एसएसओ की वैकल्पिक सेटिंग और रखरखाव

सर्टिफ़िकेट रोटेट करने का तरीका

अगर आपने एसएएमएल सिंगल साइन-ऑन (एसएसओ) प्रोफ़ाइल में दो सर्टिफ़िकेट अपलोड किए हैं, तो Google आपके आईडीपी से मिले एसएएमएल रिस्पॉन्स की पुष्टि करने के लिए, इनमें से किसी भी सर्टिफ़िकेट का इस्तेमाल कर सकता है. इससे आपको आईडीपी की ओर से, खत्म हो रहे सर्टिफ़िकेट को सुरक्षित तरीके से रोटेट करने की सुविधा मिलती है. सर्टिफ़िकेट की समयसीमा खत्म होने से कम से कम 24 घंटे पहले, यह तरीका अपनाएं:

IdP पर नया सर्टिफ़िकेट बनाएं.
Admin console में, सर्टिफ़िकेट को दूसरे सर्टिफ़िकेट के तौर पर अपलोड करें. निर्देशों के लिए, एसएएमएल प्रोफ़ाइल बनाना लेख पढ़ें.
Google उपयोगकर्ता खातों को नए सर्टिफ़िकेट के साथ अपडेट होने में 24 घंटे लग सकते हैं.
आईडीपी को कॉन्फ़िगर करें, ताकि वह खत्म हो रहे सर्टिफ़िकेट की जगह नए सर्टिफ़िकेट का इस्तेमाल कर सके.
(ज़रूरी नहीं) जब उपयोगकर्ता पुष्टि कर लें कि वे साइन इन कर पा रहे हैं, तब Admin console से पुराना सर्टिफ़िकेट हटा दें. इसके बाद, ज़रूरत पड़ने पर आने वाले समय में नया सर्टिफ़िकेट अपलोड किया जा सकता है.

एसएसओ (SSO) से साइन इन करने की प्रोसेस को आसान बनाने के लिए, ईमेल पते को अपने-आप भरने की सुविधा का इस्तेमाल करना

अपने उपयोगकर्ताओं को साइन इन करने में मदद करने के लिए, इनबाउंड एसएएमएल सिंगल साइन-ऑन (एसएसओ) प्रोफ़ाइल बनाते या अपडेट करते समय, ईमेल अपने-आप भरने की सुविधा चालू करें.

ईमेल पते को अपने-आप भरने की सुविधा, तीसरे पक्ष के आइडेंटिटी प्रोवाइडर (आईडीपी) के साइन-इन पेज पर ईमेल पते वाले फ़ील्ड में अपने-आप ईमेल पता भर देती है. इसलिए, उपयोगकर्ताओं को सिर्फ़ अपना पासवर्ड डालना होगा. नई इनबाउंड एसएएमएल एसएसओ प्रोफ़ाइल बनाते समय या किसी मौजूदा प्रोफ़ाइल को अपडेट करते समय, ईमेल अपने-आप भरने की सुविधा चालू की जा सकती है.

ईमेल पते को अपने-आप भरने की सुविधा, लॉगिन के हिंट पैरामीटर का इस्तेमाल करती है. इससे आपके उपयोगकर्ताओं के ईमेल पते, आपके आईडीपी (IdP) को सुरक्षित तरीके से भेजे जाते हैं. यह पैरामीटर एक सामान्य सुविधा है. तीसरे पक्ष के कई IdP, IdP की ओर से शुरू किए गए साइन-इन के लिए इसका इस्तेमाल करते हैं.

लॉगिन हिंट का पैरामीटर स्टैंडर्ड नहीं है. इसलिए, अलग-अलग आईडीपी (IdP) अलग-अलग वर्शन का इस्तेमाल करते हैं. जैसे:

login_hint: (Microsoft Entra जैसे IdP के साथ काम करता है)
LoginHint: (Okta जैसे आईडीपी के साथ काम करता है)

इन बदलावों की वजह से, आपको यह पुष्टि करनी होगी कि आपका IdP किस फ़ॉर्मैट के साथ काम करता है. साथ ही, Google Admin console में उससे जुड़ी सेटिंग चुननी होगी.

