুলি বরাদ্দ করতে পারে।
SSO প্রোফাইল এবং লিগ্যাসি SSO প্রোফাইলের মধ্যে পার্থক্য
সুপার অ্যাডমিনের দাবি
SSO প্রোফাইলগুলি সুপারঅ্যাডমিন সম্পর্কে দাবি গ্রহণ করে না। আপনার প্রতিষ্ঠানের জন্য SSO প্রোফাইল ব্যবহার করার সময়, দাবি গ্রহণ করা হয়, কিন্তু সুপার অ্যাডমিনদের IdP-তে পুনঃনির্দেশিত করা হয় না। উদাহরণস্বরূপ, নিম্নলিখিত দাবি গ্রহণ করা হবে:
- ব্যবহারকারী আপনার IdP (IdP-ইনিশিয়েটেড SAML) থেকে একটি অ্যাপ-লঞ্চার লিঙ্ক অনুসরণ করে।
- ব্যবহারকারী একটি ডোমেন-নির্দিষ্ট পরিষেবা URL-এ নেভিগেট করে (উদাহরণস্বরূপ, https://drive.google.com/a/ your_domain.com )
- ব্যবহারকারী আপনার আইডিপিতে সরাসরি নেভিগেট করার জন্য কনফিগার করা একটি Chromebook-এ সাইন ইন করেন। আরও জানুন ।
SSO-পরবর্তী যাচাইকরণ সেটিংস
SSO-পরবর্তী যাচাইকরণ নিয়ন্ত্রণকারী সেটিংস (যেমন লগইন চ্যালেঞ্জ বা 2-পদক্ষেপ যাচাইকরণ) আপনার প্রতিষ্ঠানের SSO প্রোফাইলের তুলনায় SSO প্রোফাইলের জন্য আলাদা। বিভ্রান্তি এড়াতে, আমরা উভয় সেটিংস একই মানে সেট করার পরামর্শ দিচ্ছি। আরও জানুন ।
ধাপ ২: প্রোফাইলে পরীক্ষামূলক ব্যবহারকারীদের বরাদ্দ করুন
সকল ব্যবহারকারীকে স্যুইচ করার আগে প্রথমে একটি একক গ্রুপ বা সাংগঠনিক ইউনিটের ব্যবহারকারীদের উপর আপনার নতুন SSO প্রোফাইল পরীক্ষা করা একটি ভালো ধারণা। একটি বিদ্যমান গ্রুপ বা সাংগঠনিক ইউনিট ব্যবহার করুন, অথবা প্রয়োজনে একটি নতুন তৈরি করুন।
যদি আপনি ChromeOS ডিভাইসগুলি পরিচালনা করে থাকেন, তাহলে আমরা সাংগঠনিক ইউনিট-ভিত্তিক পরীক্ষার পরামর্শ দিচ্ছি, কারণ আপনি ChromeOS ডিভাইসগুলি সাংগঠনিক ইউনিটগুলিতে বরাদ্দ করতে পারেন, কিন্তু গোষ্ঠীগুলিতে নয়।
- (ঐচ্ছিক) একটি নতুন সাংগঠনিক ইউনিট বা কনফিগারেশন গ্রুপ তৈরি করুন এবং এতে পরীক্ষামূলক ব্যবহারকারীদের নিয়োগ করুন।
- নতুন SSO প্রোফাইলে ব্যবহারকারীদের বরাদ্দ করতে এই পদক্ষেপগুলি অনুসরণ করুন।
পরিচালিত ChromeOS ডিভাইস সহ প্রতিষ্ঠানের জন্য নোট
যদি আপনি ChromeOS ডিভাইসের জন্য SSO কনফিগার করে থাকেন যাতে ব্যবহারকারীরা সরাসরি আপনার IdP তে নেভিগেট করতে পারেন , তাহলে আপনাকে এই ব্যবহারকারীদের জন্য আলাদাভাবে SSO আচরণ পরীক্ষা করতে হবে।
মনে রাখবেন যে সাইন-ইন সফল হওয়ার জন্য, ডিভাইসের সাংগঠনিক ইউনিটে নির্ধারিত SSO প্রোফাইলটি অবশ্যই ডিভাইস ব্যবহারকারীর সাংগঠনিক ইউনিটে নির্ধারিত SSO প্রোফাইলের সাথে মিলবে।
