SSO দাবির প্রয়োজনীয়তা

প্রশাসক হিসেবে, আইডেন্টিটি প্রোভাইডার (IdP) কর্তৃক ব্যবহারকারীকে প্রমাণীকরণের পর গুগল অ্যাসারশন কনজিউমার সার্ভিস (ACS)-এ ফেরত আসা SAML 2.0 SSO অ্যাসারশনগুলোর জন্য আপনার নিম্নলিখিত সারণিতে তালিকাভুক্ত উপাদান এবং অ্যাট্রিবিউটগুলোর প্রয়োজন হবে।

অ্যাট্রিবিউটের জন্য নির্দেশিকা

আপনি যদি কোনো তৃতীয় পক্ষের আইডেন্টিটি প্রোভাইডারের (IdP) মাধ্যমে SSO সেট আপ করে থাকেন এবং আপনার IdP-এর SAML অ্যাসারশনে একটি <AttributeStatement> অন্তর্ভুক্ত থাকে, তাহলে ব্যবহারকারীর গুগল অ্যাকাউন্ট সেশনের মেয়াদ শেষ না হওয়া পর্যন্ত গুগল এই অ্যাট্রিবিউটগুলো সংরক্ষণ করবে। (সেশনের সময়কাল ভিন্ন হতে পারে এবং এটি অ্যাডমিনিস্ট্রেটর দ্বারা কনফিগারযোগ্য।) অ্যাকাউন্ট সেশনের মেয়াদ শেষ হওয়ার পর, এক সপ্তাহের মধ্যে অ্যাট্রিবিউটের তথ্য স্থায়ীভাবে মুছে ফেলা হয়।

ডিরেক্টরির কাস্টম অ্যাট্রিবিউটের মতোই, অ্যাসারশন অ্যাট্রিবিউটেও সংবেদনশীল ব্যক্তিগত শনাক্তকরণ তথ্য (PII) অন্তর্ভুক্ত করা উচিত নয়, যেমন—অ্যাকাউন্ট ক্রেডেনশিয়াল, সরকারি আইডি নম্বর, কার্ডধারীর তথ্য, আর্থিক অ্যাকাউন্টের তথ্য, স্বাস্থ্যসেবা সংক্রান্ত তথ্য বা সংবেদনশীল পটভূমি সম্পর্কিত তথ্য।

অ্যাসারশন অ্যাট্রিবিউটের প্রস্তাবিত ব্যবহারগুলোর মধ্যে রয়েছে:

  • অভ্যন্তরীণ আইটি সিস্টেমের জন্য ব্যবহারকারী আইডি
  • সেশন-নির্দিষ্ট ভূমিকা

আপনি আপনার অ্যাসারশনে সর্বোচ্চ ২ কিলোবাইট অ্যাট্রিবিউট ডেটা পাস করতে পারবেন। অনুমোদিত সর্বোচ্চ আকার অতিক্রমকারী অ্যাসারশনগুলো সম্পূর্ণরূপে বাতিল করা হবে এবং এর ফলে সাইন-ইন ব্যর্থ হবে।

সমর্থিত অক্ষর সেট

আপনি SSO প্রোফাইল ব্যবহার করছেন নাকি লিগ্যাসি SSO প্রোফাইল ব্যবহার করছেন, তার উপর সমর্থিত ক্যারেক্টার সেট নির্ভর করে:

  • লিগ্যাসি SSO প্রোফাইল — অ্যাট্রিবিউটের মান অবশ্যই লো-ASCII স্ট্রিং হতে হবে (ইউনিকোড/UTF-8 অক্ষর সমর্থিত নয় এবং এর ফলে সাইন-ইন ব্যর্থ হবে)।
  • SSO প্রোফাইল — ইউনিকোড/UTF-8 অক্ষর সমর্থিত।

ACS-কে অ্যাসারশনগুলো ফেরত দিন

সমস্যা সমাধান করুন

এই অ্যাসারশনগুলির সমস্যা সমাধান করতে, নেটওয়ার্ক ইন্সপেক্টর ব্যবহার করুন। নির্দেশাবলীর জন্য, গুগল অ্যাডমিন টুলবক্স HAR অ্যানালাইজার পৃষ্ঠাটি দেখুন।

