एंटरप्राइज़

SAML और OIDC के ज़रिए सिंगल साइन-ऑन

Ciao को उन पहचान नियंत्रणों के तहत लाएं जिन्हें आप पहले से चलाते हैं — SAML या OIDC, वैकल्पिक MFA, जस्ट-इन-टाइम प्रोविज़निंग और सेशन पॉलिसी जो वहीं लागू होती हैं जहां उन्हें होना चाहिए: आपके IdP पर।

Ciao SAML और OIDC के ज़रिए सिंगल साइन-ऑन सपोर्ट करता है, वैकल्पिक MFA और रोल-आधारित एक्सेस कंट्रोल के साथ। पासवर्ड-आधारित टूल के विपरीत जो एक समानांतर पहचान साइलो बनाते हैं, SSO Ciao को आपके मौजूदा आइडेंटिटी प्रोवाइडर के पीछे रखता है — इसलिए नए लोगों को आपकी डायरेक्टरी के ज़रिए एक्सेस मिलता है, सेशन और री-ऑथेंटिकेशन पॉलिसी आपके IdP के नियमों का पालन करती हैं, और छोड़ने वालों की एक्सेस उसी पल खत्म हो जाती है जब आपका IdP उन्हें निष्क्रिय करता है।

किसके लिए सबसे अच्छाIT और पहचान टीमेंएक्सेस कंट्रोल का आकलन करने वाले सिक्योरिटी रिव्यूअरएंटरप्राइज़ ऑनबोर्डिंग

प्रकाशित 2026-07-03 · आख़िरी बार अपडेट किया गया 2026-07-03

SSO आमतौर पर पहली एंटरप्राइज़ आवश्यकता क्यों है

हर टूल जो अपने पासवर्ड खुद रखता है वह एक ऐसा टूल है जिसे आपकी ऑफ़बोर्डिंग प्रक्रिया चूक सकती है। एक ऐसे प्लेटफ़ॉर्म के लिए जहां एक साइन-इन उपयोगकर्ता प्रोडक्शन सॉफ़्टवेयर में बदलाव प्रॉम्प्ट कर सकता है, यह जोखिम डैशबोर्ड प्रोडक्ट से ज़्यादा तीखा है: एक अनाथ अकाउंट सिर्फ़ डेटा-एक्सपोज़र सवाल नहीं बल्कि एक चेंज-कंट्रोल सवाल है। सिक्योरिटी समीक्षाएं SSO को आवश्यकता सूची में ऊपर रखने में सही हैं।

SSO Ciao के लिए ऑथेंटिकेशन को उस आइडेंटिटी प्रोवाइडर के पीछे ले जाता है जिसे आप पहले से गवर्न करते हैं। एक्सेस समीक्षाएं एक ही जगह होती हैं, MFA पॉलिसी लगातार लागू होती है, और जो जॉइनर-मूवर-लीवर प्रक्रिया आपके ऑडिटर पहले से स्वीकार करते हैं वह AI-सहायता प्राप्त डेवलपमेंट को कवर करने के लिए बिना किसी समानांतर अकाउंट स्टोर के फैलती है।

काम करने वाले लोगों के लिए एक शांत फ़ायदा भी है: एक कम पासवर्ड, एक कम लॉगिन रस्म, और ऐसी एक्सेस जो पहले दिन दिखाई देती है क्योंकि डायरेक्टरी — कोई टिकट क्यू नहीं — सच्चाई का स्रोत है। जो नियंत्रण सुरक्षित रास्ते को सुविधाजनक रास्ता बनाते हैं वे ही नियंत्रण हैं जिनका लोग वाकई पालन करते हैं, और पहचान स्टैक में SSO सबसे साफ़ उदाहरण है।

Ciao क्या प्रदान करता है

नीचे दी गई पहचान क्षमताएं एंटरप्राइज़ प्लेटफ़ॉर्म का हिस्सा हैं, और हर एक ऑनबोर्डिंग या मूल्यांकन के दौरान सत्यापन योग्य है:

  • SAML और OIDC — दोनों प्रमुख प्रोटोकॉल के ज़रिए SSO, इसलिए Ciao उस IdP के साथ काम करता है जिसे आप आज चलाते हैं, किसी खास वेंडर की मांग नहीं करता।
  • वैकल्पिक MFA — MFA आपके IdP की पॉलिसी के ज़रिए लागू किया जा सकता है, पहचान सेटअप के हिस्से के रूप में Ciao की तरफ़ से वैकल्पिक MFA उपलब्ध है।
  • रोल-आधारित एक्सेस कंट्रोल — SSO RBAC के साथ जुड़ता है, इसलिए ऑथेंटिकेशन जवाब देता है कि आप कौन हैं और रोल जवाब देते हैं कि आप क्या कर सकते हैं — वर्कस्पेस और प्रोजेक्ट्स में।
  • जस्ट-इन-टाइम प्रोविज़निंग — आपके IdP के ज़रिए पहली सफल साइन-इन पर अकाउंट बनाए जा सकते हैं, इसलिए ऑनबोर्डिंग मैनुअल अकाउंट क्रिएशन पर निर्भर नहीं करती।
  • ऑडिट की गई एडमिन कार्रवाइयां — पहचान और एक्सेस बदलाव एडमिन कार्रवाइयां हैं, और एडमिन कार्रवाइयां अपेंड-ओनली ऑडिट ट्रेल में दर्ज होती हैं।

