> ## Documentation Index
> Fetch the complete documentation index at: https://ai-kb.automationanywhere.com/llms.txt
> Use this file to discover all available pages before exploring further.

# SAML पहुँच नियंत्रण

> SAML metadata attributes का उपयोग करके EK में साइन इन या रजिस्टर करने की अनुमति किसे है, इसे नियंत्रित करें।

जब कोई उपयोगकर्ता SAML SSO के माध्यम से साइन इन करता है, तो EK को SAML metadata attributes प्राप्त होते हैं (जैसे `department`, `group`, या `role`)। पहुँच नियंत्रण सुविधा यह निर्धारित करने के लिए उन attributes का उपयोग करती है कि क्या किसी उपयोगकर्ता को एप्लिकेशन में प्रवेश करने की अनुमति है या नहीं।

<Note>
  पहुँच नियंत्रण और स्वचालित टीम प्रबंधन स्वतंत्र सुविधाएँ हैं, लेकिन उन्हें आम तौर पर एक साथ उपयोग किया जाता है। साथी गाइड के लिए [स्वचालित टीम और परियोजना असाइनमेंट](/super-admin/sa-automated-management) देखें।
</Note>

## शर्तें

पहुँच नियंत्रण सक्षम करने से पहले:

* SAML SSO कॉन्फ़िगर होना चाहिए और लॉगिन पर metadata attributes भेज रहा हो
* SAML assertion में मिलान के लिए स्थिर attributes होने चाहिए

<Tip>
  किसी भी प्रतिबंध को सक्षम करने से पहले कुछ सफल SSO लॉगिन से attribute names और values सत्यापित करें। सुपर एडमिन उपयोगकर्ता दृश्य प्रत्येक SSO उपयोगकर्ता के लिए संग्रहीत SAML metadata दिखाता है — नियम लिखते समय इसे सत्य स्रोत के रूप में उपयोग करें।
</Tip>

## पहुँच मोड

**Super Admin → Security & Access → Access Controls** पर जाएँ और एक मोड चुनें।

<img src="https://mintcdn.com/automationanywhere/P9UkIpAqpipG-xbe/img/sa/access-mode.png?fit=max&auto=format&n=P9UkIpAqpipG-xbe&q=85&s=221e1cef0569afded822f8a5d8115b26" alt="Access Mode Selection" width="834" height="263" data-path="img/sa/access-mode.png" />

| मोड                           | व्यवहार                                                                                                    |
| ----------------------------- | ---------------------------------------------------------------------------------------------------------- |
| **Allow Any New Users**       | डिफ़ॉल्ट। ईमेल/पासवर्ड, Google OAuth और SSO साइनअप सभी अनुमत हैं।                                          |
| **Restrict to SAML Metadata** | केवल वे SSO उपयोगकर्ता जिनके SAML attributes कम से कम एक कॉन्फ़िकर किए गए नियम से मेल खाते हैं, अनुमत हैं। |

## नियम मिलान कैसे काम करता है

नियम एक **Attribute Name** और एक या अधिक **Attribute Values** द्वारा परिभाषित होते हैं।

<img src="https://mintcdn.com/automationanywhere/AnqQHTb8za_1axzx/img/sa/saml-access-rules-v2.png?fit=max&auto=format&n=AnqQHTb8za_1axzx&q=85&s=0ff76c9da8d4c415e10bd1b8476cceee" alt="SAML Access Rules" width="1744" height="1038" data-path="img/sa/saml-access-rules-v2.png" />

### मानसिक मॉडल: सब कुछ एक सेट है

एक नियम और एक आने वाला उपयोगकर्ता attribute दोनों को **टोकन के सेट** में कम किया जाता है और subset semantics से तुलना की जाती है:

* एक नियम मिलता है जब उसके आवश्यक टोकन उपयोगकर्ता के टोकन का **subset** होते हैं
* नियमों के बीच तर्क **OR** है — कोई भी एक नियम मिलने पर पहुँच मिलती है
* सभी तुलनाएँ **case-insensitive** हैं और leading/trailing whitespace को अनदेखा करती हैं

### मल्टी-टोकन नियम (नियम के भीतर AND)

**Attribute Value(s)** फ़ील्ड में कॉमा टोकन विभाजक होते हैं।

* `engineering` — एक टोकन आवश्यक: उपयोगकर्ता के attribute में `engineering` होना चाहिए
* `Accounting, US` — दो टोकन आवश्यक: उपयोगकर्ता के attribute में **दोनों** `accounting` और `us` होने चाहिए

