ہماری Security & Cybersecurity سیریز کا حصہ
مکمل گائیڈ پڑھیںشناخت اور رسائی کا انتظام: Odoo میں SSO، MFA اور کردار پر مبنی رسائی
شناخت ایک نیا دائرہ ہے۔ جب آپ کے ملازمین گھر کے دفاتر، برانچ کے مقامات اور موبائل آلات سے Odoo ERP تک رسائی حاصل کرتے ہیں، تو روایتی نیٹ ورک کی حد بے معنی ہو جاتی ہے۔ جو چیز مستقل رہتی ہے وہ شناخت ہے: رسائی کی ہر درخواست ایک مخصوص صارف کی طرف سے، ایک مخصوص ڈیوائس پر، ایک مخصوص وقت پر، مخصوص وسائل تک رسائی کی درخواست کرتی ہے۔ ان شناختی سگنلز کا مؤثر طریقے سے انتظام جدید انٹرپرائز سیکیورٹی کی بنیاد ہے۔
ویریزون کی ڈیٹا بریچ انویسٹی گیشن رپورٹ مستقل طور پر 60% سے زیادہ خلاف ورزیوں میں اسناد سے متعلق حملوں کو بنیادی ویکٹر کے طور پر شناخت کرتی ہے۔ Odoo ERP سسٹمز کے لیے جو مالیاتی ڈیٹا، گاہک کے ریکارڈ، HR معلومات، اور سپلائی چین انٹیلی جنس کو مرکزی بناتے ہیں، ایک ہی سمجھوتہ شدہ سند کاروبار کی پوری آپریشنل ریڑھ کی ہڈی کو بے نقاب کر سکتی ہے۔
اہم ٹیک ویز
- شناخت فراہم کرنے والے کے ذریعے سنٹرلائزڈ SSO پاس ورڈ کے پھیلاؤ کو ختم کرتا ہے اور رسائی کے نفاذ اور تنسیخ کے لیے ایک نقطہ فراہم کرتا ہے۔
- ہارڈ ویئر سیکیورٹی کیز (WebAuthn/FIDO2) سب سے مضبوط MFA فراہم کرتی ہیں، لیکن TOTP تصدیق کنندہ ایپس زیادہ تر تعیناتیوں کے لیے سیکیورٹی اور استعمال کے قابل بہترین توازن پیش کرتی ہیں۔
- Odoo کا گروپ پر مبنی رسائی کنٹرول سسٹم گرینولر RBAC کو سپورٹ کرتا ہے جب پہلے سے طے شدہ صارف/منیجر کے کرداروں سے آگے اپنی مرضی کے گروپوں کے ساتھ مناسب طریقے سے ترتیب دیا جاتا ہے۔
- سہ ماہی رسائی کے جائزے ضرورت سے زیادہ استحقاق کے جمع ہونے کو کم کرتے ہیں اور یتیم کھاتوں کو پکڑنے سے پہلے وہ حملہ آور بن جاتے ہیں۔
مرکزی شناخت کا انتظام
مرکزی شناخت کا انتظام آپ کی تمام کاروباری ایپلیکیشنز کو ایک واحد شناخت فراہم کنندہ (IdP) سے جوڑتا ہے جو صارف کی توثیق اور بہت سے معاملات میں اجازت کے مستند ذریعہ کے طور پر کام کرتا ہے۔ ہر ایپلیکیشن اپنے صارف ڈیٹا بیس اور پاس ورڈ کو برقرار رکھنے کے بجائے، صارفین آئی ڈی پی کے ذریعے ایک بار تصدیق کرتے ہیں اور تمام مجاز ایپلی کیشنز تک رسائی حاصل کرتے ہیں۔
شناخت فراہم کرنے والے کے اختیارات
| فراہم کنندہ | قسم | کے لیے بہترین | SSO پروٹوکولز | MFA اختیارات | قیمتوں کا تعین |
|---|---|---|---|---|---|
| مستند | اوپن سورس، خود میزبان | مکمل کنٹرول، رازداری کے بارے میں آگاہ تنظیمیں | SAML, OIDC, LDAP, SCIM | TOTP، WebAuthn، SMS، Duo | مفت (خود میزبان) |
| چابی والا | اوپن سورس، خود میزبان | جاوا/انٹرپرائز ماحولیاتی نظام | SAML, OIDC, LDAP | TOTP، WebAuthn | مفت (خود میزبان) |
| اکتا | کلاؤڈ ساس | بڑے کاروباری ادارے، وسیع ایپ کیٹلاگ | SAML, OIDC, SCIM | TOTP، Push، WebAuthn، SMS | $6-15/صارف/ماہ |
| Azure AD (انٹرا ID) | کلاؤڈ ساس | مائیکروسافٹ بھاری ماحول | SAML, OIDC, WS-Fed | تصدیق کنندہ، FIDO2، SMS | M365 کے ساتھ شامل |
