एसएएमएल एसएसओ (SAML SSO) के बारे में अक्सर पूछे जाने वाले सवाल

एसएसओ एपीआई, एसएएमएल के किस वर्शन के साथ काम करता है?

फ़िलहाल, हम SAML v2.0 के साथ काम करते हैं. SAML v2.0 स्टैंडर्ड के बारे में ज़्यादा जानने के लिए, http://www.oasis-open.org/specs/index.php#samlv2.0 पर जाएं.

क्या SAML SSO, POP3 या IMAP के साथ काम करता है?

नहीं, एसएएमएल सिर्फ़ Google Workspace के वेब ऐप्लिकेशन के साथ काम करता है.

क्या एसएएमएल एसएसओ, Gmail के ऐटम फ़ीड के साथ काम करता है?

नहीं, Gmail का ऐटम फ़ीड, एचटीटीपी बेसिक ऑथेंटिकेशन का इस्तेमाल करता है.

क्या एसएएमएल एसएसओ, AuthSub के साथ काम करता है?

हां, SAML, AuthSub के साथ काम करता है.

क्या सिंगल साइन-ऑन लागू करने के लिए, DSA के बजाय RSA का इस्तेमाल किया जा सकता है?

हां, आरएसए या डीएसए एन्क्रिप्शन एल्गोरिदम का इस्तेमाल किया जा सकता है. हम दोनों को स्वीकार करते हैं.

मैं एसएसओ के लिए ज़रूरी पुष्टि करने का सर्टिफ़िकेट कैसे जनरेट करूं?

openssl कमांड का इस्तेमाल करके, X509 सर्टिफ़िकेट जनरेट किए जा सकते हैं. ज़्यादा जानकारी के लिए, एसएसओ के लिए कुंजियां और सर्टिफ़िकेट जनरेट करना लेख पढ़ें.

अगर हमारे डोमेन में एसएसओ (SSO) लागू है, तो क्या हम सीधे Google में लॉग इन कर सकते हैं?

नहीं, एसएसओ लागू होने के बाद, डोमेन के असली उपयोगकर्ता सीधे तौर पर Google में लॉग इन नहीं कर सकते. सुपर एडमिन अब भी Google के कंट्रोल पैनल में लॉग इन कर सकते हैं.जैसे, http://www.google.com/a/example.com.

ब्राउज़र सेशन के दौरान किसी उपयोगकर्ता की पहचान करने वाली नॉन-परसिस्टेंट सेशन कुकी को कैसे मिटाया जा सकता है. जैसे, लॉग आउट करने पर?

SAML के ज़रिए पुष्टि हो जाने के बाद, Google एक सेशन कुकी सेट करता है. इससे किसी उपयोगकर्ता के सेशन की पहचान की जा सकती है. जब उपयोगकर्ता साफ़ तौर पर लॉग आउट करता है (जैसे, लॉग आउट बटन पर क्लिक करके), तो इस कुकी को मिटा दिया जाना चाहिए. अगर आपके ऐप्लिकेशन में लगातार सेशन मैनेज करने की सुविधा ("मुझे इस कंप्यूटर पर याद रखें" सुविधा) शामिल है, तो आपको यह कंट्रोल करना पड़ सकता है कि इस कुकी को कब और कैसे मिटाया जाए. लॉग आउट करने पर, Google आपको लॉग आउट करने वाले सर्वलेट पर रीडायरेक्ट करता है. अपने लॉगआउट सर्वलेट में, उपयोगकर्ता को कुछ विकल्प दिए जा सकते हैं. इनसे यह तय किया जा सकता है कि सेशन कुकी को मिटाना है या नहीं.

पासवर्ड बदलने का यूआरएल काम क्यों नहीं कर रहा है?

एसएसओ सेटिंग में, पासवर्ड बदलने के यूआरएल में किए गए बदलावों को लागू होने में करीब एक घंटा लगता है.

Why does the SAMLResponse HTML form work in Firefox but not in Internet Explorer?

ऐसा हो सकता है कि Internet Explorer, RelayState की गलत व्याख्या कर रहा हो. Internet Explorer, "&ltmpl" को "<mpl" के तौर पर समझता है. ऐसा होने से रोकने के लिए, RelayState में एक्सएमएल के खास वर्णों को एस्केप किया जाना चाहिए. { &, <, >, ', " } को { &amp;, <, >, &apos;, &quot; } में बदलें.

मैं उपयोगकर्ताओं को पुष्टि किए बिना, पार्टनर के स्टार्ट पेज को देखने की अनुमति कैसे दूं?

सैमएलरिस्पॉन्स के उदाहरण के लिए, चर्चा ग्रुप में यह विषय देखें.

एसएएमएल के जवाब में, Recipient एट्रिब्यूट की क्या ज़रूरत है?

