एसएसओ (SSO) दावे की ज़रूरी शर्तें

एडमिन के तौर पर, आपको यहां दी गई टेबल में मौजूद एलिमेंट और एट्रिब्यूट की ज़रूरत होगी. ये एलिमेंट और एट्रिब्यूट, SAML 2.0 एसएसओ असर्शन के लिए ज़रूरी होते हैं. ये असर्शन, आइडेंटिटी प्रोवाइडर (आईडीपी) की ओर से उपयोगकर्ता की पुष्टि किए जाने के बाद, Google Assertion Consumer Service (ACS) को भेजे जाते हैं.

एट्रिब्यूट के लिए दिशा-निर्देश

अगर आपने किसी तीसरे पक्ष के आइडेंटिटी प्रोवाइडर के ज़रिए एसएसओ सेट अप किया है और आपके आईडीपी के एसएएमएल असर्शन में <AttributeStatement> शामिल है, तो Google इन एट्रिब्यूट को तब तक सेव करेगा, जब तक उपयोगकर्ता के Google खाते का सेशन खत्म नहीं हो जाता. (सेशन की अवधि अलग-अलग होती है. इसे एडमिन कॉन्फ़िगर कर सकता है.) खाते का सेशन खत्म होने के बाद, एट्रिब्यूट की जानकारी एक हफ़्ते के अंदर हमेशा के लिए मिटा दी जाती है.

Directory में मौजूद कस्टम एट्रिब्यूट की तरह ही, पुष्टि करने वाले एट्रिब्यूट में व्यक्तिगत पहचान ज़ाहिर करने वाली संवेदनशील जानकारी (पीआईआई) शामिल नहीं होनी चाहिए. जैसे, खाते के क्रेडेंशियल, सरकारी आईडी नंबर, कार्डधारक का डेटा, वित्तीय खाते का डेटा, स्वास्थ्य सेवा से जुड़ी जानकारी या संवेदनशील बैकग्राउंड की जानकारी.

दावे वाले एट्रिब्यूट का इस्तेमाल इन कामों के लिए किया जा सकता है:

  • इंटरनल आईटी सिस्टम के लिए उपयोगकर्ता आईडी
  • सेशन के हिसाब से भूमिकाएं

अपने दावे में, एट्रिब्यूट का ज़्यादा से ज़्यादा 2 केबी डेटा ही पास किया जा सकता है. तय सीमा से ज़्यादा साइज़ वाले ऐसेट को पूरी तरह से अस्वीकार कर दिया जाएगा. इससे साइन-इन नहीं किया जा सकेगा.

साथ काम करने वाले वर्ण सेट

इस्तेमाल किए जा सकने वाले वर्णों का सेट, इस बात पर निर्भर करता है कि एसएसओ (SSO) प्रोफ़ाइलें इस्तेमाल की जा रही हैं या लेगसी एसएसओ प्रोफ़ाइल:

  • लेगसी एसएसओ प्रोफ़ाइल—एट्रिब्यूट की वैल्यू, लो-ASCII स्ट्रिंग होनी चाहिए. यूनिकोड/UTF-8 वर्णों का इस्तेमाल नहीं किया जा सकता. ऐसा करने पर, साइन इन नहीं हो पाएगा.
  • एसएसओ प्रोफ़ाइलें—यूनिकोड/UTF-8 वर्ण इस्तेमाल किए जा सकते हैं.

ACS को पुष्टि करने वाले स्टेटमेंट वापस भेजना

समस्याओं को हल करना

इन पुष्टि से जुड़ी समस्याओं को हल करने के लिए, नेटवर्क इंस्पेक्टर का इस्तेमाल करें. निर्देशों के लिए, Google Admin टूलबॉक्स HAR Analyzer पेज देखें.

अगर आपको सहायता टीम से संपर्क करना है, तो डिस्पोज़ेबल टेस्ट खाते का इस्तेमाल करें. ऐसा इसलिए, क्योंकि एचटीटीपी आर्काइव (एचएआर) कैप्चर में उपयोगकर्ता नाम और पासवर्ड, सादे टेक्स्ट में शामिल होता है. इसके अलावा, फ़ाइल में बदलाव करके, उपयोगकर्ता और IdP के बीच हुए संवेदनशील इंटरैक्शन को मिटाया जा सकता है. Google Workspace की सहायता टीम से संपर्क करें.