| Google Workspace | کلاؤڈ ساس | گوگل بھاری ماحول | SAML، OIDC | تصدیق کنندہ، ٹائٹن کی | ورک اسپیس کے ساتھ شامل |
| جمپ کلاؤڈ | کلاؤڈ ساس | SMBs، ڈیوائس مینجمنٹ | SAML، OIDC، LDAP، RADIUS | TOTP، Push، WebAuthn | $7-24/صارف/ماہ |
Odoo ERP چلانے والی تنظیموں کے لیے، انتخاب عام طور پر Authentik (زیادہ سے زیادہ کنٹرول، کوئی لائسنسنگ لاگت، مضبوط OIDC سپورٹ) یا Okta/Azure AD (منظم سروس، وسیع ایپ مارکیٹ پلیس، صفر آپریشنل اوور ہیڈ) پر آتا ہے۔
SSO پروٹوکول: SAML بمقابلہ OIDC
SAML 2.0 (Security Assertion Markup Language) قائم کردہ انٹرپرائز SSO پروٹوکول ہے۔ یہ آئی ڈی پی اور سروس پرووائیڈر (ایس پی) کے درمیان ایکس ایم ایل پر مبنی دعوے کا استعمال کرتا ہے۔ SAML کو انٹرپرائز ایپلی کیشنز کی طرف سے وسیع پیمانے پر تعاون حاصل ہے اور بھرپور انتساب میپنگ فراہم کرتا ہے۔
OIDC (OpenID Connect) جدید پروٹوکول ہے جو OAuth2 کے اوپر بنایا گیا ہے۔ یہ JSON-based tokens (JWTs) اور RESTful endpoints کا استعمال کرتا ہے۔ OIDC لاگو کرنے میں آسان ہے، APIs اور SPAs کے لیے بہتر ہے، اور نئے انضمام کے لیے تیزی سے ترجیح دی جاتی ہے۔
| پہلو | SAML 2.0 | OIDC |
|---|---|---|
| ٹوکن فارمیٹ | XML دعوے | JSON ویب ٹوکنز (JWT) |
| ٹرانسپورٹ | HTTP POST/ری ڈائریکٹ بائنڈنگز | JSON کے ساتھ HTTPS |
| کے لیے بہترین | انٹرپرائز ویب ایپس | APIs، SPAs، موبائل ایپس |
| نفاذ کی پیچیدگی | اعلیٰ | زیریں |
| سیشن مینجمنٹ | آئی ڈی پی سے شروع کیا گیا یا ایس پی نے شروع کیا | معیاری OAuth2 بہاؤ |
| Odoo کی حمایت | شراکت کے ماڈیولز کے ذریعے | مقامی (OAuth2 فراہم کنندہ ماڈیول) |
Odoo کے لیے SSO کو ترتیب دینا
Odoo OAuth2/OIDC توثیق کو مقامی طور پر اپنے OAuth2 فراہم کنندہ کنفیگریشن کے ذریعے سپورٹ کرتا ہے۔ سیٹ اپ میں شامل ہے:
- ایک OAuth2/OIDC ایپلیکیشن بنائیں اپنے شناختی فراہم کنندہ (Authentik، Okta، وغیرہ) میں آپ کے Odoo مثال (
https://your-odoo.com/auth_oauth/signin) کی طرف ری ڈائریکٹ URI کے ساتھ - Odoo میں OAuth فراہم کنندہ کو ترتیب دیں ترتیبات > عمومی ترتیبات > OAuth فراہم کنندگان کو کلائنٹ ID، کلائنٹ سیکرٹ، اجازت نامے کا URL، ٹوکن URL، اور صارف کی معلومات URL کے ساتھ
- نقشہ صارف کی خصوصیات --- یقینی بنائیں کہ آئی ڈی پی ای میل، نام، اور گروپ میپنگ کے لیے درکار کوئی بھی حسب ضرورت خصوصیات بھیجے
- خودکار اکاؤنٹ تخلیق کو فعال کریں اگر آپ چاہتے ہیں کہ نئے SSO صارفین کو Odoo میں خودکار طور پر فراہم کیا جائے
- SSO کے ذریعے تمام تصدیق کو مجبور کرنے کے لیے براہ راست لاگ ان کو غیر فعال کریں (اختیاری لیکن تجویز کردہ)
اعلی درجے کی تعیناتیوں کے لیے، SCIM (System for Cross-domain Identity Management) IdP اور Odoo کے درمیان صارف کی فراہمی اور تخریب کاری کو ہم آہنگ کر سکتا ہے، اس بات کو یقینی بناتا ہے کہ IdP میں غیر فعال ہونے پر برطرف شدہ ملازمین فوری طور پر Odoo تک رسائی سے محروم ہو جائیں۔
