ChromeOS-এ SAML প্রমাণীকরণ

ডিফল্টরূপে, Google-এর বাহ্যিকভাবে অ্যাক্সেসযোগ্য অ্যাকাউন্ট পরিষেবা Google অ্যাকাউন্টগুলির জন্য প্রমাণীকরণ পরিচালনা করে। যখন কোনও অননুমোদিত ব্যবহারকারী এমন একটি Google পৃষ্ঠায় যান যেখানে প্রমাণীকরণের প্রয়োজন হয়, তখন Google লগইন ফর্ম ব্যবহারকারীর ইমেল ঠিকানা এবং পাসওয়ার্ডের জন্য অনুরোধ করে। ব্যবহারকারী তাদের ইমেল এবং পাসওয়ার্ড জমা দেওয়ার পরে, Google প্রমাণীকরণ যাচাই করে যে প্রবেশ করানো শংসাপত্রগুলি সঠিক। যদি শংসাপত্রগুলি সঠিক হয়, তাহলে Google প্রমাণীকরণ ব্যবহারকারীর লগইন কুকিজ সেট করে।

কিছু এন্টারপ্রাইজ আরও পরিশীলিত মডেল ব্যবহার করে যেখানে একটি তৃতীয়-পক্ষ পরিচয় প্রদানকারী (IdP) প্রমাণীকরণ পরিচালনা করে। Google প্রমাণীকরণ এই মডেলটিকে শিল্প-মানক নিরাপত্তা অ্যাসারশন মার্কআপ ল্যাঙ্গুয়েজ (SAML) প্রোটোকলের মাধ্যমে সমর্থন করে। একজন প্রশাসক SAML প্রমাণীকরণ ব্যবহার করার জন্য একটি ডোমেন কনফিগার করতে পারেন।

ব্যবহারকারীর পাসওয়ার্ড প্রাপ্তি

ChromeOS-কে লগইন করার সময় ব্যবহারকারীর পাসওয়ার্ডটি সনাক্ত করতে হবে:

  • ডিস্ক ড্রাইভে সংরক্ষিত ব্যবহারকারীর ডেটা এনক্রিপ্ট করুন।
  • লক স্ক্রিনটি সুরক্ষিত রাখুন।
  • নেটওয়ার্ক অ্যাক্সেসিবিলিটি না থাকলে অফলাইন লগইন সক্ষম করুন।

SAML ব্যবহার করার সময়, পাসওয়ার্ডটি সরাসরি ChromeOS সিস্টেম ডায়ালগে প্রবেশ করানো হয় না, বরং পরিচয় প্রদানকারী দ্বারা হোস্ট করা একটি ওয়েবভিউয়ের ভিতরে প্রবেশ করানো হয়। যদিও ChromeOS-এর HTML-এ অ্যাক্সেস আছে, পাসওয়ার্ড পাওয়ার কোনও সহজ, আদর্শ উপায় নেই কারণ কোন ফর্ম ফিল্ডে ডেটা রয়েছে তা স্পষ্ট নয়।

SAML ব্যবহার করার সময় ব্যবহারকারীর পাসওয়ার্ড পাওয়ার দুটি উপায় রয়েছে: ক্রেডেনশিয়াল পাসিং API এবং পাসওয়ার্ড স্ক্র্যাপিং।

Chrome ক্রেডেনশিয়াল পাসিং API

গুগল একটি ক্রেডেনশিয়াল পাসিং এপিআই প্রদান করে যা পরিচয় প্রদানকারীরা জাভাস্ক্রিপ্টে SAML পৃষ্ঠাগুলিতে প্রয়োগ করতে পারে, যাতে প্রয়োজনীয় ডেটা ChromeOS-এ প্রেরণ করা যায়। গুগল প্রমাণীকরণ এই এপিআই ব্যবহার করে, তবে যেকোনো SAML পরিচয় প্রদানকারীও এটি ব্যবহার করতে পারে।

পাসওয়ার্ড স্ক্র্যাপিং

একটি SAML পরিচয় প্রদানকারী যখন ক্রেডেনশিয়াল পাসিং API সমর্থন করে না তখন তারা পাসওয়ার্ড স্ক্র্যাপিং ব্যবহার করতে পারে।

এই পদ্ধতিতে:

  1. প্রমাণীকরণ স্ক্রিনটি লগইন প্রক্রিয়া হোস্ট করে এমন ওয়েবভিউতে একটি কন্টেন্ট স্ক্রিপ্ট ইনজেক্ট করে।
  2. কন্টেন্ট স্ক্রিপ্টটি পাসওয়ার্ড টাইপের HTML ইনপুট ফিল্ডগুলি সনাক্ত করে এবং তাদের বিষয়বস্তুগুলিকে একটি অ্যারেতে কপি করে। যখনই কোনও পাসওয়ার্ড ফিল্ডের বিষয়বস্তু পরিবর্তন হয় তখন অ্যারে আপডেট করা হয়।
  3. স্ক্র্যাপ করা পাসওয়ার্ডগুলি একটি ব্যাকগ্রাউন্ড পৃষ্ঠায় পাঠানো হয় যেখানে সেগুলি জমা হয়। এইভাবে, লগইন প্রবাহ বিভিন্ন HTML পৃষ্ঠায় একাধিক পুনঃনির্দেশনা বিস্তৃত করলেও পাসওয়ার্ডটি ক্যাপচার করা যেতে পারে।