आपके IdP को भेजे गए SAMLRequest में, AssertionConsumerServiceURL शामिल है. अगर आपका SAMLResponse किसी दूसरे यूआरएल पर भेजा जाता है, तो हो सकता है कि आपके आईडीपी (IdP) के कॉन्फ़िगरेशन में कोई समस्या हो.

एसएसओ प्रोफ़ाइलों के लिए एलिमेंट और एट्रिब्यूट इस्तेमाल करना

नाम आईडी एलिमेंट

फ़ील्ड Subject एलिमेंट में मौजूद NameID एलिमेंट.
ब्यौरा

NameID, विषय की पहचान करता है. यह उपयोगकर्ता का मुख्य ईमेल पता होता है.

यह केस-सेंसिटिव होता है.

ज़रूरी है

मान

 user@example.com
उदाहरण <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com
</saml:NameID>

उपहार पाने वाले व्यक्ति का एट्रिब्यूट

फ़ील्ड SubjectConfirmationData एलिमेंट में मौजूद Recipient एट्रिब्यूट
ब्यौरा

Recipient, सेवा देने वाली उस कंपनी के लिए असर्शन कंज्यूमर सर्विस यूआरएल के बारे में बताता है जिसके लिए असर्शन का इस्तेमाल किया जाना है.

ज़रूरी है

मान

एसएसओ प्रोफ़ाइल के सेवा देने वाली कंपनी (एसपी) की जानकारी वाले सेक्शन में मौजूद एसीएस यूआरएल की वैल्यू.
उदाहरण <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectConfirmationData
NotOnOrAfter="2014-11-05T17:37:07Z"
Recipient="https://accounts.google.com/samlrp/0abc123/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen">
</saml:SubjectConfirmationData>
</saml:SubjectConfirmation>

ऑडियंस एलिमेंट

फ़ील्ड AudienceRestriction पैरंट एलिमेंट में मौजूद Audience एलिमेंट
ब्यौरा

Audience एक यूआरआई रेफ़रंस है. इससे यह पता चलता है कि पुष्टि करने का मकसद किस ऑडियंस के लिए है.

ज़रूरी है

मान

एसएसओ प्रोफ़ाइल के सेवा देने वाली कंपनी (एसपी) की जानकारी वाले सेक्शन में मौजूद इकाई आईडी की वैल्यू.
उदाहरण

<saml:Conditions
NotBefore="2014-11-05T17:31:37Z"
NotOnOrAfter="2014-11-05T17:37:07Z">
<saml:AudienceRestriction>
<saml:Audience>https://accounts.google.com/samlrp/0abc123
</saml:Audience>
</saml:AudienceRestriction>
</saml:Conditions>

डेस्टिनेशन एट्रिब्यूट

फ़ील्ड Response एलिमेंट का Destination एट्रिब्यूट
ब्यौरा

डेस्टिनेशन एक यूआरआई रेफ़रंस है. इससे उस पते का पता चलता है जिस पर यह जवाब भेजा गया है.

ज़रूरी है

मान

 यह एक ज़रूरी नहीं है. अगर इसे सेट किया जाता है, तो यह SSO प्रोफ़ाइल के सेवा देने वाली कंपनी (एसपी) के बारे में जानकारी वाले सेक्शन में मौजूद, ACS यूआरएल की वैल्यू होनी चाहिए.
उदाहरण <saml:Response
Destination="https://accounts.google.com/samlrp/0abc123/acs"
ID="resp-53450fcf-d45e-420f-9246-262e165563cb"
InResponseTo="_cc1ca69615a0e8719426e7a250557c5b">
IssueInstant="2024-10-04T20:17:38.726Z"
Version="2.0">
...
</saml:Response>

लेगसी एसएसओ प्रोफ़ाइल के लिए एलिमेंट और एट्रिब्यूट इस्तेमाल करना

ध्यान दें: SAML असर्शन में सिर्फ़ स्टैंडर्ड ASCII वर्ण शामिल किए जा सकते हैं.

