एसएसओ (SSO) सेट अप करना

अपने संगठन की ज़रूरत के हिसाब से, Google को सेवा देने वाली कंपनी के तौर पर इस्तेमाल करके, एसएसओ (SSO) सेट अप किया जा सकता है. Google Workspace, एसएएमएल और ओआईडीसी, दोनों पर आधारित एसएसओ (SSO) की सुविधा देता है.

• एसएसओ प्रोफ़ाइल में, आपके आईडीपी (IdP) की सेटिंग होती हैं. इनकी मदद से, अपने संगठन के अलग-अलग उपयोगकर्ताओं के लिए, एसएसओ (SSO) की अलग-अलग सेटिंग लागू की जा सकती हैं. एसएएमएल पर आधारित प्रोफ़ाइलें, पसंद के मुताबिक ओआईडीसी प्रोफ़ाइलें बनाएं या Microsoft Entra की डिफ़ॉल्ट ओआईडीसी प्रोफ़ाइल का इस्तेमाल करें. इसे कॉन्फ़िगर करने की ज़रूरत नहीं होती.
• एसएसओ (SSO) प्रोफ़ाइलें बनाने के बाद, संगठन की इकाइयों या ग्रुप के लिए प्रोफ़ाइलें असाइन करें, ताकि उन उपयोगकर्ताओं के लिए आईडीपी (IdP) सेट किया जा सके. संगठन की कुछ इकाइयों या ग्रुप के लिए, एसएसओ (SSO) की सुविधा बंद भी की जा सकती है.

अगर आपके उपयोगकर्ता, डोमेन की खास सेवाओं से जुड़े यूआरएल का इस्तेमाल करके Google की सेवाओं को ऐक्सेस करते हैं (उदाहरण के लिए, https://mail.google.com/a/example.com), तो यह भी मैनेज किया जा सकता है कि ये यूआरएल, एसएसओ (SSO) के साथ कैसे काम करें.

अगर आपके संगठन को आईपी पते के आधार पर, एसएसओ (SSO) रीडायरेक्शन की ज़रूरत है या सुपर एडमिन के लिए एसएसओ (SSO) की ज़रूरत है, तो आपके पास लेगसी एसएसओ (SSO) प्रोफ़ाइल को कॉन्फ़िगर करने का विकल्प भी होता है.

एसएएमएल का इस्तेमाल करके एसएसओ (SSO) सेट अप करना

शुरू करने से पहले

एसएएमएल एसएसओ (SSO) प्रोफ़ाइल सेट अप करने के लिए, आपको अपने आईडीपी (IdP) की सहायता टीम या दस्तावेज़ से कुछ बुनियादी कॉन्फ़िगरेशन की ज़रूरत होगी:

• आईडीपी (IdP) की इकाई का आईडी: Google से संपर्क करते समय, आपका आईडीपी (IdP) इस आईडी से अपनी पहचान करता है.
• साइन-इन पेज का यूआरएल: इसे एसएसओ (SSO) यूआरएल या एसएएमएल 2.0 एंडपॉइंट (एचटीटीपी) के तौर पर भी जाना जाता है. इस यूआरएल पर उपयोगकर्ता, आपके आईडीपी (IdP) में साइन इन करते हैं.
• साइन-आउट पेज का यूआरएल: Google ऐप्लिकेशन या सेवा से बाहर निकलने के बाद, उपयोगकर्ता इस पेज पर पहुंचता है.
• पासवर्ड बदलने का यूआरएल: एसएसओ (SSO) का इस्तेमाल करने वाले उपयोगकर्ता, इस पेज पर जाकर अपना पासवर्ड बदलेंगे. इसके लिए, उन्हें Google खाते का पासवर्ड बदलने की ज़रूरत नहीं होगी.
• सर्टिफ़िकेट: आपके आईडीपी (IdP) का X.509 PEM सर्टिफ़िकेट. सर्टिफ़िकेट में सार्वजनिक कुंजी होती है. इससे आईडीपी (IdP) से साइन-इन की पुष्टि होती है.

एसएएमएल एसएसओ (SSO) प्रोफ़ाइल बनाना

तीसरे पक्ष की एसएसओ (SSO) प्रोफ़ाइल बनाने के लिए, यह तरीका अपनाएं. अपने संगठन में ज़्यादा से ज़्यादा 1,000 प्रोफ़ाइलें बनाई जा सकती हैं.

