Netwerkmaskers zijn IP-adressen die worden weergegeven met CIDR (Classless Inter-Domain Routing). De CIDR specificeert hoeveel bits van het IP-adres moeten worden meegenomen. Google gebruikt netwerkmaskers om te bepalen welke IP-adressen of welke reeksen IP-adressen worden voorzien van de SSO-service.
Opmerking: Voor de instellingen voor netwerkmaskers worden momenteel alleen domeinspecifieke service-URL's, zoals service.google.com/a/example.com, omgeleid naar de SSO-inlogpagina.
Het is belangrijk dat elk netwerkmasker de juiste indeling krijgt. In het volgende IPv6-voorbeeld vertegenwoordigen de slash (/) en het nummer erna de CIDR. Er wordt geen rekening gehouden met de laatste 96 bits, en alle IP-adressen die zich in dat netwerkbereik bevinden, worden beïnvloed.
- 2001:db8::/32
In dit IPv4-voorbeeld wordt er geen rekening gehouden met de laatste acht bits (dus de nul) en alle IP-adressen die zich tussen 64.233.187.0 en 64.233.187.255 bevinden, worden beïnvloed.
- 64.233.187.0/24
Voeg in domeinen zonder netwerkmasker gebruikers die geen superbeheerder zijn toe aan de identiteitsprovider (IdP).
Matrix voor gebruikers-/netwerktoewijzingen SSO
| zonder netwerkmasker | hoofdgebruikers | gebruikers |
|---|---|---|
| accounts.google.com | Wanneer hoofdgebruikers proberen in te loggen op accounts.google.com, wordt ze gevraagd hun volledige e-mailadres (inclusief gebruikersnaam en domein) en wachtwoord van Google op te geven. Ze worden na het inloggen naar de Beheerdersconsole gestuurd. Ze worden niet omgeleid naar de SSO-server. | Als gebruikers zonder superbeheerdersrechten proberen in te loggen op accounts.google.com, worden ze naar de SSO-inlogpagina omgeleid. |
| admin.google.com | Wanneer hoofdgebruikers proberen in te loggen op admin.google.com, wordt ze gevraagd hun volledige e-mailadres (inclusief gebruikersnaam en domein) en wachtwoord van Google op te geven. Ze worden na het inloggen naar de Beheerdersconsole gestuurd. Ze worden niet omgeleid naar de SSO-server. |
Wanneer gebruikers zonder hoofdgebruikersrechten, zoals gemachtigde beheerders, proberen in te loggen op admin.google.com, worden ze naar de SSO-server gestuurd nadat ze zijn ingelogd met hun Google-accountgegevens. |
| met netwerkmasker | hoofdgebruikers | gebruikers |
| accounts.google.com/o/oauth2/v2/auth?*login_hint=xxxxx@example.com* | Als gebruikers (met of zonder hoofdgebruikersrechten) proberen de Google OAuth-stroom te starten via accounts.google.com/o/oauth2/v2/auth met de URL-parameter login_hint, worden ze doorgestuurd naar de SSO-inlogpagina. | Als gebruikers (met of zonder hoofdgebruikersrechten) proberen de Google OAuth-stroom te starten via accounts.google.com/o/oauth2/v2/auth met de URL-parameter login_hint, worden ze doorgestuurd naar de SSO-inlogpagina. |
| service.google.com | Als gebruikers (met of zonder hoofdgebruikersrechten) proberen in te loggen op service.google.com, worden ze omgeleid naar accounts.google.com, waar ze wordt gevraagd hun volledige e-mailadres van Google in te vullen (inclusief gebruikersnaam en wachtwoord). | Als gebruikers (met of zonder hoofdgebruikersrechten) proberen in te loggen op service.google.com, worden ze omgeleid naar accounts.google.com, waar ze wordt gevraagd hun volledige e-mailadres van Google in te vullen (inclusief gebruikersnaam en wachtwoord). |
| service.google.com /a/example.com* binnen een netwerkmasker |
Als gebruikers (met of zonder hoofdgebruikersrechten) binnen het netwerkmasker proberen in te loggen op service.google.com/a/example.com, worden ze omgeleid naar de SSO-inlogpagina. |
Als gebruikers (met of zonder hoofdgebruikersrechten) binnen het netwerkmasker proberen in te loggen op service.google.com/a/example.com, worden ze omgeleid naar de SSO-inlogpagina. |
