एसएसओ (SSO) दावे की ज़रूरी शर्तें

एडमिन के तौर पर, आपको यहां दी गई टेबल में शामिल एलिमेंट और एट्रिब्यूट की ज़रूरत होगी. ये एलिमेंट और एट्रिब्यूट, SAML 2.0 एसएसओ (SSO) के दावे हैं. इन्हें आइडेंटिटी प्रोवाइडर (आईडीपी) से उपयोगकर्ता की पुष्टि होने के बाद, Google Assertion Consumer Service (ACS) को भेजा जाता है.

एट्रिब्यूट के लिए दिशा-निर्देश

अगर आपने तीसरे पक्ष के आइडेंटिटी प्रोवाइडर के ज़रिए एसएसओ (SSO) सेट अप किया है और आपके आईडीपी के SAML दावे में <AttributeStatement> शामिल है, तो Google इन एट्रिब्यूट को तब तक सेव करेगा, जब तक उपयोगकर्ता के Google खाते का सेशन खत्म नहीं हो जाता. (सेशन की अवधि अलग-अलग होती है और इसे एडमिन कॉन्फ़िगर कर सकता है.) खाते का सेशन खत्म होने के बाद, एट्रिब्यूट की जानकारी एक हफ़्ते के अंदर हमेशा के लिए मिटा दी जाती है.

डायरेक्ट्री में मौजूद कस्टम एट्रिब्यूट की तरह, दावे के एट्रिब्यूट में व्यक्तिगत पहचान से जुड़ी संवेदनशील जानकारी (पीआईआई) शामिल नहीं होनी चाहिए. जैसे, खाते के क्रेडेंशियल, सरकारी आईडी नंबर, कार्डहोल्डर का डेटा, वित्तीय खाते का डेटा, स्वास्थ्य से जुड़ी जानकारी या बैकग्राउंड की संवेदनशील जानकारी.

दावे के एट्रिब्यूट के लिए सुझाए गए इस्तेमाल के उदाहरण:

इंटरनल आईटी सिस्टम के लिए उपयोगकर्ता आईडी
सेशन के हिसाब से भूमिकाएं

दावों में, एट्रिब्यूट का ज़्यादा से ज़्यादा 2 केबी डेटा पास किया जा सकता है. अनुमति से ज़्यादा साइज़ वाले दावों को पूरी तरह से अस्वीकार कर दिया जाएगा. साथ ही, इससे साइन-इन नहीं हो पाएगा.

साथ काम करने वाले वर्ण सेट

साथ काम करने वाला वर्ण सेट इस पर निर्भर करता है कि आपने एसएसओ (SSO) प्रोफ़ाइलें इस्तेमाल की हैं या लेगसी एसएसओ (SSO) प्रोफ़ाइल:

लेगसी एसएसओ (SSO) प्रोफ़ाइल—एट्रिब्यूट की वैल्यू, लो-ASCII स्ट्रिंग होनी चाहिए. यूनिकोड/UTF-8 वर्णों के साथ काम नहीं किया जाता. इनका इस्तेमाल करने पर, साइन-इन नहीं हो पाएगा.
एसएसओ (SSO) प्रोफ़ाइलें—यूनिकोड/UTF-8 वर्णों के साथ काम किया जाता है.

दावों को ACS पर वापस भेजना

समस्याओं को हल करना

इन दावों से जुड़ी समस्याओं को हल करने के लिए, नेटवर्क इंस्पेक्टर का इस्तेमाल करें. निर्देशों के लिए, Google Admin टूलबॉक्स HAR Analyzer पेज देखें.

अगर आपको सहायता टीम से संपर्क करना है, तो डिस्पोज़ेबल टेस्ट खाते का इस्तेमाल करें. ऐसा इसलिए, क्योंकि एचटीटीपी आर्काइव (एचएआर) कैप्चर में, उपयोगकर्ता नाम और पासवर्ड सादे टेक्स्ट में शामिल होते हैं. इसके अलावा, उपयोगकर्ता और आईडीपी के बीच हुई संवेदनशील बातचीत को मिटाने के लिए, फ़ाइल में बदलाव करें. Google Workspace की सहायता टीम से संपर्क करें.

