ঐচ্ছিক SSO সেটিংস এবং রক্ষণাবেক্ষণ

সার্টিফিকেট ঘোরানোর উপায়

আপনি যদি একটি SAML সিঙ্গেল সাইন-অন (SSO) প্রোফাইলে দুটি সার্টিফিকেট আপলোড করেন, তাহলে Google আপনার IdP থেকে আসা একটি SAML রেসপন্স যাচাই করার জন্য যেকোনো একটি সার্টিফিকেট ব্যবহার করতে পারে। এর ফলে আপনি IdP-এর দিক থেকে একটি মেয়াদোত্তীর্ণ সার্টিফিকেট নিরাপদে পরিবর্তন করতে পারেন। একটি সার্টিফিকেটের মেয়াদ শেষ হওয়ার অন্তত ২৪ ঘণ্টা আগে এই ধাপগুলো অনুসরণ করুন:

1. IdP-তে একটি নতুন সার্টিফিকেট তৈরি করুন।
2. সার্টিফিকেটটি অ্যাডমিন কনসোলে দ্বিতীয় সার্টিফিকেট হিসেবে আপলোড করুন। নির্দেশাবলীর জন্য “একটি SAML প্রোফাইল তৈরি করুন” দেখুন।
3. নতুন সার্টিফিকেট দিয়ে গুগল ব্যবহারকারী অ্যাকাউন্টগুলো আপডেট হওয়ার জন্য ২৪ ঘণ্টা অপেক্ষা করুন।
4. মেয়াদোত্তীর্ণ সার্টিফিকেটের পরিবর্তে নতুন সার্টিফিকেটটি ব্যবহার করার জন্য IdP-কে কনফিগার করুন।
5. (ঐচ্ছিক) ব্যবহারকারীরা সাইন ইন করতে পারছেন বলে নিশ্চিত করার পর, অ্যাডমিন কনসোল থেকে পুরোনো সার্টিফিকেটটি সরিয়ে ফেলুন। এরপর ভবিষ্যতে প্রয়োজন অনুযায়ী আপনি একটি নতুন সার্টিফিকেট আপলোড করতে পারবেন।

SSO সাইন-ইন সহজ করতে অটোফিল ইমেল ব্যবহার করুন

আপনার ব্যবহারকারীদের সাইন ইন করতে সাহায্য করার জন্য, একটি ইনবাউন্ড SAML সিঙ্গেল সাইন-অন (SSO) প্রোফাইল তৈরি বা আপডেট করার সময় অটোফিল ইমেল চালু করুন।

অটোফিল ইমেল আপনার থার্ড-পার্টি আইডেন্টিটি প্রোভাইডারের (IdP) সাইন-ইন পেজে থাকা ইমেল অ্যাড্রেসের ফিল্ডটি স্বয়ংক্রিয়ভাবে পূরণ করে দেয়। ফলে, ব্যবহারকারীদের শুধুমাত্র তাদের পাসওয়ার্ড দিতে হয়। আপনি যখন একটি নতুন ইনবাউন্ড SAML SSO প্রোফাইল তৈরি করেন বা বিদ্যমান কোনো প্রোফাইল আপডেট করেন, তখন অটোফিল ইমেল চালু করতে পারেন।

অটোফিল ইমেল আপনার ব্যবহারকারীদের ইমেল ঠিকানা নিরাপদে আপনার IdP-তে পাঠানোর জন্য একটি লগইন হিন্ট প্যারামিটার ব্যবহার করে। এই প্যারামিটারটি একটি সাধারণ বৈশিষ্ট্য যা অনেক থার্ড-পার্টি IdP, IdP-প্রবর্তিত সাইন-ইনগুলির জন্য সমর্থন করে।

লগইন হিন্টের প্যারামিটারটি প্রমিত নয়, তাই বিভিন্ন IdP ভিন্ন ভিন্ন রূপ ব্যবহার করে, যেমন:

• লগইন_হিন্ট : (মাইক্রোসফট এন্ট্রার মতো আইডিপি দ্বারা সমর্থিত)
• LoginHint : (Okta-র মতো IdP দ্বারা সমর্থিত)

এই ভিন্নতার কারণে, আপনার IdP কোন ফরম্যাট সমর্থন করে তা আপনাকে নিশ্চিত করতে হবে এবং Google Admin কনসোলে সংশ্লিষ্ট সেটিংটি বেছে নিতে হবে।