| service.google.com /a/example.com* buiten een netwerkmasker |
Als gebruikers (met of zonder hoofdgebruikersrechten) buiten het netwerkmasker proberen in te loggen op service.google.com/a/example.com, worden ze niet omgeleid naar de SSO-server. | Als gebruikers (met of zonder hoofdgebruikersrechten) buiten het netwerkmasker proberen in te loggen op service.google.com/a/example.com, worden ze niet omgeleid naar de SSO-server. |
| service.google.com /a/example.com* niet-geverifieerde serviceverzoeken |
Bij niet-geverifieerde serviceverzoeken via service.google.com/a/example.com wordt het oorspronkelijke IP-adres gecontroleerd. Als het oorspronkelijke IP-adres binnen een netwerkmasker (CIDR-bereik) valt, worden gebruikers omgeleid naar de SSO-pagina. Als het oorspronkelijke IP-adres niet binnen een netwerkmasker valt, wordt gebruikers gevraagd om een gebruikersnaam en vervolgens om een Google-wachtwoord. Als rechtstreeks verbinding wordt gemaakt met accounts.google.com, wordt gebruikers gevraagd om een gebruikersnaam en vervolgens om een Google-wachtwoord. |
Bij niet-geverifieerde serviceverzoeken via service.google.com/a/example.com wordt het oorspronkelijke IP-adres gecontroleerd. Als het oorspronkelijke IP-adres binnen een netwerkmasker (CIDR-bereik) valt, worden gebruikers omgeleid naar de SSO-pagina. Als het oorspronkelijke IP-adres niet binnen een netwerkmasker valt, wordt gebruikers gevraagd om een gebruikersnaam en vervolgens om een Google-wachtwoord. Als rechtstreeks verbinding wordt gemaakt met accounts.google.com, wordt gebruikers gevraagd om een gebruikersnaam en vervolgens om een Google-wachtwoord. |
* Niet alle services ondersteunen dit URL-patroon. Dit zijn voorbeelden van services die het wel ondersteunen:
- Gmail
- Google Drive
- Uw domein gebruikt SSO met een IdP van derden.
- Uw domein gebruikt een netwerkmasker.
- Een gebruiker is ingelogd via de IdP van derden (zie de tabel 'Matrix voor gebruikers-/netwerktoewijzingen SSO').
- De gebruikerssessie heeft de maximum toegestane duur bereikt die is opgegeven in de instelling Beheer van Google-sessie in de Beheerdersconsole.
- De beheerder heeft het gebruikersaccount aangepast (via de Beheerdersconsole of de Admin SDK) door het wachtwoord te wijzigen of te vereisen dat de gebruiker het wachtwoord wijzigt wanneer deze de volgende keer inlogt.
Wat de gebruiker ziet
Als de gebruiker de sessie start via een IdP van derden, wordt de sessie gewist en wordt de gebruiker omgeleid naar de pagina 'Inloggen bij Google'.
Omdat de gebruiker de Google-sessie is gestart via een IdP van derden, begrijpt de gebruiker wellicht niet waarom deze moet inloggen bij Google om weer toegang te krijgen tot het account. Gebruikers kunnen zelfs naar de pagina 'Inloggen bij Google' worden geleid als ze naar andere Google-URL's proberen te gaan.
Als u onderhoud plant waarmee actieve gebruikerssessies worden beëindigd en verwarring bij gebruikers wilt voorkomen, vraagt u uw gebruikers uit te loggen bij hun sessie en uitgelogd te blijven tot het onderhoud is voltooid.
Herstel door gebruikers
Wanneer een gebruiker de pagina 'Inloggen bij Google' ziet omdat de actieve sessie is beëindigd, kan deze op een van de volgende manieren weer toegang krijgen tot het account:
- Als de gebruiker de melding 'Als je per ongeluk op deze pagina bent terechtgekomen, klik je hier om uit te loggen. Log vervolgens weer in' ziet, kan deze op de link in de melding klikken.
- Als de gebruiker deze melding of link niet ziet, moet deze uitloggen en weer inloggen via https://accounts.google.com/logout.
- De gebruiker kan ook de browsercookies wissen.
Als de gebruiker een van deze herstelmethoden heeft gebruikt, wordt de Google-sessie volledig beëindigd en kan de gebruiker weer inloggen.