1. Google Admin console में, मेन्यू सुरक्षा पुष्टि करने की सुविधा तीसरे पक्ष के आईडीपी (IdP) के साथ एसएसओ (SSO) पर जाएं.

   तीसरे पक्ष के आईडीपी (IdP) के साथ एसएसओ (SSO) पर जाएं

   इसके लिए, आपके पास सुरक्षा सेटिंग से जुड़ा एडमिन का अधिकार होना चाहिए.

2. तीसरे पक्ष की एसएसओ (SSO) प्रोफ़ाइलें सेक्शन में, एसएएमएल प्रोफ़ाइल जोड़ें पर क्लिक करें.
3. **एसएएमएल एसएसओ (SSO) प्रोफ़ाइल** के लिए, प्रोफ़ाइल का नाम डालें.
4. (ज़रूरी नहीं) ईमेल अपने-आप भरने की सुविधा के लिए, वह विकल्प चुनें जो आपके आईडीपी (IdP) के लॉगिन हिंट के फ़ॉर्मैट से मेल खाता हो. ज़्यादा जानकारी के लिए, एसएसओ (SSO) के ज़रिए साइन-इन करने की प्रक्रिया को आसान बनाने के लिए, ईमेल अपने-आप भरने की सुविधा का इस्तेमाल करना पर जाएं.
5. आईडीपी (IdP) की जानकारी सेक्शन में, यह तरीका अपनाएं:
   1. आईडीपी (IdP) की इकाई का आईडी, साइन-इन पेज का यूआरएल, और साइन-आउट पेज का यूआरएल डालें. ये जानकारी आपको अपने आईडीपी (IdP) से मिली होगी.
   2. पासवर्ड बदलने का यूआरएल के लिए, अपने आईडीपी (IdP) के लिए पासवर्ड बदलने का यूआरएल डालें. उपयोगकर्ता, अपने पासवर्ड रीसेट करने के लिए इस यूआरएल पर जाएंगे.

6. सर्टिफ़िकेट अपलोड करें पर क्लिक करें.

   ज़्यादा से ज़्यादा दो सर्टिफ़िकेट अपलोड किए जा सकते हैं. इससे, ज़रूरत पड़ने पर सर्टिफ़िकेट rotate certificates करने का विकल्प मिलता है.

7. सेव करें पर क्लिक करें.

8. एसपी (SP) की जानकारी सेक्शन में, इकाई का आईडी और एसीएस (ACS) यूआरएल को कॉपी करके सेव करें. आपको इन वैल्यू की ज़रूरत, अपने आईडीपी (IdP) के एडमिन कंट्रोल पैनल में Google के साथ एसएसओ (SSO) कॉन्फ़िगर करने के लिए होगी.

9. (ज़रूरी नहीं) अगर आपका आईडीपी (IdP), मैसेज को एन्क्रिप्ट (सुरक्षित) करने की सुविधा देता है, तो एन्क्रिप्ट (सुरक्षित) करने की सुविधा चालू करने के लिए, सर्टिफ़िकेट जनरेट करके अपने आईडीपी (IdP) के साथ शेयर करें. हर एसएएमएल एसएसओ (SSO) प्रोफ़ाइल के लिए, ज़्यादा से ज़्यादा दो एसपी (SP) सर्टिफ़िकेट हो सकते हैं.

   1. बदलाव करने के लिए, एसपी (SP) की जानकारी सेक्शन पर क्लिक करें.
   2. एसपी (SP) सर्टिफ़िकेट के लिए, सर्टिफ़िकेट जनरेट करें पर क्लिक करें.
   3. सेव करें पर क्लिक करें. सर्टिफ़िकेट का कॉन्टेंट कॉपी करें या इसे फ़ाइल के तौर पर डाउनलोड करें.
   4. सर्टिफ़िकेट को अपने आईडीपी (IdP) के साथ शेयर करें.
   5. (ज़रूरी नहीं) सर्टिफ़िकेट रोटेट करने के लिए, एसपी (SP) की जानकारी पर वापस जाएं और दूसरा सर्टिफ़िकेट जनरेट करें पर क्लिक करें. इसके बाद, नया सर्टिफ़िकेट अपने आईडीपी (IdP) के साथ शेयर करें. जब आपको पक्का हो जाए कि आपका आईडीपी (IdP) नया सर्टिफ़िकेट इस्तेमाल कर रहा है, तो ओरिजनल सर्टिफ़िकेट मिटा दें.

