एसएसओ की वैकल्पिक सेटिंग और रखरखाव

सर्टिफ़िकेट रोटेट करने का तरीका

अगर आपने एसएएमएल सिंगल साइन-ऑन (एसएसओ) प्रोफ़ाइल में दो सर्टिफ़िकेट अपलोड किए हैं, तो Google आपके आईडीपी से मिले एसएएमएल रिस्पॉन्स की पुष्टि करने के लिए, इनमें से किसी भी सर्टिफ़िकेट का इस्तेमाल कर सकता है. इससे, IdP की ओर से खत्म हो रहे सर्टिफ़िकेट को सुरक्षित तरीके से रोटेट किया जा सकता है. सर्टिफ़िकेट की समयसीमा खत्म होने से कम से कम 24 घंटे पहले, यह तरीका अपनाएं:

IdP पर नया सर्टिफ़िकेट बनाएं.
Admin console में, दूसरे सर्टिफ़िकेट के तौर पर सर्टिफ़िकेट अपलोड करें. निर्देशों के लिए, एसएएमएल प्रोफ़ाइल बनाना लेख पढ़ें.
Google के उपयोगकर्ता खातों को नए सर्टिफ़िकेट के साथ अपडेट होने में 24 घंटे लगते हैं.
आईडीपी को कॉन्फ़िगर करें, ताकि वह खत्म हो रहे सर्टिफ़िकेट की जगह नए सर्टिफ़िकेट का इस्तेमाल कर सके.
(ज़रूरी नहीं) जब उपयोगकर्ता यह पुष्टि कर दें कि वे साइन इन कर पा रहे हैं, तो Admin console से पुराना सर्टिफ़िकेट हटा दें. इसके बाद, ज़रूरत पड़ने पर नया सर्टिफ़िकेट अपलोड किया जा सकता है.

एसएसओ (SSO) से साइन इन करने की प्रोसेस को आसान बनाने के लिए, ईमेल पते को अपने-आप भरने की सुविधा का इस्तेमाल करना

अपने उपयोगकर्ताओं को साइन इन करने में मदद करने के लिए, इनबाउंड एसएएमएल सिंगल साइन-ऑन (एसएसओ) प्रोफ़ाइल बनाते या अपडेट करते समय, ईमेल अपने-आप भरने की सुविधा चालू करें.

'ईमेल पता अपने-आप भरने की सुविधा' की मदद से, तीसरे पक्ष के आइडेंटिटी प्रोवाइडर (आईडीपी) के साइन-इन पेज पर मौजूद ईमेल पते का फ़ील्ड अपने-आप भर जाता है. इसलिए, उपयोगकर्ताओं को सिर्फ़ अपना पासवर्ड डालना होता है. नई इनबाउंड एसएएमएल एसएसओ प्रोफ़ाइल बनाते समय या मौजूदा प्रोफ़ाइल को अपडेट करते समय, ईमेल पते को अपने-आप भरने की सुविधा चालू की जा सकती है.

ईमेल पते को अपने-आप भरने की सुविधा, लॉगिन के हिंट पैरामीटर का इस्तेमाल करती है. इससे आपके उपयोगकर्ताओं के ईमेल पते, आपके आईडीपी (IdP) को सुरक्षित तरीके से भेजे जाते हैं. यह पैरामीटर एक सामान्य सुविधा है. तीसरे पक्ष के कई IdP, IdP की ओर से शुरू किए गए साइन-इन के लिए इसका इस्तेमाल करते हैं.

लॉगिन हिंट का पैरामीटर स्टैंडर्ड नहीं है. इसलिए, अलग-अलग आईडीपी (IdP) अलग-अलग वर्शन का इस्तेमाल करते हैं. जैसे:

login_hint: (Microsoft Entra जैसे IdP के साथ काम करता है)
LoginHint: (Okta जैसे आईडीपी के साथ काम करता है)

इन बदलावों की वजह से, आपको यह पुष्टि करनी होगी कि आपका IdP किस फ़ॉर्मैट के साथ काम करता है. साथ ही, Google Admin console में उससे जुड़ी सेटिंग चुननी होगी.

