एसएएमएल एसएसओ (SAML SSO) के बारे में अक्सर पूछे जाने वाले सवाल

क्या एसएसओ एपीआई, एसएएमएल के किसी वर्शन के साथ काम करता है?

फ़िलहाल, हम एसएएमएल के 2.0 वर्शन के साथ काम करते हैं. एसएएमएल के 2.0 वर्शन के स्टैंडर्ड के बारे में ज़्यादा जानने के लिए, http://www.oasis-open.org/specs/index.php#samlv2.0 पर जाएं.

क्या एसएएमएल एसएसओ, POP3 या IMAP के साथ काम करता है?

नहीं, एसएएमएल सिर्फ़ Google Workspace के वेब ऐप्लिकेशन के साथ काम करता है.

क्या एसएएमएल एसएसओ, Gmail के Atom फ़ीड के साथ काम करता है?

नहीं, Gmail के Atom फ़ीड में, एचटीटीपी बेसिक ऑथेंटिकेशन का इस्तेमाल किया जाता है.

क्या एसएएमएल एसएसओ, AuthSub के साथ काम करता है?

हां, एसएएमएल, AuthSub के साथ काम करता है.

क्या सिंगल साइन-ऑन लागू करने के लिए, DSA के बजाय RSA का इस्तेमाल किया जा सकता है?

हां, RSA या DSA एन्क्रिप्शन एल्गोरिदम का इस्तेमाल किया जा सकता है. हम दोनों को स्वीकार करते हैं.

मैं एसएसओ के लिए ज़रूरी पुष्टि करने वाला सर्टिफ़िकेट कैसे जनरेट करूं?

openssl कमांड का इस्तेमाल करके, X509 सर्टिफ़िकेट जनरेट किए जा सकते हैं. ज़्यादा जानकारी के लिए, एसएसओ के लिए कुंजियां और सर्टिफ़िकेट जनरेट करना लेख पढ़ें.

अगर हमारे डोमेन में एसएसओ लागू है, तो क्या हम सीधे Google में लॉग इन कर सकते हैं?

नहीं, एसएसओ लागू होने के बाद, डोमेन के एंड यूज़र सीधे Google में लॉग इन नहीं कर सकते. हालांकि, सुपर एडमिन अब भी Google के कंट्रोल पैनल में लॉग इन कर सकते हैं.जैसे, http://www.google.com/a/example.com.

ब्राउज़र सेशन के दौरान, उपयोगकर्ता की पहचान करने वाली नॉन-परसिस्टेंट सेशन कुकी को कैसे मिटाया जा सकता है? उदाहरण के लिए, लॉग आउट करने पर?

एसएएमएल के ज़रिए पुष्टि हो जाने के बाद, Google एक सेशन कुकी सेट करता है. इससे उपयोगकर्ता के सेशन की पहचान की जाती है. जब उपयोगकर्ता साफ़ तौर पर लॉग आउट करता है, जैसे कि लॉग आउट बटन पर क्लिक करके, तो इस कुकी को मिटाना ज़रूरी होता है. अगर आपके लागू करने के तरीके में, परसिस्टेंट सेशन मैनेजमेंट ("इस कंप्यूटर पर मुझे याद रखें" सुविधा) शामिल है, तो आपको यह कंट्रोल करना पड़ सकता है कि इस कुकी को कब और कैसे मिटाया जाए. लॉग आउट करने पर, Google आपको लॉग आउट सर्वलेट पर रीडायरेक्ट करता है. आपके लॉग आउट सर्वलेट में, उपयोगकर्ता को कुछ विकल्प दिख सकते हैं. इनसे यह तय किया जा सकता है कि सेशन कुकी को मिटाना है या नहीं.

पासवर्ड बदलने का यूआरएल काम क्यों नहीं कर रहा है?

एसएसओ सेटिंग में, पासवर्ड बदलने के यूआरएल में किए गए बदलावों को लागू होने में करीब एक घंटा लगता है.

SAMLResponse का एचटीएमएल फ़ॉर्म, Firefox में काम क्यों करता है, लेकिन Internet Explorer में नहीं?

ऐसा इसलिए हो सकता है, क्योंकि Internet Explorer, RelayState की गलत व्याख्या कर रहा हो. Internet Explorer, "&ltmpl" को "<mpl" के तौर पर समझता है. ऐसा होने से रोकने के लिए, RelayState में एक्सएमएल के खास वर्णों को मार्क किया जाना चाहिए, ताकि उन्हें यूआरएल के हिस्से के तौर पर नहीं, बल्कि अलग पढ़ा जा सके. { &, <, >, ', " } को { &, <, >, ', " } में बदलें.

मैं उपयोगकर्ताओं को पुष्टि किए बिना, पार्टनर के शुरुआती पेज को देखने की अनुमति कैसे दूं?