अपना आईडीपी (IdP) कॉन्फ़िगर करना

इस एसएसओ (SSO) प्रोफ़ाइल का इस्तेमाल करने के लिए, अपने आईडीपी (IdP) को कॉन्फ़िगर करने के लिए, प्रोफ़ाइल के सेवा देने वाली कंपनी (एसपी) की जानकारी सेक्शन से मिली जानकारी को, अपने आईडीपी (IdP) की एसएसओ (SSO) सेटिंग के सही फ़ील्ड में डालें. एसीएस (ACS) यूआरएल और इकाई का आईडी, दोनों इस प्रोफ़ाइल के लिए यूनीक होते हैं.

लेगसी एसएएमएल से एसएसओ (SSO) प्रोफ़ाइलों पर माइग्रेट करना

अगर आपका संगठन लेगसी एसएसओ (SSO) प्रोफ़ाइल का इस्तेमाल कर रहा है, तो हमारा सुझाव है कि आप एसएसओ (SSO) प्रोफ़ाइलों पर माइग्रेट करें. इससे आपको कई फ़ायदे मिलते हैं. जैसे, ओआईडीसी की सुविधा, ज़्यादा आधुनिक एपीआई, और अपने उपयोगकर्ता ग्रुप के लिए एसएसओ (SSO) सेटिंग लागू करने की ज़्यादा सुविधा. ज़्यादा जानें.

ओआईडीसी का इस्तेमाल करके एसएसओ (SSO) सेट अप करना

ओआईडीसी पर आधारित एसएसओ (SSO) का इस्तेमाल करने के लिए, यह तरीका अपनाएं:

1. ओआईडीसी का कोई विकल्प चुनें. जैसे, पसंद के मुताबिक ओआईडीसी प्रोफ़ाइल बनाएं. इसमें आपको अपने ओआईडीसी पार्टनर के लिए जानकारी देनी होगी. इसके अलावा, पहले से कॉन्फ़िगर की गई Microsoft Entra ओआईडीसी प्रोफ़ाइल का इस्तेमाल करें.
2. चुनी गई संगठन की इकाइयों/ग्रुप के लिए, पहले से कॉन्फ़िगर की गई ओआईडीसी प्रोफ़ाइल असाइन करने के लिए, तय करें कि किन उपयोगकर्ताओं को एसएसओ (SSO) का इस्तेमाल करना चाहिए में दिया गया तरीका अपनाएं.

अगर संगठन की किसी इकाई (उदाहरण के लिए, सब-ऑर्गेनाइज़ेशनल यूनिट) में ऐसे उपयोगकर्ता हैं जिन्हें एसएसओ (SSO) की ज़रूरत नहीं है , तो उन उपयोगकर्ताओं के लिए एसएसओ (SSO) बंद करने के लिए, असाइनमेंट का इस्तेमाल किया जा सकता है.

ध्यान दें: फ़िलहाल, Google Cloud Command Line Interface में, ओआईडीसी की मदद से फिर से पुष्टि करने की सुविधा उपलब्ध नहीं है.

शुरू करने से पहले

पसंद के मुताबिक ओआईडीसी प्रोफ़ाइल सेट अप करने के लिए, आपको अपने आईडीपी (IdP) की सहायता टीम या दस्तावेज़ से कुछ बुनियादी कॉन्फ़िगरेशन की ज़रूरत होगी:

• जारी करने वाले का यूआरएल आईडीपी (IdP) के ऑथराइज़ेशन सर्वर का पूरा यूआरएल.
• एक OAuth क्लाइंट, जिसकी पहचान क्लाइंट आईडी से होती है और जिसकी पुष्टि क्लाइंट सीक्रेट से होती है.
• पासवर्ड बदलने का यूआरएल एसएसओ (SSO) का इस्तेमाल करने वाले उपयोगकर्ता, इस पेज पर जाकर अपना पासवर्ड बदलेंगे. इसके लिए, उन्हें Google खाते का पासवर्ड बदलने की ज़रूरत नहीं होगी.

इसके अलावा, Google को आपके आईडीपी (IdP) से यह जानकारी चाहिए:

• आपके आईडीपी (IdP) के email दावे में मौजूद ईमेल पता, Google की ओर से उपयोगकर्ता के प्राइमरी ईमेल पते से मेल खाना चाहिए.
• इसमें ऑथराइज़ेशन कोड फ़्लो का इस्तेमाल होना चाहिए.