ईमेल पते को अपने-आप भरने की सुविधा चालू करने के विकल्प

नई प्रोफ़ाइल में, ईमेल पते को अपने-आप भरने की सुविधा चालू करना

Google Admin console में, एडमिन खाते से साइन इन करें.
एडमिन खाते के बिना Admin console को ऐक्सेस नहीं किया जा सकता.
Google Admin console में, मेन्यू सुरक्षा पुष्टि तीसरे पक्ष के IdP की मदद से एसएसओ पर जाएं.

तीसरे पक्ष के आईडीपी (IdP) के साथ एसएसओ (SSO) पर जाएं

इसके लिए, आपके पास सुरक्षा सेटिंग से जुड़ा एडमिन का अधिकार होना चाहिए.
तीसरे पक्ष की एसएसओ (SSO) प्रोफ़ाइलें सेक्शन में जाकर, एसएएमएल प्रोफ़ाइल जोड़ें पर क्लिक करें.
एसएएमएल एसएसओ (SSO) प्रोफ़ाइल के लिए, प्रोफ़ाइल का नाम डालें.
ईमेल अपने-आप भरने की सुविधा के लिए, वह विकल्प चुनें जो आपके आईडीपी के लॉगिन के हिंट वाले फ़ॉर्मैट से मेल खाता हो.
आईडीपी की जानकारी सेक्शन में जाकर, यह तरीका अपनाएं:
1. अपने आईडीपी से मिले आईडीपी इकाई का आईडी, साइन-इन पेज का यूआरएल, और साइन-आउट पेज का यूआरएल डालें.
2. पासवर्ड बदलने का यूआरएल के लिए, अपने IdP के लिए पासवर्ड बदलने का यूआरएल डालें.
  उपयोगकर्ता अपने पासवर्ड रीसेट करने के लिए, इस यूआरएल पर जाएंगे.
सेव करें पर क्लिक करें और प्रोफ़ाइल बनाना जारी रखें.

किसी मौजूदा प्रोफ़ाइल में, ईमेल पते को अपने-आप भरने की सुविधा चालू करना

Google Admin console में, एडमिन खाते से साइन इन करें.
एडमिन खाते के बिना Admin console को ऐक्सेस नहीं किया जा सकता.
Google Admin console में, मेन्यू सुरक्षा पुष्टि तीसरे पक्ष के IdP की मदद से एसएसओ पर जाएं.

तीसरे पक्ष के आईडीपी (IdP) के साथ एसएसओ (SSO) पर जाएं

इसके लिए, आपके पास सुरक्षा सेटिंग से जुड़ा एडमिन का अधिकार होना चाहिए.
तीसरे पक्ष की एसएसओ (SSO) प्रोफ़ाइलें सेक्शन में, उस प्रोफ़ाइल पर क्लिक करें जिसे आपको अपडेट करना है.
एसपी की जानकारी पर क्लिक करें.
ईमेल अपने-आप भरने की सुविधा के लिए, वह विकल्प चुनें जो आपके आईडीपी के लॉगिन के हिंट वाले फ़ॉर्मैट से मेल खाता हो.
सेव करें पर क्लिक करें.

डोमेन की खास सेवाओं से जुड़े यूआरएल मैनेज करना

डोमेन की खास सेवा से जुड़े यूआरएल सेटिंग की मदद से, यह कंट्रोल किया जा सकता है कि जब उपयोगकर्ता https://mail.google.com/a/example.com जैसे सेवा के यूआरएल का इस्तेमाल करके साइन इन करें, तो क्या हो.

Google Admin console में, मेन्यू सुरक्षा पुष्टि तीसरे पक्ष के IdP की मदद से एसएसओ पर जाएं.

तीसरे पक्ष के आईडीपी (IdP) के साथ एसएसओ (SSO) पर जाएं

इसके लिए, आपके पास सुरक्षा सेटिंग से जुड़ा एडमिन का अधिकार होना चाहिए.
सेटिंग खोलने के लिए, डोमेन की खास सेवा से जुड़े यूआरएल पर क्लिक करें.

