একক সাইন-অন (SSO) সমস্যা সমাধান করুন

এই ডকুমেন্টে Google পরিষেবা প্রদানকারী (SP) থাকাকালীন Google Workspace-এর সাথে একক সাইন-অন (SSO) ইন্টিগ্রেশন বা ব্যবহারের সময় আপনার সম্মুখীন হতে পারে এমন সাধারণ ত্রুটির বার্তাগুলি সমাধানের পদক্ষেপগুলি প্রদান করা হয়েছে।

কনফিগারেশন এবং সক্রিয়করণ

"এই ডোমেনটি একক সাইন-অন ব্যবহারের জন্য কনফিগার করা হয়নি।"

এই ত্রুটিটি সাধারণত ইঙ্গিত দেয় যে আপনি Google Workspace-এর এমন একটি সংস্করণ ব্যবহার করছেন যা SSO সমর্থন করে না (যেমন G Suite-এর লিগ্যাসি ফ্রি সংস্করণ)। সমস্ত বর্তমান Workspace সংস্করণ একটি থার্ড-পার্টি আইডেন্টিটি প্রোভাইডার (IdP) এর মাধ্যমে SSO সমর্থন করে।

যদি আপনি এমন একটি Google Workspace সংস্করণ ব্যবহার করেন যা SSO সমর্থন করে, তাহলে এই অন্যান্য সমাধানগুলি চেষ্টা করে দেখুন:

  • আপনার IdP-এর SSO কনফিগারেশন সঠিক Google Workspace ডোমেন নাম ব্যবহার করছে কিনা তা যাচাই করুন।
  • SSO প্রোফাইল সেট আপ করার পরে যদি আপনি এই ত্রুটিটি পান, তাহলে আপনার IdP লিগ্যাসি SSO প্রোফাইল এন্ডপয়েন্টে SAML অ্যাসারশন পাঠানোর জন্য কনফিগার করা থাকতে পারে। যদি আপনার IdP লিগ্যাসি SSO এন্ডপয়েন্ট হার্ড-কোডেড থাকে, তাহলে অনুগ্রহ করে নিম্নলিখিতগুলি করুন:
    1. লিগ্যাসি SSO সেট আপ করুন।
    2. আপনার আইডিপি বিক্রেতাকে তাদের গুগল ইন্টিগ্রেশন আপডেট করতে বলুন।

"ডোমেনটি ভুলভাবে কনফিগার করা থাকায় এই অ্যাকাউন্টটি অ্যাক্সেস করা যাচ্ছে না। অনুগ্রহ করে পরে আবার চেষ্টা করুন।"

এই ত্রুটিটি ইঙ্গিত দেয় যে আপনি Google অ্যাডমিন কনসোলে সঠিকভাবে SSO সেট আপ করেননি। পরিস্থিতি সংশোধন করার জন্য নিম্নলিখিত পদক্ষেপগুলি পর্যালোচনা করুন:

  1. অ্যাডমিন কনসোলে, নিরাপত্তা বিভাগে যান। এবং তারপর তৃতীয় পক্ষের আইডিপি দিয়ে একক সাইন-অন (SSO) সেট আপ করুন , এবং তৃতীয় পক্ষের পরিচয় প্রদানকারীর সাথে SSO সেট আপ করুন চেক করুন।
  2. আপনার প্রতিষ্ঠানের সাইন-ইন পৃষ্ঠা, সাইন-আউট পৃষ্ঠা এবং পাসওয়ার্ড পরিবর্তন পৃষ্ঠার জন্য সংশ্লিষ্ট ক্ষেত্রগুলিতে URL গুলি প্রদান করুন।
  3. একটি বৈধ যাচাইকরণ শংসাপত্র ফাইল নির্বাচন করুন এবং আপলোড করুন।
  4. সংরক্ষণ করুন এ ক্লিক করুন, আপনার পরিবর্তনগুলি কার্যকর হওয়ার জন্য কয়েক মিনিট অপেক্ষা করুন এবং আপনার ইন্টিগ্রেশন আবার পরীক্ষা করুন।

নিষিদ্ধ প্রিফিক্স দিয়ে কনফিগার করা Google ভাড়াটে

iOS অ্যাপ্লিকেশনের ক্ষেত্রে, যখন SSO সাইন-ইন পৃষ্ঠার URL "google" (অথবা অন্য কোনও রূপ) দিয়ে শুরু হয়, তখন Google iOS অ্যাপটি Safari-তে পুনঃনির্দেশিত হয়। এর ফলে SSO প্রক্রিয়াটি ব্যর্থ হয়। নিষিদ্ধ উপসর্গগুলির সম্পূর্ণ তালিকা হল:

  • গুগল।
  • গুগল।
  • www.গুগল।
  • www.গুগল।

এই উপসর্গগুলি থাকা যেকোনো SSO সাইন-ইন পৃষ্ঠার URL আপনাকে পরিবর্তন করতে হবে।

SAML প্রতিক্রিয়া বিশ্লেষণ করা হচ্ছে

"প্রয়োজনীয় রেসপন্স প্যারামিটার SAMLResponse অনুপস্থিত ছিল"

এই ত্রুটি বার্তাটি ইঙ্গিত করে যে আপনার পরিচয় প্রদানকারী Google-কে কোনও ধরণের বৈধ SAML প্রতিক্রিয়া প্রদান করছে না। এই সমস্যাটি প্রায় নিশ্চিতভাবেই পরিচয় প্রদানকারীর কনফিগারেশন সমস্যার কারণে।

  • আপনার আইডেন্টিটি প্রোভাইডার লগগুলি পরীক্ষা করুন এবং নিশ্চিত করুন যে কোনও কিছুই SAML রেসপন্স সঠিকভাবে ফেরত পাঠানো থেকে বিরত রাখছে না।
  • নিশ্চিত করুন যে আপনার আইডেন্টিটি প্রোভাইডার Google Workspace-কে একটি এনক্রিপ্টেড SAML রেসপন্স পাঠাচ্ছে না। Google Workspace শুধুমাত্র এনক্রিপ্টেড না থাকা SAML রেসপন্স গ্রহণ করে। বিশেষ করে, মনে রাখবেন যে Microsoft-এর Active Directory Federation Services 2.0 প্রায়শই ডিফল্ট কনফিগারেশনে এনক্রিপ্টেড SAML রেসপন্স পাঠায়।

"প্রয়োজনীয় রেসপন্স প্যারামিটার রিলেস্টেট অনুপস্থিত ছিল"

SAML 2.0 স্পেসিফিকেশনের জন্য আইডেন্টিটি প্রোভাইডারদের রিসোর্স প্রোভাইডারদের (যেমন Google Workspace) থেকে একটি RelayState URL প্যারামিটার পুনরুদ্ধার করে ফেরত পাঠাতে হবে। Google Workspace SAML অনুরোধে আইডেন্টিটি প্রোভাইডারকে এই মান প্রদান করে এবং প্রতিটি লগইনে সঠিক বিষয়বস্তু ভিন্ন হতে পারে। প্রমাণীকরণ সফলভাবে সম্পন্ন করার জন্য, SAML প্রতিক্রিয়াতে সঠিক RelayState ফেরত দিতে হবে। SAML স্ট্যান্ডার্ড স্পেসিফিকেশন অনুসারে, লগইন প্রবাহের সময় আপনার আইডেন্টিটি প্রোভাইডার রিলেস্টেট পরিবর্তন করতে পারবে না।

  • লগইন করার সময় HTTP হেডার ক্যাপচার করে এই সমস্যাটি আরও নির্ণয় করুন। SAML অনুরোধ এবং প্রতিক্রিয়া উভয়ের সাথে HTTP হেডার থেকে RelayState বের করুন এবং নিশ্চিত করুন যে অনুরোধ এবং প্রতিক্রিয়াতে RelayState মানগুলি মিলছে।
  • বেশিরভাগ বাণিজ্যিকভাবে উপলব্ধ বা ওপেন-সোর্স SSO আইডেন্টিটি প্রোভাইডাররা ডিফল্টভাবে নির্বিঘ্নে RelayState প্রেরণ করে। সর্বোত্তম নিরাপত্তা এবং নির্ভরযোগ্যতার জন্য, আমরা আপনাকে এই বিদ্যমান সমাধানগুলির মধ্যে একটি ব্যবহার করার পরামর্শ দিচ্ছি এবং আমরা আপনার নিজস্ব কাস্টম SSO সফ্টওয়্যারের জন্য সমর্থন অফার করতে পারি না।

SAML প্রতিক্রিয়ার বিষয়বস্তু

"এই পরিষেবাটি অ্যাক্সেস করা যাচ্ছে না কারণ আপনার লগইন অনুরোধে অবৈধ [গন্তব্য|দর্শক|প্রাপক] তথ্য রয়েছে। অনুগ্রহ করে লগ ইন করুন এবং আবার চেষ্টা করুন।"

এই ত্রুটিটি নির্দেশ করে যে SAML দাবিতে গন্তব্য , শ্রোতা বা প্রাপক উপাদানগুলিতে অবৈধ তথ্য রয়েছে অথবা খালি ছিল। সমস্ত উপাদান অবশ্যই SAML দাবিতে অন্তর্ভুক্ত করতে হবে। প্রতিটি উপাদানের বর্ণনা এবং উদাহরণের জন্য SSO দাবির প্রয়োজনীয়তার নিম্নলিখিত সারণীগুলি পরীক্ষা করুন:

"এই পরিষেবাটি অ্যাক্সেস করা যাচ্ছে না কারণ আপনার লগইন অনুরোধে কোনও প্রাপকের তথ্য নেই। অনুগ্রহ করে লগ ইন করুন এবং আবার চেষ্টা করুন।"

এই ত্রুটিটি সাধারণত ইঙ্গিত করে যে আপনার পরিচয় প্রদানকারীর SAML প্রতিক্রিয়াতে একটি পঠনযোগ্য প্রাপক মান নেই (অথবা প্রাপকের মানটি ভুল)। প্রাপকের মান হল SAML প্রতিক্রিয়ার একটি গুরুত্বপূর্ণ উপাদান।

  1. লগইন প্রচেষ্টার সময় HTTP হেডার ক্যাপচার করে এই সমস্যাটি আরও নির্ণয় করুন।
  2. HTTP হেডার থেকে SAML অনুরোধ এবং প্রতিক্রিয়া বের করুন।
  3. নিশ্চিত করুন যে SAML প্রতিক্রিয়াতে প্রাপকের মান বিদ্যমান এবং এটি SAML অনুরোধের মানের সাথে মিলে যায়।

দ্রষ্টব্য: এই ত্রুটি বার্তাটি "আপনার লগইন অনুরোধে অবৈধ প্রাপকের তথ্য থাকার কারণে এই পরিষেবাটি অ্যাক্সেস করা যাচ্ছে না। অনুগ্রহ করে লগ ইন করুন এবং আবার চেষ্টা করুন" হিসাবেও প্রদর্শিত হতে পারে।

"লগইন শংসাপত্র যাচাই করা যায়নি বলে এই অ্যাকাউন্টটি অ্যাক্সেস করা যাচ্ছে না।"

এই ত্রুটিটি প্রমাণীকরণ প্রবাহে স্বাক্ষর করার জন্য আপনি যে সার্টিফিকেটগুলি ব্যবহার করছেন তাতে একটি সমস্যা নির্দেশ করে। এর অর্থ সাধারণত SAML প্রতিক্রিয়া স্বাক্ষর করার জন্য ব্যবহৃত ব্যক্তিগত কীটি Google Workspace-এর ফাইলে থাকা পাবলিক কী সার্টিফিকেটের সাথে মেলে না।

আপনার SAML রেসপন্সে যদি কোনও কার্যকর Google অ্যাকাউন্ট ব্যবহারকারীর নাম না থাকে, তাহলেও এটি ঘটতে পারে। Google Workspace NameID নামক একটি XML এলিমেন্টের জন্য SAML রেসপন্স পার্স করে এবং আশা করে যে এই এলিমেন্টে একটি Google Workspace ইউজারনেম অথবা একটি সম্পূর্ণ Google Workspace ইমেল ঠিকানা থাকবে।

  • নিশ্চিত করুন যে আপনি Google Workspace-এ একটি বৈধ সার্টিফিকেট আপলোড করেছেন, এবং প্রয়োজনে সার্টিফিকেটটি প্রতিস্থাপন করুন। Google Admin কনসোলে, Security- এ যান এবং তারপর তৃতীয় পক্ষের আইডিপি দিয়ে একক সাইন-অন (SSO) সেট আপ করুন এবং সার্টিফিকেট প্রতিস্থাপন করুন এ ক্লিক করুন।
  • যদি আপনি আপনার NameID উপাদানে একটি সম্পূর্ণ ইমেল ঠিকানা ব্যবহার করেন (যদি আপনি একটি মাল্টিডোমেন অ্যাপস পরিবেশের সাথে SSO ব্যবহার করেন তবে আপনাকে অবশ্যই এটি ব্যবহার করতে হবে), নিশ্চিত করুন যে NameID উপাদানের Format বৈশিষ্ট্যটি নির্দিষ্ট করে যে একটি সম্পূর্ণ ইমেল ঠিকানা ব্যবহার করা হবে, যেমন নিম্নলিখিত উদাহরণে: Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress".
  • নিশ্চিত করুন যে আপনি NameID উপাদানটিতে একটি বৈধ ব্যবহারকারীর নাম বা ইমেল ঠিকানা পূরণ করছেন। নিশ্চিত হতে, Google Workspace-এ আপনি যে SAML প্রতিক্রিয়াটি পাঠাচ্ছেন তা বের করুন এবং NameID উপাদানের মান পরীক্ষা করুন।
  • NameID কেস-সংবেদনশীল: নিশ্চিত করুন যে SAML রেসপন্সে NameID-তে এমন একটি মান রয়েছে যা Google Workspace ব্যবহারকারীর নাম বা ইমেল ঠিকানার ক্ষেত্রে মেলে।
  • যদি আপনার আইডেন্টিটি প্রোভাইডার আপনার SAML অ্যাসারশন এনক্রিপ্ট করে, তাহলে এনক্রিপশন অক্ষম করুন।
  • নিশ্চিত করুন যে SAML রেসপন্সে কোনও অ-মানক ASCII অক্ষর অন্তর্ভুক্ত নেই। এই সমস্যাটি সাধারণত AttributeStatement-এর DisplayName, GivenName এবং Surname অ্যাট্রিবিউটগুলিতে দেখা যায়, উদাহরণস্বরূপ:
    • <অ্যাট্রিবিউট নাম="http://schemas.microsoft.com/identity/claims/displayname">
      <অ্যাট্রিবিউটভ্যালু>ব্লুট, ইভা</অ্যাট্রিবিউটভ্যালু> </অ্যাট্রিবিউট>
    • <অ্যাট্রিবিউট নেম="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname">
      <অ্যাট্রিবিউটভ্যালু>ব্লুট</অ্যাট্রিবিউটভ্যালু> </অ্যাট্রিবিউট>

NameID উপাদানটি কীভাবে ফর্ম্যাট করবেন সে সম্পর্কে আরও তথ্যের জন্য, SSO দাবির প্রয়োজনীয়তা দেখুন।

"আপনার লগইন শংসাপত্রের মেয়াদ শেষ হয়ে যাওয়ার কারণে এই পরিষেবাটি অ্যাক্সেস করা যাচ্ছে না। অনুগ্রহ করে লগ ইন করুন এবং আবার চেষ্টা করুন।"