सेटअप कैसे काम करता है

  1. 1. प्रोटोकॉल चुनें

    SAML या OIDC, इस पर आधारित कि आपकी IdP टीम क्या पसंद करती है। कोई भी 'कमतर' विकल्प नहीं है — वह चुनें जिसे आपका पहचान टूलिंग सबसे अच्छा प्रबंधित करता है।

  2. 2. अपने IdP में एप्लिकेशन बनाएं

    Ciao को अपने आइडेंटिटी प्रोवाइडर में उसी तरह रजिस्टर करें जैसे आप किसी भी SSO एप्लिकेशन को करते हैं, और उन उपयोगकर्ताओं या समूहों को असाइन करें जिन्हें एक्सेस मिलनी चाहिए।

  3. 3. कॉन्फ़िगरेशन का आदान-प्रदान करें

    मेटाडेटा, एंडपॉइंट और सर्टिफ़िकेट ऑनबोर्डिंग के दौरान आपके IdP और Ciao के बीच आदान-प्रदान किए जाते हैं, एंटरप्राइज़ टीम आपके पहचान इंजीनियरों के साथ इसे चलाती है।

  4. 4. एक पायलट समूह के साथ टेस्ट करें

    एक्सेस को व्यापक करने से पहले एक छोटे समूह के साथ साइन-इन, जस्ट-इन-टाइम अकाउंट क्रिएशन और रोल असाइनमेंट सत्यापित करें।

  5. 5. रोलआउट करें और समीक्षा करें

    असाइनमेंट को पूरी आबादी तक बढ़ाएं, फिर ऑडिट ट्रेल में पुष्टि करें कि एक्सेस इवेंट और एडमिन कार्रवाइयां आपकी समीक्षा की उम्मीद के अनुसार दर्ज हैं।

जस्ट-इन-टाइम प्रोविज़निंग और यह क्या हल नहीं करता

जस्ट-इन-टाइम प्रोविज़निंग एक Ciao अकाउंट तब बनाता है जब कोई उपयोगकर्ता पहली बार आपके IdP के ज़रिए साइन इन करता है। यह ऑनबोर्डिंग पर मैनुअल कदम हटाता है और पहले से बनाए गए अकाउंट को बिना इस्तेमाल बैठे रहने से रोकता है। JIT जो नहीं करता वह है डीप्रोविज़निंग: जो उपयोगकर्ता फिर कभी साइन इन नहीं करता उसे भी IdP पर एक्सेस हटाने की ज़रूरत है, और लाइफ़साइकिल ऑटोमेशन SCIM द्वारा बेहतर तरीके से संभाला जाता है। ज़्यादातर एंटरप्राइज़ डिप्लॉयमेंट आगमन के लिए JIT के साथ और पूरे लाइफ़साइकिल के लिए SCIM के साथ SSO चलाते हैं — SCIM पेज उस आधे हिस्से को कवर करता है।

मूल्यांकन के दौरान, JIT पथ को स्पष्ट रूप से टेस्ट करें: IdP में एक टेस्ट यूज़र असाइन करें, एक बार साइन इन करें, और पुष्टि करें कि अकाउंट आपकी मैपिंग द्वारा तय किए गए रोल के साथ पहुंचता है। पांच मिनट का यह टेस्ट किसी भी आर्किटेक्चर डायग्राम से ज़्यादा बताता है।

सेशन पॉलिसी और MFA

सेशन की लंबाई, री-ऑथेंटिकेशन आवृत्ति और स्टेप-अप नियम आइडेंटिटी प्रोवाइडर पर होने चाहिए, जहां आपकी सिक्योरिटी टीम उन्हें पहले से ट्यून करती है, और SSO का मतलब है कि Ciao सेशन उस पॉलिसी का पालन करते हैं जो आपका IdP साइन-इन पर लागू करता है। MFA उसी तरह काम करता है: इसे उस IdP पॉलिसी में लागू करें जो Ciao एक्सेस को नियंत्रित करती है, प्लेटफ़ॉर्म साइड पर वैकल्पिक MFA उपलब्ध है। रिव्यूअर्स के लिए व्यावहारिक नतीजा प्रति-टूल सेशन सेटिंग्स के बजाय ऑडिट करने के लिए एक ही पॉलिसी सतह है जो बहक सकती है।