ऐसा करने के दो विकल्प हैं:

उपयोगकर्ताओं को तीसरे पक्ष के आईडीपी (IdP) पर रीडायरेक्ट करें. इस विकल्प को चुनने पर, इन उपयोगकर्ताओं को हमेशा तीसरे पक्ष के उस आईडीपी (IdP) पर रीडायरेक्ट किया जाएगा जिसे आपने एसएसओ (SSO) प्रोफ़ाइल की ड्रॉप-डाउन सूची में चुना है. यह आपके संगठन के लिए एसएसओ (SSO) प्रोफ़ाइल हो सकती है या तीसरे पक्ष की कोई अन्य प्रोफ़ाइल (अगर आपने कोई प्रोफ़ाइल जोड़ी है).

अहम जानकारी: अगर आपके पास ऐसी इकाइयां या ग्रुप हैं जो एसएसओ का इस्तेमाल नहीं कर रहे हैं, तो इस सेटिंग को न चुनें. एसएसओ का इस्तेमाल न करने वाले उपयोगकर्ताओं को, आईडीपी पर अपने-आप भेज दिया जाएगा. वे साइन इन नहीं कर पाएंगे.
उपयोगकर्ताओं को Google के साइन-इन पेज पर अपना उपयोगकर्ता नाम डालना होगा. इस विकल्प की मदद से, डोमेन से जुड़े यूआरएल डालने वाले उपयोगकर्ताओं को सबसे पहले Google के साइन-इन पेज पर भेजा जाता है. अगर वे एसएसओ (SSO) का इस्तेमाल करने वाले उपयोगकर्ता हैं, तो उन्हें आईडीपी (IdP) के साइन-इन पेज पर रीडायरेक्ट कर दिया जाता है.

नेटवर्क मैपिंग के नतीजे

नेटवर्क मास्क, आईपी पते होते हैं. इन्हें क्लासलेस इंटर-डोमेन रूटिंग (सीआईडीआर) नोटेशन का इस्तेमाल करके दिखाया जाता है. सीआईडीआर से पता चलता है कि आईपी पते के कितने बिट शामिल किए गए हैं. आपके संगठन की एसएसओ (SSO) प्रोफ़ाइल, नेटवर्क मास्क का इस्तेमाल कर सकती है. इससे यह तय किया जा सकता है कि एसएसओ सेवा के साथ कौनसे आईपी पते या आईपी पतों की रेंज को दिखाया जाए.

ध्यान दें: नेटवर्क मास्क की सेटिंग के लिए, फ़िलहाल सिर्फ़ डोमेन की खास सेवा से जुड़े यूआरएल, जैसे कि service.google.com/a/example.com, एसएसओ साइन-इन पेज पर रीडायरेक्ट करते हैं.

हर नेटवर्क मास्क के लिए, सही फ़ॉर्मैट का इस्तेमाल करना ज़रूरी है. IPv6 के इस उदाहरण में, स्लैश (/) और उसके बाद का नंबर, सीआईडीआर को दिखाता है. आखिरी 96 बिट को ध्यान में नहीं रखा जाता है. साथ ही, उस नेटवर्क रेंज में मौजूद सभी आईपी पतों पर इसका असर पड़ता है.

2001:db8::/32

इस IPv4 उदाहरण में, आखिरी 8 बिट (शून्य) को ध्यान में नहीं रखा जाता है. साथ ही, 64.233.187.0 से 64.233.187.255 की रेंज में मौजूद सभी आईपी पते पर इसका असर पड़ेगा.

64.233.187.0/24

नेटवर्क मास्क के बिना वाले डोमेन में, आपको उन उपयोगकर्ताओं को आइडेंटिटी प्रोवाइडर (IdP) में जोड़ना होगा जो सुपर एडमिन नहीं हैं.

