Маски мережі – це IP-адреси, представлені у форматі безкласової адресації (Classless Inter-Domain Routing, CIDR). За допомогою значення CIDR указується, скільки бітів IP-адреси включено в маску мережі. Маски мережі можуть використовуватися в профілі Системи єдиного входу для вашої організації, щоб визначати, які IP-адреси або їх діапазони матимуть доступ до цієї системи.
Примітка. Під час налаштування масок мережі варто враховувати, що зараз на сторінку Системи єдиного входу переспрямовують лише сервісні URL-адреси домену (наприклад, service.google.com/a/example.com).
Важливо, щоб для всіх масок мережі використовувався правильний формат. У наведеному нижче прикладі для адреси IPv6 скісна риска й число після неї вказують на безкласову адресацію. Останні 96 бітів не враховуються, а Систему єдиного входу активовано для всіх IP-адрес у діапазоні цієї мережі.
- 2001:db8::/32
У наведеному нижче прикладі для адреси IPv4 останні 8 бітів (тобто нуль) не враховуються, а Систему єдиного входу активовано для всіх IP-адрес у діапазоні від 64.233.187.0 до 64.233.187.255.
- 64.233.187.0/24
У доменах без масок мережі всіх учасників, окрім суперадміністраторів, потрібно додавати в базу даних постачальника ідентифікаційної інформації.
Як користувачі взаємодіють із Системою єдиного входу, коли переходять за URL-адресами сервісів GoogleУ наведеній нижче таблиці описано, що відбуватиметься, коли користувачі безпосередньо відвідуватимуть URL-адреси сервісів Google із маскою мережі або без неї.
| Без маски мережі | Суперадміністратори | Користувачі |
|---|---|---|
| service.google.com | Отримують запит ввести електронну адресу й пароль облікового запису Google. | Отримують запит ввести електронну адресу, а потім переспрямовуються на сторінку Системи єдиного входу. |
| З маскою мережі | Суперадміністратори й користувачі | |
| service.google.com | Отримують запит ввести електронну адресу й пароль. | |
| service.google.com /a/your_domain.com* (у межах маски мережі) |
Переспрямовуються на сторінку Системи єдиного входу. | |
| service.google.com /a/your_domain.com (за межами маски мережі) |
Отримують запит ввести електронну адресу й пароль. | |
| accounts.google.com/ o/oauth2/v2/auth?login_hint= xxxxx@example.com |
Користувачі, які отримують доступ до кінцевої точки OAuth 2.0 у Google за допомогою параметра URL-адреси login_hint, переспрямовуються на сторінку Системи єдиного входу. |
|
* Цей шаблон URL-адреси підтримується лише в деяких сервісах (наприклад, у Gmail і на Диску).
- У вашому домені налаштовано Систему єдиного входу за допомогою стороннього постачальника ідентифікаційної інформації.
- Ваш домен має маску мережі.
- Користувач увійшов через стороннього постачальника ідентифікаційної інформації (докладніше в таблиці "Зіставлення користувача й мережі в Системі єдиного входу").
- Сеанс користувача досягає максимально дозволеної тривалості, указаної в налаштуванні Керування сеансами Google у Консолі адміністратора.
- Адміністратор змінив пароль облікового запису користувача або налаштував його скидання під час наступного входу (через Консоль адміністратора або за допомогою Admin SDK).
Взаємодія з користувачем
Якщо користувач почав сеанс за допомогою стороннього постачальника ідентифікаційної інформації, цей сеанс буде видалено, а користувача – переспрямовано на сторінку "Вхід через Google".
Оскільки користувач розпочав сеанс Google за допомогою стороннього постачальника ідентифікаційної інформації, його може спантеличити те, що для відновлення доступу до облікового запису потрібно знову ввійти в Google. Користувачі можуть переспрямовуватися на сторінку "Вхід через Google", навіть коли вони намагаються перейти до інших URL-адрес Google.
Щоб уникнути плутанини під час запланованого технічного обслуговування, у межах якого вам потрібно припинити активні сеанси користувачів, попросіть їх вийти самостійно й не входити в систему, доки цю процедуру не буде завершено.
Як відновити доступ до облікового запису
Якщо користувача було переспрямовано на сторінку "Вхід через Google" через припинення активного сеансу, він може відновити доступ до свого облікового запису, виконавши одну з наведених нижче дій.
- Натиснути посилання в повідомленні "Якщо ви помилково перейшли на цю сторінку, натисніть тут, щоб вийти, і спробуйте знову ввійти".
- Якщо це повідомлення або посилання не відображається, користувач може вийти й знову ввійти, перейшовши на сторінку https://accounts.google.com/logout.
- Видалити файли cookie у вебпереглядачі.
Коли користувач виконає будь-яку із цих дій, його сеанс Google буде повністю припинено, і він зможе ввійти знову.