आपके आईडीपी को भेजे गए SAMLRequest में, AssertionConsumerServiceURL शामिल होता है. अगर आपका SAMLResponse किसी दूसरे यूआरएल पर भेजा जाता है, तो हो सकता है कि आपके आईडीपी के कॉन्फ़िगरेशन में कोई समस्या हो.

एलिमेंट और एट्रिब्यूट का इस्तेमाल करना—एसएसओ (SSO) प्रोफ़ाइलें

Name ID एलिमेंट

फ़ील्ड	Subject एलिमेंट में मौजूद NameID एलिमेंट.
ब्यौरा	NameID , विषय की पहचान करता है. यह उपयोगकर्ता का मुख्य ईमेल पता होता है. यह फ़ॉर्म, केस-सेंसिटिव (बड़े और छोटे अक्षरों में अंतर) होता है.
ज़रूरी है वैल्यू	user@example.com
उदाहरण	`<saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com </saml:NameID>`

Recipient एट्रिब्यूट

फ़ील्ड	SubjectConfirmationData एलिमेंट में मौजूद Recipient एट्रिब्यूट
ब्यौरा	Recipient , सेवा देने वाली कंपनी के Assertion Consumer Service (ACS) यूआरएल की जानकारी देता है. यह यूआरएल, उस सेवा देने वाली कंपनी का होता है जिसके लिए दावा किया गया है.
ज़रूरी है वैल्यू	एसएसओ (SSO) प्रोफ़ाइल के सेवा देने वाली कंपनी (एसपी) की जानकारी वाले सेक्शन में मौजूद, ACS यूआरएल की वैल्यू.
उदाहरण	`<saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> <saml:SubjectConfirmationData NotOnOrAfter="2014-11-05T17:37:07Z" Recipient="https://accounts.google.com/samlrp/0abc123/acs" InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen"> </saml:SubjectConfirmationData> </saml:SubjectConfirmation>`

Audience एलिमेंट

फ़ील्ड	AudienceRestriction पैरंट एलिमेंट में मौजूद Audience एलिमेंट
ब्यौरा	Audience , यूआरआई रेफ़रंस है. यह दावे के लिए सही ऑडियंस की पहचान करता है.
ज़रूरी है वैल्यू	एसएसओ (SSO) प्रोफ़ाइल के सेवा देने वाली कंपनी (एसपी) की जानकारी वाले सेक्शन में मौजूद, Entity ID की वैल्यू.
उदाहरण	`<saml:Conditions NotBefore="2014-11-05T17:31:37Z" NotOnOrAfter="2014-11-05T17:37:07Z"> <saml:AudienceRestriction> <saml:Audience>https://accounts.google.com/samlrp/0abc123 </saml:Audience> </saml:AudienceRestriction> </saml:Conditions>`

Destination एट्रिब्यूट

फ़ील्ड	Response एलिमेंट का Destination एट्रिब्यूट
ब्यौरा	Destination , यूआरआई रेफ़रंस है. यह उस पते की जानकारी देता है जहां यह जवाब भेजा गया है.
ज़रूरी है वैल्यू	यह एक ज़रूरी एट्रिब्यूट नहीं है. अगर इसे सेट किया जाता है, तो यह एसएसओ (SSO) प्रोफ़ाइल के सेवा देने वाली कंपनी (एसपी) की जानकारी वाले सेक्शन में मौजूद, ACS यूआरएल की वैल्यू होनी चाहिए.
उदाहरण	`<saml:Response Destination="https://accounts.google.com/samlrp/0abc123/acs" ID="resp-53450fcf-d45e-420f-9246-262e165563cb" InResponseTo="_cc1ca69615a0e8719426e7a250557c5b"> IssueInstant="2024-10-04T20:17:38.726Z" Version="2.0"> ... </saml:Response>`

एलिमेंट और एट्रिब्यूट का इस्तेमाल करना—लेगसी एसएसओ (SSO) प्रोफ़ाइल

ध्यान दें: SAML दावे में सिर्फ़ स्टैंडर्ड ASCII वर्ण शामिल किए जा सकते हैं.

