Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

एसएसओ (SSO) दावे की ज़रूरी शर्तें

एडमिन के तौर पर, आपको यहां दी गई टेबल में शामिल एलिमेंट और एट्रिब्यूट की ज़रूरत होगी. ये एलिमेंट और एट्रिब्यूट, SAML 2.0 एसएसओ (SSO) के दावे हैं. इन्हें आइडेंटिटी प्रोवाइडर (आईडीपी) से उपयोगकर्ता की पुष्टि होने के बाद, Google के दावे के लिए बने कंज्यूमर सर्विस (एसीएस) को भेजा जाता है.

एट्रिब्यूट के लिए दिशा-निर्देश

अगर आपने तीसरे पक्ष के आइडेंटिटी प्रोवाइडर के ज़रिए एसएसओ (SSO) सेट अप किया है और आपके आईडीपी के SAML दावे में <AttributeStatement> शामिल है, तो Google इन एट्रिब्यूट को तब तक सेव करेगा, जब तक उपयोगकर्ता के Google खाते का सेशन खत्म नहीं हो जाता. (सेशन की अवधि अलग-अलग होती है और इसे एडमिन कॉन्फ़िगर कर सकता है.) खाते का सेशन खत्म होने के बाद, एट्रिब्यूट की जानकारी एक हफ़्ते के अंदर हमेशा के लिए मिटा दी जाती है.

डायरेक्ट्री में मौजूद कस्टम एट्रिब्यूट की तरह, दावे के एट्रिब्यूट में व्यक्तिगत पहचान से जुड़ी संवेदनशील जानकारी (पीआईआई) शामिल नहीं होनी चाहिए. जैसे, खाते के क्रेडेंशियल, सरकारी आईडी नंबर, कार्डहोल्डर का डेटा, वित्तीय खाते का डेटा, स्वास्थ्य से जुड़ी जानकारी या बैकग्राउंड की संवेदनशील जानकारी.

दावे के एट्रिब्यूट के लिए सुझाए गए इस्तेमाल के उदाहरण:

इंटरनल आईटी सिस्टम के लिए उपयोगकर्ता आईडी
सेशन के हिसाब से भूमिकाएं

दावों में, एट्रिब्यूट का ज़्यादा से ज़्यादा 2 केबी डेटा पास किया जा सकता है. अनुमति से ज़्यादा साइज़ वाले दावों को पूरी तरह से अस्वीकार कर दिया जाएगा. साथ ही, इससे साइन-इन नहीं हो पाएगा.

साथ काम करने वाले वर्ण सेट

साथ काम करने वाला वर्ण सेट इस बात पर निर्भर करता है कि आपने एसएसओ (SSO) प्रोफ़ाइलें इस्तेमाल की हैं या लेगसी एसएसओ (SSO) प्रोफ़ाइल:

लेगसी एसएसओ (SSO) प्रोफ़ाइल—एट्रिब्यूट की वैल्यू, लो-ASCII स्ट्रिंग होनी चाहिए. यूनिकोड/UTF-8 वर्णों के साथ काम नहीं किया जाता. अगर इनका इस्तेमाल किया जाता है, तो साइन-इन नहीं हो पाएगा.
एसएसओ (SSO) प्रोफ़ाइलें—यूनिकोड/UTF-8 वर्णों के साथ काम किया जाता है.

दावों को एसीएस पर वापस भेजना

समस्याओं को हल करना

इन दावों से जुड़ी समस्याओं को हल करने के लिए, नेटवर्क इंस्पेक्टर का इस्तेमाल करें. निर्देशों के लिए, Google Admin टूलबॉक्स HAR Analyzer पेज देखें.

अगर आपको सहायता टीम से संपर्क करना है, तो डिस्पोज़ेबल टेस्ट खाते का इस्तेमाल करें. ऐसा इसलिए, क्योंकि एचटीटीपी आर्काइव (एचएआर) कैप्चर में, उपयोगकर्ता नाम और पासवर्ड सादे टेक्स्ट में शामिल होते हैं. इसके अलावा, उपयोगकर्ता और आईडीपी के बीच हुई संवेदनशील बातचीत को मिटाने के लिए, फ़ाइल में बदलाव करें. Google Workspace की सहायता टीम से संपर्क करें.

