एसएसओ (SSO) सेट अप करना

अपने संगठन की ज़रूरतों के हिसाब से, Google को सेवा देने वाली कंपनी के तौर पर इस्तेमाल करके, एसएसओ (SSO) को कई तरीकों से सेट अप किया जा सकता है. Google Workspace, एसएएमएल और ओआईडीसी, दोनों पर आधारित एसएसओ (SSO) की सुविधा देता है.

• एसएसओ प्रोफ़ाइल में, आपके आईडीपी (IdP) की सेटिंग होती हैं. इनकी मदद से, अपने संगठन के अलग-अलग उपयोगकर्ताओं के लिए, एसएसओ (SSO) की अलग-अलग सेटिंग लागू की जा सकती हैं. एसएएमएल पर आधारित प्रोफ़ाइलें, पसंद के मुताबिक ओआईडीसी प्रोफ़ाइलें बनाएं या Microsoft Entra की डिफ़ॉल्ट ओआईडीसी प्रोफ़ाइल का इस्तेमाल करें. इसे कॉन्फ़िगर करने की ज़रूरत नहीं होती.
• एसएसओ (SSO) प्रोफ़ाइलें बनाने के बाद, संगठन की इकाइयों या ग्रुप के लिए प्रोफ़ाइलें असाइन करें, ताकि उन उपयोगकर्ताओं के लिए आईडीपी (IdP) सेट किया जा सके. संगठन की कुछ इकाइयों या ग्रुप के लिए, एसएसओ (SSO) की सुविधा बंद भी की जा सकती है.

अगर आपके उपयोगकर्ता, डोमेन की खास सेवाओं से जुड़े यूआरएल का इस्तेमाल करके Google की सेवाओं को ऐक्सेस करते हैं (उदाहरण के लिए, https://mail.google.com/a/example.com), तो यह भी मैनेज किया जा सकता है कि ये यूआरएल, एसएसओ (SSO) के साथ कैसे काम करें.

अगर आपके संगठन को आईपी पते के आधार पर, एसएसओ (SSO) रीडायरेक्शन की ज़रूरत है या सुपर एडमिन के लिए एसएसओ (SSO) की ज़रूरत है, तो आपके पास लेगसी एसएसओ (SSO) प्रोफ़ाइल को कॉन्फ़िगर करने का विकल्प भी होता है.

एसएएमएल का इस्तेमाल करके एसएसओ (SSO) सेट अप करना

शुरू करने से पहले

एसएएमएल एसएसओ (SSO) प्रोफ़ाइल सेट अप करने के लिए, आपको अपने आईडीपी (IdP) की सहायता टीम या दस्तावेज़ से कुछ बुनियादी कॉन्फ़िगरेशन की ज़रूरत होगी:

• आईडीपी (IdP) की इकाई का आईडी: Google से संपर्क करते समय, आपका आईडीपी (IdP) इस आईडी से अपनी पहचान करता है.
• साइन-इन पेज का यूआरएल: इसे एसएसओ (SSO) यूआरएल या एसएएमएल 2.0 एंडपॉइंट (एचटीटीपी) के तौर पर भी जाना जाता है. इस यूआरएल पर उपयोगकर्ता, आपके आईडीपी (IdP) में साइन इन करते हैं.
• साइन-आउट पेज का यूआरएल: Google के ऐप्लिकेशन या सेवा से बाहर निकलने के बाद, उपयोगकर्ता इस पेज पर पहुंचता है.
• पासवर्ड बदलने का यूआरएल: एसएसओ (SSO) का इस्तेमाल करने वाले उपयोगकर्ता, इस यूआरएल पर जाकर अपना पासवर्ड बदलेंगे. इसके लिए, उन्हें Google खाते का पासवर्ड बदलने की ज़रूरत नहीं होगी.
• सर्टिफ़िकेट: आपके आईडीपी (IdP) से मिला X.509 PEM सर्टिफ़िकेट. सर्टिफ़िकेट में सार्वजनिक कुंजी होती है. इससे आईडीपी (IdP) से साइन-इन करने की पुष्टि होती है.

एसएएमएल एसएसओ (SSO) प्रोफ़ाइल बनाना

तीसरे पक्ष की एसएसओ (SSO) प्रोफ़ाइल बनाने के लिए, यह तरीका अपनाएं. अपने संगठन में ज़्यादा से ज़्यादा 1,000 प्रोफ़ाइलें बनाई जा सकती हैं.

