एसएसओ (SSO) दावे की ज़रूरी शर्तें

एडमिन के तौर पर, आपको यहां दी गई टेबल में शामिल एलिमेंट और एट्रिब्यूट की ज़रूरत होगी. ये एलिमेंट और एट्रिब्यूट, SAML 2.0 एसएसओ (SSO) के दावे हैं. इन्हें आइडेंटिटी प्रोवाइडर (आईडीपी) से उपयोगकर्ता की पुष्टि होने के बाद, Google Assertion Consumer Service (ACS) को भेजा जाता है.

एट्रिब्यूट के लिए दिशा-निर्देश

अगर आपने तीसरे पक्ष के आइडेंटिटी प्रोवाइडर के ज़रिए एसएसओ (SSO) सेट अप किया है और आपके आईडीपी के SAML दावे में <AttributeStatement> शामिल है, तो Google इन एट्रिब्यूट को तब तक सेव करेगा, जब तक उपयोगकर्ता के Google खाते का सेशन खत्म नहीं हो जाता. (सेशन की अवधि अलग-अलग होती है और इसे एडमिन कॉन्फ़िगर कर सकता है.) खाते का सेशन खत्म होने के बाद, एट्रिब्यूट की जानकारी एक हफ़्ते के अंदर हमेशा के लिए मिटा दी जाती है.

डायरेक्ट्री में मौजूद कस्टम एट्रिब्यूट की तरह, दावे के एट्रिब्यूट में व्यक्तिगत पहचान से जुड़ी संवेदनशील जानकारी (पीआईआई) शामिल नहीं होनी चाहिए. जैसे, खाते के क्रेडेंशियल, सरकारी आईडी नंबर, कार्डहोल्डर का डेटा, वित्तीय खाते का डेटा, स्वास्थ्य से जुड़ी जानकारी या बैकग्राउंड की संवेदनशील जानकारी.

दावे के एट्रिब्यूट के लिए सुझाए गए इस्तेमाल के उदाहरण:

इंटरनल आईटी सिस्टम के लिए उपयोगकर्ता आईडी
सेशन के हिसाब से भूमिकाएं

दावों में, एट्रिब्यूट का ज़्यादा से ज़्यादा 2 केबी डेटा पास किया जा सकता है. अनुमति से ज़्यादा साइज़ वाले दावों को पूरी तरह से अस्वीकार कर दिया जाएगा. साथ ही, इससे साइन-इन नहीं हो पाएगा.

साथ काम करने वाले वर्ण सेट

साथ काम करने वाला वर्ण सेट इस बात पर निर्भर करता है कि आपने एसएसओ (SSO) प्रोफ़ाइलें इस्तेमाल की हैं या लेगसी एसएसओ (SSO) प्रोफ़ाइल:

लेगसी एसएसओ (SSO) प्रोफ़ाइल—एट्रिब्यूट की वैल्यू, लो-ASCII स्ट्रिंग होनी चाहिए. यूनिकोड/UTF-8 वर्णों के साथ काम नहीं किया जाता. इनका इस्तेमाल करने पर, साइन-इन नहीं हो पाएगा.
एसएसओ (SSO) प्रोफ़ाइलें—यूनिकोड/UTF-8 वर्णों के साथ काम किया जाता है.

दावों को ACS पर वापस भेजना

समस्याओं को हल करना

इन दावों से जुड़ी समस्याओं को हल करने के लिए, नेटवर्क इंस्पेक्टर का इस्तेमाल करें. निर्देशों के लिए, Google Admin टूलबॉक्स HAR Analyzer पेज देखें.

अगर आपको सहायता टीम से संपर्क करना है, तो डिस्पोज़ेबल टेस्ट खाते का इस्तेमाल करें. ऐसा इसलिए, क्योंकि एचटीटीपी आर्काइव (एचएआर) कैप्चर में, उपयोगकर्ता नाम और पासवर्ड सादे टेक्स्ट में शामिल होते हैं. इसके अलावा, उपयोगकर्ता और आईडीपी के बीच हुई संवेदनशील बातचीत को मिटाने के लिए, फ़ाइल में बदलाव करें. Google Workspace की सहायता टीम से संपर्क करें.