आपके आईडीपी को भेजे गए SAMLRequest में, AssertionConsumerServiceURL शामिल होता है. अगर आपका SAMLResponse किसी दूसरे यूआरएल पर भेजा जाता है, तो हो सकता है कि आपके आईडीपी के कॉन्फ़िगरेशन में कोई समस्या हो.

एलिमेंट और एट्रिब्यूट का इस्तेमाल करना—एसएसओ (SSO) प्रोफ़ाइलें

नेम आईडी एलिमेंट

फ़ील्ड	Subject एलिमेंट में मौजूद NameID एलिमेंट.
ब्यौरा	NameID से विषय की पहचान होती है. यह उपयोगकर्ता का मुख्य ईमेल पता होता है. यह फ़ॉर्म, केस-सेंसिटिव (बड़े और छोटे अक्षरों में अंतर) होता है.
ज़रूरी है वैल्यू	user@example.com
उदाहरण	`<saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com </saml:NameID>`

उपहार पाने वाले व्यक्ति का एट्रिब्यूट

फ़ील्ड	SubjectConfirmationData एलिमेंट में मौजूद Recipient एट्रिब्यूट
ब्यौरा	Recipient में, सेवा देने वाली कंपनी के दावे के लिए, दावे के लिए बनी कंज्यूमर सर्विस का यूआरएल बताया जाता है.
ज़रूरी है वैल्यू	एसएसओ (SSO) प्रोफ़ाइल के, सेवा देने वाली कंपनी (एसपी) की जानकारी वाले सेक्शन में मौजूद एसीएस यूआरएल की वैल्यू.
उदाहरण	`<saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> <saml:SubjectConfirmationData NotOnOrAfter="2014-11-05T17:37:07Z" Recipient="https://accounts.google.com/samlrp/0abc123/acs" InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen"> </saml:SubjectConfirmationData> </saml:SubjectConfirmation>`

ऑडियंस एलिमेंट

फ़ील्ड	AudienceRestriction पैरंट एलिमेंट में मौजूद Audience एलिमेंट
ब्यौरा	Audience एक यूआरआई रेफ़रंस है. इससे दावे के लिए सही ऑडियंस की पहचान होती है.
ज़रूरी है वैल्यू	एसएसओ (SSO) प्रोफ़ाइल के, सेवा देने वाली कंपनी (एसपी) की जानकारी वाले सेक्शन में मौजूद इकाई आईडी की वैल्यू.
उदाहरण	`<saml:Conditions NotBefore="2014-11-05T17:31:37Z" NotOnOrAfter="2014-11-05T17:37:07Z"> <saml:AudienceRestriction> <saml:Audience>https://accounts.google.com/samlrp/0abc123 </saml:Audience> </saml:AudienceRestriction> </saml:Conditions>`

डेस्टिनेशन एट्रिब्यूट

फ़ील्ड	Response एलिमेंट का Destination एट्रिब्यूट
ब्यौरा	Destination एक यूआरआई रेफ़रंस है. इससे उस पते की जानकारी मिलती है जहां यह जवाब भेजा गया है.
ज़रूरी है वैल्यू	यह एक ज़रूरी एट्रिब्यूट नहीं है. अगर इसे सेट किया जाता है, तो यह एसएसओ (SSO) प्रोफ़ाइल के, सेवा देने वाली कंपनी (एसपी) की जानकारी वाले सेक्शन में मौजूद एसीएस यूआरएल की वैल्यू होनी चाहिए.
उदाहरण	`<saml:Response Destination="https://accounts.google.com/samlrp/0abc123/acs" ID="resp-53450fcf-d45e-420f-9246-262e165563cb" InResponseTo="_cc1ca69615a0e8719426e7a250557c5b"> IssueInstant="2024-10-04T20:17:38.726Z" Version="2.0"> ... </saml:Response>`

एलिमेंट और एट्रिब्यूट का इस्तेमाल करना—लेगसी एसएसओ (SSO) प्रोफ़ाइल

ध्यान दें: SAML दावे में सिर्फ़ स्टैंडर्ड ASCII वर्ण शामिल किए जा सकते हैं.