SAMLResponse के उदाहरण के लिए, चर्चा वाले ग्रुप में यह विषय देखें.

SAML रिस्पॉन्स में, Recipient एट्रिब्यूट क्या है, जो ज़रूरी है?

एसएएमएल के 2.0 वर्शन के प्रोफ़ाइल की खास जानकारी के सेक्शन 4.1.4.2 के मुताबिक, Recipient एट्रिब्यूट, Assertion Consumer Service (ACS) यूआरएल के बराबर होना चाहिए. यह यहां मौजूद है:

<samlp:Response ...>
  <saml:Assertion ...>
    <saml:Subject>
      <saml:NameID ...>user@domain.com</saml:NameID>
      <saml:SubjectConfirmation ...>
        <saml:SubjectConfirmationData Recipient="https://www.google.com/a/domain.com/acs" .../>
      </saml:SubjectConfirmation>
    </saml:Subject>
  </saml:Assertion>
</samlp:Response>

SAML रिस्पॉन्स में, Recipient को जोड़ने का तरीका जानने के लिए, नीचे दिए गए सवाल देखें.

मैं यह कैसे पक्का करूं कि तीसरे पक्ष की पहचान की पुष्टि करने वाली कंपनी, सही Recipient एट्रिब्यूट की जानकारी दे?

अगर आपके कारोबार या ओपन-सोर्स की पहचान की पुष्टि करने वाली कंपनी, एसएएमएल के 2.0 वर्शन के साथ काम करती है, तो उसे सही Recipient एट्रिब्यूट की जानकारी देनी चाहिए. अगर आपको ऊपर दिए गए गड़बड़ी के मैसेज में से कोई एक मैसेज मिल रहा है, तो इसका मतलब है कि Recipient एट्रिब्यूट गलत है. अगर ऐसा है, तो सॉफ़्टवेयर के वेंडर या मेंटेनर से संपर्क करें और उन्हें इस पेज का लिंक भेजें.

क्या एसएसओ की मदद से, मेरे उपयोगकर्ता एडमिन कंट्रोल पैनल के लॉगिन यूआरएल का इस्तेमाल करके, अपनी पहचान की पुष्टि कर सकते हैं?

हां. एसएएमएल पर आधारित सिंगल साइन ऑन (एसएसओ) की मदद से, Google Workspace के लॉगिन के अधिकार को, पहचान की पुष्टि करने वाले अपने सॉफ़्टवेयर पर ट्रांसफ़र किया जा सकता है. उदाहरण के लिए, मौजूदा लॉगिन पोर्टल. आपका सॉफ़्टवेयर, उपयोगकर्ता खातों की पुष्टि को कंट्रोल और मैनेज करता है. साथ ही, Google Workspace, लॉगिन की कोशिश को आपके एसएसओ पोर्टल पर रीडायरेक्ट करेगा. हालांकि, यह याद रखना ज़रूरी है कि आपके एडमिन अब भी Google Admin console के एडमिन लॉगिन यूआरएल (https://www.google.com/a/example.com) का इस्तेमाल करके, इन सेवाओं को मैनेज कर पाएंगे. अगर आपके एसएसओ पोर्टल में कोई समस्या है या उसे अपडेट करने की ज़रूरत है, तो इससे आपको फ़्लेक्सिबिलिटी मिलती है.

गड़बड़ी के इस मैसेज का क्या मतलब है: "इस सेवा को ऐक्सेस नहीं किया जा सकता, क्योंकि आपके लॉगिन अनुरोध में पाने वाले की कोई जानकारी शामिल नहीं है"?

इसका मतलब है कि SAML रिस्पॉन्स में, ज़रूरी Recipient एट्रिब्यूट मौजूद नहीं है.

गड़बड़ी के इस मैसेज का क्या मतलब है: "इस सेवा को ऐक्सेस नहीं किया जा सकता, क्योंकि आपके लॉगिन अनुरोध में पाने वाले की अमान्य जानकारी शामिल है"?

इसका मतलब है कि SAML रिस्पॉन्स में मौजूद Recipient एट्रिब्यूट, Assertion Consumer Service (ACS) यूआरएल से मैच नहीं करता.

गड़बड़ी के इस मैसेज का क्या मतलब है: "इस खाते को ऐक्सेस नहीं किया जा सकता, क्योंकि लॉगिन क्रेडेंशियल की पुष्टि नहीं की जा सकी"?

आम तौर पर, इसका मतलब है कि SAMLResponse पर हस्ताक्षर करने के लिए इस्तेमाल की गई निजी कुंजी, Google Workspace के पास मौजूद सार्वजनिक कुंजी सर्टिफ़िकेट से मैच नहीं करती. कृपया कंट्रोल पैनल में, एसएसओ सेटिंग में जाकर सर्टिफ़िकेट अपलोड करें और फिर से कोशिश करें.