ملٹی فیکٹر توثیق (MFA)
مائیکروسافٹ کی تحقیق کے مطابق MFA نے پاس ورڈ سے آگے ایک دوسرا تصدیقی عنصر شامل کیا، جو کہ 99.9% خودکار کریڈینشل حملوں کو روکتا ہے۔ مالیاتی اور HR ڈیٹا پر مشتمل Odoo سسٹمز کے لیے، MFA اختیاری نہیں ہے --- یہ واحد سب سے زیادہ اثر والا سیکیورٹی کنٹرول دستیاب ہے۔
MFA طریقہ کا موازنہ
| طریقہ | سیکورٹی | پریوست | لاگت | فشنگ مزاحم |
|---|---|---|---|---|
| WebAuthn/FIDO2 (ہارڈ ویئر کی) | بہترین | اچھا | $25-70/کلیدی | جی ہاں |
| WebAuthn/FIDO2 (پلیٹ فارم) | بہترین | بہترین | مفت (آلہ میں بنایا گیا) | جی ہاں |
| TOTP Authenticator App | اچھا | اچھا | مفت | نہیں (لیکن ریموٹ حملوں کے خلاف مزاحم) |
| پش نوٹیفکیشن | اچھا | بہترین | $3-6/صارف/ماہ | نہیں (MFA تھکاوٹ کے حملے) |
| SMS/وائس OTP | میلہ | اچھا | $0.01-0.05/پیغام | نہیں (سِم سویپنگ، SS7 حملے) |
| ای میل OTP | غریب | میلہ | مفت | نہیں (ای میل سمجھوتہ فائدے کی نفی کرتا ہے) |
تجویز کردہ MFA حکمت عملی
منتظمین اور مراعات یافتہ صارفین کے لیے: WebAuthn/FIDO2 ہارڈویئر سیکیورٹی کیز (YubiKey 5 سیریز، Google Titan) کی ضرورت ہے۔ یہ فشنگ مزاحم ہیں کیونکہ کرپٹوگرافک چیلنج اصل ڈومین سے منسلک ہے --- ایک فشنگ سائٹ تصدیق کو روک نہیں سکتی۔
معیاری کاروباری صارفین کے لیے: TOTP تصدیق کنندہ ایپس (Google Authenticator, Microsoft Authenticator, Authy) کی ضرورت ہے۔ یہ فی صارف صفر لاگت پر اسناد بھرنے اور ریموٹ حملوں کے خلاف مضبوط تحفظ فراہم کرتے ہیں۔
تمام صارفین کے لیے: SMS پر مبنی OTP کو ختم کریں۔ ایس ایم ایس پر مبنی ایم ایف اے کو انجام دینے اور مکمل طور پر نظرانداز کرنے کے لیے SIM تبدیل کرنے کے حملوں کی لاگت $100 تک ہے۔ اگر SMS کو فال بیک کے طور پر سپورٹ کرنا ضروری ہے، تو اسے ڈیوائس کے اعتماد کی تصدیق کے ساتھ جوڑیں۔
Odoo میں MFA کا نفاذ
Odoo 17+ میں بلٹ ان TOTP سپورٹ شامل ہے۔ اسے سیٹنگز> پرمیشنز> ٹو فیکٹر توثیق کے تحت فعال کریں۔ WebAuthn سپورٹ اور مزید جدید MFA پالیسیوں کے لیے (مقام، ڈیوائس یا خطرے پر مبنی مشروط MFA)، شناخت فراہم کرنے والے کی سطح پر MFA نافذ کریں:
- Authentic --- فی درخواست MFA پالیسیاں ترتیب دیں۔ منتظم رسائی کے لیے WebAuthn، معیاری رسائی کے لیے TOTP کی ضرورت ہے۔ اکاؤنٹ لاک آؤٹ کی روک تھام کے لیے سپورٹ ریکوری کوڈز۔
- Okta --- موافقت پذیر MFA خطرے کے اشاروں کی بنیاد پر ضروریات کو ایڈجسٹ کرتا ہے۔ کم خطرے والے لاگ ان کے لیے صرف ایک پش نوٹیفکیشن درکار ہو سکتا ہے۔ ہائی رسک لاگ ان (نئی ڈیوائس، غیر معمولی جگہ) کے لیے ہارڈویئر کلید کی ضرورت ہوتی ہے۔
- Azure AD --- مشروط رسائی کی پالیسیاں صارف کے خطرے، سائن ان کے خطرے، ڈیوائس کی تعمیل، اور ایپلیکیشن کی حساسیت کی بنیاد پر MFA کو نافذ کرتی ہیں۔
