हमारी Security & Cybersecurity श्रृंखला का हिस्सा
पूरी गाइड पढ़ेंपहचान और पहुंच प्रबंधन: ओडू में एसएसओ, एमएफए और भूमिका-आधारित पहुंच
पहचान नई परिधि है. जब आपके कर्मचारी घरेलू कार्यालयों, शाखा स्थानों और मोबाइल उपकरणों से ओडू ईआरपी तक पहुंचते हैं, तो पारंपरिक नेटवर्क सीमा अर्थहीन हो जाती है। जो स्थिर रहता है वह पहचान है: प्रत्येक एक्सेस अनुरोध एक विशिष्ट उपयोगकर्ता से, एक विशिष्ट डिवाइस पर, एक विशिष्ट समय पर, एक विशिष्ट संसाधन तक पहुंच का अनुरोध करता है। इन पहचान संकेतों को प्रभावी ढंग से प्रबंधित करना आधुनिक उद्यम सुरक्षा की नींव है।
वेरिज़ोन की डेटा उल्लंघन जांच रिपोर्ट लगातार 60% से अधिक उल्लंघनों में प्राथमिक वेक्टर के रूप में क्रेडेंशियल-संबंधित हमलों की पहचान करती है। ओडू ईआरपी सिस्टम के लिए जो वित्तीय डेटा, ग्राहक रिकॉर्ड, एचआर जानकारी और आपूर्ति श्रृंखला खुफिया को केंद्रीकृत करता है, एक समझौता किया गया क्रेडेंशियल व्यवसाय की संपूर्ण परिचालन रीढ़ को उजागर कर सकता है।
मुख्य बातें
- एक पहचान प्रदाता के माध्यम से केंद्रीकृत एसएसओ पासवर्ड फैलाव को समाप्त करता है और पहुंच प्रवर्तन और निरस्तीकरण के लिए एक एकल बिंदु प्रदान करता है
- हार्डवेयर सुरक्षा कुंजियाँ (WebAuthn/FIDO2) सबसे मजबूत एमएफए प्रदान करती हैं, लेकिन TOTP प्रमाणक ऐप्स अधिकांश तैनाती के लिए सुरक्षा और प्रयोज्य का सर्वोत्तम संतुलन प्रदान करते हैं।
- डिफ़ॉल्ट उपयोगकर्ता/प्रबंधक भूमिकाओं से परे कस्टम समूहों के साथ ठीक से कॉन्फ़िगर किए जाने पर ओडू का समूह-आधारित एक्सेस कंट्रोल सिस्टम ग्रैन्युलर आरबीएसी का समर्थन करता है
- त्रैमासिक पहुंच समीक्षाएं अत्यधिक विशेषाधिकार संचय को कम करती हैं और अनाथ खातों को आक्रमण वाहक बनने से पहले ही पकड़ लेती हैं
केंद्रीकृत पहचान प्रबंधन
केंद्रीकृत पहचान प्रबंधन आपके सभी व्यावसायिक अनुप्रयोगों को एक एकल पहचान प्रदाता (आईडीपी) से जोड़ता है जो उपयोगकर्ता प्रमाणीकरण और कई मामलों में प्राधिकरण के लिए आधिकारिक स्रोत के रूप में कार्य करता है। प्रत्येक एप्लिकेशन अपने स्वयं के उपयोगकर्ता डेटाबेस और पासवर्ड को बनाए रखने के बजाय, उपयोगकर्ता आईडीपी के माध्यम से एक बार प्रमाणित करते हैं और सभी अधिकृत अनुप्रयोगों तक पहुंच प्राप्त करते हैं।
पहचान प्रदाता विकल्प
| प्रदाता | प्रकार | के लिए सर्वश्रेष्ठ | एसएसओ प्रोटोकॉल | एमएफए विकल्प | मूल्य निर्धारण |
|---|---|---|---|---|---|
| प्रामाणिक | ओपन-सोर्स, सेल्फ-होस्टेड | पूर्ण नियंत्रण, गोपनीयता के प्रति जागरूक संगठन | एसएएमएल, ओआईडीसी, एलडीएपी, एससीआईएम | टीओटीपी, वेबऑथन, एसएमएस, डुओ | निःशुल्क (स्वयं-होस्टेड) |
| कीक्लोक | ओपन-सोर्स, सेल्फ-होस्टेड | जावा/उद्यम पारिस्थितिकी तंत्र | एसएएमएल, ओआईडीसी, एलडीएपी | टीओटीपी, वेबऑथ्न | निःशुल्क (स्वयं-होस्टेड) |