जब आपकी पॉलिसी बदलती है — छोटे सेशन, सख़्त स्टेप-अप नियम — आप इसे एक बार, IdP पर बदलते हैं, और Ciao तक एक्सेस प्लेटफ़ॉर्म साइड पर एक समानांतर सेटिंग्स ऑडिट के बिना उसका पालन करती है।

वेरिफ़िकेशन नोट्स

पहचान दावों को सत्यापित करना सस्ता है: मूल्यांकन के दौरान एक टेस्ट कनेक्शन कॉन्फ़िगर करें और अपने खुद के IdP के खिलाफ़ साइन-इन, JIT अकाउंट क्रिएशन और रोल मैपिंग होते देखें। कॉन्टैक्ट पेज के ज़रिए अनुरोध पर उपलब्ध सिक्योरिटी पैक, पहचान आर्किटेक्चर को लिखित में दस्तावेज़ीकृत करता है, और NDA के तहत SOC 2 Type II रिपोर्ट इसके पीछे के ऑडिट किए गए एक्सेस-मैनेजमेंट नियंत्रणों को कवर करती हैं।

एक नज़र में क्षमताएं

क्षमतातंत्रनोट्स
सिंगल साइन-ऑनSAML या OIDCमानक-अनुरूप आइडेंटिटी प्रोवाइडरों के साथ काम करता है
मल्टी-फ़ैक्टर ऑथेंटिकेशनIdP पॉलिसी, और Ciao पर वैकल्पिक MFAवहीं लागू करें जहां आपकी टीम पहले से MFA गवर्न करती है
अकाउंट क्रिएशनपहली साइन-इन पर जस्ट-इन-टाइमपूरे लाइफ़साइकिल के लिए SCIM के साथ जुड़ता है
अथॉराइज़ेशनरोल-आधारित एक्सेस कंट्रोलवर्कस्पेस और प्रोजेक्ट स्कोपिंग
सबूतअपेंड-ओनली ऑडिट ट्रेलसमीक्षा के लिए दर्ज एडमिन कार्रवाइयां

अक्सर पूछे जाने वाले सवाल

कौन-से आइडेंटिटी प्रोवाइडर सपोर्टेड हैं?

कोई भी आइडेंटिटी प्रोवाइडर जो SAML या OIDC लागू करता है — वे IdP जो एंटरप्राइज़ आमतौर पर चलाते हैं, जैसे Okta, Microsoft Entra ID और Google Workspace, सभी ये प्रोटोकॉल बोलते हैं। कॉन्फ़िगरेशन ऑनबोर्डिंग के दौरान आपकी पहचान टीम के साथ चलाया जाता है।

क्या हम मांग कर सकते हैं कि सभी उपयोगकर्ता सिर्फ़ SSO के ज़रिए साइन इन करें?

SSO को एकमात्र साइन-इन पथ के रूप में लागू करना एक पहचान-कॉन्फ़िगरेशन सवाल है जो ऑनबोर्डिंग के दौरान संभाला जाता है — इसे एंटरप्राइज़ टीम के साथ उठाएं और आपके सेटअप की आवश्यकता के खिलाफ़ पुष्टि की जाएगी, मान नहीं ली जाएगी।

जब कोई कर्मचारी छोड़ता है तो क्या होता है?

उन्हें IdP पर निष्क्रिय करें और वे अब Ciao को ऑथेंटिकेट नहीं कर सकते। SCIM प्रोविज़निंग के साथ, निष्क्रियता एक लाइफ़साइकिल इवेंट के रूप में भी फैलती है, और आस-पास की एडमिन कार्रवाइयां अपेंड-ओनली ऑडिट ट्रेल में दर्ज होती हैं।

JIT और SCIM में क्या अंतर है?

JIT एक अकाउंट तब बनाता है जब कोई उपयोगकर्ता पहली बार साइन इन करता है; यह सिर्फ़ आगमन संभालता है। SCIM आपके IdP से क्रिएट, अपडेट और डीएक्टिवेट इवेंट लगातार पुश करता है, पूरे लाइफ़साइकिल को कवर करते हुए। ज़्यादातर एंटरप्राइज़ रोलआउट दोनों को साथ इस्तेमाल करते हैं।

क्या SSO शामिल है, या ऐड-ऑन?

SAML और OIDC के ज़रिए SSO Ciao के एंटरप्राइज़ क्षमता सेट का हिस्सा है। गंभीर प्रोडक्शन प्रोग्राम USD 10,000 प्रति वर्ष से शुरू होते हैं — शुरू से ही पहचान आवश्यकताएं एग्रीमेंट में शामिल करने के लिए सेल्स के साथ प्लान स्कोप की पुष्टि करें।

संबंधित पेज

सिक्योरिटी पैक प्राप्त करें।

सिंगल साइन-ऑन: SAML और OIDC | Ciao