آئی ڈی پی لیول ایم ایف اے کا فائدہ یہ ہے کہ یہ ایک کنفیگریشن پوائنٹ سے تمام منسلک ایپلی کیشنز (اوڈو، ای میل، فائل شیئرنگ، وغیرہ) پر لاگو ہوتا ہے۔
اوڈو میں رول پر مبنی رسائی کنٹرول
Odoo گروپ پر مبنی رسائی کنٹرول سسٹم کے ذریعے RBAC کو نافذ کرتا ہے۔ ہر ماڈیول رسائی گروپس کی وضاحت کرتا ہے، اور صارفین کو ان گروپوں کو تفویض کیا جاتا ہے جو ان کی اجازتوں کا تعین کرتے ہیں۔ اس نظام کو سمجھنا اور مناسب طریقے سے ترتیب دینا کم از کم استحقاق تک رسائی کو نافذ کرنے کے لیے ضروری ہے۔
اوڈو ایکسیس کنٹرول آرکیٹیکچر
اوڈو کا رسائی کنٹرول چار سطحوں پر کام کرتا ہے:
مینو تک رسائی۔ یہ کنٹرول کرتا ہے کہ کون سے مینو آئٹمز صارف کو نظر آ رہے ہیں۔ یہ کاسمیٹک ہے --- یہ مینو آئٹمز کو چھپاتا ہے لیکن ڈیٹا کی سطح پر رسائی کو نافذ نہیں کرتا ہے۔
آبجیکٹ تک رسائی (ir.model.access)۔ پورے ڈیٹا بیس ماڈلز پر CRUD آپریشنز (تخلیق، پڑھیں، اپ ڈیٹ، حذف) کو کنٹرول کرتا ہے۔ فی گروپ، فی ماڈل کی وضاحت۔
ریکارڈ کے قواعد (ir.rule)۔ کنٹرول کرتا ہے کہ صارف کسی ماڈل کے اندر کن ریکارڈز تک رسائی حاصل کر سکتا ہے۔ یہ عمدہ رسائی کنٹرول ہے جو ڈیٹا کی تنہائی کو نافذ کرتا ہے۔ ریکارڈ کے قواعد ڈومین فلٹرز کا استعمال کرتے ہیں (جیسے، [('department_id', '=', user.department_id)])۔
فیلڈ رسائی۔ ماڈل کے اندر مخصوص فیلڈز تک رسائی کو کنٹرول کرتا ہے۔ حساس فیلڈز (تنخواہ، لاگت کی قیمت، مارجن) کو مخصوص گروپوں تک محدود کیا جا سکتا ہے۔
اپنی مرضی کے مطابق رسائی گروپس کو ڈیزائن کرنا
زیادہ تر Odoo ماڈیولز میں پہلے سے طے شدہ صارف اور مینیجر کے کردار سیکورٹی کے حوالے سے ہونے والی تعیناتیوں کے لیے بہت وسیع ہیں۔ آپ کے تنظیمی ڈھانچے سے مماثل حسب ضرورت گروپس ڈیزائن کریں:
| ماڈیول | ڈیفالٹ گروپس | تجویز کردہ کسٹم گروپس |
|---|---|---|
| سیلز | صارف، مینیجر | سیلز ریپ، سیلز ٹیم لیڈ، ریجنل مینیجر، VP سیلز |
| اکاؤنٹنگ | انوائسنگ، اکاؤنٹنٹ، مشیر | اے پی کلرک، اے آر کلرک، اسٹاف اکاؤنٹنٹ، کنٹرولر، سی ایف او |
| HR | آفیسر، مینیجر | HR اسسٹنٹ، HR جنرلسٹ، HR مینیجر، CHRO |
| انوینٹری | صارف، مینیجر | گودام کارکن، شفٹ سپروائزر، گودام مینیجر، لاجسٹک ڈائریکٹر |
| خریداری | صارف، مینیجر | خریداری کی درخواست کرنے والا، خریدار، پرچیز مینیجر، پروکیورمنٹ ڈائریکٹر |
کثیر کرایہ داری کے لیے ریکارڈ کے قواعد
کثیر کمپنی Odoo کی تعیناتیوں کے لیے، ریکارڈ کے قوانین کو کمپنیوں کے درمیان ڈیٹا کی تنہائی کو نافذ کرنا چاہیے:
- کمپنی کے لیے حساس ڈیٹا والے ہر ماڈل میں
company_idکے ذریعے فلٹرنگ کا ریکارڈ ہونا ضروری ہے۔ - کراس کمپنی تک رسائی واضح طور پر صرف ہولڈنگ کمپنی کے منتظمین کو دی جانی چاہیے۔
- مختلف کمپنیوں کے صارفین کے طور پر لاگ ان کرکے اور کراس کمپنی کے ریکارڈ تک رسائی حاصل کرنے کی کوشش کرکے ریکارڈ کے قواعد کی جانچ کریں۔
- نئے کسٹم ماڈلز میں مناسب کمپنی کی تنہائی کو یقینی بنانے کے لیے سہ ماہی ریکارڈ کے قواعد کا آڈٹ کریں۔