1. Google Admin console में, मेन्यू सुरक्षा पुष्टि करने की सुविधा तीसरे पक्ष के आईडीपी (IdP) के साथ एसएसओ (SSO) पर जाएं.

   तीसरे पक्ष के आईडीपी (IdP) के साथ एसएसओ (SSO) पर जाएं

   इसके लिए, आपके पास सुरक्षा सेटिंग से जुड़ा एडमिन का अधिकार होना चाहिए.

2. तीसरे पक्ष की एसएसओ (SSO) प्रोफ़ाइलें सेक्शन में, एसएएमएल प्रोफ़ाइल जोड़ें पर क्लिक करें.
3. **एसएएमएल एसएसओ (SSO) प्रोफ़ाइल** के लिए, प्रोफ़ाइल का नाम डालें.
4. (ज़रूरी नहीं) ईमेल अपने-आप भरने की सुविधा के लिए, वह विकल्प चुनें जो आपके आईडीपी (IdP) के लॉगिन हिंट के फ़ॉर्मैट से मेल खाता हो. ज़्यादा जानकारी के लिए, एसएसओ (SSO) से साइन-इन करने की प्रक्रिया को आसान बनाने के लिए, ईमेल अपने-आप भरने की सुविधा का इस्तेमाल करना पर जाएं.
5. आईडीपी (IdP) की जानकारी सेक्शन में, यह तरीका अपनाएं:
   1. आईडीपी (IdP) की इकाई का आईडी, साइन-इन पेज का यूआरएल, और साइन-आउट पेज का यूआरएल डालें. ये जानकारी आपको अपने आईडीपी (IdP) से मिली होगी.
   2. पासवर्ड बदलने का यूआरएल के लिए, अपने आईडीपी (IdP) के लिए पासवर्ड बदलने का यूआरएल डालें. उपयोगकर्ता, अपने पासवर्ड रीसेट करने के लिए इस यूआरएल पर जाएंगे.

6. सर्टिफ़िकेट अपलोड करें पर क्लिक करें.

   ज़्यादा से ज़्यादा दो सर्टिफ़िकेट अपलोड किए जा सकते हैं. इससे, ज़रूरत पड़ने पर सर्टिफ़िकेट rotate certificates करने का विकल्प मिलता है.

7. सेव करें पर क्लिक करें.

8. एसपी (SP) की जानकारी सेक्शन में, इकाई का आईडी और एसीएस (ACS) यूआरएल को कॉपी करके सेव करें. आपको इन वैल्यू की ज़रूरत तब पड़ेगी, जब अपने आईडीपी (IdP) के एडमिन कंट्रोल पैनल में, Google के साथ एसएसओ (SSO) को कॉन्फ़िगर करना होगा.

9. (ज़रूरी नहीं) अगर आपका आईडीपी (IdP), मैसेज को एन्क्रिप्ट करने की सुविधा देता है, तो एन्क्रिप्शन चालू करने के लिए, अपने आईडीपी (IdP) के साथ एक सर्टिफ़िकेट जनरेट और शेयर किया जा सकता है. हर एसएएमएल एसएसओ (SSO) प्रोफ़ाइल के लिए, ज़्यादा से ज़्यादा दो एसपी (SP) सर्टिफ़िकेट हो सकते हैं.

   1. बदलाव करने के लिए, एसपी (SP) की जानकारी सेक्शन पर क्लिक करें.
   2. एसपी (SP) सर्टिफ़िकेट के लिए, सर्टिफ़िकेट जनरेट करें पर क्लिक करें.
   3. सेव करें पर क्लिक करें. सर्टिफ़िकेट का कॉन्टेंट कॉपी करें या इसे फ़ाइल के तौर पर डाउनलोड करें.
   4. सर्टिफ़िकेट को अपने आईडीपी (IdP) के साथ शेयर करें.
   5. (ज़रूरी नहीं) सर्टिफ़िकेट रोटेट करने के लिए, एसपी (SP) की जानकारी पर वापस जाएं और दूसरा सर्टिफ़िकेट जनरेट करें पर क्लिक करें. इसके बाद, नया सर्टिफ़िकेट अपने आईडीपी (IdP) के साथ शेयर करें. जब आपको पक्का हो जाए कि आपका आईडीपी (IdP) नया सर्टिफ़िकेट इस्तेमाल कर रहा है, तब ओरिजनल सर्टिफ़िकेट मिटा दें.