Google की सेवा के यूआरएल पर जाने पर, एसएसओ का इस्तेमाल करने वाले व्यक्ति का अनुभव

इस टेबल में, Google की सेवा के यूआरएल पर सीधे तौर पर जाने वाले उपयोगकर्ताओं के अनुभव के बारे में बताया गया है. इसमें नेटवर्क मास्क के साथ और उसके बिना, दोनों तरह के अनुभव शामिल हैं:

नेटवर्क मास्क के बिना	सुपर एडमिन ये काम कर सकते हैं:	उपयोगकर्ता ये हैं:
service.google.com	उन्हें अपने Google खाते का ईमेल पता और पासवर्ड डालने के लिए कहा जाएगा.	उन्हें अपना ईमेल पता डालने के लिए कहा जाता है. इसके बाद, उन्हें एसएसओ (SSO) के साइन-इन पेज पर रीडायरेक्ट कर दिया जाता है.
नेटवर्क मास्क के साथ	सुपर एडमिन और उपयोगकर्ता:
service.google.com	उनसे उनका ईमेल पता और पासवर्ड मांगा जाता है.
service.google.com /a/your_domain.com&ast; (within network mask)	एसएसओ के साइन-इन पेज पर रीडायरेक्ट किया जाता है.
service.google.com /a/your_domain.com (outside network mask)	उनसे उनका ईमेल पता और पासवर्ड मांगा जाता है.
accounts.google.com/  o/oauth2/v2/auth?login_hint= xxxxx@example.com	login_hint यूआरएल पैरामीटर का इस्तेमाल करके, Google के OAuth 2.0 एंडपॉइंट को ऐक्सेस करने वाले उपयोगकर्ताओं को एसएसओ (SSO) के साइन-इन पेज पर रीडायरेक्ट कर दिया जाता है.

&ast; यह यूआरएल पैटर्न, सभी सेवाओं के साथ काम नहीं करता है. Gmail और Drive ऐसी सेवाएं हैं जो ऐसा करती हैं.

नेटवर्क मास्क कॉन्फ़िगर किए जाने पर सेशन खत्म होने की अवधि

यह सेक्शन सिर्फ़ तब लागू होता है, जब इनमें से सभी शर्तें पूरी होती हों:

आपके डोमेन में, तीसरे पक्ष के IdP के साथ एसएसओ की सुविधा चालू हो.
आपके डोमेन में नेटवर्क मास्क है.
उपयोगकर्ता ने तीसरे पक्ष के आईडीपी (IdP) के ज़रिए साइन इन किया है. "एसएसओ (SSO) उपयोगकर्ता/नेटवर्क मैपिंग मैट्रिक्स" में दी गई टेबल देखें.

किसी उपयोगकर्ता का चालू Google सेशन तब बंद किया जा सकता है और उससे फिर से पुष्टि करने के लिए कहा जा सकता है, जब:

उपयोगकर्ता के सेशन की अवधि, Google सेशन कंट्रोल की Admin console सेटिंग में तय की गई ज़्यादा से ज़्यादा अवधि तक पहुंच गई है.
एडमिन ने उपयोगकर्ता खाते में बदलाव किया है. इसके लिए, उसने पासवर्ड बदला है या उपयोगकर्ता को अगली बार साइन इन करने पर पासवर्ड बदलने के लिए कहा है. ऐसा Admin Console या एडमिन SDK का इस्तेमाल करके किया गया है.

उपयोगकर्ता अनुभव

अगर उपयोगकर्ता ने तीसरे पक्ष के आईडीपी (IdP) पर सेशन शुरू किया है, तो सेशन बंद हो जाता है. साथ ही, उपयोगकर्ता को Google के साइन-इन पेज पर रीडायरेक्ट कर दिया जाता है.

उपयोगकर्ता ने तीसरे पक्ष के आईडीपी (IdP) पर अपना Google सेशन शुरू किया है. इसलिए, हो सकता है कि उसे यह समझ न आए कि अपने खाते का ऐक्सेस वापस पाने के लिए, उसे Google में साइन इन क्यों करना है. उपयोगकर्ताओं को Google के साइन-इन पेज पर रीडायरेक्ट किया जा सकता है. ऐसा तब भी हो सकता है, जब वे Google के अन्य यूआरएल पर नेविगेट करने की कोशिश कर रहे हों.

अगर आपको कुछ रखरखाव करना है, जिसमें चालू उपयोगकर्ता सेशन खत्म करना शामिल है और आपको उपयोगकर्ताओं को भ्रमित होने से रोकना है, तो अपने उपयोगकर्ताओं से उनके सेशन से लॉग आउट करने के लिए कहें. साथ ही, रखरखाव पूरा होने तक लॉग आउट रहने के लिए कहें.