| ओक्टा | बादल सास | बड़े उद्यम, व्यापक ऐप कैटलॉग | एसएएमएल, ओआईडीसी, एससीआईएम | टीओटीपी, पुश, वेबऑथन, एसएमएस | $6-15/उपयोगकर्ता/माह |
| एज़्योर एडी (एंट्रा आईडी) | बादल सास | माइक्रोसॉफ्ट-भारी वातावरण | एसएएमएल, ओआईडीसी, डब्ल्यूएस-फेड | प्रमाणक, FIDO2, एसएमएस | M365 के साथ शामिल |
| गूगल वर्कस्पेस | बादल सास | Google-भारी वातावरण | एसएएमएल, ओआईडीसी | प्रमाणक, टाइटन कुंजी | कार्यक्षेत्र के साथ शामिल |
| जम्पक्लाउड | बादल सास | एसएमबी, डिवाइस प्रबंधन | एसएएमएल, ओआईडीसी, एलडीएपी, त्रिज्या | टीओटीपी, पुश, वेबऑथ्न | $7-24/उपयोगकर्ता/माह |
ओडू ईआरपी चलाने वाले संगठनों के लिए, विकल्प आमतौर पर ऑथेंटिक (अधिकतम नियंत्रण, कोई लाइसेंसिंग लागत नहीं, मजबूत ओआईडीसी समर्थन) या ओक्टा/एज़्योर एडी (प्रबंधित सेवा, व्यापक ऐप मार्केटप्लेस, शून्य परिचालन ओवरहेड) पर आता है।
एसएसओ प्रोटोकॉल: एसएएमएल बनाम ओआईडीसी
SAML 2.0 (सुरक्षा अभिकथन मार्कअप भाषा) स्थापित एंटरप्राइज़ SSO प्रोटोकॉल है। यह IdP और सेवा प्रदाता (SP) के बीच आदान-प्रदान किए गए XML-आधारित अभिकथनों का उपयोग करता है। SAML एंटरप्राइज़ अनुप्रयोगों द्वारा व्यापक रूप से समर्थित है और समृद्ध विशेषता मानचित्रण प्रदान करता है।
OIDC (OpenID Connect) OAuth2 के शीर्ष पर निर्मित आधुनिक प्रोटोकॉल है। यह JSON-आधारित टोकन (JWTs) और RESTful एंडपॉइंट का उपयोग करता है। ओआईडीसी को लागू करना आसान है, एपीआई और एसपीए के लिए बेहतर अनुकूल है, और नए एकीकरणों के लिए तेजी से पसंद किया जा रहा है।
| पहलू | एसएएमएल 2.0 | ओआईडीसी |
|---|---|---|
| टोकन प्रारूप | एक्सएमएल दावे | JSON वेब टोकन (JWT) |
| परिवहन | HTTP पोस्ट/रीडायरेक्ट बाइंडिंग | JSON के साथ HTTPS |
| के लिए सर्वश्रेष्ठ | एंटरप्राइज़ वेब ऐप्स | एपीआई, एसपीए, मोबाइल ऐप्स |
| कार्यान्वयन जटिलता | उच्चतर | निचला |
| सत्र प्रबंधन | आईडीपी-आरंभित या एसपी-आरंभित | मानक OAuth2 प्रवाह |
| ओडू समर्थन | योगदान मॉड्यूल के माध्यम से | मूल (OAuth2 प्रदाता मॉड्यूल) |
ओडू के लिए एसएसओ कॉन्फ़िगर करना
Odoo अपने OAuth2 प्रदाता कॉन्फ़िगरेशन के माध्यम से मूल रूप से OAuth2/OIDC प्रमाणीकरण का समर्थन करता है। सेटअप में शामिल हैं:
- अपने पहचान प्रदाता (ऑथेंटिक, ओक्टा आदि) में एक OAuth2/OIDC एप्लिकेशन बनाएं जिसमें आपके Odoo इंस्टेंस (
https://your-odoo.com/auth_oauth/signin) की ओर इशारा करते हुए रीडायरेक्ट URI हो। - सेटिंग्स> सामान्य सेटिंग्स> क्लाइंट आईडी, क्लाइंट सीक्रेट, प्राधिकरण यूआरएल, टोकन यूआरएल, और यूजरइन्फो यूआरएल के साथ ओएथ प्रदाता के तहत ओडू में ओएथ प्रदाता को कॉन्फ़िगर करें
- मैप उपयोगकर्ता विशेषताएँ --- सुनिश्चित करें कि आईडीपी ईमेल, नाम और समूह मैपिंग के लिए आवश्यक कोई भी कस्टम विशेषता भेजता है
- यदि आप चाहते हैं कि Odoo में नए SSO उपयोगकर्ताओं को स्वचालित रूप से प्रावधान किया जाए तो ऑटो-खाता निर्माण सक्षम करें