पसंद के मुताबिक ओआईडीसी प्रोफ़ाइल बनाना

1. Google Admin console में, मेन्यू सुरक्षा पुष्टि करने की सुविधा तीसरे पक्ष के आईडीपी (IdP) के साथ एसएसओ (SSO) पर जाएं.

   तीसरे पक्ष के आईडीपी (IdP) के साथ एसएसओ (SSO) पर जाएं

   इसके लिए, आपके पास सुरक्षा सेटिंग से जुड़ा एडमिन का अधिकार होना चाहिए.

2. तीसरे पक्ष की एसएसओ (SSO) प्रोफ़ाइलें में, ओआईडीसी प्रोफ़ाइल जोड़ें पर क्लिक करें.
3. ओआईडीसी प्रोफ़ाइल का नाम डालें.
4. ओआईडीसी की जानकारी डालें: क्लाइंट आईडी, जारी करने वाले का यूआरएल, क्लाइंट सीक्रेट.
5. सेव करें पर क्लिक करें.
6. नई प्रोफ़ाइल के लिए, ओआईडीसी एसएसओ (SSO) सेटिंग पेज पर, रीडायरेक्ट यूआरआई को कॉपी करें. आपको इस यूआरआई का इस्तेमाल करके अनुरोधों का जवाब देने के लिए, अपने आईडीपी (IdP) पर OAuth क्लाइंट को अपडेट करना होगा.

सेटिंग में बदलाव करने के लिए, ओआईडीसी की जानकारी पर कर्सर घुमाएं. इसके बाद, बदलाव करें पर क्लिक करें.

Microsoft Entra ओआईडीसी प्रोफ़ाइल का इस्तेमाल करना

पक्का करें कि आपने अपने संगठन के Microsoft Entra ID टेनेंट में, ओआईडीसी के लिए ये ज़रूरी शर्तें कॉन्फ़िगर की हों:

• Microsoft Entra ID टेनेंट के डोमेन की पुष्टि होनी चाहिए.
• असली उपयोगकर्ताओं के पास Microsoft 365 के लाइसेंस होने चाहिए.
• एसएसओ (SSO) प्रोफ़ाइल असाइन करने वाले Google Workspace एडमिन का उपयोगकर्ता नाम (प्राइमरी ईमेल), आपके Azure AD टेनेंट के एडमिन खाते के प्राइमरी ईमेल पते से मेल खाना चाहिए.

तय करना कि किन उपयोगकर्ताओं को एसएसओ (SSO) का इस्तेमाल करना चाहिए

किसी संगठन की इकाई या ग्रुप के लिए, एसएसओ (SSO) चालू करने के लिए, एसएसओ (SSO) प्रोफ़ाइल और उससे जुड़ा आईडीपी (IdP) असाइन करें. इसके अलावा, एसएसओ (SSO) प्रोफ़ाइल के लिए 'कोई नहीं' असाइन करके, एसएसओ (SSO) बंद करें. संगठन की किसी इकाई या ग्रुप में, एसएसओ (SSO) की मिली-जुली नीति भी लागू की जा सकती है. उदाहरण के लिए, संगठन की इकाई के लिए एसएसओ (SSO) चालू करना. इसके बाद, सब-ऑर्गेनाइज़ेशनल यूनिट के लिए इसे बंद करना.

अगर आपने एसएएमएल या ओआईडीसी प्रोफ़ाइल नहीं बनाई है, तो आगे बढ़ने से पहले ऐसा करें. इसके अलावा, पहले से कॉन्फ़िगर की गई ओआईडीसी प्रोफ़ाइल असाइन की जा सकती है.

1. एसएसओ (SSO) प्रोफ़ाइल के असाइनमेंट मैनेज करें पर क्लिक करें.
2. अगर एसएसओ (SSO) प्रोफ़ाइल पहली बार असाइन की जा रही है, तो शुरू करें पर क्लिक करें. नहीं तो, असाइनमेंट मैनेज करें पर क्लिक करें.
3. बाईं ओर, वह संगठन की इकाई या ग्रुप चुनें जिसके लिए आपको एसएसओ (SSO) प्रोफ़ाइल असाइन करनी है.
   • अगर संगठन की किसी इकाई या ग्रुप के लिए, एसएसओ (SSO) प्रोफ़ाइल का असाइनमेंट, आपके डोमेन-वाइड प्रोफ़ाइल असाइनमेंट से अलग है, तो उस संगठन की इकाई या ग्रुप को चुनने पर, ओवरराइड की चेतावनी दिखती है.
   • एसएसओ (SSO) प्रोफ़ाइल को हर उपयोगकर्ता के हिसाब से असाइन नहीं किया जा सकता. उपयोगकर्ता व्यू की मदद से, किसी खास उपयोगकर्ता के लिए सेटिंग देखी जा सकती है.
4. चुनी गई संगठन की इकाई या ग्रुप के लिए, एसएसओ (SSO) प्रोफ़ाइल असाइनमेंट चुनें:
   • संगठन की इकाई या ग्रुप को एसएसओ (SSO) से बाहर रखने के लिए, कोई नहीं चुनें. संगठन की इकाई या ग्रुप में मौजूद उपयोगकर्ता, सीधे Google खाते से साइन इन करेंगे.
   • संगठन की इकाई या ग्रुप के लिए, कोई दूसरा आईडीपी (IdP) असाइन करने के लिए, कोई दूसरी एसएसओ (SSO) प्रोफ़ाइल चुनें. इसके बाद, ड्रॉपडाउन सूची से एसएसओ (SSO) प्रोफ़ाइल चुनें.

