लेगसी एसएसओ से एसएसओ प्रोफ़ाइलों पर माइग्रेट करना

Google Workspace में, Google को आइडेंटिटी प्रोवाइडर के तौर पर इस्तेमाल करके, सिंगल साइन-ऑन (एसएसओ) सेट अप करने के दो तरीके हैं:

  • लेगसी एसएसओ प्रोफ़ाइल — इसकी मदद से, अपने संगठन के लिए सिर्फ़ एक IdP कॉन्फ़िगर किया जा सकता है.
  • एसएसओ (SSO) प्रोफ़ाइलें — एसएसओ (SSO) सेट अप करने का नया तरीका, जिसका इस्तेमाल करने का सुझाव दिया जाता है. इसकी मदद से, अपने संगठन के अलग-अलग उपयोगकर्ताओं के लिए, एसएसओ की अलग-अलग सेटिंग लागू की जा सकती हैं. यह SAML और OIDC, दोनों के साथ काम करता है. इसमें ज़्यादा आधुनिक एपीआई हैं. साथ ही, Google नई सुविधाओं के लिए इस पर फ़ोकस करेगा.

हम सभी ग्राहकों को सलाह देते हैं कि वे एसएसओ प्रोफ़ाइलों पर माइग्रेट करें, ताकि उन्हें इन फ़ायदों का लाभ मिल सके. एसएसओ (SSO) प्रोफ़ाइलें, आपके संगठन की एसएसओ (SSO) प्रोफ़ाइल के साथ काम कर सकती हैं. इसलिए, पूरे संगठन के लिए नई एसएसओ (SSO) प्रोफ़ाइलें लागू करने से पहले, उन्हें आज़माया जा सकता है.

माइग्रेशन की प्रोसेस के बारे में खास जानकारी

  1. Admin console में, अपने IdP के लिए एसएसओ प्रोफ़ाइल बनाएं और नई प्रोफ़ाइल को अपने IdP के साथ रजिस्टर करें.
  2. टेस्ट करने वाले उपयोगकर्ताओं को नई प्रोफ़ाइल इस्तेमाल करने की अनुमति दें, ताकि यह पुष्टि की जा सके कि यह काम करती है.
  3. अपनी सबसे ऊपर वाली संगठनात्मक इकाई को नई प्रोफ़ाइल में असाइन करें.
  4. नई प्रोफ़ाइल का इस्तेमाल करने के लिए, डोमेन से जुड़े यूआरएल अपडेट करें.
  5. सफ़ाई करना: अपने पुराने सेवा देने वाले को अनरजिस्टर करें. साथ ही, पुष्टि करें कि उपयोगकर्ता के लिए अपने-आप प्रावधान की सुविधा अब भी काम कर रही है.

पहला चरण: एसएसओ प्रोफ़ाइल बनाना

  1. नई एसएएमएल एसएसओ (SAML SSO) प्रोफ़ाइल बनाने के लिए, यह तरीका अपनाएं. आपकी नई प्रोफ़ाइल में, उसी आईडीपी का इस्तेमाल किया जाना चाहिए जिसका इस्तेमाल आपके संगठन की मौजूदा एसएसओ प्रोफ़ाइल में किया जाता है.

  2. नई एसएसओ (SSO) प्रोफ़ाइल को, सेवा देने वाली नई कंपनी के तौर पर अपने IdP के साथ रजिस्टर करें.

    आपका IdP, नई प्रोफ़ाइल को एक अलग सेवा देने वाली कंपनी के तौर पर देखेगा. इसे "ऐप्लिकेशन" या "भरोसेमंद पक्ष" कहा जा सकता है. नई सेवा देने वाली कंपनी को रजिस्टर करने का तरीका, आपके IdP के हिसाब से अलग-अलग होगा. हालांकि, इसके लिए आम तौर पर नई प्रोफ़ाइल के लिए, इकाई का आईडी और Assertion Consumer Service (ACS) यूआरएल कॉन्फ़िगर करना ज़रूरी होता है.