- एसएसओ के माध्यम से सभी प्रमाणीकरण को बाध्य करने के लिए प्रत्यक्ष लॉगिन अक्षम करें (वैकल्पिक लेकिन अनुशंसित)।
उन्नत तैनाती के लिए, एससीआईएम (क्रॉस-डोमेन आइडेंटिटी मैनेजमेंट के लिए सिस्टम) आईडीपी और ओडू के बीच उपयोगकर्ता प्रोविजनिंग और डिप्रोविजनिंग को सिंक्रनाइज़ कर सकता है, यह सुनिश्चित करता है कि आईडीपी में अक्षम होने पर हटाए गए कर्मचारी तुरंत ओडू पहुंच खो देते हैं।
मल्टी-फैक्टर प्रमाणीकरण (एमएफए)
एमएफए पासवर्ड से परे एक दूसरा सत्यापन कारक जोड़ता है, जो माइक्रोसॉफ्ट के शोध के अनुसार 99.9% स्वचालित क्रेडेंशियल हमलों को रोकता है। वित्तीय और मानव संसाधन डेटा वाले ओडू सिस्टम के लिए, एमएफए वैकल्पिक नहीं है --- यह उपलब्ध एकमात्र उच्चतम-प्रभाव सुरक्षा नियंत्रण है।
एमएफए विधि तुलना
| विधि | सुरक्षा | प्रयोज्यता | लागत | फ़िशिंग प्रतिरोधी |
|---|---|---|---|---|
| WebAuthn/FIDO2 (हार्डवेयर कुंजी) | उत्कृष्ट | अच्छा | $25-70/कुंजी | हाँ |
| WebAuthn/FIDO2 (प्लेटफार्म) | उत्कृष्ट | उत्कृष्ट | मुफ़्त (डिवाइस में निर्मित) | हाँ |
| TOTP प्रमाणक ऐप | अच्छा | अच्छा | मुफ़्त | नहीं (लेकिन दूरस्थ हमलों के प्रति प्रतिरोधी) |
| पुश अधिसूचना | अच्छा | उत्कृष्ट | $3-6/उपयोगकर्ता/माह | नहीं (एमएफए थकान हमले) |
| एसएमएस/वॉयस ओटीपी | निष्पक्ष | अच्छा | $0.01-0.05/संदेश | नहीं (सिम स्वैपिंग, एसएस7 हमले) |
| ईमेल ओटीपी | बेचारा | निष्पक्ष | मुफ़्त | नहीं (ईमेल समझौता लाभ को नकारता है) |
अनुशंसित एमएफए रणनीति
प्रशासकों और विशेषाधिकार प्राप्त उपयोगकर्ताओं के लिए: WebAuthn/FIDO2 हार्डवेयर सुरक्षा कुंजी (YubiKey 5 श्रृंखला, Google टाइटन) की आवश्यकता है। ये फ़िशिंग-प्रतिरोधी हैं क्योंकि क्रिप्टोग्राफ़िक चुनौती मूल डोमेन से जुड़ी होती है --- एक फ़िशिंग साइट प्रमाणीकरण को बाधित नहीं कर सकती है।
मानक व्यावसायिक उपयोगकर्ताओं के लिए: TOTP प्रमाणक ऐप्स (Google प्रमाणक, Microsoft प्रमाणक, ऑथी) की आवश्यकता है। ये प्रति उपयोगकर्ता शून्य लागत पर क्रेडेंशियल स्टफिंग और रिमोट हमलों के खिलाफ मजबूत सुरक्षा प्रदान करते हैं।
सभी उपयोगकर्ताओं के लिए: एसएमएस-आधारित ओटीपी को हटा दें। सिम स्वैपिंग हमलों को निष्पादित करने और एसएमएस-आधारित एमएफए को पूरी तरह से बायपास करने में कम से कम $100 का खर्च आता है। यदि एसएमएस को फ़ॉलबैक के रूप में समर्थित किया जाना चाहिए, तो इसे डिवाइस ट्रस्ट सत्यापन के साथ संयोजित करें।
ओडू में एमएफए लागू करना
Odoo 17+ में अंतर्निहित TOTP समर्थन शामिल है। इसे सेटिंग्स > अनुमतियाँ > दो-कारक प्रमाणीकरण के अंतर्गत सक्षम करें। WebAuthn समर्थन और अधिक उन्नत MFA नीतियों (स्थान, उपकरण या जोखिम के आधार पर सशर्त MFA) के लिए, पहचान प्रदाता स्तर पर MFA लागू करें:
- प्रामाणिक --- प्रति आवेदन एमएफए नीतियों को कॉन्फ़िगर करें। व्यवस्थापक पहुंच के लिए WebAuthn, मानक पहुंच के लिए TOTP की आवश्यकता है। खाता लॉकआउट रोकथाम के लिए पुनर्प्राप्ति कोड का समर्थन करें।
- ओक्टा --- अनुकूली एमएफए जोखिम संकेतों के आधार पर आवश्यकताओं को समायोजित करता है। कम जोखिम वाले लॉगिन के लिए केवल एक पुश अधिसूचना की आवश्यकता हो सकती है। उच्च जोखिम वाले लॉगिन (नए डिवाइस, असामान्य स्थान) के लिए हार्डवेयर कुंजी की आवश्यकता होती है।
- Azure AD --- सशर्त पहुंच नीतियां उपयोगकर्ता जोखिम, साइन-इन जोखिम, डिवाइस अनुपालन और एप्लिकेशन संवेदनशीलता के आधार पर एमएफए लागू करती हैं।
आईडीपी-स्तरीय एमएफए का लाभ यह है कि यह एक ही कॉन्फ़िगरेशन बिंदु से सभी कनेक्टेड एप्लिकेशन (ओडू, ईमेल, फ़ाइल शेयरिंग इत्यादि) पर लागू होता है।
ओडू में भूमिका-आधारित अभिगम नियंत्रण
ओडू समूह-आधारित अभिगम नियंत्रण प्रणाली के माध्यम से आरबीएसी लागू करता है। प्रत्येक मॉड्यूल एक्सेस समूहों को परिभाषित करता है, और उपयोगकर्ताओं को उन समूहों को सौंपा जाता है जो उनकी अनुमतियाँ निर्धारित करते हैं। कम से कम विशेषाधिकार प्राप्त पहुंच को लागू करने के लिए इस प्रणाली को समझना और ठीक से कॉन्फ़िगर करना आवश्यक है।
ओडू एक्सेस कंट्रोल आर्किटेक्चर
ओडू का अभिगम नियंत्रण चार स्तरों पर संचालित होता है:
मेनू पहुंच। नियंत्रित करता है कि उपयोगकर्ता को कौन से मेनू आइटम दिखाई देंगे। यह कॉस्मेटिक है --- यह मेनू आइटम छुपाता है लेकिन डेटा स्तर पर पहुंच को लागू नहीं करता है।
ऑब्जेक्ट एक्सेस (ir.model.access). संपूर्ण डेटाबेस मॉडल पर CRUD संचालन (बनाएं, पढ़ें, अपडेट करें, हटाएं) को नियंत्रित करता है। प्रति समूह, प्रति मॉडल परिभाषित।
रिकॉर्ड नियम (ir.rule). नियंत्रित करता है कि उपयोगकर्ता किसी मॉडल के भीतर कौन से रिकॉर्ड तक पहुंच सकता है। यह सुक्ष्म अभिगम नियंत्रण है जो डेटा अलगाव को लागू करता है। रिकॉर्ड नियम डोमेन फ़िल्टर का उपयोग करते हैं (जैसे, [('department_id', '=', user.department_id)])।
फ़ील्ड पहुंच। एक मॉडल के भीतर विशिष्ट फ़ील्ड तक पहुंच को नियंत्रित करता है। संवेदनशील क्षेत्र (वेतन, लागत मूल्य, मार्जिन) को विशिष्ट समूहों तक सीमित किया जा सकता है।
कस्टम एक्सेस ग्रुप डिजाइन करना
अधिकांश ओडू मॉड्यूल में डिफ़ॉल्ट उपयोगकर्ता और प्रबंधक भूमिकाएँ सुरक्षा-सचेत तैनाती के लिए बहुत व्यापक हैं। ऐसे कस्टम समूह डिज़ाइन करें जो आपकी संगठनात्मक संरचना से मेल खाते हों:
| मॉड्यूल | डिफ़ॉल्ट समूह | अनुशंसित कस्टम समूह |
|---|---|---|
| बिक्री | उपयोगकर्ता, प्रबंधक | सेल्स प्रतिनिधि, सेल्स टीम लीड, क्षेत्रीय प्रबंधक, वीपी सेल्स |
| लेखांकन | चालान, लेखाकार, सलाहकार | एपी क्लर्क, एआर क्लर्क, स्टाफ अकाउंटेंट, नियंत्रक, सीएफओ |
| एचआर | अधिकारी, प्रबंधक | एचआर असिस्टेंट, एचआर जनरलिस्ट, एचआर मैनेजर, सीएचआरओ |
| इन्वेंटरी | उपयोगकर्ता, प्रबंधक | वेयरहाउस वर्कर, शिफ्ट सुपरवाइजर, वेयरहाउस मैनेजर, लॉजिस्टिक्स डायरेक्टर |