अपने आईडीपी (IdP) को कॉन्फ़िगर करना

इस एसएसओ (SSO) प्रोफ़ाइल का इस्तेमाल करने के लिए, अपने आईडीपी (IdP) को कॉन्फ़िगर करने के लिए, प्रोफ़ाइल के सेवा देने वाली कंपनी (एसपी) की जानकारी सेक्शन से मिली जानकारी को, अपने आईडीपी (IdP) की एसएसओ (SSO) सेटिंग के सही फ़ील्ड में डालें. एसीएस (ACS) यूआरएल और इकाई का आईडी, दोनों इस प्रोफ़ाइल के लिए यूनीक होते हैं.

लेगसी एसएएमएल से एसएसओ (SSO) प्रोफ़ाइलों पर माइग्रेट करना

अगर आपका संगठन, लेगसी एसएसओ (SSO) प्रोफ़ाइल का इस्तेमाल कर रहा है, तो हमारा सुझाव है कि आप एसएसओ (SSO) प्रोफ़ाइलों पर माइग्रेट करें. इससे आपको कई फ़ायदे मिलते हैं. जैसे, ओआईडीसी की सुविधा, ज़्यादा आधुनिक एपीआई, और अपने उपयोगकर्ता ग्रुप के लिए एसएसओ (SSO) की सेटिंग लागू करने में ज़्यादा आसानी. ज़्यादा जानें.

ओआईडीसी का इस्तेमाल करके एसएसओ (SSO) सेट अप करना

ओआईडीसी पर आधारित एसएसओ (SSO) का इस्तेमाल करने के लिए, यह तरीका अपनाएं:

1. ओआईडीसी का कोई विकल्प चुनें. जैसे, पसंद के मुताबिक ओआईडीसी प्रोफ़ाइल बनाएं. इसमें आपको अपने ओआईडीसी पार्टनर के लिए जानकारी देनी होगी. इसके अलावा, पहले से कॉन्फ़िगर की गई Microsoft Entra ओआईडीसी प्रोफ़ाइल का इस्तेमाल किया जा सकता है.
2. चुनी गई संगठन की इकाइयों/ग्रुप के लिए, पहले से कॉन्फ़िगर की गई ओआईडीसी प्रोफ़ाइल असाइन करने के लिए, तय करें कि किन उपयोगकर्ताओं को एसएसओ (SSO) का इस्तेमाल करना चाहिए में दिया गया तरीका अपनाएं.

अगर संगठन की किसी इकाई (उदाहरण के लिए, किसी सब-ऑर्गेनाइज़ेशनल यूनिट) में ऐसे उपयोगकर्ता हैं जिन्हें एसएसओ (SSO) की ज़रूरत नहीं है , तो उन उपयोगकर्ताओं के लिए एसएसओ (SSO) की सुविधा बंद करने के लिए, असाइनमेंट का इस्तेमाल किया जा सकता है.

ध्यान दें: फ़िलहाल, Google Cloud Command Line Interface में, ओआईडीसी की मदद से फिर से पुष्टि करने की सुविधा उपलब्ध नहीं है.

शुरू करने से पहले

पसंद के मुताबिक ओआईडीसी प्रोफ़ाइल सेट अप करने के लिए, आपको अपने आईडीपी (IdP) की सहायता टीम या दस्तावेज़ से कुछ बुनियादी कॉन्फ़िगरेशन की ज़रूरत होगी:

• जारी करने वाले का यूआरएल आईडीपी (IdP) के ऑथराइज़ेशन सर्वर का पूरा यूआरएल.
• एक OAuth क्लाइंट, जिसकी पहचान क्लाइंट आईडी से होती है और जिसकी पुष्टि क्लाइंट सीक्रेट से होती है.
• पासवर्ड बदलने का यूआरएल एसएसओ (SSO) का इस्तेमाल करने वाले उपयोगकर्ता, इस यूआरएल पर जाकर अपना पासवर्ड बदलेंगे. इसके लिए, उन्हें Google खाते का पासवर्ड बदलने की ज़रूरत नहीं होगी.

साथ ही, Google को आपके आईडीपी (IdP) से यह जानकारी चाहिए:

• आपके आईडीपी (IdP) से मिला email दावा, Google पर उपयोगकर्ता के प्राइमरी ईमेल पते से मेल खाना चाहिए.
• इसमें ऑथराइज़ेशन कोड फ़्लो का इस्तेमाल किया जाना चाहिए.