সাপোর্টের সাথে যোগাযোগ করার প্রয়োজন হলে, একটি ডিসপোজেবল টেস্ট অ্যাকাউন্ট ব্যবহার করুন, কারণ HTTP Archive (HAR) ক্যাপচারে ইউজারনেম এবং পাসওয়ার্ড স্পষ্ট টেক্সটে থাকে। অথবা, ব্যবহারকারী এবং IdP-এর মধ্যেকার সংবেদনশীল কথোপকথন মুছে ফেলার জন্য ফাইলটি এডিট করুন। Google Workspace সাপোর্টের সাথে যোগাযোগ করুন।

আপনার IdP-তে পাঠানো SAMLRequest-টিতে প্রাসঙ্গিক AssertionConsumerServiceURL থাকে। যদি আপনার SAMLResponse অন্য কোনো URL-এ পাঠানো হয়, তাহলে আপনার IdP-এর কনফিগারেশনে কোনো সমস্যা থাকতে পারে।

উপাদান এবং বৈশিষ্ট্য ব্যবহার করুন—এসএসও প্রোফাইল

নাম আইডি উপাদান

মাঠ Subject এলিমেন্টের মধ্যে NameID এলিমেন্ট।
বর্ণনা

NameID ব্যবহারকারীর প্রাথমিক ইমেল ঠিকানাটিকে শনাক্ত করে।

এটি কেস-সেনসিটিভ।

প্রয়োজনীয়

মূল্য

 user@example.com
উদাহরণ <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"> user@example.com
</saml:NameID>

প্রাপকের বৈশিষ্ট্য

মাঠ SubjectConfirmationData এলিমেন্টের Recipient অ্যাট্রিবিউট
বর্ণনা

প্রাপক সেই পরিষেবা প্রদানকারীর অ্যাসারশন কনজিউমার সার্ভিস ইউআরএল নির্দিষ্ট করে, যার জন্য অ্যাসারশনটি উদ্দিষ্ট।

প্রয়োজনীয়

মূল্য

SSO প্রোফাইলের সার্ভিস প্রোভাইডার (SP) বিবরণ বিভাগ থেকে প্রাপ্ত ACS URL মান।

উদাহরণ <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectConfirmationData
NotOnOrAfter="2014-11-05T17:37:07Z"
Recipient="https://accounts.google.com/samlrp/0abc123/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen">
</saml:SubjectConfirmationData>
</saml:SubjectConfirmation>

দর্শক উপাদান

মাঠ AudienceRestriction প্যারেন্ট এলিমেন্টের মধ্যে থাকা Audience এলিমেন্ট
বর্ণনা

Audience হলো একটি URI রেফারেন্স যা বিবৃতিটির উদ্দিষ্ট পাঠকগোষ্ঠীকে শনাক্ত করে।

প্রয়োজনীয়

মূল্য

SSO প্রোফাইলের পরিষেবা প্রদানকারী (SP) বিবরণ বিভাগ থেকে প্রাপ্ত এনটিটি আইডি (Entity ID) মান।

উদাহরণ

<saml:Conditions
NotBefore="2014-11-05T17:31:37Z"
NotOnOrAfter="2014-11-05T17:37:07Z">
<saml:AudienceRestriction>
<saml:Audience>https://accounts.google.com/samlrp/0abc123
</saml:Audience>
</saml:AudienceRestriction>
</saml:Conditions>

গন্তব্য বৈশিষ্ট্য

মাঠ Response এলিমেন্টের গন্তব্য অ্যাট্রিবিউট
বর্ণনা

গন্তব্য হলো একটি URI রেফারেন্স যা সেই ঠিকানা নির্দেশ করে যেখানে এই প্রতিক্রিয়াটি পাঠানো হয়েছে।

প্রয়োজনীয়

মূল্য

 এটি একটি ঐচ্ছিক অ্যাট্রিবিউট; যদি এটি সেট করা থাকে, তবে এর মানটি SSO প্রোফাইলের সার্ভিস প্রোভাইডার (SP) ডিটেইলস সেকশন থেকে নেওয়া ACS URL ভ্যালু হতে হবে।
উদাহরণ <saml:Response
Destination="https://accounts.google.com/samlrp/0abc123/acs"
ID="resp-53450fcf-d45e-420f-9246-262e165563cb"
InResponseTo="_cc1ca69615a0e8719426e7a250557c5b">
IssueInstant="2024-10-04T20:17:38.726Z"
Version="2.0">
...
</saml:Response>