| खरीद | उपयोगकर्ता, प्रबंधक | खरीद अनुरोधकर्ता, क्रेता, खरीद प्रबंधक, खरीद निदेशक |
बहु-किरायेदारी के लिए रिकॉर्ड नियम
बहु-कंपनी ओडू परिनियोजन के लिए, रिकॉर्ड नियमों को कंपनियों के बीच डेटा अलगाव लागू करना चाहिए:
- कंपनी-संवेदनशील डेटा वाले प्रत्येक मॉडल में
company_idद्वारा फ़िल्टरिंग रिकॉर्ड नियम होना चाहिए - क्रॉस-कंपनी पहुंच स्पष्ट रूप से केवल होल्डिंग कंपनी प्रशासकों को दी जानी चाहिए
- विभिन्न कंपनियों के उपयोगकर्ताओं के रूप में लॉग इन करके और क्रॉस-कंपनी रिकॉर्ड तक पहुंचने का प्रयास करके रिकॉर्ड नियमों का परीक्षण करें
- नए कस्टम मॉडल में उचित कंपनी अलगाव सुनिश्चित करने के लिए ऑडिट रिकॉर्ड नियम त्रैमासिक
व्यापक व्यापार मंच सुरक्षा रणनीति के हिस्से के रूप में ओडू का उपयोग करने वाले संगठनों के लिए, ओडू में आरबीएसी को सभी जुड़े सिस्टमों पर लागू पहुंच नियंत्रण नीतियों के साथ संरेखित करना चाहिए।
प्रवेश समीक्षा और शासन
अभिगम नियंत्रण सेट-एंड-फ़ॉरगेट कॉन्फ़िगरेशन नहीं है। नियमित समीक्षा के बिना, अनुमतियाँ समय के साथ जमा हो जाती हैं क्योंकि कर्मचारी भूमिकाएँ बदलते हैं, अतिरिक्त जिम्मेदारियाँ लेते हैं और पिछले पदों से पहुंच बनाए रखते हैं। यह "विशेषाधिकार रेंगना" अत्यधिक पहुंच बनाता है जो क्रेडेंशियल समझौते के ब्लास्ट त्रिज्या को बढ़ाता है।
त्रैमासिक पहुंच समीक्षा प्रक्रिया
- सभी उपयोगकर्ताओं, उनके निर्दिष्ट समूहों और अंतिम लॉगिन तिथियों को सूचीबद्ध करते हुए एक्सेस रिपोर्ट तैयार करें
- विसंगतियों की पहचान करें --- व्यवस्थापक पहुंच वाले उपयोगकर्ता जो आईटी कर्मचारी नहीं हैं, उनकी भूमिका से असंबंधित मॉड्यूल तक पहुंच वाले उपयोगकर्ता, ऐसे खाते जिन्होंने 90+ दिनों से लॉग इन नहीं किया है
- प्रबंधकों के साथ समीक्षा --- प्रत्येक विभाग प्रमुख अपनी टीम के लिए एक्सेस असाइनमेंट की समीक्षा और पुष्टि करता है
- अतिरिक्त विशेषाधिकार रद्द करें --- समूह असाइनमेंट हटाएं जिनकी अब आवश्यकता नहीं है
- निष्क्रिय खातों को अक्षम करें --- 90+ दिनों तक बिना लॉगिन गतिविधि वाले खातों को निष्क्रिय करें
- दस्तावेज़ निर्णय --- समीक्षा तिथि, समीक्षक और ऑडिट साक्ष्य के लिए किए गए किसी भी बदलाव को रिकॉर्ड करें
स्वचालित पहुंच शासन
बड़ी तैनाती के लिए, इसका उपयोग करके एक्सेस गवर्नेंस को स्वचालित करें:
- एससीआईएम प्रावधान जब कर्मचारियों को काम पर रखा जाता है, भूमिकाएँ बदली जाती हैं, या एचआर प्रणाली में समाप्त कर दिया जाता है, तो स्वचालित रूप से ओडू उपयोगकर्ता खाते बनाने और अपडेट करने के लिए
- ग्रुप मैपिंग आईडीपी समूहों से ओडू समूहों तक, इसलिए पहचान प्रदाता में भूमिका परिवर्तन स्वचालित रूप से ओडू अनुमतियों को समायोजित करते हैं
- प्रमाणन अभियानों तक पहुंच एक शेड्यूल (त्रैमासिक) या घटनाओं (भूमिका परिवर्तन, विभाग स्थानांतरण) द्वारा शुरू की गई
