Las máscaras de red son direcciones IP representadas mediante el estándar de enrutamiento de interdominios sin clases (Classless Inter-Domain Routing, CIDR). El estándar CIDR especifica cuántos bits de la dirección IP se incluirán. Con las máscaras de red, Google determina a qué direcciones IP o intervalos de direcciones IP debe asignar el servicio SSO.
Nota: En los ajustes de las máscaras de red, solo las URL de servicio específicas del dominio, como servicio.google.com/a/example.com, redirigen a la página de inicio de sesión único.
Es importante que cada máscara de red tenga el formato correcto. En el ejemplo de IPv6 que se muestra a continuación, la barra inclinada (/) y el número que la sigue representan el CIDR. Los últimos 96 bits no se tienen en cuenta, lo que afecta a todas las direcciones IP de ese intervalo de red.
- 2001:db8::/32
En este ejemplo de IPv4, los últimos 8 bits (es decir, el cero) no se tienen en cuenta, y esto afectaría a todas las direcciones IP incluidas en el intervalo de 64.233.187.0 a 64.233.187.255.
- 64.233.187.0/24
En los dominios sin máscara de red, debes añadir a los usuarios que no son superadministradores al proveedor de identidades (IdP).
Tabla de asignación de usuario/red del SSO
sin máscara de red | superadministradores | usuarios |
---|---|---|
accounts.google.com | Cuando los superadministradores intentan iniciar sesión en accounts.google.com, se les pide su dirección de correo electrónico completa de Google (incluidos el nombre de usuario y el dominio) y la contraseña. Una vez que inician sesión, se les redirige a la consola de administración. No se les redirige al servidor de inicio de sesión único. | Cuando los usuarios sin privilegios de superadministrador intentan iniciar sesión en accounts.google.com, se les redirige a la página de inicio de sesión único. |
admin.google.com | Cuando los superadministradores intentan iniciar sesión en admin.google.com, se les pide su dirección de correo electrónico completa de Google (incluidos el nombre de usuario y el dominio) y la contraseña. Una vez que inician sesión, se les redirige a la consola de administración. No se les redirige al servidor de inicio de sesión único. |
Cuando los usuarios que no disponen de privilegios de superadministrador (por ejemplo, los administradores delegados) intentan iniciar sesión en admin.google.com, se les redirige al servidor de inicio de sesión único una vez que inician sesión con los datos de su cuenta de Google. |
con máscara de red | superadministradores | usuarios |
accounts.google.com/o/oauth2/v2/auth?*login_hint=xxxxx@example.com* | Cuando los usuarios (con o sin privilegios de superadministrador) intentan iniciar el flujo de Google OAuth desde accounts.google.com/o/oauth2/v2/auth con el parámetro de URL login_hint, se les redirige a la página de inicio de sesión único. | Cuando los usuarios (con o sin privilegios de superadministrador) intentan iniciar el flujo de Google OAuth desde accounts.google.com/o/oauth2/v2/auth con el parámetro de URL login_hint, se les redirige a la página de inicio de sesión único. |
servicio.google.com | Cuando los usuarios (con o sin privilegios de superadministrador) intentan iniciar sesión en servicio.google.com, se les redirige a accounts.google.com, donde se les pide que introduzcan su dirección de correo electrónico completa de Google, incluidos el nombre de usuario y la contraseña. | Cuando los usuarios (con o sin privilegios de superadministrador) intentan iniciar sesión en servicio.google.com, se les redirige a accounts.google.com, donde se les pide que introduzcan su dirección de correo electrónico completa de Google, incluidos el nombre de usuario y la contraseña. |
servicio.google.com /a/example.com dentro de una máscara de red |
Cuando los usuarios (con o sin privilegios de superadministrador) que se encuentran dentro de una máscara de red intentan iniciar sesión en servicio.google.com/a/example.com, se les redirige a la página de inicio de sesión único. |
