প্রশাসক হিসেবে, পরিচয় প্রদানকারী (আইডিপি) ব্যবহারকারীকে প্রমাণীকরণ করার পরে, SAML 2.0 SSO অ্যাসারশনগুলির জন্য নিম্নলিখিত টেবিলে তালিকাভুক্ত উপাদান এবং বৈশিষ্ট্যগুলি Google অ্যাসারশন কনজিউমার সার্ভিস (ACS)-এ ফেরত পাঠানোর প্রয়োজন।
বৈশিষ্ট্যের জন্য নির্দেশিকা
যদি আপনি কোনও থার্ড-পার্টি আইডেন্টিটি প্রোভাইডার ব্যবহার করে SSO সেট আপ করে থাকেন এবং আপনার IdP-এর SAML অ্যাসারশনে একটি <AttributeStatement> থাকে, তাহলে ব্যবহারকারীর Google অ্যাকাউন্ট সেশনের মেয়াদ শেষ না হওয়া পর্যন্ত Google এই অ্যাট্রিবিউটগুলি সংরক্ষণ করবে। (সেশনের দৈর্ঘ্য পরিবর্তিত হয় এবং প্রশাসক দ্বারা কনফিগার করা যায়।) অ্যাকাউন্ট সেশনের মেয়াদ শেষ হওয়ার পরে, অ্যাট্রিবিউটের তথ্য এক সপ্তাহের মধ্যে স্থায়ীভাবে মুছে ফেলা হয়।
ডিরেক্টরিতে কাস্টম অ্যাট্রিবিউটের মতো, অ্যাসারশন অ্যাট্রিবিউটগুলিতে সংবেদনশীল ব্যক্তিগতভাবে সনাক্তযোগ্য তথ্য (PII) অন্তর্ভুক্ত করা উচিত নয়, যেমন অ্যাকাউন্ট শংসাপত্র, সরকারি আইডি নম্বর, কার্ডহোল্ডার ডেটা, আর্থিক অ্যাকাউন্ট ডেটা, স্বাস্থ্যসেবা তথ্য, বা সংবেদনশীল ব্যাকগ্রাউন্ড তথ্য।
অ্যাসারশন অ্যাট্রিবিউটের জন্য প্রস্তাবিত ব্যবহারের মধ্যে অন্তর্ভুক্ত থাকবে:
- অভ্যন্তরীণ আইটি সিস্টেমের জন্য ব্যবহারকারী আইডি
- সেশন-নির্দিষ্ট ভূমিকা
আপনার দাবিতে আপনি সর্বাধিক ২kB অ্যাট্রিবিউট ডেটা পাস করতে পারবেন। সর্বাধিক অনুমোদিত আকারের চেয়ে বেশি দাবিগুলি সম্পূর্ণরূপে প্রত্যাখ্যান করা হবে এবং সাইন-ইন ব্যর্থ হবে।
সমর্থিত অক্ষর সেট
সমর্থিত অক্ষর সেট নির্ভর করে আপনি SSO প্রোফাইল ব্যবহার করছেন নাকি লিগ্যাসি SSO প্রোফাইল ব্যবহার করছেন তার উপর:
- লিগ্যাসি SSO প্রোফাইল —অ্যাট্রিবিউট মানগুলি অবশ্যই কম-ASCII স্ট্রিং হতে হবে (ইউনিকোড/UTF-8 অক্ষর সমর্থিত নয় এবং সাইন-ইন ব্যর্থ হবে)।
- SSO প্রোফাইল —ইউনিকোড/UTF-8 অক্ষর সমর্থিত।
ACS-এ দাবিগুলি ফেরত দিন
সমস্যা সমাধান করুন
এই দাবিগুলির সমস্যা সমাধানের জন্য, নেটওয়ার্ক ইন্সপেক্টর ব্যবহার করুন। নির্দেশাবলীর জন্য, গুগল অ্যাডমিন টুলবক্স HAR বিশ্লেষক পৃষ্ঠাটি দেখুন।
যদি আপনার সহায়তার সাথে যোগাযোগ করার প্রয়োজন হয়, তাহলে একটি ডিসপোজেবল টেস্ট অ্যাকাউন্ট ব্যবহার করুন কারণ HTTP আর্কাইভ (HAR) ক্যাপচারে স্পষ্ট লেখায় ব্যবহারকারীর নাম এবং পাসওয়ার্ড থাকে। অথবা, ব্যবহারকারী এবং আইডিপির মধ্যে সংবেদনশীল মিথস্ক্রিয়া মুছে ফেলার জন্য ফাইলটি সম্পাদনা করুন। Google Workspace সহায়তার সাথে যোগাযোগ করুন।
আপনার আইডিপিতে পাঠানো SAMLRequest-এ প্রাসঙ্গিক AssertionConsumerServiceURL রয়েছে। যদি আপনার SAMLResponse অন্য URL-এ পাঠানো হয়, তাহলে আপনার আইডিপিতে কনফিগারেশন সমস্যা হতে পারে।
উপাদান এবং বৈশিষ্ট্য ব্যবহার করুন—SSO প্রোফাইল
নাম আইডি উপাদান
| মাঠ | Subject উপাদানে NameID উপাদান। |
|---|---|
| বিবরণ | NameID ব্যবহারকারীর প্রাথমিক ইমেল ঠিকানার বিষয়বস্তু চিহ্নিত করে। এটি কেস-সংবেদনশীল। |
প্রয়োজনীয় মূল্য | user@example.com |
| উদাহরণ | <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"> user@example.com |
প্রাপকের বৈশিষ্ট্য
| মাঠ | SubjectConfirmationData উপাদানে প্রাপকের বৈশিষ্ট্য |
|---|---|
| বিবরণ | প্রাপক পরিষেবা প্রদানকারীর দাবি গ্রাহক পরিষেবা URL নির্দিষ্ট করে যার জন্য দাবিটি করা হয়েছে। |
প্রয়োজনীয় মূল্য | SSO প্রোফাইলের পরিষেবা প্রদানকারী (SP) বিবরণ বিভাগের ACS URL মান। |