Name ID एलिमेंट

फ़ील्ड	Subject एलिमेंट में मौजूद NameID एलिमेंट.
ब्यौरा	NameID , विषय की पहचान करता है. यह उपयोगकर्ता का मुख्य ईमेल पता होता है. यह फ़ॉर्म, केस-सेंसिटिव (बड़े और छोटे अक्षरों में अंतर) होता है.
ज़रूरी है वैल्यू	user@example.com
उदाहरण	`<saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com </saml:NameID>`

Recipient एट्रिब्यूट

फ़ील्ड	SubjectConfirmationData एलिमेंट में मौजूद Recipient एट्रिब्यूट
ब्यौरा	Recipient , विषय के लिए ज़रूरी अतिरिक्त डेटा की जानकारी देता है. example.com , आपके Google Workspace या Cloud Identity खाते का मुख्य डोमेन हो सकता है. भले ही, पुष्टि किया जा रहा उपयोगकर्ता, उसी Google Workspace या Cloud Identity खाते में कोई दूसरा डोमेन इस्तेमाल कर रहा हो.
ज़रूरी है वैल्यू	https://www.google.com/a/example.com/acs या https://accounts.google.com/a/example.com/acs
उदाहरण	`<saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> <saml:SubjectConfirmationData NotOnOrAfter="2014-11-05T17:37:07Z" Recipient="https://www.google.com/a/example.com/acs" InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen"> </saml:SubjectConfirmationData> </saml:SubjectConfirmation>`

Audience एलिमेंट

फ़ील्ड	AudienceRestriction पैरंट एलिमेंट में मौजूद Audience एलिमेंट
ब्यौरा	Audience , यूनिफ़ॉर्म रिसॉर्स आइडेंटिफ़ायर (यूआरआई) है. यह उस सही ऑडियंस की पहचान करता है जिसे ACS यूआरआई की वैल्यू की ज़रूरत होती है. example.com , आपके Google Workspace या Cloud Identity खाते का मुख्य डोमेन हो सकता है. भले ही, पुष्टि किया जा रहा उपयोगकर्ता, उसी Google Workspace या Cloud Identity खाते में कोई दूसरा डोमेन इस्तेमाल कर रहा हो. इस एलिमेंट की वैल्यू खाली नहीं छोड़ी जा सकती.
ज़रूरी है वैल्यू	इनमें से कोई एक: google.com google.com/a/<आपका डोमेन> (अगर आपने अपनी लेगसी एसएसओ (SSO) प्रोफ़ाइल के कॉन्फ़िगरेशन में "डोमेन के हिसाब से जारी करने वाले का इस्तेमाल करें" विकल्प चुना है.)
उदाहरण	`<saml:Conditions NotBefore="2014-11-05T17:31:37Z" NotOnOrAfter="2014-11-05T17:37:07Z"> <saml:AudienceRestriction> <saml:Audience>google.com/a/example.com</saml:Audience> </saml:AudienceRestriction> </saml:Conditions>`

Destination एट्रिब्यूट

फ़ील्ड	Response एलिमेंट का Destination एट्रिब्यूट
ब्यौरा	Destination , उस यूआरआई की जानकारी देता है जहां SAML दावा भेजा जा रहा है. यह एक ज़रूरी एट्रिब्यूट नहीं है. हालांकि, अगर इसे तय किया जाता है, तो इसके लिए ACS यूआरआई की वैल्यू की ज़रूरत होगी. example.com , आपके Google Workspace या Cloud Identity खाते का मुख्य डोमेन हो सकता है. भले ही, पुष्टि किया जा रहा उपयोगकर्ता, उसी Google Workspace या Cloud Identity खाते में कोई दूसरा डोमेन इस्तेमाल कर रहा हो.
ज़रूरी है वैल्यू	https://www.google.com/a/example.com/acs या https://accounts.google.com/a/example.com/acs
उदाहरण	`<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" ID="_7840062d379d82598d87ca04c8622f436bb03aa1c7" Version="2.0" IssueInstant="2014-11-05T17:32:07Z" Destination="https://www.google.com/a/example.com/acs" InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen">`