एपीआई का इस्तेमाल करने वाले लोगों या कंपनियों के लिए नोट

  • अगर आपके संगठन की एसएसओ प्रोफ़ाइल का इस्तेमाल किया जाता है, तो एसएसओ सेटिंग मैनेज करने के लिए सिर्फ़ Google Workspace Admin Settings API का इस्तेमाल किया जा सकता है.
  • Cloud Identity API, एसएसओ (SSO) प्रोफ़ाइलों को inboundSamlSsoProfiles के तौर पर मैनेज कर सकता है. साथ ही, inboundSsoAssignments का इस्तेमाल करके उन्हें ग्रुप या संगठन की इकाइयों को असाइन कर सकता है.

एसएसओ (SSO) प्रोफ़ाइलों और लेगसी एसएसओ प्रोफ़ाइल के बीच अंतर

सुपर एडमिन के दावे

एसएसओ (SSO) प्रोफ़ाइलें, सुपर एडमिन के बारे में पुष्टि करने वाले स्टेटमेंट स्वीकार नहीं करती हैं. आपके संगठन की एसएसओ (SSO) प्रोफ़ाइल का इस्तेमाल करने पर, पुष्टि स्वीकार की जाती है. हालांकि, सुपर एडमिन को आईडीपी पर रीडायरेक्ट नहीं किया जाता. उदाहरण के लिए, इन पुष्टि को स्वीकार किया जाएगा:

  • उपयोगकर्ता, आपके IdP (IdP-initiated SAML) से ऐप्लिकेशन लॉन्चर लिंक को फ़ॉलो करता है
  • उपयोगकर्ता, डोमेन की खास सेवा से जुड़े यूआरएल (उदाहरण के लिए, https://drive.google.com/a/your_domain.com) पर जाता है
  • उपयोगकर्ता, ऐसे Chromebook में साइन इन करता है जिसे सीधे आपके आईडीपी पर जाने के लिए कॉन्फ़िगर किया गया है. ज़्यादा जानें.

एसएसओ (SSO) की पुष्टि के बाद की प्रोसेस की सेटिंग

एसएसओ (SSO) की पुष्टि के बाद की प्रक्रिया को कंट्रोल करने वाली सेटिंग (जैसे कि लॉगिन से जुड़ी चुनौतियां या दो चरणों में पुष्टि) एसएसओ (SSO) प्रोफ़ाइलों के लिए, आपके संगठन की एसएसओ (SSO) प्रोफ़ाइल से अलग होती हैं. हमारा सुझाव है कि दोनों सेटिंग के लिए एक जैसी वैल्यू सेट करें, ताकि कोई भ्रम न हो. ज़्यादा जानें.

दूसरा चरण: टेस्ट करने वाले उपयोगकर्ताओं को प्रोफ़ाइल असाइन करना

हमारा सुझाव है कि सभी उपयोगकर्ताओं के लिए नई एसएसओ (SSO) प्रोफ़ाइल चालू करने से पहले, उसे किसी एक ग्रुप या संगठन की इकाई के उपयोगकर्ताओं के लिए चालू करें. किसी मौजूदा ग्रुप या संगठन की इकाई का इस्तेमाल करें या ज़रूरत के मुताबिक नया ग्रुप या संगठन की इकाई बनाएं.

अगर आपके पास मैनेज किए जा रहे ChromeOS डिवाइस हैं, तो हमारा सुझाव है कि आप संगठन की इकाई के हिसाब से टेस्टिंग करें. ऐसा इसलिए, क्योंकि ChromeOS डिवाइसों को संगठन की इकाइयों को असाइन किया जा सकता है, लेकिन ग्रुप को नहीं.

  1. (ज़रूरी नहीं) नई संगठन इकाई या कॉन्फ़िगरेशन ग्रुप बनाएं और उसमें टेस्ट करने वाले उपयोगकर्ताओं को असाइन करें.
  2. उपयोगकर्ताओं को नई एसएसओ प्रोफ़ाइल असाइन करने के लिए, यह तरीका अपनाएं.

मैनेज किए जा रहे ChromeOS डिवाइसों का इस्तेमाल करने वाले संगठनों के लिए नोट

अगर आपने ChromeOS डिवाइसों के लिए एसएसओ (SSO) को इस तरह कॉन्फ़िगर किया है कि उपयोगकर्ता सीधे आपके IdP पर जाएं, तो आपको इन उपयोगकर्ताओं के लिए एसएसओ (SSO) के व्यवहार की अलग से जांच करनी होगी.