आपके आईडीपी को भेजे गए SAMLRequest में, AssertionConsumerServiceURL शामिल होता है. अगर आपका SAMLResponse किसी दूसरे यूआरएल पर भेजा जाता है, तो हो सकता है कि आपके आईडीपी के कॉन्फ़िगरेशन में कोई समस्या हो.

एलिमेंट और एट्रिब्यूट का इस्तेमाल करना—एसएसओ (SSO) प्रोफ़ाइलें

Name ID एलिमेंट

फ़ील्ड	Subject एलिमेंट में मौजूद NameID एलिमेंट.
ब्यौरा	NameID से, विषय की पहचान होती है. यह उपयोगकर्ता का मुख्य ईमेल पता होता है. यह फ़ॉर्म, केस-सेंसिटिव (बड़े और छोटे अक्षरों में अंतर) होता है.
ज़रूरी है वैल्यू	user@example.com
उदाहरण	`<saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com </saml:NameID>`

Recipient एट्रिब्यूट

फ़ील्ड	SubjectConfirmationData एलिमेंट में मौजूद Recipient एट्रिब्यूट
ब्यौरा	Recipient में, सेवा देने वाली कंपनी के Assertion Consumer Service (ACS) यूआरएल की जानकारी होती है. यह यूआरएल, उस सेवा देने वाली कंपनी का होता है जिसके लिए दावा किया गया है.
ज़रूरी है वैल्यू	एसएसओ (SSO) प्रोफ़ाइल के, सेवा देने वाली कंपनी (एसपी) की जानकारी वाले सेक्शन में मौजूद ACS यूआरएल की वैल्यू.
उदाहरण	`<saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> <saml:SubjectConfirmationData NotOnOrAfter="2014-11-05T17:37:07Z" Recipient="https://accounts.google.com/samlrp/0abc123/acs" InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen"> </saml:SubjectConfirmationData> </saml:SubjectConfirmation>`

Audience एलिमेंट

फ़ील्ड	AudienceRestriction पैरंट एलिमेंट में मौजूद Audience एलिमेंट
ब्यौरा	Audience एक यूआरआई रेफ़रंस है. इससे दावे के लिए सही ऑडियंस की पहचान होती है.
ज़रूरी है वैल्यू	एसएसओ (SSO) प्रोफ़ाइल के, सेवा देने वाली कंपनी (एसपी) की जानकारी वाले सेक्शन में मौजूद इकाई आईडी की वैल्यू.
उदाहरण	`<saml:Conditions NotBefore="2014-11-05T17:31:37Z" NotOnOrAfter="2014-11-05T17:37:07Z"> <saml:AudienceRestriction> <saml:Audience>https://accounts.google.com/samlrp/0abc123 </saml:Audience> </saml:AudienceRestriction> </saml:Conditions>`

Destination एट्रिब्यूट

फ़ील्ड	Response एलिमेंट का Destination एट्रिब्यूट
ब्यौरा	Destination एक यूआरआई रेफ़रंस है. इससे उस पते की जानकारी मिलती है जहां यह जवाब भेजा गया है.
ज़रूरी है वैल्यू	यह एक ज़रूरी एट्रिब्यूट नहीं है. अगर इसे सेट किया जाता है, तो यह एसएसओ (SSO) प्रोफ़ाइल के, सेवा देने वाली कंपनी (एसपी) की जानकारी वाले सेक्शन में मौजूद ACS यूआरएल की वैल्यू होनी चाहिए.
उदाहरण	`<saml:Response Destination="https://accounts.google.com/samlrp/0abc123/acs" ID="resp-53450fcf-d45e-420f-9246-262e165563cb" InResponseTo="_cc1ca69615a0e8719426e7a250557c5b"> IssueInstant="2024-10-04T20:17:38.726Z" Version="2.0"> ... </saml:Response>`

एलिमेंट और एट्रिब्यूट का इस्तेमाल करना—लेगसी एसएसओ (SSO) प्रोफ़ाइल

ध्यान दें: SAML दावे में सिर्फ़ स्टैंडर्ड ASCII वर्ण शामिल हो सकते हैं.