ईमेल पते को अपने-आप भरने की सुविधा चालू करने के विकल्प

नई प्रोफ़ाइल में, ईमेल पते को अपने-आप भरने की सुविधा चालू करना

Google Admin console में, एडमिन खाते से साइन इन करें.
एडमिन खाते के बिना Admin console को ऐक्सेस नहीं किया जा सकता.
Google Admin console में, मेन्यू सुरक्षापुष्टितीसरे पक्ष के IdP के साथ एसएसओ पर जाएं.

तीसरे पक्ष के आईडीपी (IdP) के साथ एसएसओ (SSO) पर जाएं

इसके लिए, आपके पास सुरक्षा सेटिंग से जुड़ा एडमिन का अधिकार होना चाहिए.
तीसरे पक्ष की एसएसओ (SSO) प्रोफ़ाइलें सेक्शन में जाकर, एसएएमएल प्रोफ़ाइल जोड़ें पर क्लिक करें.
एसएएमएल एसएसओ (SSO) प्रोफ़ाइल के लिए, प्रोफ़ाइल का नाम डालें.
ईमेल अपने-आप भरने की सुविधा के लिए, वह विकल्प चुनें जो आपके आईडीपी के लॉगिन के हिंट वाले फ़ॉर्मैट से मेल खाता हो.
आईडीपी की जानकारी सेक्शन में जाकर, यह तरीका अपनाएं:
1. अपने आईडीपी से मिले आईडीपी का इकाई आईडी, साइन-इन पेज का यूआरएल, और साइन-आउट पेज का यूआरएल डालें.
2. पासवर्ड बदलने के यूआरएल के लिए, अपने IdP का पासवर्ड बदलने का यूआरएल डालें.
  उपयोगकर्ता अपने पासवर्ड रीसेट करने के लिए, इस यूआरएल पर जाएंगे.
सेव करें पर क्लिक करें और प्रोफ़ाइल बनाना जारी रखें.

किसी मौजूदा प्रोफ़ाइल में, ईमेल पते को अपने-आप भरने की सुविधा चालू करना

Google Admin console में, एडमिन खाते से साइन इन करें.
एडमिन खाते के बिना Admin console को ऐक्सेस नहीं किया जा सकता.
Google Admin console में, मेन्यू सुरक्षापुष्टितीसरे पक्ष के IdP के साथ एसएसओ पर जाएं.

तीसरे पक्ष के आईडीपी (IdP) के साथ एसएसओ (SSO) पर जाएं

इसके लिए, आपके पास सुरक्षा सेटिंग से जुड़ा एडमिन का अधिकार होना चाहिए.
तीसरे पक्ष की एसएसओ (SSO) प्रोफ़ाइलें सेक्शन में, उस प्रोफ़ाइल पर क्लिक करें जिसे आपको अपडेट करना है.
एसपी की जानकारी पर क्लिक करें.
ईमेल अपने-आप भरने की सुविधा के लिए, वह विकल्प चुनें जो आपके आईडीपी के लॉगिन के हिंट वाले फ़ॉर्मैट से मेल खाता हो.
सेव करें पर क्लिक करें.

डोमेन की खास सेवाओं से जुड़े यूआरएल मैनेज करना

डोमेन की खास सेवा से जुड़े यूआरएल सेटिंग की मदद से, यह कंट्रोल किया जा सकता है कि जब उपयोगकर्ता https://mail.google.com/a/example.com जैसे सेवा के यूआरएल का इस्तेमाल करके साइन इन करें, तो क्या हो.

Google Admin console में, मेन्यू सुरक्षापुष्टितीसरे पक्ष के IdP के साथ एसएसओ पर जाएं.

तीसरे पक्ष के आईडीपी (IdP) के साथ एसएसओ (SSO) पर जाएं

इसके लिए, आपके पास सुरक्षा सेटिंग से जुड़ा एडमिन का अधिकार होना चाहिए.
सेटिंग खोलने के लिए, डोमेन की खास सेवा से जुड़े यूआरएल पर क्लिक करें.