5. (सिर्फ़ एसएएमएल एसएसओ (SSO) प्रोफ़ाइलें) एसएएमएल प्रोफ़ाइल चुनने के बाद, उन उपयोगकर्ताओं के लिए साइन-इन का कोई विकल्प चुनें जो एसएसओ (SSO) प्रोफ़ाइल के तीसरे पक्ष के आईडीपी (IdP) में साइन इन किए बिना, सीधे Google की किसी सेवा पर जाते हैं. उपयोगकर्ताओं को Google का उपयोगकर्ता नाम डालने के लिए कहा जा सकता है. इसके बाद, उन्हें आईडीपी (IdP) पर रीडायरेक्ट किया जा सकता है. इसके अलावा, उपयोगकर्ताओं के लिए Google का उपयोगकर्ता नाम और पासवर्ड डालना ज़रूरी किया जा सकता है.

   ध्यान दें: अगर उपयोगकर्ताओं के लिए Google का उपयोगकर्ता नाम और पासवर्ड डालना ज़रूरी किया जाता है, तो इस एसएएमएल एसएसओ (SSO) प्रोफ़ाइल के लिए, पासवर्ड बदलने का यूआरएल सेटिंग (एसएसओ (SSO) प्रोफ़ाइल > आईडीपी (IdP) की जानकारी में उपलब्ध) को अनदेखा कर दिया जाता है. इससे यह पक्का होता है कि उपयोगकर्ता, ज़रूरत के हिसाब से अपने Google खाते के पासवर्ड बदल सकें.

6. सेव करें पर क्लिक करें.

7. (ज़रूरी नहीं) ज़रूरत के हिसाब से, संगठन की अन्य इकाइयों या ग्रुप के लिए, एसएसओ (SSO) प्रोफ़ाइलें असाइन करें.

एसएसओ (SSO) प्रोफ़ाइल के असाइनमेंट मैनेज करें कार्ड बंद करने के बाद, आपको एसएसओ (SSO) प्रोफ़ाइल के असाइनमेंट मैनेज करें सेक्शन में, संगठन की इकाइयों और ग्रुप के लिए अपडेट किए गए असाइनमेंट दिखेंगे.

एसएसओ (SSO) प्रोफ़ाइल का असाइनमेंट हटाना

1. किसी ग्रुप या संगठन की इकाई के नाम पर क्लिक करके, उसके प्रोफ़ाइल असाइनमेंट की सेटिंग खोलें.
2. मौजूदा असाइनमेंट सेटिंग को, पैरंट संगठन की इकाई की सेटिंग से बदलें:
   • संगठन की इकाई के असाइनमेंट के लिए—इनहेरिट करें पर क्लिक करें.
   • ग्रुप के असाइनमेंट के लिए—अनसेट करें पर क्लिक करें.

ध्यान दें: आपकी टॉप संगठन की इकाई, प्रोफ़ाइल असाइनमेंट की सूची में हमेशा मौजूद रहती है. भले ही, प्रोफ़ाइल को 'कोई नहीं' पर सेट किया गया हो.

इन्हें भी देखें

• एसएसओ (SSO) की वैकल्पिक सेटिंग और रखरखाव
• एसएसओ (SSO) से जुड़ी समस्या हल करना
• संवेदनशील कार्रवाइयां करने के लिए, कई पक्षों से अनुमति लेने की सुविधा

Google, Google Workspace, और इनसे जुड़े निशान और लोगो, Google LLC के ट्रेडमार्क हैं. अन्य सभी कंपनी और प्रॉडक्ट के नाम, उन कंपनियों के ट्रेडमार्क हैं जिनसे वे जुड़े हैं.