Name ID एलिमेंट

फ़ील्ड	Subject एलिमेंट में मौजूद NameID एलिमेंट.
ब्यौरा	NameID से, विषय की पहचान होती है. यह उपयोगकर्ता का मुख्य ईमेल पता होता है. यह फ़ॉर्म, केस-सेंसिटिव (बड़े और छोटे अक्षरों में अंतर) होता है.
ज़रूरी है वैल्यू	user@example.com
उदाहरण	`<saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com </saml:NameID>`

Recipient एट्रिब्यूट

फ़ील्ड	SubjectConfirmationData एलिमेंट में मौजूद Recipient एट्रिब्यूट
ब्यौरा	Recipient में, विषय के लिए ज़रूरी अतिरिक्त डेटा की जानकारी होती है. example.com शायद आपके Google Workspace या Cloud Identity खाते का मुख्य डोमेन है. भले ही, पुष्टि किया जा रहा उपयोगकर्ता, उसी Google Workspace या Cloud Identity खाते में कोई दूसरा डोमेन इस्तेमाल कर रहा हो.
ज़रूरी है वैल्यू	https://www.google.com/a/example.com/acs या https://accounts.google.com/a/example.com/acs
उदाहरण	`<saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> <saml:SubjectConfirmationData NotOnOrAfter="2014-11-05T17:37:07Z" Recipient="https://www.google.com/a/example.com/acs" InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen"> </saml:SubjectConfirmationData> </saml:SubjectConfirmation>`

Audience एलिमेंट

फ़ील्ड	AudienceRestriction पैरंट एलिमेंट में मौजूद Audience एलिमेंट
ब्यौरा	Audience यूनिफ़ॉर्म रिसॉर्स आइडेंटिफ़ायर (यूआरआई) है. इससे उस सही ऑडियंस की पहचान होती है जिसे ACS यूआरआई की वैल्यू की ज़रूरत होती है. example.com शायद आपके Google Workspace या Cloud Identity खाते का मुख्य डोमेन है. भले ही, पुष्टि किया जा रहा उपयोगकर्ता, उसी Google Workspace या Cloud Identity खाते में कोई दूसरा डोमेन इस्तेमाल कर रहा हो. इस एलिमेंट की वैल्यू खाली नहीं छोड़ी जा सकती.
ज़रूरी है वैल्यू	इनमें से कोई एक: google.com google.com/a/<आपका डोमेन> (अगर आपने अपनी लेगसी एसएसओ (SSO) प्रोफ़ाइल के कॉन्फ़िगरेशन में, "डोमेन के हिसाब से जारी करने वाले का इस्तेमाल करें" को चुना है.)
उदाहरण	`<saml:Conditions NotBefore="2014-11-05T17:31:37Z" NotOnOrAfter="2014-11-05T17:37:07Z"> <saml:AudienceRestriction> <saml:Audience>google.com/a/example.com</saml:Audience> </saml:AudienceRestriction> </saml:Conditions>`

Destination एट्रिब्यूट

फ़ील्ड	Response एलिमेंट का Destination एट्रिब्यूट
ब्यौरा	Destination उस यूआरआई की जानकारी देता है जहां SAML दावा भेजा जा रहा है. यह एक ज़रूरी एट्रिब्यूट नहीं है. हालांकि, अगर इसे तय किया जाता है, तो इसके लिए ACS यूआरआई की वैल्यू की ज़रूरत होगी. example.com शायद आपके Google Workspace या Cloud Identity खाते का मुख्य डोमेन है. भले ही, पुष्टि किया जा रहा उपयोगकर्ता, उसी Google Workspace या Cloud Identity खाते में कोई दूसरा डोमेन इस्तेमाल कर रहा हो.
ज़रूरी है वैल्यू	https://www.google.com/a/example.com/acs या https://accounts.google.com/a/example.com/acs
उदाहरण	`<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" ID="_7840062d379d82598d87ca04c8622f436bb03aa1c7" Version="2.0" IssueInstant="2014-11-05T17:32:07Z" Destination="https://www.google.com/a/example.com/acs" InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen">`