অটোফিল ইমেল চালু করার বিকল্পগুলি

ডোমেন-নির্দিষ্ট পরিষেবা URL গুলি পরিচালনা করুন

ডোমেন-নির্দিষ্ট পরিষেবা ইউআরএল সেটিংটি আপনাকে নিয়ন্ত্রণ করতে দেয় যে, ব্যবহারকারীরা যখন https://mail.google.com/a/example.com-এর মতো পরিষেবা ইউআরএল ব্যবহার করে সাইন ইন করেন, তখন কী ঘটবে।

1. গুগল অ্যাডমিন কনসোলে, মেনুতে যান নিরাপত্তা প্রমাণীকরণ তৃতীয় পক্ষের IdP-এর সাথে SSO।

   তৃতীয় পক্ষের IdP-এর সাথে SSO-তে যান

   নিরাপত্তা সেটিংসের প্রশাসক বিশেষাধিকার থাকা আবশ্যক।

2. সেটিংস খুলতে ডোমেন-নির্দিষ্ট পরিষেবা ইউআরএল-এ ক্লিক করুন।

দুটি বিকল্প আছে:

• ব্যবহারকারীদের তৃতীয় পক্ষের IdP-তে পুনঃনির্দেশ করুন । এই ব্যবহারকারীদের সর্বদা সেই তৃতীয় পক্ষের IdP-তে পাঠাতে এই বিকল্পটি বেছে নিন, যা আপনি SSO প্রোফাইল ড্রপ-ডাউন তালিকা থেকে নির্বাচন করবেন। এটি আপনার প্রতিষ্ঠানের SSO প্রোফাইল হতে পারে, অথবা অন্য কোনো তৃতীয় পক্ষের প্রোফাইলও হতে পারে (যদি আপনি একটি যোগ করে থাকেন)।

  গুরুত্বপূর্ণ: আপনার যদি এমন কোনো সাংগঠনিক ইউনিট বা গ্রুপ থাকে যা SSO ব্যবহার করছে না , তাহলে এই সেটিংটি নির্বাচন করবেন না। আপনার নন-SSO ব্যবহারকারীরা স্বয়ংক্রিয়ভাবে IdP-তে চলে যাবেন এবং সাইন ইন করতে পারবেন না।

• ব্যবহারকারীদের গুগলের সাইন-ইন পেজে তাদের ইউজারনেম প্রবেশ করাতে হবে । এই বিকল্পটির মাধ্যমে, ডোমেইন-নির্দিষ্ট ইউআরএল প্রবেশ করানো ব্যবহারকারীদের প্রথমে গুগল সাইন-ইন পেজে পাঠানো হয়। যদি তারা এসএসও (SSO) ব্যবহারকারী হন, তবে তাদের আইডিপি (IdP) সাইন-ইন পেজে রিডাইরেক্ট করা হয়।

নেটওয়ার্ক ম্যাপিং ফলাফল

নেটওয়ার্ক মাস্ক হলো আইপি অ্যাড্রেস যা ক্লাসলেস ইন্টার-ডোমেইন রাউটিং (CIDR) নোটেশন ব্যবহার করে প্রকাশ করা হয়। CIDR নির্দিষ্ট করে দেয় যে আইপি অ্যাড্রেসের কতগুলো বিট অন্তর্ভুক্ত থাকবে। আপনার প্রতিষ্ঠানের SSO প্রোফাইলটি নেটওয়ার্ক মাস্ক ব্যবহার করে নির্ধারণ করতে পারে যে SSO পরিষেবার সাথে কোন আইপি অ্যাড্রেস বা আইপি অ্যাড্রেসের রেঞ্জ উপস্থাপন করা হবে।

দ্রষ্টব্য: নেটওয়ার্ক মাস্ক সেটিংসের ক্ষেত্রে, বর্তমানে শুধুমাত্র ডোমেন-নির্দিষ্ট পরিষেবা ইউআরএল (URL), যেমন service.google.com/a/example.com, এসএসও (SSO) সাইন-ইন পৃষ্ঠায় রিডাইরেক্ট করে।