### अलग-अलग SAML wire shapes को संभालना

| Toggle: "IdP packs multi-values into one string" | व्यवहार                                                                                     |
| ------------------------------------------------ | ------------------------------------------------------------------------------------------- |
| **Off** (डिफ़ॉल्ट)                               | उपयोगकर्ता की स्ट्रिंग को एक लिटरल टोकन के रूप में माना जाता है                             |
| **On**                                           | उपयोगकर्ता की स्ट्रिंग को कॉमा पर विभाजित किया जाता है और सेट के रूप में मिलान किया जाता है |

<Note>
  यह toggle केवल **उपयोगकर्ता के** attribute की व्याख्या को प्रभावित करता है। नियम पक्ष पर कॉमा हमेशा टोकन विभाजक होते हैं।
</Note>

## प्रतिबंधित मोड सक्रिय होने पर व्यवहार

<AccordionGroup>
  <Accordion title="क्या अवरुद्ध है">
    * नए ईमेल/पासवर्ड पंजीकरण
    * नए Google OAuth पंजीकरण
    * नए SSO उपयोगकर्ता जिनके SAML attributes किसी नियम से मेल नहीं खाते
  </Accordion>

  <Accordion title="क्या अभी भी अनुमत है">
    * मौजूदा SSO उपयोगकर्ता जो कम से कम एक नियम से मेल खाते हैं (हर साइन-इन पर पुनः जाँच)
    * मौजूदा खातों में साइन इन करने वाले मौजूदा स्थानीय उपयोगकर्ता
    * Super Admin खाते SSO के माध्यम से, बिना मिलान नियम के भी
  </Accordion>
</AccordionGroup>

<Warning>
  **Fail-open व्यवहार:** यदि प्रतिबंधित मोड ON है लेकिन कोई SAML पहुँच नियम नहीं है, तो EK सभी SSO उपयोगकर्ताओं को अनुमति देता है। सख्त शासन सक्षम करने से पहले हमेशा कम से कम एक नियम परिभाषित करें।
</Warning>

## पहुँच नियंत्रण कॉन्फ़िगर करें

<Steps>
  <Step title="पहुँच नियंत्रण खोलें">
    **Super Admin → Security & Access → Access Controls** पर जाएँ।
  </Step>

  <Step title="प्रतिबंधित मोड चुनें">
    **Restrict to SAML Metadata** चुनें।
  </Step>

  <Step title="SAML पहुँच नियम जोड़ें">
    **SAML Access Rules** के अंतर्गत एक या अधिक नियम जोड़ें।
  </Step>

  <Step title="सहेजें और सत्यापित करें">
    अपने नियम सहेजें और व्यापक रूप से रोलआउट करने से पहले प्रतिनिधि SSO खातों से परीक्षण करें।
  </Step>
</Steps>

## परीक्षण चेकलिस्ट

* एक SSO उपयोगकर्ता जिसे **अनुमत** होना चाहिए, साइन इन कर सकता है
* एक SSO उपयोगकर्ता जिसे **अनुमत नहीं** होना चाहिए, अस्वीकृत अनुभव पर रीडायरेक्ट होता है
* कम से कम एक वैध नियम सक्रिय है

## ट्रबलशूटिंग

<AccordionGroup>
  <Accordion title="उपयोगकर्ता अप्रत्याशित रूप से अस्वीकृत">
    * पुष्टि करें कि पहुँच मोड अनजाने में प्रतिबंधित नहीं है
    * सत्यापित करें कि नियम सही attribute name और मान का उपयोग करता है
    * जाँचें कि क्या उपयोगकर्ता प्रतिबंधित मोड के दौरान ईमेल/पासवर्ड या Google OAuth लॉगिन का प्रयास कर रहा है
  </Accordion>

  <Accordion title="Super Admin बंद हो गया">
    Super Admin खाते हमेशा बिना मिलान नियम के भी SSO के माध्यम से अनुमत होते हैं। यदि बंद हो गया है, तो Super Admin खाते के साथ SSO के माध्यम से साइन इन करें।
  </Accordion>
</AccordionGroup>

## संचालन मार्गदर्शन

* पहुँच नियमों को **सुरक्षा-संवेदनशील कॉन्फ़िगरेशन** मानें
* उत्पादन अपडेट के लिए परिवर्तन प्रबंधन प्रक्रियाओं का उपयोग करें
* किसी भी IdP claim परिवर्तन के बाद पुनः परीक्षण करें
* नियमित रूप से नियमों की समीक्षा करें