- अनाथ खाते का पता लगाना जब खाते ओडू में मौजूद हों, लेकिन आईडीपी में न हों तो अलर्ट करना (शासन को दरकिनार कर मैन्युअल निर्माण का संकेत देना)
विशेषाधिकार प्राप्त पहुंच प्रबंधन
Odoo में प्रशासनिक खातों (सेटिंग्स समूह, तकनीकी सुविधाएँ समूह, डेटाबेस प्रबंधक) को अतिरिक्त नियंत्रण की आवश्यकता होती है:
- अलग व्यवस्थापक खाते --- प्रशासक दैनिक कार्यों के लिए अपने मानक खाते का उपयोग करते हैं और प्रशासनिक कार्यों के लिए एक अलग विशेषाधिकार प्राप्त खाते का उपयोग करते हैं
- जस्ट-इन-टाइम (जेआईटी) पहुंच --- अनुमोदन वर्कफ़्लो के साथ, एक विशिष्ट अवधि के लिए अनुरोध पर प्रशासनिक पहुंच प्रदान की जाती है
- सत्र रिकॉर्डिंग --- प्रशासनिक सत्र ऑडिट उद्देश्यों के लिए लॉग और रिकॉर्ड किए जाते हैं
- ब्रेक-ग्लास प्रक्रियाएं --- उन स्थितियों के लिए आपातकालीन पहुंच प्रक्रियाएं जहां सामान्य विशेषाधिकार प्राप्त एक्सेस वर्कफ़्लो अनुपलब्ध है
ओडू-विशिष्ट आईएएम सुरक्षा सख्त करना
मानक आरबीएसी और एसएसओ से परे, ओडू परिनियोजन को प्लेटफ़ॉर्म-विशिष्ट सख्तीकरण से लाभ होता है:
XML-RPC और JSON-RPC एक्सेस
Odoo बाहरी एकीकरण के लिए XML-RPC और JSON-RPC API को उजागर करता है। ये एपीआई वेब यूआई प्रमाणीकरण को बायपास करते हैं और इन्हें अलग से सुरक्षित किया जाना चाहिए:
- फ़ायरवॉल नियमों या रिवर्स प्रॉक्सी कॉन्फ़िगरेशन का उपयोग करके आईपी द्वारा एपीआई एक्सेस को प्रतिबंधित करें
- एकीकरण प्रमाणीकरण के लिए उपयोगकर्ता क्रेडेंशियल के बजाय एपीआई कुंजियाँ का उपयोग करें
- दर सीमा एपीआई एंडपॉइंट क्रेडेंशियल स्टफिंग और क्रूर बल के हमलों को रोकने के लिए
- एपीआई प्रमाणीकरण विफलताओं की निगरानी करें और असामान्य पैटर्न पर अलर्ट करें
- अप्रयुक्त एपीआई प्रोटोकॉल अक्षम करें --- यदि आप केवल JSON-RPC का उपयोग करते हैं, तो XML-RPC अक्षम करें
डेटाबेस प्रबंधक सुरक्षा
Odoo का डेटाबेस मैनेजर (/web/database/manager) डेटाबेस बनाने, डुप्लिकेट बनाने, हटाने और पुनर्स्थापित करने की अनुमति देता है। उत्पादन में:
- एक मजबूत डेटाबेस प्रबंधक पासवर्ड सेट करें (या इसे
--no-database-listके साथ पूरी तरह से अक्षम करें) - रिवर्स प्रॉक्सी नियमों के माध्यम से डेटाबेस प्रबंधक यूआरएल तक पहुंच प्रतिबंधित करें
- डेटाबेस गणना को रोकने, सटीक डेटाबेस निर्दिष्ट करने के लिए
--databaseध्वज का उपयोग करें
सत्र सुरक्षा
- ** निष्क्रिय सत्रों को स्वचालित रूप से समाप्त करने के लिए
session_timeout** कॉन्फ़िगर करें (अनुशंसित: मानक उपयोगकर्ताओं के लिए 30-60 मिनट, विशेषाधिकार प्राप्त उपयोगकर्ताओं के लिए 15 मिनट) - सत्र कुकीज़ पर
secureऔरhttpOnlyझंडे सक्षम करें - क्रेडेंशियल साझाकरण को रोकने और समझौता का पता लगाने के लिए समवर्ती सत्र सीमाएं लागू करें
अक्सर पूछे जाने वाले प्रश्न
क्या मैं ओडू सामुदायिक संस्करण के साथ एसएसओ का उपयोग कर सकता हूं?