ध्यान दें कि साइन-इन करने के लिए, डिवाइस के संगठन की इकाई को असाइन की गई एसएसओ (SSO) प्रोफ़ाइल, डिवाइस के उपयोगकर्ता के संगठन की इकाई को असाइन की गई एसएसओ (SSO) प्रोफ़ाइल से मेल खानी चाहिए.

उदाहरण के लिए, अगर आपके पास फ़िलहाल मैनेज किए जा रहे Chromebook का इस्तेमाल करने वाले कर्मचारियों के लिए, सेल्स की संगठनात्मक इकाई है और वे सीधे आपके आईडीपी में साइन इन करते हैं, तो "sales_sso_testing" जैसी कोई संगठनात्मक इकाई बनाएं. इसे नई प्रोफ़ाइल का इस्तेमाल करने के लिए असाइन करें. साथ ही, कुछ उपयोगकर्ताओं और उनके इस्तेमाल किए गए Chromebook को उस संगठनात्मक इकाई में ले जाएं.

तीसरा चरण: संगठन की सबसे बड़ी इकाई असाइन करना और सेवा के यूआरएल अपडेट करना

टेस्ट ग्रुप या संगठन की इकाई पर नई एसएसओ (SSO) प्रोफ़ाइल की जांच करने के बाद, अब अन्य उपयोगकर्ताओं के लिए इसे चालू किया जा सकता है.

  1. सुरक्षाइसके बादतीसरे पक्ष के आईडीपी (IDP) के साथ एसएसओ (SSO)इसके बादएसएसओ (SSO) प्रोफ़ाइल के असाइनमेंट मैनेज करें पर जाएं.
  2. मैनेज करें पर क्लिक करें.
  3. संगठन की टॉप-लेवल इकाई चुनें और उसे नई एसएसओ (SSO) प्रोफ़ाइल असाइन करें.
  4. (ज़रूरी नहीं) अगर आपके संगठन की एसएसओ (SSO) प्रोफ़ाइल को संगठन की अन्य इकाइयां या ग्रुप असाइन किए गए हैं, तो उन्हें नई एसएसओ (SSO) प्रोफ़ाइल असाइन करें.

चौथा चरण: डोमेन के हिसाब से यूआरएल अपडेट करना

अगर आपका संगठन, डोमेन के हिसाब से यूआरएल (उदाहरण के लिए, https://mail.google.com/a/your_domain.com) का इस्तेमाल करता है, तो नई एसएसओ प्रोफ़ाइल का इस्तेमाल करने के लिए, उस सेटिंग को अपडेट करें:

  1. सुरक्षाइसके बादतीसरे पक्ष के आईडीपी (IDPs) के साथ एसएसओ (SSO)इसके बादडोमेन की खास सेवा से जुड़े यूआरएल पर जाएं.
  2. 'उपयोगकर्ताओं को, इस एसएसओ (SSO) प्रोफ़ाइल के साथ सेट अप किए गए तीसरे पक्ष के आईडीपी (IdP) के पेज पर अपने-आप भेज दिया जाता है' में जाकर, ड्रॉपडाउन सूची से नई एसएसओ (SSO) प्रोफ़ाइल चुनें.

पांचवां चरण: साफ़ करना

  1. प्रोफ़ाइल की सेटिंग खोलने के लिए, सुरक्षाइसके बादतीसरे पक्ष के आईडीपी के साथ एसएसओ (SSO)इसके बादएसएसओ (SSO) प्रोफ़ाइलें पर जाकर, लेगसी एसएसओ (SSO) प्रोफ़ाइल पर क्लिक करें.
  2. लेगसी प्रोफ़ाइल को बंद करने के लिए, लेगसी एसएसओ प्रोफ़ाइल चालू करें से सही का निशान हटाएं.
  3. पुष्टि करें कि आपके आईडीपी (IdP) के साथ सेट अप की गई, उपयोगकर्ता को अपने-आप ऐक्सेस देने की सुविधा, आपकी नई एसएसओ (SSO) प्रोफ़ाइल के साथ सही तरीके से काम कर रही है.
  4. अपने आईडीपी से, सेवा देने वाली पुरानी कंपनी का रजिस्ट्रेशन रद्द करें.