| উদাহরণ | <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> |
দর্শক উপাদান
| মাঠ | AudienceRestriction প্যারেন্ট এলিমেন্টে Audience এলিমেন্ট |
|---|---|
| বিবরণ | অডিয়েন্স হলো একটি URI রেফারেন্স যা দাবির উদ্দিষ্ট অডিয়েন্সকে চিহ্নিত করে। |
প্রয়োজনীয় মূল্য | SSO প্রোফাইলের পরিষেবা প্রদানকারী (SP) বিবরণ বিভাগ থেকে সত্তা আইডি মান। |
| উদাহরণ | |
গন্তব্য বৈশিষ্ট্য
| মাঠ | রেসপন্স এলিমেন্টের গন্তব্য বৈশিষ্ট্য |
|---|---|
| বিবরণ | গন্তব্য হল একটি URI রেফারেন্স যা এই উত্তরটি যে ঠিকানায় পাঠানো হয়েছে তা নির্দেশ করে। |
প্রয়োজনীয় মূল্য | এটি একটি ঐচ্ছিক বৈশিষ্ট্য; যদি এটি সেট করা থাকে, তাহলে এটি SSO প্রোফাইলের পরিষেবা প্রদানকারী (SP) বিবরণ বিভাগের ACS URL মান হওয়া উচিত। |
| উদাহরণ | <saml:Response |
উপাদান এবং বৈশিষ্ট্য ব্যবহার করুন—লিগ্যাসি SSO প্রোফাইল
দ্রষ্টব্য: SAML দাবিতে শুধুমাত্র স্ট্যান্ডার্ড ASCII অক্ষর থাকতে পারে।
নাম আইডি উপাদান
| মাঠ | Subject উপাদানে NameID উপাদান। |
|---|---|
| বিবরণ | NameID ব্যবহারকারীর প্রাথমিক ইমেল ঠিকানার বিষয়বস্তু চিহ্নিত করে। এটি কেস-সংবেদনশীল। |
প্রয়োজনীয় মূল্য | user@example.com |
| উদাহরণ | <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"> user@example.com |
প্রাপকের বৈশিষ্ট্য
| মাঠ | SubjectConfirmationData উপাদানে প্রাপকের বৈশিষ্ট্য |
|---|---|
| বিবরণ | প্রাপক বিষয়ের জন্য প্রয়োজনীয় অতিরিক্ত তথ্য নির্দিষ্ট করে। example.com সম্ভবত আপনার Google Workspace বা Cloud Identity অ্যাকাউন্টের প্রাথমিক ডোমেন, এমনকি যদি প্রমাণীকরণ করা হচ্ছে এমন ব্যবহারকারী একই Google Workspace বা Cloud Identity অ্যাকাউন্টে একটি সেকেন্ডারি ডোমেন ব্যবহার করেন। |
প্রয়োজনীয় মূল্য | https://www.google.com/a/ example.com /acs অথবা https://accounts.google.com/a/ example.com /acs |
| উদাহরণ | <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> |
দর্শক উপাদান
| মাঠ | AudienceRestriction প্যারেন্ট এলিমেন্টে Audience এলিমেন্ট |
|---|---|
| বিবরণ | অডিয়েন্স হলো ইউনিফর্ম রিসোর্স আইডেন্টিফায়ার (URI) যা ACS URI-এর মান প্রয়োজন এমন অডিয়েন্সকে শনাক্ত করে। example.com সম্ভবত আপনার Google Workspace বা Cloud Identity অ্যাকাউন্টের প্রাথমিক ডোমেন, এমনকি যদি প্রমাণীকরণ করা হচ্ছে এমন ব্যবহারকারী একই Google Workspace বা Cloud Identity অ্যাকাউন্টে একটি সেকেন্ডারি ডোমেন ব্যবহার করেন। এই উপাদানের মান খালি রাখা যাবে না। |
প্রয়োজনীয় মূল্য | নিম্নলিখিত যেকোনো একটি:
|
| উদাহরণ | |
গন্তব্য বৈশিষ্ট্য
| মাঠ | রেসপন্স এলিমেন্টের গন্তব্য বৈশিষ্ট্য |
|---|---|
| বিবরণ | গন্তব্য হল সেই URI যেখানে SAML অ্যাসারশন পাঠানো হচ্ছে। এটি একটি ঐচ্ছিক বৈশিষ্ট্য, কিন্তু যদি এটি ঘোষিত হয়, তাহলে এর জন্য ACS URI এর একটি মান প্রয়োজন হবে। example.com সম্ভবত আপনার Google Workspace বা Cloud Identity অ্যাকাউন্টের প্রাথমিক ডোমেন, এমনকি যদি প্রমাণীকরণ করা হচ্ছে এমন ব্যবহারকারী একই Google Workspace বা Cloud Identity অ্যাকাউন্টে একটি সেকেন্ডারি ডোমেন ব্যবহার করেন। |
প্রয়োজনীয় মূল্য | https://www.google.com/a/ example.com /acs অথবা https://accounts.google.com/a/ example.com /acs |
| উদাহরণ | <samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" |