Odoo सामुदायिक संस्करण auth_oauth मॉड्यूल के माध्यम से OAuth2 प्रमाणीकरण का समर्थन करता है, जो Google और GitHub जैसे प्रदाताओं के साथ बुनियादी SSO को सक्षम बनाता है। एसएएमएल, एससीआईएम प्रावधान और उन्नत विशेषता मैपिंग के साथ एंटरप्राइज़-ग्रेड एसएसओ के लिए, ओडू एंटरप्राइज़ संस्करण अतिरिक्त मॉड्यूल प्रदान करता है। वैकल्पिक रूप से, आप ऑथेंटिक या कीक्लोक के माध्यम से रिवर्स प्रॉक्सी प्रमाणीकरण का उपयोग करके सामुदायिक संस्करण में समान कार्यक्षमता प्राप्त कर सकते हैं, जहां प्रॉक्सी एसएसओ को संभालती है और हेडर के माध्यम से प्रमाणित पहचान को ओडू को भेजती है।
यदि पहचान प्रदाता बंद हो जाए तो क्या होगा?
यदि आईडीपी अनुपलब्ध है, तो उपयोगकर्ता एसएसओ के माध्यम से प्रमाणित नहीं कर सकते हैं। यही कारण है कि कांच तोड़ने की प्रक्रिया महत्वपूर्ण है। भौतिक तिजोरी या हार्डवेयर सुरक्षा मॉड्यूल में संग्रहीत एक मजबूत, अद्वितीय पासवर्ड के साथ ओडू में कम से कम एक स्थानीय प्रशासनिक खाता बनाए रखें। यह खाता एसएसओ को बायपास करता है और प्रशासकों को आईडीपी आउटेज के दौरान सिस्टम तक पहुंचने की अनुमति देता है। उच्च-उपलब्धता परिनियोजन के लिए, स्वचालित विफलता के साथ IdP क्लस्टरिंग या द्वितीयक IdP कॉन्फ़िगर करें।
मैं मौजूदा Odoo उपयोगकर्ताओं को SSO में कैसे स्थानांतरित करूं?
माइग्रेशन प्रक्रिया में मौजूदा ओडू उपयोगकर्ता खातों का आईडीपी पहचान के साथ मिलान करना शामिल है, आमतौर पर ईमेल पते द्वारा। IdP में उपयोगकर्ता बनाएं, Odoo में SSO कॉन्फ़िगर करें, और अपने OAuth प्रदाता के साथ लिंक करने के लिए मौजूदा उपयोगकर्ता रिकॉर्ड अपडेट करें। उपयोगकर्ता अपने अगले लॉगिन पर एसएसओ के माध्यम से प्रमाणित करेंगे। एक संक्रमण अवधि की योजना बनाएं जहां स्थानीय और एसएसओ प्रमाणीकरण दोनों उपलब्ध हों, फिर सभी उपयोगकर्ताओं के सफलतापूर्वक स्थानांतरित हो जाने पर स्थानीय प्रमाणीकरण अक्षम कर दें।
क्या मुझे एमएफए को आईडीपी स्तर पर या सीधे ओडू में लागू करना चाहिए?
आईडीपी स्तर पर एमएफए लागू करें। यह सभी कनेक्टेड अनुप्रयोगों (सिर्फ ओडू नहीं) में लगातार एमएफए प्रदान करता है, एमएफए नीति प्रबंधन को केंद्रीकृत करता है, और सशर्त एमएफए और जोखिम-आधारित प्रमाणीकरण जैसी उन्नत सुविधाओं को सक्षम करता है। Odoo का अंतर्निर्मित TOTP केवल IdP के बिना स्टैंडअलोन परिनियोजन के रूप में उपयुक्त है।
मैं बाहरी साझेदारों और विक्रेताओं तक पहुंच कैसे संभालूं?