উদাহরণস্বরূপ, যদি আপনার বর্তমানে পরিচালিত Chromebook ব্যবহারকারী কর্মীদের জন্য একটি বিক্রয় সাংগঠনিক ইউনিট থাকে এবং সরাসরি আপনার IdP-তে সাইন ইন করে, তাহলে "sales_sso_testing" এর মতো একটি সাংগঠনিক ইউনিট তৈরি করুন, এটিকে নতুন প্রোফাইল ব্যবহার করার জন্য বরাদ্দ করুন এবং কিছু ব্যবহারকারী এবং তাদের ব্যবহৃত Chromebookগুলিকে সেই সাংগঠনিক ইউনিটে স্থানান্তর করুন।
ধাপ ৩: আপনার শীর্ষ সাংগঠনিক ইউনিট বরাদ্দ করুন এবং পরিষেবা URL গুলি আপডেট করুন
একটি পরীক্ষামূলক গোষ্ঠী বা সাংগঠনিক ইউনিটে নতুন SSO প্রোফাইল সফলভাবে পরীক্ষা করার পরে, আপনি অন্যান্য ব্যবহারকারীদের পরিবর্তন করতে প্রস্তুত।
- নিরাপত্তা বিভাগে যান
তৃতীয় পক্ষের আইডিপিদের সাথে এসএসও SSO প্রোফাইল অ্যাসাইনমেন্ট পরিচালনা করুন । - পরিচালনা করুন- এ ক্লিক করুন।
- আপনার শীর্ষ-স্তরের সাংগঠনিক ইউনিট নির্বাচন করুন এবং এটিকে নতুন SSO প্রোফাইলে বরাদ্দ করুন।
- (ঐচ্ছিক) যদি আপনার প্রতিষ্ঠানের SSO প্রোফাইলে অন্যান্য সাংগঠনিক ইউনিট বা গোষ্ঠী বরাদ্দ করা হয়, তাহলে সেগুলিকে নতুন SSO প্রোফাইলে বরাদ্দ করুন।
ধাপ ৪: ডোমেন-নির্দিষ্ট URL গুলি আপডেট করুন
যদি আপনার প্রতিষ্ঠান ডোমেন-নির্দিষ্ট URL ব্যবহার করে (উদাহরণস্বরূপ, https://mail.google.com/a/ your_domain.com ), তাহলে নতুন SSO প্রোফাইল ব্যবহার করার জন্য সেই সেটিংটি আপডেট করুন:
- নিরাপত্তা বিভাগে যান তৃতীয় পক্ষের আইডিপিদের সাথে এসএসও ডোমেন-নির্দিষ্ট পরিষেবা URL গুলি ।
- নিম্নলিখিত SSO প্রোফাইলে স্বয়ংক্রিয়ভাবে ব্যবহারকারীদের তৃতীয় পক্ষের IdP-তে পুনঃনির্দেশিত করুন এর অধীনে, ড্রপডাউন তালিকা থেকে নতুন SSO প্রোফাইলটি নির্বাচন করুন।
ধাপ ৫: পরিষ্কার করুন
- সিকিউরিটিতে তৃতীয় পক্ষের আইডিপিদের সাথে এসএসও SSO প্রোফাইল , প্রোফাইল সেটিংস খুলতে লিগ্যাসি SSO প্রোফাইলে ক্লিক করুন।
- লিগ্যাসি প্রোফাইলটি অক্ষম করতে লিগ্যাসি SSO প্রোফাইল সক্ষম করুন টিক চিহ্ন তুলে দিন।
- আপনার নতুন SSO প্রোফাইলের সাথে আপনার IdP-এর সাথে স্বয়ংক্রিয় ব্যবহারকারীর প্রভিশনিং সেট আপ সঠিকভাবে কাজ করছে কিনা তা নিশ্চিত করুন।
- আপনার আইডিপি থেকে পুরাতন পরিষেবা প্রদানকারীর নিবন্ধন বাতিল করুন।