Odoo کو ایک وسیع تر کاروباری پلیٹ فارم سیکیورٹی حکمت عملی کے حصے کے طور پر استعمال کرنے والی تنظیموں کے لیے، Odoo میں RBAC کو تمام مربوط نظاموں پر نافذ کردہ رسائی کنٹرول پالیسیوں کے ساتھ ہم آہنگ ہونا چاہیے۔
رسائی کا جائزہ اور گورننس
رسائی کنٹرول سیٹ اور بھول جانے والی ترتیب نہیں ہے۔ باقاعدگی سے جائزے کے بغیر، ملازمین کے کردار تبدیل کرنے، اضافی ذمہ داریاں سنبھالنے، اور سابقہ عہدوں سے رسائی برقرار رکھنے کے ساتھ ساتھ اجازتیں جمع ہوجاتی ہیں۔ یہ "استحقاق رینگنا" ضرورت سے زیادہ رسائی پیدا کرتا ہے جو اسناد کے سمجھوتے کے دھماکے کے رداس کو بڑھاتا ہے۔
سہ ماہی رسائی کا جائزہ لینے کا عمل
- رسائی کی رپورٹیں بنائیں تمام صارفین، ان کے تفویض کردہ گروپس، اور لاگ ان کی آخری تاریخوں کی فہرست بنائیں
- بے ضابطگیوں کی نشاندہی کریں --- ایڈمن تک رسائی والے صارفین جو IT عملہ نہیں ہیں، ایسے صارفین جن کے ماڈیولز تک ان کے کردار سے کوئی تعلق نہیں ہے، ایسے اکاؤنٹس جنہوں نے 90+ دنوں سے لاگ ان نہیں کیا ہے۔
- مینیجرز کے ساتھ جائزہ --- ہر محکمہ کا سربراہ اپنی ٹیم کے لیے رسائی اسائنمنٹس کا جائزہ لیتا اور تصدیق کرتا ہے
- اضافی مراعات کو منسوخ کریں --- گروپ اسائنمنٹس کو ہٹا دیں جن کی مزید ضرورت نہیں ہے
- غیر فعال اکاؤنٹس کو غیر فعال کریں --- 90+ دنوں کے لیے بغیر لاگ ان کے اکاؤنٹس کو غیر فعال کریں
- دستاویز کے فیصلے --- نظرثانی کی تاریخ، جائزہ لینے والے، اور آڈٹ ثبوت کے لیے کی گئی کسی بھی تبدیلی کو ریکارڈ کریں
خودکار رسائی گورننس
بڑی تعیناتیوں کے لیے، اس کا استعمال کرتے ہوئے خودکار رسائی گورننس:
- ایس سی آئی ایم پروویژننگ خودکار طور پر Odoo صارف اکاؤنٹس بنانے اور اپ ڈیٹ کرنے کے لیے جب ملازمین کی خدمات حاصل کی جاتی ہیں، کردار تبدیل کیے جاتے ہیں، یا HR سسٹم میں ختم کیے جاتے ہیں۔
- گروپ میپنگ IdP گروپس سے Odoo گروپس تک، لہذا شناخت فراہم کرنے والے میں کردار کی تبدیلیاں Odoo کی اجازتوں کو خود بخود ایڈجسٹ کرتی ہیں
- سرٹیفیکیشن مہمات تک رسائی شیڈول (سہ ماہی) یا واقعات (کردار کی تبدیلی، محکمہ کی منتقلی) پر شروع کی گئی
- یتیم اکاؤنٹ کا پتہ لگانا جب اکاؤنٹس Odoo میں موجود ہوں لیکن IdP میں نہ ہوں تو انتباہ (دستی تخلیق کی نشاندہی کرتا ہے جو گورننس کو نظرانداز کرتا ہے)
مراعات یافتہ رسائی کا انتظام
Odoo میں انتظامی اکاؤنٹس (سیٹنگز گروپ، ٹیکنیکل فیچرز گروپ، ڈیٹا بیس مینیجر) کو اضافی کنٹرولز کی ضرورت ہوتی ہے:
- الگ ایڈمن اکاؤنٹس --- ایڈمنسٹریٹر اپنا معیاری اکاؤنٹ روزانہ کام کے لیے استعمال کرتے ہیں اور انتظامی کاموں کے لیے علیحدہ مراعات یافتہ اکاؤنٹ
- جسٹ ان ٹائم (جے آئی ٹی) رسائی --- ایک مخصوص مدت کے لیے، منظوری کے ورک فلو کے ساتھ، درخواست پر انتظامی رسائی دی جاتی ہے۔
- سیشن کی ریکارڈنگ --- انتظامی سیشنوں کو آڈٹ کے مقاصد کے لیے لاگ اور ریکارڈ کیا جاتا ہے
