उपभोक्ता खातों के ऐक्सेस पर रोक लगाना

अगर आपको अपने नेटवर्क पर मौजूद उपयोगकर्ताओं को, आपके डोमेन के कुछ खास Google खातों का इस्तेमाल करके Google की सेवाओं को ऐक्सेस करने की अनुमति देनी है, तो आपको एक वेब प्रॉक्सी सर्वर की ज़रूरत होगी. यह सर्वर ये काम कर सकता है:

• *.google.com पर भेजे गए सभी ट्रैफ़िक में हेडर जोड़ें—हेडर से उन डोमेन की पहचान होती है जिनसे उपयोगकर्ता Google की सेवाओं को ऐक्सेस कर सकते हैं.
• एसएसएल इंटरसेप्शन की सुविधा—Google की सेवा से मिलने वाला ज़्यादातर ट्रैफ़िक एन्क्रिप्ट किया जाता है. इसलिए, आपके प्रॉक्सी सर्वर में भी एसएसएल इंटरसेप्शन की सुविधा होनी चाहिए.

Google की सेवाओं को प्रॉक्सी सेवा देने वाली इन कंपनियों से ब्लॉक करने के बारे में खास निर्देश पढ़ें. साथ ही, अपनी ज़रूरतों के हिसाब से कोई सर्वर चुनें.

• Barracuda Networks
• Broadcom
• Forcepoint

अगर आपको लोगों को Google की उन सेवाओं में साइन इन करने से रोकना है जिनके लिए आपने साफ़ तौर पर Google खातों के बारे में नहीं बताया है, तो यह तरीका अपनाएं:

1. अपने वेब प्रॉक्सी सर्वर के ज़रिए, *.google.com पर भेजे जाने वाले सभी ट्रैफ़िक को रूट करें.
2. प्रॉक्सी सर्वर पर एसएसएल इंटरसेप्शन चालू करें.
3. हर क्लाइंट डिवाइस को अपने एसएसएल प्रॉक्सी पर भरोसा करने के लिए कॉन्फ़िगर करें:
   1. प्रॉक्सी के लिए इस्तेमाल की जाने वाली इंटरनल रूट सर्टिफ़िकेट अथॉरिटी को डिप्लॉय करें.
   2. इसे भरोसेमंद के तौर पर मार्क करें.
4. *.google.com के हर अनुरोध के लिए:
   1. अनुरोध को इंटरसेप्ट करना.
   2. एचटीटीपी हेडर X-GoogApps-Allowed-Domains: जोड़ें. इसके बाद, अनुमति वाले डोमेन नामों की कॉमा-सेपरेटेड लिस्ट जोड़ें.
      पक्का करें कि सूची में वह डोमेन शामिल हो जिसे आपने Google Workspace के साथ रजिस्टर किया है. साथ ही, इसमें वे सभी सेकंडरी डोमेन भी शामिल होने चाहिए जिन्हें आपने जोड़ा है.
      उदाहरण: X-GoogApps-Allowed-Domains: mydomain1.com, mydomain2.com
5. उपयोगकर्ताओं को कुछ खातों में साइन इन करने की अनुमति देने के लिए, हेडर में ये वैल्यू जोड़ें:
   • खास डोमेन पर मौजूद खातों के लिए domain_name. जैसे, @altostrat.com और tenorstrat.com पर खत्म होने वाले खातों के लिए altostrat.com और tenorstrat.com
   • @gmail.com और @googlemail.com जैसे Google के उपभोक्ता खातों के लिए, consumer_accounts
   • विज़िटर के Google खातों के लिए visitor_accounts
     उपभोक्ता खातों को ब्लॉक करते हुए, उपयोगकर्ताओं को विज़िटर खातों में साइन इन करने की अनुमति देने के लिए, हेडर में visitor_accounts जोड़ें और consumer_accounts को हटाएं
   • पुष्टि किए गए सेवा खातों के लिए gserviceaccounts.com
6. (ज़रूरी नहीं) उपयोगकर्ताओं को अपने हेडर डालने से रोकने के लिए, प्रॉक्सी नीति बनाएं.

ध्यान दें:

• इस तरीके से, Google Search के अलावा अन्य Google उपभोक्ता सेवाओं में साइन इन करने के ऐक्सेस को ब्लॉक किया जाता है. हालांकि, इससे ज़रूरी नहीं कि बिना पहचान बताए ऐक्सेस करने पर रोक लग जाए.
• X-GoogApps-Allowed-Domains एचटीटीपी हेडर जोड़ने पर, उपयोगकर्ताओं को उस डोमेन से सौंपे गए मेलबॉक्स को ऐक्सेस करने में गड़बड़ियां दिखेंगी जो हेडर में नहीं है.

अगर कोई उपयोगकर्ता, बिना अनुमति वाले खाते से Google की सेवाओं को ऐक्सेस करने की कोशिश करता है, तो उसे एक वेब पेज दिखता है. इस पेज पर यह जानकारी होती है:

• इससे उस सेवा के बारे में पता चलता है जो उपलब्ध नहीं है
• यह दिखाता है कि वे किस खाते का इस्तेमाल कर रहे हैं जिसकी अनुमति नहीं है
• उन डोमेन की सूची बनाता है जहां यह सेवा उपलब्ध है
• इसमें उन्हें ज़्यादा जानकारी के लिए, नेटवर्क एडमिन से संपर्क करने का सुझाव दिया जाता है. साथ ही, उन्हें बिना अनुमति वाले खाते से साइन आउट करने और अनुमति वाले खाते से साइन इन करने का सुझाव दिया जाता है

Google, ब्लॉक की गई सेवाओं की सूची नहीं रखता है. अगर किसी सेवा के लिए साइन इन करना ज़रूरी है, तो ऐक्सेस ब्लॉक कर दिया जाता है. Google Search और YouTube जैसी सेवाओं को ब्लॉक नहीं किया जाएगा, जिनके लिए पुष्टि करने की ज़रूरत नहीं होती.

वेब सेवाओं को ऐक्सेस करने से रोकने का एक सामान्य तरीका यह है कि किसी वेब प्रॉक्सी सर्वर का इस्तेमाल करके, खास यूआरएल पर भेजे गए ट्रैफ़िक को फ़िल्टर किया जाए. इस मामले में यह तरीका काम नहीं करेगा, क्योंकि उपयोगकर्ता के मैनेज किए जा रहे Google खाते से आने वाला असली ट्रैफ़िक, उसी यूआरएल पर जाता है जिस ट्रैफ़िक को आपको ब्लॉक करना है.