पसंद के मुताबिक ओआईडीसी प्रोफ़ाइल बनाना

1. Google Admin console में, मेन्यू सुरक्षा पुष्टि करने की सुविधा तीसरे पक्ष के आईडीपी (IdP) के साथ एसएसओ (SSO) पर जाएं.

   तीसरे पक्ष के आईडीपी (IdP) के साथ एसएसओ (SSO) पर जाएं

   इसके लिए, आपके पास सुरक्षा सेटिंग से जुड़ा एडमिन का अधिकार होना चाहिए.

2. तीसरे पक्ष की एसएसओ (SSO) प्रोफ़ाइलें में, ओआईडीसी प्रोफ़ाइल जोड़ें पर क्लिक करें.
3. ओआईडीसी प्रोफ़ाइल का नाम डालें.
4. ओआईडीसी की जानकारी डालें: क्लाइंट आईडी, जारी करने वाले का यूआरएल, क्लाइंट सीक्रेट.
5. सेव करें पर क्लिक करें.
6. नई प्रोफ़ाइल के लिए, ओआईडीसी एसएसओ (SSO) सेटिंग वाले पेज पर, रीडायरेक्ट यूआरआई को कॉपी करें. आपको इस यूआरआई का इस्तेमाल करके अनुरोधों का जवाब देने के लिए, अपने आईडीपी (IdP) पर OAuth क्लाइंट को अपडेट करना होगा.

सेटिंग में बदलाव करने के लिए, ओआईडीसी की जानकारी पर कर्सर घुमाएं. इसके बाद, बदलाव करें पर क्लिक करें.

Microsoft Entra ओआईडीसी प्रोफ़ाइल का इस्तेमाल करना

पक्का करें कि आपने अपने संगठन के Microsoft Entra आईडी टेनेंट में, ओआईडीसी के लिए ये ज़रूरी शर्तें पूरी कर ली हों:

• Microsoft Entra आईडी टेनेंट के डोमेन की पुष्टि होनी चाहिए.
• असली उपयोगकर्ताओं के पास Microsoft 365 के लाइसेंस होने चाहिए.
• एसएसओ (SSO) प्रोफ़ाइल असाइन करने वाले Google Workspace एडमिन का उपयोगकर्ता नाम (प्राइमरी ईमेल), आपके Azure AD टेनेंट एडमिन खाते के प्राइमरी ईमेल पते से मेल खाना चाहिए.

तय करना कि किन उपयोगकर्ताओं को एसएसओ (SSO) का इस्तेमाल करना चाहिए

किसी संगठन की इकाई या ग्रुप के लिए, एसएसओ (SSO) चालू करने के लिए, एक एसएसओ (SSO) प्रोफ़ाइल और उससे जुड़ा आईडीपी (IdP) असाइन करें. इसके अलावा, एसएसओ (SSO) प्रोफ़ाइल के लिए 'कोई नहीं' असाइन करके, एसएसओ (SSO) की सुविधा बंद की जा सकती है. संगठन की किसी इकाई या ग्रुप में, एसएसओ (SSO) की मिली-जुली नीति भी लागू की जा सकती है. उदाहरण के लिए, संगठन की इकाई के लिए एसएसओ (SSO) चालू करना. इसके बाद, सब-ऑर्गेनाइज़ेशनल यूनिट के लिए इसे बंद करना.

अगर आपने एसएएमएल या ओआईडीसी प्रोफ़ाइल नहीं बनाई है, तो आगे बढ़ने से पहले ऐसा करें. इसके अलावा, पहले से कॉन्फ़िगर की गई ओआईडीसी प्रोफ़ाइल असाइन की जा सकती है.

1. एसएसओ (SSO) प्रोफ़ाइल के असाइनमेंट मैनेज करें पर क्लिक करें.
2. अगर एसएसओ (SSO) प्रोफ़ाइल को पहली बार असाइन किया जा रहा है, तो शुरू करें पर क्लिक करें. अगर ऐसा नहीं है, तो असाइनमेंट मैनेज करें पर क्लिक करें.
3. बाईं ओर, वह संगठन की इकाई या ग्रुप चुनें जिसके लिए आपको एसएसओ (SSO) प्रोफ़ाइल असाइन करनी है.
   • अगर संगठन की किसी इकाई या ग्रुप के लिए, एसएसओ (SSO) प्रोफ़ाइल का असाइनमेंट, आपके डोमेन-वाइड प्रोफ़ाइल असाइनमेंट से अलग है, तो उस संगठन की इकाई या ग्रुप को चुनने पर, एक चेतावनी दिखेगी.
   • एसएसओ (SSO) प्रोफ़ाइल को हर उपयोगकर्ता के हिसाब से असाइन नहीं किया जा सकता. उपयोगकर्ता व्यू की मदद से, किसी खास उपयोगकर्ता के लिए सेटिंग देखी जा सकती है.
4. चुनी गई संगठन की इकाई या ग्रुप के लिए, एसएसओ (SSO) प्रोफ़ाइल असाइनमेंट चुनें:
   • संगठन की इकाई या ग्रुप को एसएसओ (SSO) से बाहर रखने के लिए, कोई नहीं चुनें. संगठन की इकाई या ग्रुप में मौजूद उपयोगकर्ता, सीधे Google से साइन इन करेंगे.
   • संगठन की इकाई या ग्रुप के लिए, कोई दूसरा आईडीपी (IdP) असाइन करने के लिए, कोई दूसरी एसएसओ (SSO) प्रोफ़ाइल चुनें. इसके बाद, ड्रॉपडाउन सूची से एसएसओ (SSO) प्रोफ़ाइल चुनें.