- شیشے کے ٹوٹنے کے طریقہ کار --- ان حالات کے لیے ہنگامی رسائی کے طریقہ کار جہاں عام مراعات یافتہ رسائی ورک فلو دستیاب نہیں ہے
اوڈو-مخصوص IAM سیکیورٹی سخت
معیاری RBAC اور SSO سے ہٹ کر، Odoo کی تعیناتیوں کو پلیٹ فارم کی مخصوص سختی سے فائدہ ہوتا ہے:
XML-RPC اور JSON-RPC رسائی
Odoo بیرونی انضمام کے لیے XML-RPC اور JSON-RPC APIs کو ظاہر کرتا ہے۔ یہ APIs ویب UI کی توثیق کو نظرانداز کرتے ہیں اور انہیں الگ سے محفوظ کیا جانا چاہیے:
- **فائر وال رولز یا ریورس پراکسی کنفیگریشن کا استعمال کرتے ہوئے IP کے ذریعے API تک رسائی کو محدود کریں۔
- انضمام کی توثیق کے لیے صارف کی اسناد کے بجائے API کیز استعمال کریں
- درجہ بندی API اینڈ پوائنٹس کریڈینشل اسٹفنگ اور بریوٹ فورس حملوں کو روکنے کے لیے
- API کی توثیق کی ناکامیوں کی نگرانی کریں اور غیر معمولی نمونوں پر الرٹ
- غیر استعمال شدہ API پروٹوکول کو غیر فعال کریں --- اگر آپ صرف JSON-RPC استعمال کرتے ہیں، تو XML-RPC کو غیر فعال کریں
ڈیٹا بیس مینیجر سیکیورٹی
Odoo کا ڈیٹا بیس مینیجر (/web/database/manager) ڈیٹا بیس بنانے، نقل کرنے، حذف کرنے اور بحال کرنے کی اجازت دیتا ہے۔ پیداوار میں:
- ایک مضبوط ڈیٹا بیس مینیجر پاس ورڈ سیٹ کریں (یا اسے مکمل طور پر
--no-database-listکے ساتھ غیر فعال کریں) - **ریورس پراکسی قواعد کے ذریعے ڈیٹا بیس مینیجر URL تک رسائی کو محدود کریں۔
- ڈیٹا بیس کی گنتی کو روکتے ہوئے، درست ڈیٹا بیس کی وضاحت کرنے کے لیے
--databaseپرچم کا استعمال کریں
سیشن سیکیورٹی
- بیکار سیشنز کو خود بخود ختم کرنے کے لیے
session_timeoutکو کنفیگر کریں (تجویز کردہ: معیاری صارفین کے لیے 30-60 منٹ، مراعات یافتہ صارفین کے لیے 15 منٹ) - سیشن کوکیز پر
secureاورhttpOnlyجھنڈے کو فعال کریں۔ - **کریڈینشیل شیئرنگ کو روکنے اور سمجھوتہ کا پتہ لگانے کے لیے ہم وقتی سیشن کی حدود کو نافذ کریں۔
اکثر پوچھے گئے سوالات
کیا میں Odoo کمیونٹی ایڈیشن کے ساتھ SSO استعمال کر سکتا ہوں؟
Odoo Community Edition auth_oauth ماڈیول کے ذریعے OAuth2 کی توثیق کی حمایت کرتا ہے، جو Google اور GitHub جیسے فراہم کنندگان کے ساتھ بنیادی SSO کو فعال کرتا ہے۔ SAML، SCIM پروویژننگ، اور ایڈوانسڈ ایٹریبیوٹ میپنگ کے ساتھ انٹرپرائز گریڈ SSO کے لیے، Odoo Enterprise Edition اضافی ماڈیول فراہم کرتا ہے۔ متبادل طور پر، آپ Authentik یا Keycloak کے ذریعے ریورس پراکسی تصدیق کا استعمال کرتے ہوئے کمیونٹی ایڈیشن میں اسی طرح کی فعالیت حاصل کر سکتے ہیں، جہاں پراکسی SSO کو ہینڈل کرتی ہے اور Odoo کو ہیڈر کے ذریعے تصدیق شدہ شناخت منتقل کرتی ہے۔
اگر شناخت فراہم کرنے والا نیچے چلا جائے تو کیا ہوگا؟
اگر آئی ڈی پی دستیاب نہیں ہے، تو صارفین SSO کے ذریعے تصدیق نہیں کر سکتے۔ یہی وجہ ہے کہ شیشے کو توڑنے کے طریقہ کار اہم ہیں۔ Odoo میں کم از کم ایک مقامی انتظامی اکاؤنٹ کو ایک مضبوط، منفرد پاس ورڈ کے ساتھ رکھیں جو فزیکل سیف یا ہارڈویئر سیکیورٹی ماڈیول میں محفوظ ہے۔ یہ اکاؤنٹ SSO کو نظرانداز کرتا ہے اور ایڈمنسٹریٹرز کو IdP کی بندش کے دوران سسٹم تک رسائی کی اجازت دیتا ہے۔ اعلی دستیابی کی تعیناتیوں کے لیے، خودکار فیل اوور کے ساتھ IdP کلسٹرنگ یا ثانوی IdP ترتیب دیں۔