प्रतिबंधित रिकॉर्ड नियमों के साथ ओडू में एक समर्पित "पोर्टल" या "बाहरी उपयोगकर्ता" समूह बनाएं जो दृश्यता को केवल भागीदार के स्वयं के डेटा तक सीमित करता है। कर्मचारी प्रमाणीकरण से अलग बाहरी उपयोगकर्ता प्रमाणीकरण को प्रबंधित करने के लिए आईडीपी की बाहरी पहचान सुविधाओं (ऑथेंटिक के "स्रोत" या ओक्टा की "ग्राहक पहचान") का उपयोग करें। बाहरी उपयोगकर्ताओं के लिए सख्त एमएफए आवश्यकताएँ और सत्र टाइमआउट लागू करें। कोई भी पहुंच प्रदान करने से पहले विक्रेता सुरक्षा आकलन करें।
अगला क्या है
पहचान और पहुंच प्रबंधन एक शून्य विश्वास सुरक्षा वास्तुकला की आधारशिला है। एक केंद्रीकृत पहचान प्रदाता के माध्यम से प्रमाणीकरण को समेकित करके प्रारंभ करें, सभी उपयोगकर्ताओं के लिए एमएफए लागू करें, डिफ़ॉल्ट भूमिकाओं से परे ओडू में दानेदार आरबीएसी को कॉन्फ़िगर करें, और त्रैमासिक पहुंच समीक्षा लागू करें। प्रत्येक चरण आपके क्रेडेंशियल-आधारित हमलों के जोखिम को भौतिक रूप से कम कर देता है।
ECOSIRE हर Odoo ERP परिनियोजन में एंटरप्राइज़-ग्रेड IAM लागू करता है, जिसमें ऑथेंटिक के साथ SSO एकीकरण, भूमिका-आधारित एक्सेस डिज़ाइन और सुरक्षा सख्त करना शामिल है। हमारा ओपनक्लॉ एआई प्लेटफॉर्म एआई-संचालित अनुप्रयोगों के लिए पहचान-जागरूक सुरक्षा प्रदान करता है। हमारी टीम से संपर्क करें अपने व्यवसाय के लिए एक सुरक्षित पहचान आधार बनाने के लिए।
ECOSIRE द्वारा प्रकाशित --- Odoo ERP, Shopify eCommerce, और OpenClaw AI में AI-संचालित समाधानों के साथ व्यवसायों को बढ़ाने में मदद करना।
लेखक
ECOSIRE TeamTechnical Writing
The ECOSIRE technical writing team covers Odoo ERP, Shopify eCommerce, AI agents, Power BI analytics, GoHighLevel automation, and enterprise software best practices. Our guides help businesses make informed technology decisions.
ECOSIRE
Odoo ERP के साथ अपना व्यवसाय बदलें
आपके संचालन को सुव्यवस्थित करने के लिए विशेषज्ञ ओडू कार्यान्वयन, अनुकूलन और समर्थन।
संबंधित लेख
Odoo vs NetSuite Mid-Market Comparison: Complete Buyer's Guide 2026
Odoo vs NetSuite for mid-market in 2026: feature-by-feature scoring, 5-year TCO for 50 users, implementation timelines, industry fit, and two-way migration guidance.
Tally to Odoo Migration 2026: Step-by-Step Guide for Indian SMBs
Tally to Odoo migration playbook for Indian SMBs in 2026: data model mapping, 12-step plan, GST handling, COA translation, parallel run, UAT, and cutover.
ई-कॉमर्स के लिए एआई धोखाधड़ी का पता लगाना: बिक्री को अवरुद्ध किए बिना राजस्व की रक्षा करना
एआई धोखाधड़ी का पता लगाने को लागू करें जो 95% से अधिक धोखाधड़ी वाले लेनदेन को पकड़ता है जबकि झूठी सकारात्मक दरों को 2% से कम रखता है। एमएल स्कोरिंग, व्यवहार विश्लेषण और आरओआई गाइड।
Security & Cybersecurity से और अधिक
API Security 2026: Authentication & Authorization Best Practices (OWASP Aligned)
OWASP-aligned 2026 API security guide: OAuth 2.1, PASETO/JWT, passkeys, RBAC/ABAC/OPA, rate limiting, secrets management, audit logging, and the top 10 mistakes.
ई-कॉमर्स के लिए साइबर सुरक्षा: 2026 में अपने व्यवसाय को सुरक्षित रखें
2026 के लिए पूर्ण ईकॉमर्स साइबर सुरक्षा गाइड। पीसीआई डीएसएस 4.0, डब्ल्यूएएफ सेटअप, बॉट सुरक्षा, भुगतान धोखाधड़ी की रोकथाम, सुरक्षा हेडर और घटना प्रतिक्रिया।
Cybersecurity Trends 2026-2027: Zero Trust, AI Threats, and Defense
The definitive guide to cybersecurity trends for 2026-2027—AI-powered attacks, zero trust implementation, supply chain security, and building resilient security programs.
AI Agent Security Best Practices: Protecting Autonomous Systems
Comprehensive guide to securing AI agents covering prompt injection defense, permission boundaries, data protection, audit logging, and operational security.
Cloud Security Best Practices for SMBs: Protect Your Cloud Without a Security Team
Secure your cloud infrastructure with practical best practices for IAM, data protection, monitoring, and compliance that SMBs can implement without a dedicated security team.
Cybersecurity Regulatory Requirements by Region: A Compliance Map for Global Businesses
Navigate cybersecurity regulations across US, EU, UK, APAC, and Middle East. Covers NIS2, DORA, SEC rules, critical infrastructure requirements, and compliance timelines.