ऐसा करने के दो विकल्प हैं:

उपयोगकर्ताओं को तीसरे पक्ष के आईडीपी (IdP) पर रीडायरेक्ट करें. इस विकल्प को चुनने पर, इन उपयोगकर्ताओं को हमेशा उस तीसरे पक्ष के आईडीपी (IdP) पर भेजा जाएगा जिसे आपने एसएसओ प्रोफ़ाइल की ड्रॉप-डाउन सूची में चुना है. यह आपके संगठन की एसएसओ (SSO) प्रोफ़ाइल या तीसरे पक्ष की कोई अन्य प्रोफ़ाइल हो सकती है. हालांकि, ऐसा तब ही होगा, जब आपने कोई प्रोफ़ाइल जोड़ी हो.

अहम जानकारी: अगर आपके पास ऐसी संगठनात्मक इकाइयां या ग्रुप हैं जो एसएसओ का इस्तेमाल नहीं कर रहे हैं, तो इस सेटिंग को न चुनें. एसएसओ का इस्तेमाल न करने वाले उपयोगकर्ताओं को आईडीपी पर अपने-आप भेज दिया जाएगा. वे साइन इन नहीं कर पाएंगे.
उपयोगकर्ताओं को Google के साइन-इन पेज पर अपना उपयोगकर्ता नाम डालना होगा. इस विकल्प को चुनने पर, डोमेन से जुड़े यूआरएल डालने वाले उपयोगकर्ताओं को सबसे पहले Google के साइन-इन पेज पर भेजा जाता है. अगर वे एसएसओ (SSO) का इस्तेमाल करने वाले उपयोगकर्ता हैं, तो उन्हें आईडीपी (IdP) के साइन-इन पेज पर रीडायरेक्ट कर दिया जाता है.

नेटवर्क मैपिंग के नतीजे

नेटवर्क मास्क, आईपी पते होते हैं. इन्हें क्लासलेस इंटर-डोमेन रूटिंग (सीआईडीआर) नोटेशन का इस्तेमाल करके दिखाया जाता है. सीआईडीआर से पता चलता है कि आईपी पते के कितने बिट शामिल किए गए हैं. आपके संगठन की एसएसओ (SSO) प्रोफ़ाइल, नेटवर्क मास्क का इस्तेमाल करके यह तय कर सकती है कि एसएसओ सेवा के साथ कौनसे आईपी पते या आईपी पतों की रेंज दिखानी है.

ध्यान दें: नेटवर्क मास्क की सेटिंग के लिए, फ़िलहाल सिर्फ़ डोमेन की खास सेवा से जुड़े यूआरएल, जैसे कि service.google.com/a/example.com, एसएसओ साइन-इन पेज पर रीडायरेक्ट करते हैं.

हर नेटवर्क मास्क के लिए, सही फ़ॉर्मैट का इस्तेमाल करना ज़रूरी है. यहां दिए गए IPv6 के उदाहरण में, स्लैश (/) और उसके बाद की संख्या, सीआईडीआर को दिखाती है. आखिरी 96 बिट को ध्यान में नहीं रखा जाता है. साथ ही, उस नेटवर्क रेंज के सभी आईपी पते पर इसका असर पड़ता है.

2001:db8::/32

इस IPv4 उदाहरण में, आखिरी 8 बिट (शून्य) को ध्यान में नहीं रखा जाएगा. साथ ही, 64.233.187.0 से 64.233.187.255 की रेंज में मौजूद सभी आईपी पते पर इसका असर पड़ेगा.

64.233.187.0/24

नेटवर्क मास्क के बिना वाले डोमेन में, आपको उन उपयोगकर्ताओं को आइडेंटिटी प्रोवाइडर (IdP) में जोड़ना होगा जो सुपर एडमिन नहीं हैं.

Google की सेवा के यूआरएल पर जाने पर, एसएसओ का इस्तेमाल करने वाले व्यक्ति का अनुभव

इस टेबल में, Google की सेवा के यूआरएल पर सीधे तौर पर जाने वाले उपयोगकर्ताओं के अनुभव के बारे में बताया गया है. इसमें नेटवर्क मास्क के साथ और उसके बिना, दोनों तरह के अनुभव शामिल हैं:

बिना नेटवर्क मास्क के	सुपर एडमिन ये काम कर सकते हैं:	उपयोगकर्ता ये हैं:
service.google.com	उन्हें अपने Google खाते का ईमेल पता और पासवर्ड डालने के लिए कहा जाएगा.	उन्हें अपना ईमेल पता डालने के लिए कहा जाता है. इसके बाद, उन्हें एसएसओ (SSO) के साइन-इन पेज पर रीडायरेक्ट कर दिया जाता है.
नेटवर्क मास्क के साथ	सुपर एडमिन और उपयोगकर्ता:
service.google.com	उनसे उनका ईमेल पता और पासवर्ड मांगा जाता है.
service.google.com /a/your_domain.com&ast; (नेटवर्क मास्क के अंदर)	एसएसओ के साइन-इन पेज पर रीडायरेक्ट किया जाता है.
service.google.com /a/your_domain.com (outside network mask)	उनसे उनका ईमेल पता और पासवर्ड मांगा जाता है.
accounts.google.com/ o/oauth2/v2/auth?login_hint= xxxxx@example.com	login_hint यूआरएल पैरामीटर का इस्तेमाल करके, Google के OAuth 2.0 एंडपॉइंट को ऐक्सेस करने वाले उपयोगकर्ताओं को एसएसओ (SSO) के साइन-इन पेज पर रीडायरेक्ट कर दिया जाता है.

&ast; यह यूआरएल पैटर्न, सभी सेवाओं के साथ काम नहीं करता. Gmail और Drive ऐसी सेवाएं हैं जो ऐसा करती हैं.

नेटवर्क मास्क कॉन्फ़िगर किए जाने पर सेशन खत्म होने की अवधि

यह सेक्शन सिर्फ़ तब लागू होता है, जब इनमें से सभी शर्तें पूरी होती हों:

आपके डोमेन में, तीसरे पक्ष के आईडीपी (IdP) के साथ एसएसओ (SSO) की सुविधा चालू है.
आपके डोमेन में नेटवर्क मास्क है.
उपयोगकर्ता ने तीसरे पक्ष के आईडीपी (IdP) के ज़रिए साइन इन किया हो. "एसएसओ (SSO) उपयोगकर्ता/नेटवर्क मैपिंग मैट्रिक्स" में दी गई टेबल देखें.

किसी उपयोगकर्ता का चालू Google सेशन बंद किया जा सकता है और उससे फिर से पुष्टि करने के लिए कहा जा सकता है. ऐसा इन स्थितियों में होता है:

उपयोगकर्ता के सेशन की अवधि, Google सेशन कंट्रोल की Admin console सेटिंग में तय की गई ज़्यादा से ज़्यादा अवधि तक पहुंच गई है.
एडमिन ने उपयोगकर्ता खाते में बदलाव किया है. इसके लिए, उसने पासवर्ड बदला है या उपयोगकर्ता को अगली बार साइन इन करने पर पासवर्ड बदलने के लिए कहा है. ऐसा Admin Console या एडमिन SDK का इस्तेमाल करके किया गया है.

उपयोगकर्ता अनुभव

अगर उपयोगकर्ता ने तीसरे पक्ष के आईडीपी (IdP) पर सेशन शुरू किया है, तो सेशन बंद हो जाता है. साथ ही, उपयोगकर्ता को Google के साइन-इन पेज पर रीडायरेक्ट कर दिया जाता है.

उपयोगकर्ता ने तीसरे पक्ष के आईडीपी (IdP) पर अपना Google सेशन शुरू किया है. इसलिए, उन्हें यह समझ नहीं आ सकता कि अपने खाते का ऐक्सेस वापस पाने के लिए, उन्हें Google में साइन इन क्यों करना होगा. उपयोगकर्ताओं को Google के साइन-इन पेज पर रीडायरेक्ट किया जा सकता है. ऐसा तब भी हो सकता है, जब वे Google के अन्य यूआरएल पर नेविगेट करने की कोशिश करें.

अगर आपको कुछ रखरखाव करना है, जिसमें उपयोगकर्ता के चालू सेशन को बंद करना भी शामिल है और आपको उपयोगकर्ता को भ्रमित होने से बचाना है, तो अपने उपयोगकर्ताओं से उनके सेशन से लॉग आउट करने के लिए कहें. साथ ही, उन्हें रखरखाव पूरा होने तक लॉग आउट रहने के लिए कहें.