5. (सिर्फ़ एसएएमएल एसएसओ (SSO) प्रोफ़ाइलें) एसएएमएल प्रोफ़ाइल चुनने के बाद, उन उपयोगकर्ताओं के लिए साइन-इन का कोई विकल्प चुनें जो एसएसओ (SSO) प्रोफ़ाइल के तीसरे पक्ष के आईडीपी (IdP) में साइन इन किए बिना, सीधे Google की किसी सेवा पर जाते हैं. उपयोगकर्ताओं से उनका Google उपयोगकर्ता नाम डालने के लिए कहा जा सकता है. इसके बाद, उन्हें आईडीपी (IdP) पर रीडायरेक्ट किया जा सकता है. इसके अलावा, उपयोगकर्ताओं के लिए अपना Google उपयोगकर्ता नाम और पासवर्ड डालना ज़रूरी किया जा सकता है.

   ध्यान दें: अगर उपयोगकर्ताओं के लिए अपना Google उपयोगकर्ता नाम और पासवर्ड डालना ज़रूरी किया जाता है, तो इस एसएएमएल एसएसओ (SSO) प्रोफ़ाइल के लिए, पासवर्ड बदलने का यूआरएल सेटिंग (एसएसओ (SSO) प्रोफ़ाइल > आईडीपी (IdP) की जानकारी में उपलब्ध) को अनदेखा कर दिया जाता है. इससे यह पक्का होता है कि उपयोगकर्ता, ज़रूरत के हिसाब से अपने Google पासवर्ड बदल सकें.

6. सेव करें पर क्लिक करें.

7. (ज़रूरी नहीं) ज़रूरत के हिसाब से, संगठन की अन्य इकाइयों या ग्रुप के लिए, एसएसओ (SSO) प्रोफ़ाइलें असाइन करें.

एसएसओ (SSO) प्रोफ़ाइल के असाइनमेंट मैनेज करें कार्ड बंद करने के बाद, आपको एसएसओ (SSO) प्रोफ़ाइल के असाइनमेंट मैनेज करें सेक्शन में, संगठन की इकाइयों और ग्रुप के लिए अपडेट किए गए असाइनमेंट दिखेंगे.

एसएसओ (SSO) प्रोफ़ाइल का असाइनमेंट हटाना

1. किसी ग्रुप या संगठन की इकाई के नाम पर क्लिक करके, उसके प्रोफ़ाइल असाइनमेंट की सेटिंग खोलें.
2. मौजूदा असाइनमेंट सेटिंग को, पैरंट संगठन की इकाई की सेटिंग से बदलें:
   • संगठन की इकाई के असाइनमेंट के लिए—इनहेरिट करें पर क्लिक करें.
   • ग्रुप के असाइनमेंट के लिए—अनसेट करें पर क्लिक करें.

ध्यान दें: आपकी टॉप संगठन की इकाई, प्रोफ़ाइल असाइनमेंट की सूची में हमेशा मौजूद रहती है. भले ही, प्रोफ़ाइल को 'कोई नहीं' पर सेट किया गया हो.

इन्हें भी देखें

• एसएसओ (SSO) की वैकल्पिक सेटिंग और रखरखाव
• एसएसओ (SSO) से जुड़ी समस्या हल करना
• संवेदनशील कार्रवाइयां करने के लिए, कई पक्षों से अनुमति लेने की सुविधा

Google, Google Workspace, और इनसे जुड़े निशान और लोगो, Google LLC के ट्रेडमार्क हैं. अन्य सभी कंपनी और प्रॉडक्ट के नाम, उन कंपनियों के ट्रेडमार्क हैं जिनसे वे जुड़े हैं.