नेम आईडी एलिमेंट

फ़ील्ड	Subject एलिमेंट में मौजूद NameID एलिमेंट.
ब्यौरा	NameID से विषय की पहचान होती है. यह उपयोगकर्ता का मुख्य ईमेल पता होता है. यह फ़ॉर्म, केस-सेंसिटिव (बड़े और छोटे अक्षरों में अंतर) होता है.
ज़रूरी है वैल्यू	user@example.com
उदाहरण	`<saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com </saml:NameID>`

उपहार पाने वाले व्यक्ति का एट्रिब्यूट

फ़ील्ड	SubjectConfirmationData एलिमेंट में मौजूद Recipient एट्रिब्यूट
ब्यौरा	Recipient में, विषय के लिए ज़रूरी अतिरिक्त डेटा की जानकारी दी जाती है. example.com शायद आपके Google Workspace या Cloud Identity खाते का मुख्य डोमेन है. भले ही, पुष्टि किया जा रहा उपयोगकर्ता, उसी Google Workspace या Cloud Identity खाते में कोई दूसरा डोमेन इस्तेमाल कर रहा हो.
ज़रूरी है वैल्यू	https://www.google.com/a/example.com/acs या https://accounts.google.com/a/example.com/acs
उदाहरण	`<saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> <saml:SubjectConfirmationData NotOnOrAfter="2014-11-05T17:37:07Z" Recipient="https://www.google.com/a/example.com/acs" InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen"> </saml:SubjectConfirmationData> </saml:SubjectConfirmation>`

ऑडियंस एलिमेंट

फ़ील्ड	AudienceRestriction पैरंट एलिमेंट में मौजूद Audience एलिमेंट
ब्यौरा	Audience यूनिफ़ॉर्म रिसॉर्स आइडेंटिफ़ायर (यूआरआई) है. इससे सही ऑडियंस की पहचान होती है. इसके लिए, एसीएस यूआरआई की वैल्यू ज़रूरी होती है. example.com शायद आपके Google Workspace या Cloud Identity खाते का मुख्य डोमेन है. भले ही, पुष्टि किया जा रहा उपयोगकर्ता, उसी Google Workspace या Cloud Identity खाते में कोई दूसरा डोमेन इस्तेमाल कर रहा हो. इस एलिमेंट की वैल्यू खाली नहीं छोड़ी जा सकती.
ज़रूरी है वैल्यू	इनमें से कोई एक: google.com google.com/a/<आपका डोमेन> (अगर आपने लेगसी एसएसओ (SSO) प्रोफ़ाइल के कॉन्फ़िगरेशन में "डोमेन के हिसाब से जारी करने वाले का इस्तेमाल करें" को चुना है.)
उदाहरण	`<saml:Conditions NotBefore="2014-11-05T17:31:37Z" NotOnOrAfter="2014-11-05T17:37:07Z"> <saml:AudienceRestriction> <saml:Audience>google.com/a/example.com</saml:Audience> </saml:AudienceRestriction> </saml:Conditions>`

डेस्टिनेशन एट्रिब्यूट

फ़ील्ड	Response एलिमेंट का Destination एट्रिब्यूट
ब्यौरा	Destination उस यूआरआई की जानकारी देता है जहां SAML दावा भेजा जा रहा है. यह एक ज़रूरी एट्रिब्यूट नहीं है. हालांकि, अगर इसे सेट किया जाता है, तो इसके लिए एसीएस यूआरआई की वैल्यू ज़रूरी होगी. example.com शायद आपके Google Workspace या Cloud Identity खाते का मुख्य डोमेन है. भले ही, पुष्टि किया जा रहा उपयोगकर्ता, उसी Google Workspace या Cloud Identity खाते में कोई दूसरा डोमेन इस्तेमाल कर रहा हो.
ज़रूरी है वैल्यू	https://www.google.com/a/example.com/acs या https://accounts.google.com/a/example.com/acs
उदाहरण	`<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" ID="_7840062d379d82598d87ca04c8622f436bb03aa1c7" Version="2.0" IssueInstant="2014-11-05T17:32:07Z" Destination="https://www.google.com/a/example.com/acs" InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen">`