उपयोगकर्ता का खाता वापस पाना

जब किसी उपयोगकर्ता को Google खाते से साइन इन करने वाला पेज दिखता है, क्योंकि उसका चालू सेशन बंद हो गया था, तो वह इनमें से कोई एक तरीका अपनाकर अपने खाते का ऐक्सेस वापस पा सकता है:

अगर उपयोगकर्ता को यह मैसेज दिखता है, "अगर किसी गड़बड़ी की वजह से आप इस पेज पर पहुंचे हैं, तो साइन आउट करने के लिए यहां क्लिक करें और फिर से साइन इन करने की कोशिश करें," तो वह मैसेज में दिए गए लिंक पर क्लिक कर सकता है.
अगर उपयोगकर्ता को वह मैसेज या लिंक नहीं दिखता है, तो वह https://accounts.google.com/logout पर जाकर, साइन आउट करता है और फिर से साइन इन करता है.
उपयोगकर्ता, अपने ब्राउज़र की कुकी मिटा सकता है.

खाता वापस पाने का कोई तरीका इस्तेमाल करने के बाद, उनका Google सेशन पूरी तरह से बंद हो जाता है. इसके बाद, वे साइन इन कर सकते हैं.

एसएसओ की मदद से, दो चरणों में पुष्टि करने की सुविधा सेट अप करना

Google Admin console में, मेन्यू सुरक्षापुष्टिलॉगिन से जुड़ी चुनौतियां पर जाएं.

लॉगिन करने के लिए पुष्टि के विकल्प पर जाएं

इसके लिए, आपके पास उपयोगकर्ता की सुरक्षा को मैनेज करने से जुड़ा एडमिन का अधिकार होना चाहिए.
बाईं ओर, संगठन की वह इकाई चुनें जिसके लिए आपको नीति सेट करनी है.

सभी उपयोगकर्ताओं के लिए, संगठन की टॉप-लेवल इकाई को चुनें. शुरुआत में, संगठन की इकाइयों में पैरंट की सेटिंग लागू होती हैं.
एसएसओ (SSO) की पुष्टि के बाद की प्रोसेस पर क्लिक करें.
अपने संगठन में एसएसओ (SSO) प्रोफ़ाइलों के इस्तेमाल के हिसाब से सेटिंग चुनें. लेगसी एसएसओ प्रोफ़ाइल का इस्तेमाल करने वाले उपयोगकर्ताओं और अन्य एसएसओ प्रोफ़ाइलों का इस्तेमाल करके साइन इन करने वाले उपयोगकर्ताओं के लिए, कोई सेटिंग लागू की जा सकती है.
सबसे नीचे दाईं ओर, सेव करें पर क्लिक करें.

नीति में किसी भी तरह के बदलाव के बारे में बताने के लिए, Google, Admin के ऑडिट लॉग में एक एंट्री बनाता है.

एसएसओ (SSO) की पुष्टि के बाद की प्रोसेस की डिफ़ॉल्ट सेटिंग, एसएसओ उपयोगकर्ता के टाइप पर निर्भर करती है:

लेगसी एसएसओ प्रोफ़ाइल का इस्तेमाल करके साइन इन करने वाले उपयोगकर्ताओं के लिए, डिफ़ॉल्ट सेटिंग यह होती है कि वे लॉगिन करने के लिए, किसी अन्य तरीके से पुष्टि करने और दो चरणों में पुष्टि करने की प्रोसेस को बाइपास कर सकते हैं.
एसएसओ (SSO) प्रोफ़ाइलों का इस्तेमाल करके साइन इन करने वाले उपयोगकर्ताओं के लिए, डिफ़ॉल्ट सेटिंग के तौर पर, लॉगिन करने से जुड़ी अतिरिक्त चुनौतियों और दो चरणों में पुष्टि (2SV) को लागू करना होता है.

इन्हें भी देखें

Google, Google Workspace, और इनसे जुड़े चिह्न और लोगो, Google LLC के ट्रेडमार्क हैं. अन्य सभी कंपनी और प्रॉडक्ट के नाम, उन कंपनियों के ट्रेडमार्क हैं जिनसे वे जुड़े हैं.