नाम आईडी एलिमेंट

फ़ील्ड Subject एलिमेंट में मौजूद NameID एलिमेंट.
ब्यौरा

NameID, विषय की पहचान करता है. यह उपयोगकर्ता का मुख्य ईमेल पता होता है.

यह केस-सेंसिटिव होता है.

ज़रूरी है

मान

 user@example.com
उदाहरण <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com
</saml:NameID>

उपहार पाने वाले व्यक्ति का एट्रिब्यूट

फ़ील्ड SubjectConfirmationData एलिमेंट में मौजूद Recipient एट्रिब्यूट
ब्यौरा

Recipient एट्रिब्यूट, विषय के लिए ज़रूरी अतिरिक्त डेटा के बारे में बताता है.

example.com शायद आपके Google Workspace या Cloud Identity खाते का मुख्य डोमेन है. भले ही, पुष्टि किया जा रहा उपयोगकर्ता उसी Google Workspace या Cloud Identity खाते में किसी दूसरे डोमेन का इस्तेमाल करता हो.

ज़रूरी है

मान

https://www.google.com/a/example.com/acs

या

https://accounts.google.com/a/example.com/acs
उदाहरण <saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectConfirmationData
NotOnOrAfter="2014-11-05T17:37:07Z"
Recipient="https://www.google.com/a/example.com/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen">
</saml:SubjectConfirmationData>
</saml:SubjectConfirmation>

ऑडियंस एलिमेंट

फ़ील्ड AudienceRestriction पैरंट एलिमेंट में मौजूद Audience एलिमेंट
ब्यौरा

Audience, यूनिफ़ॉर्म रिसोर्स आइडेंटिफ़ायर (यूआरआई) है. यह उस ऑडियंस की पहचान करता है जिसे एसीएस यूआरआई की वैल्यू की ज़रूरत होती है.

example.com शायद आपके Google Workspace या Cloud Identity खाते का मुख्य डोमेन है. भले ही, पुष्टि किया जा रहा उपयोगकर्ता उसी Google Workspace या Cloud Identity खाते में किसी दूसरे डोमेन का इस्तेमाल करता हो.

इस एलिमेंट की वैल्यू खाली नहीं हो सकती.

ज़रूरी है

मान

निम्न में से कोई एक:

  • google.com
  • google.com/a/<your domain> (अगर आपने लेगसी एसएसओ प्रोफ़ाइल के कॉन्फ़िगरेशन में "डोमेन के हिसाब से जारी करने वाले का इस्तेमाल करें" विकल्प चुना है.)
उदाहरण

<saml:Conditions
NotBefore="2014-11-05T17:31:37Z"
NotOnOrAfter="2014-11-05T17:37:07Z">
<saml:AudienceRestriction>
<saml:Audience>google.com/a/example.com</saml:Audience>
</saml:AudienceRestriction>
</saml:Conditions>

डेस्टिनेशन एट्रिब्यूट

फ़ील्ड Response एलिमेंट का Destination एट्रिब्यूट
ब्यौरा

डेस्टिनेशन वह यूआरआई होता है जहां SAML दावा भेजा जा रहा है.

यह एक वैकल्पिक एट्रिब्यूट है. हालांकि, अगर इसे शामिल किया जाता है, तो इसके लिए एसीएस यूआरआई की वैल्यू देना ज़रूरी होगा.

example.com शायद आपके Google Workspace या Cloud Identity खाते का मुख्य डोमेन है. भले ही, पुष्टि किया जा रहा उपयोगकर्ता उसी Google Workspace या Cloud Identity खाते में किसी दूसरे डोमेन का इस्तेमाल करता हो.

ज़रूरी है

मान

https://www.google.com/a/example.com/acs

या

https://accounts.google.com/a/example.com/acs
उदाहरण <samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
ID="_7840062d379d82598d87ca04c8622f436bb03aa1c7"
Version="2.0"
IssueInstant="2014-11-05T17:32:07Z"
Destination="https://www.google.com/a/example.com/acs"
InResponseTo="midihfjkfkpcmbmfhjoehbokhbkeapbbinldpeen">