میں موجودہ Odoo صارفین کو SSO میں کیسے منتقل کروں؟
منتقلی کے عمل میں موجودہ Odoo صارف اکاؤنٹس کو IdP شناخت کے ساتھ ملانا شامل ہے، عام طور پر ای میل ایڈریس کے ذریعے۔ IdP میں صارفین بنائیں، Odoo میں SSO کو کنفیگر کریں، اور موجودہ صارف کے ریکارڈ کو اپنے OAuth فراہم کنندہ سے لنک کرنے کے لیے اپ ڈیٹ کریں۔ صارفین اپنے اگلے لاگ ان پر SSO کے ذریعے تصدیق کریں گے۔ منتقلی کی مدت کے لیے منصوبہ بنائیں جہاں مقامی اور SSO تصدیق دونوں دستیاب ہوں، پھر تمام صارفین کے کامیابی کے ساتھ منتقل ہونے کے بعد مقامی تصدیق کو غیر فعال کریں۔
کیا مجھے IdP کی سطح پر یا Odoo میں براہ راست MFA نافذ کرنا چاہیے؟
IDP کی سطح پر MFA نافذ کریں۔ یہ تمام منسلک ایپلی کیشنز (صرف Odoo ہی نہیں) پر مستقل MFA فراہم کرتا ہے، MFA پالیسی مینجمنٹ کو مرکزی بناتا ہے، اور مشروط MFA اور خطرے پر مبنی تصدیق جیسی جدید خصوصیات کو فعال کرتا ہے۔ Odoo کا بلٹ ان TOTP بغیر کسی IDP کے صرف اسٹینڈ تنہا تعیناتی کے طور پر موزوں ہے۔
میں بیرونی شراکت داروں اور دکانداروں تک رسائی کو کیسے ہینڈل کروں؟
اوڈو میں ایک وقف شدہ "پورٹل" یا "بیرونی صارف" گروپ بنائیں جس میں ریکارڈ کے محدود قوانین موجود ہیں جو صرف پارٹنر کے اپنے ڈیٹا تک مرئیت کو محدود کرتے ہیں۔ IdP کی بیرونی شناختی خصوصیات (Authentik کے "ذرائع" یا Okta کی "کسٹمر آئیڈینٹی") استعمال کریں تاکہ ملازم کی تصدیق سے علیحدہ طور پر بیرونی صارف کی تصدیق کا انتظام کریں۔ بیرونی صارفین کے لیے سخت MFA تقاضے اور سیشن ٹائم آؤٹ کا اطلاق کریں۔ کوئی بھی رسائی دینے سے پہلے وینڈر سیکیورٹی اسیسمنٹس کا انعقاد کریں۔
آگے کیا ہے۔
شناخت اور رسائی کا انتظام صفر ٹرسٹ سیکیورٹی آرکیٹیکچر کا سنگ بنیاد ہے۔ ایک مرکزی شناخت فراہم کنندہ کے ذریعے تصدیق کو مستحکم کرکے شروع کریں، تمام صارفین کے لیے MFA نافذ کریں، Odoo میں پہلے سے طے شدہ کرداروں سے آگے دانے دار RBAC کو ترتیب دیں، اور سہ ماہی رسائی کے جائزوں کو نافذ کریں۔ ہر قدم مادی طور پر آپ کے اسناد پر مبنی حملوں کے خطرے کو کم کرتا ہے۔
ECOSIRE ہر Odoo ERP تعیناتی پر انٹرپرائز-گریڈ IAM کو لاگو کرتا ہے، بشمول Authentik کے ساتھ SSO انضمام، کردار پر مبنی رسائی ڈیزائن، اور سیکیورٹی سخت۔ ہمارا OpenClaw AI پلیٹ فارم شناخت سے آگاہ سیکیورٹی کو AI سے چلنے والی ایپلیکیشنز تک بڑھاتا ہے۔ اپنے کاروبار کے لیے ایک محفوظ شناخت کی بنیاد بنانے کے لیے ہماری ٹیم سے رابطہ کریں۔
شائع کردہ بذریعہ ECOSIRE --- Odoo ERP، Shopify eCommerce، اور OpenClaw AI میں AI سے چلنے والے حل کے ساتھ کاروبار کو پیمانے میں مدد کرنا۔
تحریر
ECOSIRE TeamTechnical Writing