প্রতিটি নেটওয়ার্ক মাস্কের জন্য সঠিক ফরম্যাট ব্যবহার করা গুরুত্বপূর্ণ। নিচের IPv6 উদাহরণে, স্ল্যাশ (/) এবং এর পরের সংখ্যাটি CIDR নির্দেশ করে। শেষের ৯৬ বিট বিবেচনায় নেওয়া হয় না, এবং ঐ নেটওয়ার্ক রেঞ্জের সমস্ত আইপি অ্যাড্রেস এর দ্বারা প্রভাবিত হয়।

• ২০০১:ডিবি৮::/৩২

এই IPv4 উদাহরণে, শেষের ৮ বিট (শূন্য) বিবেচনা করা হবে না, এবং 64.233.187.0 থেকে 64.233.187.255 রেঞ্জের মধ্যে থাকা সমস্ত আইপি অ্যাড্রেস প্রভাবিত হবে।

• ৬৪.২৩৩.১৮৭.০/২৪

যেসব ডোমেইনে নেটওয়ার্ক মাস্ক নেই, সেখানে সুপার অ্যাডমিনিস্ট্রেটর নন এমন ব্যবহারকারীদের আইডেন্টিটি প্রোভাইডারে (IdP) যুক্ত করতে হবে।

SSO দিয়ে ২-ধাপ যাচাইকরণ সেট আপ করুন

1. গুগল অ্যাডমিন কনসোলে, মেনুতে যান নিরাপত্তা প্রমাণীকরণ লগইন সংক্রান্ত সমস্যা ।

   লগইন চ্যালেঞ্জগুলিতে যান

   ব্যবহারকারী নিরাপত্তা ব্যবস্থাপনা প্রশাসক বিশেষাধিকার থাকা আবশ্যক।

2. বাম দিকে, সেই সাংগঠনিক ইউনিটটি নির্বাচন করুন যেখানে আপনি নীতিটি নির্ধারণ করতে চান।

   সকল ব্যবহারকারীর জন্য, শীর্ষ-স্তরের সাংগঠনিক ইউনিটটি নির্বাচন করুন। প্রাথমিকভাবে, সাংগঠনিক ইউনিটগুলো তার প্যারেন্টের সেটিংস গ্রহণ করে।

3. পোস্ট-এসএসও ভেরিফিকেশন- এ ক্লিক করুন।

4. আপনার প্রতিষ্ঠানে SSO প্রোফাইল কীভাবে ব্যবহার করেন, সেই অনুযায়ী সেটিংস বেছে নিন। আপনি পুরোনো SSO প্রোফাইল ব্যবহারকারী এবং অন্যান্য SSO প্রোফাইল ব্যবহার করে সাইন ইন করা ব্যবহারকারীদের জন্য সেটিং প্রয়োগ করতে পারেন।

5. নিচের ডানদিকে, সেভ-এ ক্লিক করুন।

   যেকোনো নীতি পরিবর্তনের ইঙ্গিত দিতে গুগল অ্যাডমিন অডিট লগে একটি এন্ট্রি তৈরি করে।

ডিফল্ট পোস্ট-এসএসও ভেরিফিকেশন সেটিং এসএসও ইউজার টাইপের উপর নির্ভর করে:

• যেসব ব্যবহারকারী লিগ্যাসি এসএসও প্রোফাইল ব্যবহার করে সাইন ইন করেন, তাদের জন্য ডিফল্ট সেটিং হলো অতিরিক্ত লগইন চ্যালেঞ্জ এবং টুএসভি (2SV) বাইপাস করা ।
• যেসব ব্যবহারকারী SSO প্রোফাইল ব্যবহার করে সাইন ইন করেন, তাদের জন্য ডিফল্ট সেটিং হলো অতিরিক্ত লগইন চ্যালেঞ্জ এবং 2SV প্রয়োগ করা ।

আরও দেখুন

• সুপার অ্যাডমিনিস্ট্রেটর এসএসও
• সিঙ্গেল সাইন-অন (SSO) এর সমস্যা সমাধান করুন

গুগল, গুগল ওয়ার্কস্পেস এবং সংশ্লিষ্ট চিহ্ন ও লোগোসমূহ হলো গুগল এলএলসি-এর ট্রেডমার্ক। অন্য সকল কোম্পানি ও পণ্যের নাম তাদের সংশ্লিষ্ট কোম্পানিগুলোর ট্রেডমার্ক।