Cuando los usuarios (con o sin privilegios de superadministrador) que se encuentran dentro de una máscara de red intentan iniciar sesión en servicio.google.com/a/example.com, se les redirige a la página de inicio de sesión único. |
servicio.google.com /a/example.com fuera de una máscara de red |
Cuando los usuarios (con o sin privilegios de superadministrador) que no se encuentran dentro de una máscara de red intentan iniciar sesión en servicio.google.com/a/example.com, no se les redirige al servidor de inicio de sesión único. | Cuando los usuarios (con o sin privilegios de superadministrador) que no se encuentran dentro de una máscara de red intentan iniciar sesión en servicio.google.com/a/example.com, no se les redirige al servidor de inicio de sesión único. |
servicio.google.com /a/example.com solicitudes de servicio no autenticadas |
Cuando se accede al servicio mediante servicio.google.com/a/example.com, se comprueba la IP de origen de todas las solicitudes de servicio no autenticadas. Si la IP de origen se encuentra dentro de una máscara de red (intervalo CIDR), se les redirige a la página de inicio de sesión único. Si la IP de origen no se encuentra dentro de una máscara de red, se les pide un nombre de usuario y luego una contraseña de Google. A las conexiones directas a accounts.google.com se les pide un nombre de usuario y una contraseña de Google. |
Cuando se accede al servicio mediante servicio.google.com/a/example.com, se comprueba la IP de origen de todas las solicitudes de servicio no autenticadas. Si la IP de origen se encuentra dentro de una máscara de red (intervalo CIDR), se les redirige a la página de inicio de sesión único. Si la IP de origen no se encuentra dentro de una máscara de red, se les pide un nombre de usuario y luego una contraseña de Google. A las conexiones directas a accounts.google.com se les pide un nombre de usuario y una contraseña de Google. |
* No todos los servicios admiten este patrón de URL. A continuación se indican algunos servicios que sí lo admiten:
- Gmail
- Google Drive
- Tu dominio tiene configurado el SSO con un IdP externo.
- Tu dominio tiene una máscara de red.
- Un usuario ha iniciado sesión a través del IdP externo. Consulta más información en la sección "Tabla de asignación de usuario/red del SSO".
- Su sesión ha alcanzado la duración máxima definida en el ajuste Control de sesión de Google de la consola de administración.
- Su administrador ha editado su cuenta a través de la consola de administración o con el SDK de administrador. Por ejemplo, ha cambiado su contraseña o requiere que el usuario la cambie la próxima vez que inicie sesión.
Experiencia de usuario
Si los usuarios han iniciado sesión en un IdP externo, se finaliza su sesión y se les redirige a la página de inicio de sesión de Google.
Como estos usuarios han iniciado sesión en Google a través de un IdP externo, es posible que no entiendan por qué tienen que iniciar sesión en Google para volver a acceder a su cuenta. Es posible que se redirija a los usuarios a una página de inicio de sesión de Google aunque estén intentando navegar a otras URL de Google.
Si has programado tareas de mantenimiento que implican finalizar las sesiones de usuario activas y quieres evitar confusiones, pide a tus usuarios que cierren sesión y no vuelvan a iniciarla hasta que acabe el mantenimiento.
Recuperar usuarios
Si los usuarios ven la página de inicio de sesión de Google porque se ha finalizado su sesión activa, pueden volver a acceder a su cuenta de cualquiera de estas formas:
- Si aparece el mensaje "Si has llegado a esta página por error, cierra sesión y prueba a iniciar sesión de nuevo", pueden hacer clic en el enlace incluido en el mensaje.
- Si este mensaje no aparece, pueden ir a https://accounts.google.com/logout para cerrar sesión y volver a iniciarla.
- Pueden borrar las cookies de su navegador.
Una vez que hayan seguido cualquiera de estos pasos, su sesión de Google se considerará completamente cerrada y podrán volver a iniciar sesión.