লগইন প্রবাহের শেষে, ব্যাকগ্রাউন্ড পৃষ্ঠা থেকে স্ক্র্যাপ করা পাসওয়ার্ডের অ্যারে পুনরুদ্ধার করা হয়। তিনটি ক্ষেত্রে সম্ভব: কোনও পাসওয়ার্ড স্ক্র্যাপ করা হয়নি, ঠিক একটি পাসওয়ার্ড স্ক্র্যাপ করা হয়েছিল, অথবা একাধিক পাসওয়ার্ড স্ক্র্যাপ করা হয়েছিল।

কোনও পাসওয়ার্ড স্ক্র্যাপ করা হয়নি

পরিচয় প্রদানকারীর দ্বারা পরিবেশিত HTML পৃষ্ঠাগুলিতে কন্টেন্ট স্ক্রিপ্ট পাসওয়ার্ডটি সনাক্ত করতে ব্যর্থ হয়। পরিচয় প্রদানকারী ঐতিহ্যবাহী পাসওয়ার্ড ব্যবহার নাও করতে পারে।

এই পরিস্থিতিতে, ChromeOS ব্যবহারকারীকে ডিভাইসের জন্য একটি ম্যানুয়াল পাসওয়ার্ড বেছে নিতে বলবে। যদি পাসওয়ার্ডটি বিদ্যমান না থাকে (যেমন স্মার্ট কার্ড, NFC, বায়োমেট্রি দ্বারা প্রমাণীকরণ), তাহলে ChromeOS প্রমাণীকরণ প্রক্রিয়া পাসওয়ার্ড ছাড়াই এগিয়ে যেতে পারে।

ঠিক একটি পাসওয়ার্ড স্ক্র্যাপ করা হয়েছিল

কন্টেন্ট স্ক্রিপ্টটি ঠিক একটি পাসওয়ার্ড শনাক্ত করে। সম্ভবত, এটিই প্রমাণীকরণের জন্য ব্যবহৃত ব্যবহারকারীর পাসওয়ার্ড।

এই পরিস্থিতিতে, আমরা সম্ভবত ব্যবহারকারীর পাসওয়ার্ড সঠিকভাবে স্ক্র্যাপ করেছি। ChromeOS প্রমাণীকরণ প্রক্রিয়া চালিয়ে যাওয়ার জন্য ব্যবহারকারীর পাসওয়ার্ড হিসাবে স্ক্র্যাপ করা পাসওয়ার্ড ব্যবহার করবে।

একাধিক পাসওয়ার্ড স্ক্র্যাপ করা হয়েছে

কন্টেন্ট স্ক্রিপ্ট একাধিক পাসওয়ার্ড শনাক্ত করে। এটি এমন পরিস্থিতিতে ঘটতে পারে যেমন একটি পরিচয় প্রদানকারীর দ্বারা একজন ব্যবহারকারীকে লগইন ফর্মে একটি স্থায়ী পাসওয়ার্ড এবং একটি এককালীন পাসওয়ার্ড প্রবেশ করতে বলা হয়।

এই পরিস্থিতিতে, আমরা সম্ভবত ব্যবহারকারীর আসল পাসওয়ার্ড এবং কিছু অতিরিক্ত পাসওয়ার্ড ক্ষেত্র স্ক্র্যাপ করেছি যা ChromeOS-এর জন্য আকর্ষণীয় নয়। কোনটি সঠিক পাসওয়ার্ড তা নির্ধারণ করতে, ChromeOS ব্যবহারকারীকে আরও একবার অতিরিক্ত পাসওয়ার্ড প্রম্পটে পাসওয়ার্ডটি প্রবেশ করতে বলবে।

যদি প্রবেশ করানো পাসওয়ার্ডটি স্ক্র্যাপ করা পাসওয়ার্ডগুলির একটির সাথে মিলে যায়, তাহলে ব্যবহারকারীর আসল পাসওয়ার্ড শনাক্ত করা হয়েছে এবং প্রমাণীকরণ প্রক্রিয়া চলতে থাকবে। যদি কোনও মিল না থাকে, তাহলে ব্যবহারকারীকে আবার তাদের পাসওয়ার্ড লিখতে বলা হবে। দুটি অমিলের পরে, একটি ত্রুটি বার্তা সহ লগইন ব্যর্থ হয়।

এন্টারপ্রাইজ তালিকাভুক্তি

এন্টারপ্রাইজ তালিকাভুক্তির জন্য, ডিভাইসটিকে সঠিক ডোমেনের সাথে সংযুক্ত করার জন্য নথিভুক্ত ব্যবহারকারীর ইমেল ঠিকানা প্রয়োজন। ডিভাইস নীতি আনার সময় PolicyData বার্তার ব্যবহারকারীর নাম ক্ষেত্রে ডিভাইস ম্যানেজমেন্ট (DM) সার্ভার থেকে Chrome-এ ইমেলটি পাঠানো হয়। ব্যবহারকারীর পাসওয়ার্ড নির্ধারণ করার কোনও প্রয়োজন নেই।