The ECOSIRE technical writing team covers Odoo ERP, Shopify eCommerce, AI agents, Power BI analytics, GoHighLevel automation, and enterprise software best practices. Our guides help businesses make informed technology decisions.
ECOSIRE
Odoo ERP کے ساتھ اپنے کاروبار کو تبدیل کریں
آپ کے کاموں کو ہموار کرنے کے لیے ماہر Odoo کا نفاذ، حسب ضرورت، اور معاونت۔
متعلقہ مضامین
Odoo vs NetSuite Mid-Market Comparison: Complete Buyer's Guide 2026
Odoo vs NetSuite for mid-market in 2026: feature-by-feature scoring, 5-year TCO for 50 users, implementation timelines, industry fit, and two-way migration guidance.
Tally to Odoo Migration 2026: Step-by-Step Guide for Indian SMBs
Tally to Odoo migration playbook for Indian SMBs in 2026: data model mapping, 12-step plan, GST handling, COA translation, parallel run, UAT, and cutover.
ای کامرس کے لیے AI فراڈ کا پتہ لگانا: سیلز کو بلاک کیے بغیر محصول کی حفاظت کریں
AI فراڈ کا پتہ لگانے کو لاگو کریں جو 95%+ جعلی لین دین کو پکڑتا ہے جبکہ غلط مثبت شرحوں کو 2% سے کم رکھتا ہے۔ ایم ایل اسکورنگ، رویے کا تجزیہ، اور ROI گائیڈ۔
Security & Cybersecurity سے مزید
API Security 2026: Authentication & Authorization Best Practices (OWASP Aligned)
OWASP-aligned 2026 API security guide: OAuth 2.1, PASETO/JWT, passkeys, RBAC/ABAC/OPA, rate limiting, secrets management, audit logging, and the top 10 mistakes.
ای کامرس کے لیے سائبر سیکیورٹی: 2026 میں اپنے کاروبار کی حفاظت کریں
2026 کے لیے مکمل ای کامرس سائبر سیکیورٹی گائیڈ۔ PCI DSS 4.0، WAF سیٹ اپ، بوٹ پروٹیکشن، ادائیگی کی دھوکہ دہی سے بچاؤ، سیکیورٹی ہیڈرز، اور واقعے کا جواب۔
Cybersecurity Trends 2026-2027: Zero Trust, AI Threats, and Defense
The definitive guide to cybersecurity trends for 2026-2027—AI-powered attacks, zero trust implementation, supply chain security, and building resilient security programs.
AI Agent Security Best Practices: Protecting Autonomous Systems
Comprehensive guide to securing AI agents covering prompt injection defense, permission boundaries, data protection, audit logging, and operational security.
Cloud Security Best Practices for SMBs: Protect Your Cloud Without a Security Team
Secure your cloud infrastructure with practical best practices for IAM, data protection, monitoring, and compliance that SMBs can implement without a dedicated security team.
Cybersecurity Regulatory Requirements by Region: A Compliance Map for Global Businesses
Navigate cybersecurity regulations across US, EU, UK, APAC, and Middle East. Covers NIS2, DORA, SEC rules, critical infrastructure requirements, and compliance timelines.