উপাদান এবং বৈশিষ্ট্য ব্যবহার করুন—লেগ্যাসি SSO প্রোফাইল

দ্রষ্টব্য: SAML অ্যাসারশনে শুধুমাত্র স্ট্যান্ডার্ড ASCII অক্ষর থাকতে পারে।

নাম আইডি উপাদান

মাঠ Subject এলিমেন্টের মধ্যে NameID এলিমেন্ট।
বর্ণনা

NameID ব্যবহারকারীর প্রাথমিক ইমেল ঠিকানাটিকে শনাক্ত করে।

এটি কেস-সেনসিটিভ।

প্রয়োজনীয়

মূল্য

 user@example.com
উদাহরণ <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"> user@example.com
</saml:NameID>

প্রাপকের বৈশিষ্ট্য

মাঠ SubjectConfirmationData এলিমেন্টের Recipient অ্যাট্রিবিউট
বর্ণনা

প্রাপক বিষয়টির জন্য প্রয়োজনীয় অতিরিক্ত তথ্য নির্দিষ্ট করেন।

example.com সম্ভবত আপনার Google Workspace বা Cloud Identity অ্যাকাউন্টের প্রাথমিক ডোমেইন, এমনকি যদি প্রমাণীকরণ করা ব্যবহারকারী একই Google Workspace বা Cloud Identity অ্যাকাউন্টে একটি দ্বিতীয় ডোমেইন ব্যবহার করেন।

প্রয়োজনীয়

মূল্য

https://www.google.com/a/ example.com /acs

অথবা

https://accounts.google.com/a/ example.com /acs

উদাহরণ <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectConfirmationData
NotOnOrAfter="2014-11-05T17:37:07Z"
Recipient="https://www.google.com/a/example.com/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen">
</saml:SubjectConfirmationData>
</saml:SubjectConfirmation>

দর্শক উপাদান

মাঠ AudienceRestriction প্যারেন্ট এলিমেন্টের মধ্যে থাকা Audience এলিমেন্ট
বর্ণনা

অডিয়েন্স হলো ইউনিফর্ম রিসোর্স আইডেন্টিফায়ার (URI), যা সেই উদ্দিষ্ট দর্শককে শনাক্ত করে যাদের জন্য ACS URI-এর মান প্রয়োজন।

example.com সম্ভবত আপনার Google Workspace বা Cloud Identity অ্যাকাউন্টের প্রাথমিক ডোমেইন, এমনকি যদি প্রমাণীকরণ করা ব্যবহারকারী একই Google Workspace বা Cloud Identity অ্যাকাউন্টে একটি দ্বিতীয় ডোমেইন ব্যবহার করেন।

এই এলিমেন্টের মান খালি হতে পারে না।

প্রয়োজনীয়

মূল্য

নিম্নলিখিতগুলির যেকোনো একটি:

  • google.com
  • google.com/a/ <আপনার ডোমেইন> (যদি আপনি আপনার পুরোনো SSO প্রোফাইল কনফিগারেশনে "Use a domain specific issuer" বিকল্পটি নির্বাচন করে থাকেন।)
উদাহরণ

<saml:Conditions
NotBefore="2014-11-05T17:31:37Z"
NotOnOrAfter="2014-11-05T17:37:07Z">
<saml:AudienceRestriction>
<saml:Audience>google.com/a/example.com</saml:Audience>
</saml:AudienceRestriction>
</saml:Conditions>

গন্তব্য বৈশিষ্ট্য

মাঠ Response এলিমেন্টের গন্তব্য অ্যাট্রিবিউট
বর্ণনা

গন্তব্য হলো সেই URI, যেখানে SAML অ্যাসারশনটি পাঠানো হচ্ছে।

এটি একটি ঐচ্ছিক অ্যাট্রিবিউট, কিন্তু যদি এটি ঘোষণা করা হয়, তবে এর মান হিসেবে ACS URI দিতে হবে।

example.com সম্ভবত আপনার Google Workspace বা Cloud Identity অ্যাকাউন্টের প্রাথমিক ডোমেইন, এমনকি যদি প্রমাণীকরণ করা ব্যবহারকারী একই Google Workspace বা Cloud Identity অ্যাকাউন্টে একটি দ্বিতীয় ডোমেইন ব্যবহার করেন।

প্রয়োজনীয়

মূল্য

https://www.google.com/a/ example.com /acs

অথবা

https://accounts.google.com/a/ example.com /acs

উদাহরণ <samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
ID="_7840062d379d82598d87ca04c8622f436bb03aa1c7"
Version="2.0"
IssueInstant="2014-11-05T17:32:07Z"
Destination="https://www.google.com/a/ example.com /acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen">