department, group, या role)। पहुँच नियंत्रण सुविधा यह निर्धारित करने के लिए उन attributes का उपयोग करती है कि क्या किसी उपयोगकर्ता को एप्लिकेशन में प्रवेश करने की अनुमति है या नहीं।
पहुँच नियंत्रण और स्वचालित टीम प्रबंधन स्वतंत्र सुविधाएँ हैं, लेकिन उन्हें आम तौर पर एक साथ उपयोग किया जाता है। साथी गाइड के लिए स्वचालित टीम और परियोजना असाइनमेंट देखें।
शर्तें
पहुँच नियंत्रण सक्षम करने से पहले:- SAML SSO कॉन्फ़िगर होना चाहिए और लॉगिन पर metadata attributes भेज रहा हो
- SAML assertion में मिलान के लिए स्थिर attributes होने चाहिए
पहुँच मोड
Super Admin → Security & Access → Access Controls पर जाएँ और एक मोड चुनें।
| मोड | व्यवहार |
|---|---|
| Allow Any New Users | डिफ़ॉल्ट। ईमेल/पासवर्ड, Google OAuth और SSO साइनअप सभी अनुमत हैं। |
| Restrict to SAML Metadata | केवल वे SSO उपयोगकर्ता जिनके SAML attributes कम से कम एक कॉन्फ़िकर किए गए नियम से मेल खाते हैं, अनुमत हैं। |
नियम मिलान कैसे काम करता है
नियम एक Attribute Name और एक या अधिक Attribute Values द्वारा परिभाषित होते हैं।
मानसिक मॉडल: सब कुछ एक सेट है
एक नियम और एक आने वाला उपयोगकर्ता attribute दोनों को टोकन के सेट में कम किया जाता है और subset semantics से तुलना की जाती है:- एक नियम मिलता है जब उसके आवश्यक टोकन उपयोगकर्ता के टोकन का subset होते हैं
- नियमों के बीच तर्क OR है — कोई भी एक नियम मिलने पर पहुँच मिलती है
- सभी तुलनाएँ case-insensitive हैं और leading/trailing whitespace को अनदेखा करती हैं
मल्टी-टोकन नियम (नियम के भीतर AND)
Attribute Value(s) फ़ील्ड में कॉमा टोकन विभाजक होते हैं।engineering— एक टोकन आवश्यक: उपयोगकर्ता के attribute मेंengineeringहोना चाहिएAccounting, US— दो टोकन आवश्यक: उपयोगकर्ता के attribute में दोनोंaccountingऔरusहोने चाहिए
अलग-अलग SAML wire shapes को संभालना
| Toggle: “IdP packs multi-values into one string” | व्यवहार |
|---|---|
| Off (डिफ़ॉल्ट) | उपयोगकर्ता की स्ट्रिंग को एक लिटरल टोकन के रूप में माना जाता है |
| On | उपयोगकर्ता की स्ट्रिंग को कॉमा पर विभाजित किया जाता है और सेट के रूप में मिलान किया जाता है |
यह toggle केवल उपयोगकर्ता के attribute की व्याख्या को प्रभावित करता है। नियम पक्ष पर कॉमा हमेशा टोकन विभाजक होते हैं।
प्रतिबंधित मोड सक्रिय होने पर व्यवहार
क्या अवरुद्ध है
क्या अवरुद्ध है
- नए ईमेल/पासवर्ड पंजीकरण
- नए Google OAuth पंजीकरण
- नए SSO उपयोगकर्ता जिनके SAML attributes किसी नियम से मेल नहीं खाते
क्या अभी भी अनुमत है
क्या अभी भी अनुमत है
- मौजूदा SSO उपयोगकर्ता जो कम से कम एक नियम से मेल खाते हैं (हर साइन-इन पर पुनः जाँच)
- मौजूदा खातों में साइन इन करने वाले मौजूदा स्थानीय उपयोगकर्ता
- Super Admin खाते SSO के माध्यम से, बिना मिलान नियम के भी
पहुँच नियंत्रण कॉन्फ़िगर करें
परीक्षण चेकलिस्ट
- एक SSO उपयोगकर्ता जिसे अनुमत होना चाहिए, साइन इन कर सकता है
- एक SSO उपयोगकर्ता जिसे अनुमत नहीं होना चाहिए, अस्वीकृत अनुभव पर रीडायरेक्ट होता है
- कम से कम एक वैध नियम सक्रिय है
ट्रबलशूटिंग
उपयोगकर्ता अप्रत्याशित रूप से अस्वीकृत
उपयोगकर्ता अप्रत्याशित रूप से अस्वीकृत
- पुष्टि करें कि पहुँच मोड अनजाने में प्रतिबंधित नहीं है
- सत्यापित करें कि नियम सही attribute name और मान का उपयोग करता है
- जाँचें कि क्या उपयोगकर्ता प्रतिबंधित मोड के दौरान ईमेल/पासवर्ड या Google OAuth लॉगिन का प्रयास कर रहा है
Super Admin बंद हो गया
Super Admin बंद हो गया
Super Admin खाते हमेशा बिना मिलान नियम के भी SSO के माध्यम से अनुमत होते हैं। यदि बंद हो गया है, तो Super Admin खाते के साथ SSO के माध्यम से साइन इन करें।
संचालन मार्गदर्शन
- पहुँच नियमों को सुरक्षा-संवेदनशील कॉन्फ़िगरेशन मानें
- उत्पादन अपडेट के लिए परिवर्तन प्रबंधन प्रक्रियाओं का उपयोग करें
- किसी भी IdP claim परिवर्तन के बाद पुनः परीक्षण करें
- नियमित रूप से नियमों की समीक्षा करें