নিরাপত্তার কারণে, SSO লগইন প্রবাহ একটি নির্দিষ্ট সময়সীমার মধ্যে সম্পন্ন করতে হবে, অন্যথায় প্রমাণীকরণ ব্যর্থ হবে। যদি আপনার পরিচয় প্রদানকারীর ঘড়িটি ভুল হয়, তাহলে বেশিরভাগ বা সমস্ত লগইন প্রচেষ্টা গ্রহণযোগ্য সময়সীমার বাইরে বলে মনে হবে এবং উপরের ত্রুটি বার্তার সাথে প্রমাণীকরণ ব্যর্থ হবে।

  • আপনার আইডেন্টিটি প্রোভাইডারের সার্ভারে ঘড়িটি পরীক্ষা করুন। এই ত্রুটিটি প্রায় সবসময় আইডেন্টিটি প্রোভাইডারের ঘড়িটি ভুল থাকার কারণে ঘটে, যা SAML রেসপন্সে ভুল টাইমস্ট্যাম্প যোগ করে।
  • একটি নির্ভরযোগ্য ইন্টারনেট টাইম সার্ভারের সাথে আইডেন্টিটি প্রোভাইডার সার্ভার ক্লকটি পুনরায় সিঙ্ক করুন। যখন এই সমস্যাটি হঠাৎ করে কোনও প্রোডাকশন পরিবেশে দেখা দেয়, তখন সাধারণত শেষবার সিঙ্ক ব্যর্থ হওয়ার কারণে সার্ভারের সময়টি ভুল হয়ে যায়। টাইম সিঙ্ক পুনরাবৃত্তি করলে (সম্ভবত আরও নির্ভরযোগ্য টাইম সার্ভারের সাথে) এই সমস্যাটি দ্রুত সমাধান হবে।
  • পূর্ববর্তী লগইন প্রচেষ্টা থেকে SAML পুনরায় পাঠালেও এই সমস্যাটি ঘটতে পারে। আপনার SAML অনুরোধ এবং প্রতিক্রিয়া (লগইন প্রচেষ্টার সময় ক্যাপচার করা HTTP হেডার লগ থেকে প্রাপ্ত) পরীক্ষা করলে এটি আরও ডিবাগ করতে সাহায্য করতে পারে।

"এই পরিষেবাটি অ্যাক্সেস করা যাচ্ছে না কারণ আপনার লগইন শংসাপত্রগুলি এখনও বৈধ নয়। অনুগ্রহ করে লগ ইন করুন এবং আবার চেষ্টা করুন।"

নিরাপত্তার কারণে, SSO লগইন প্রবাহ একটি নির্দিষ্ট সময়সীমার মধ্যে সম্পন্ন করতে হবে, অন্যথায় প্রমাণীকরণ ব্যর্থ হবে। যদি আপনার পরিচয় প্রদানকারীর ঘড়িটি ভুল হয়, তাহলে বেশিরভাগ বা সমস্ত লগইন প্রচেষ্টা গ্রহণযোগ্য সময়সীমার বাইরে বলে মনে হবে এবং উপরের ত্রুটি বার্তার সাথে প্রমাণীকরণ ব্যর্থ হবে।

  • আপনার আইডেন্টিটি প্রোভাইডারের সার্ভারে ঘড়িটি পরীক্ষা করুন। এই ত্রুটিটি প্রায় সবসময় আইডেন্টিটি প্রোভাইডারের ঘড়িটি ভুল থাকার কারণে ঘটে, যা SAML রেসপন্সে ভুল টাইমস্ট্যাম্প যোগ করে।
  • একটি নির্ভরযোগ্য ইন্টারনেট টাইম সার্ভারের সাথে আইডেন্টিটি প্রোভাইডার সার্ভার ক্লকটি পুনরায় সিঙ্ক করুন। যখন এই সমস্যাটি হঠাৎ করে কোনও প্রোডাকশন পরিবেশে দেখা দেয়, তখন সাধারণত শেষবার সিঙ্ক ব্যর্থ হওয়ার কারণে সার্ভারের সময়টি ভুল হয়ে যায়। টাইম সিঙ্ক পুনরাবৃত্তি করলে (সম্ভবত আরও নির্ভরযোগ্য টাইম সার্ভারের সাথে) এই সমস্যাটি দ্রুত সমাধান হবে।