उपयोगकर्ता का खाता वापस पाना

जब किसी उपयोगकर्ता को Google खाते से साइन इन करने वाला पेज दिखता है, क्योंकि उसका चालू सेशन बंद हो गया था, तो वह इनमें से कोई एक तरीका अपनाकर अपने खाते का ऐक्सेस वापस पा सकता है:

अगर उपयोगकर्ता को यह मैसेज दिखता है, "अगर किसी गड़बड़ी की वजह से आप इस पेज तक पहुंचे हैं, तो साइन आउट करने के लिए यहां क्लिक करें और फिर से साइन इन करने की कोशिश करें," तो वह मैसेज में दिए गए लिंक पर क्लिक कर सकता है.
अगर उपयोगकर्ता को वह मैसेज या लिंक नहीं दिखता है, तो वह https://accounts.google.com/logout पर जाकर साइन आउट करता है और फिर से साइन इन करता है.
उपयोगकर्ता, अपने ब्राउज़र की कुकी मिटा सकता है.

खाता वापस पाने का कोई भी तरीका इस्तेमाल करने के बाद, उनका Google सेशन पूरी तरह से बंद हो जाता है. इसके बाद, वे साइन इन कर सकते हैं.

एसएसओ की मदद से, दो चरणों में पुष्टि करने की सुविधा सेट अप करना

Google Admin console में, मेन्यू सुरक्षा पुष्टि लॉगिन से जुड़ी चुनौतियां पर जाएं.

लॉगिन करने के लिए पुष्टि के विकल्प पर जाएं

इसके लिए, आपके पास उपयोगकर्ता की सुरक्षा को मैनेज करने से जुड़ा एडमिन का अधिकार होना चाहिए.
बाईं ओर, संगठन की वह इकाई चुनें जिसके लिए आपको नीति सेट करनी है.

सभी उपयोगकर्ताओं के लिए, संगठन की टॉप-लेवल इकाई को चुनें. शुरुआत में, संगठन की इकाइयों में पैरंट की सेटिंग लागू होती हैं.
एसएसओ (SSO) की पुष्टि के बाद की प्रोसेस पर क्लिक करें.
अपने संगठन में एसएसओ (SSO) प्रोफ़ाइलों के इस्तेमाल के हिसाब से सेटिंग चुनें. लेगसी एसएसओ प्रोफ़ाइल का इस्तेमाल करने वाले उपयोगकर्ताओं और अन्य एसएसओ प्रोफ़ाइलों का इस्तेमाल करके साइन इन करने वाले उपयोगकर्ताओं के लिए, कोई सेटिंग लागू की जा सकती है.
सबसे नीचे दाईं ओर, सेव करें पर क्लिक करें.

नीति में हुए किसी भी बदलाव के बारे में बताने के लिए, Google, एडमिन के ऑडिट लॉग में एक एंट्री बनाता है.

एसएसओ (SSO) की पुष्टि के बाद की प्रोसेस की डिफ़ॉल्ट सेटिंग, एसएसओ उपयोगकर्ता के टाइप पर निर्भर करती है:

लेगसी एसएसओ प्रोफ़ाइल का इस्तेमाल करके साइन इन करने वाले उपयोगकर्ताओं के लिए, डिफ़ॉल्ट सेटिंग यह है कि वे लॉगिन करने से जुड़ी अन्य चुनौतियों और दो चरणों में पुष्टि को अनदेखा करें.
एसएसओ (SSO) प्रोफ़ाइलों का इस्तेमाल करके साइन इन करने वाले उपयोगकर्ताओं के लिए, डिफ़ॉल्ट सेटिंग यह है कि लॉगिन करने के लिए अतिरिक्त चुनौतियां और 2SV लागू करें.

इन्हें भी देखें

Google, Google Workspace, और इनसे जुड़े चिह्न और लोगो Google LLC के ट्रेडमार्क हैं. अन्य सभी कंपनी और प्रॉडक्ट के नाम, उन कंपनियों के ट्रेडमार्क हैं जिनसे वे जुड़े हैं.