SAML 2.0 प्रोफ़ाइल स्पेसिफ़िकेशन के सेक्शन 4.1.4.2 के मुताबिक, Recipient एट्रिब्यूट, Assertion Consumer Service (ACS) यूआरएल के बराबर होना चाहिए. यह यहां मौजूद है:

<samlp:Response ...>
  <saml:Assertion ...>
    <saml:Subject>
      <saml:NameID ...>user@domain.com</saml:NameID>
      <saml:SubjectConfirmation ...>
        <saml:SubjectConfirmationData Recipient="https://www.google.com/a/domain.com/acs" .../>
      </saml:SubjectConfirmation>
    </saml:Subject>
  </saml:Assertion>
</samlp:Response>

एसएएमएल के अनुरोध के जवाब में, Recipient को जोड़ने का तरीका जानने के लिए, यहां दिए गए सवाल देखें.

मैं यह कैसे पक्का करूं कि पहचान देने वाली तीसरे पक्ष की सेवा, सही Recipient एट्रिब्यूट की जानकारी दे रही है?

अगर आपका कमर्शियल या ओपन-सोर्स आइडेंटिटी प्रोवाइडर, SAML 2.0 के साथ काम करता है, तो उसे पहले से ही सही Recipient एट्रिब्यूट के बारे में बताना चाहिए. अगर आपको ऊपर दिए गए गड़बड़ी के मैसेज में से कोई एक मैसेज मिल रहा है, तो इसका मतलब है कि 'पाने वाला' एट्रिब्यूट की वैल्यू गलत है. अगर ऐसा है, तो सॉफ़्टवेयर के वेंडर या उसे मैनेज करने वाले व्यक्ति से संपर्क करें. साथ ही, उन्हें इस पेज का लिंक भेजें.

क्या एसएसओ (SSO) की मदद से, मेरे उपयोगकर्ता एडमिन कंट्रोल पैनल के लॉगिन यूआरएल का इस्तेमाल करके अपनी पुष्टि कर सकते हैं?

हां. एसएएमएल पर आधारित सिंगल साइन ऑन (एसएसओ) की मदद से, Google Workspace में लॉगिन करने की अनुमति को अपने आइडेंटिटी प्रोवाइडर सॉफ़्टवेयर (उदाहरण के लिए, मौजूदा लॉगिन पोर्टल) पर ट्रांसफ़र किया जा सकता है. आपका सॉफ़्टवेयर, आपके उपयोगकर्ता खातों की पुष्टि करता है और उन्हें मैनेज करता है. साथ ही, Google Workspace, लॉगिन करने की कोशिश को आपके एसएसओ पोर्टल पर रीडायरेक्ट करेगा. हालांकि, यह ध्यान रखना ज़रूरी है कि आपके एडमिन अब भी इन सेवाओं को मैनेज कर पाएंगे. इसके लिए, उन्हें Google Admin console के एडमिन लॉगिन यूआरएल (https://www.google.com/a/example.com) का इस्तेमाल करना होगा. इससे आपको यह सुविधा मिलती है कि अगर आपके एसएसओ पोर्टल में कोई समस्या है या उसे अपडेट करने की ज़रूरत है, तो आप इस सुविधा का इस्तेमाल कर सकते हैं.

गड़बड़ी के इस मैसेज का क्या मतलब है: "इस सेवा को ऐक्सेस नहीं किया जा सकता, क्योंकि आपके लॉगिन अनुरोध में पाने वाले की कोई जानकारी शामिल नहीं है"?

इसका मतलब है कि SAML रिस्पॉन्स में ज़रूरी Recipient एट्रिब्यूट मौजूद नहीं है.

गड़बड़ी के इस मैसेज का क्या मतलब है: "इस सेवा को ऐक्सेस नहीं किया जा सकता, क्योंकि आपके लॉगिन अनुरोध में पाने वाले की अमान्य जानकारी शामिल है"?

इसका मतलब है कि एसएएमएल रिस्पॉन्स में मौजूद Recipient एट्रिब्यूट, Assertion Consumer Service (ACS) यूआरएल से मेल नहीं खाता.

गड़बड़ी के इस मैसेज का क्या मतलब है: "इस खाते को ऐक्सेस नहीं किया जा सकता, क्योंकि लॉग इन क्रेडेंशियल की पुष्टि नहीं की जा सकी"?

आम तौर पर, इसका मतलब यह होता है कि SAMLResponse को साइन करने के लिए इस्तेमाल की गई निजी कुंजी, Google Workspace के पास मौजूद सार्वजनिक कुंजी के सर्टिफ़िकेट से मेल नहीं खाती. कृपया कंट्रोल पैनल में एसएसओ (SSO) की सेटिंग में जाकर, सर्टिफ़िकेट अपलोड करें और फिर से कोशिश करें.