네트워크 마스크는 CIDR(Classless Inter-Domain Routing, 클래스 없는 도메인 간 라우팅) 기호를 사용하여 표현되는 IP 주소입니다. CIDR은 IP 주소에 얼마나 많은 비트가 포함되어야 하는지 지정합니다. Google에서는 네트워크 마스크를 사용하여 SSO 서비스에 제공할 IP 주소 또는 IP 주소 범위를 결정합니다.
참고: 네트워크 마스크 설정의 경우 현재 도메인별 서비스 URL(예: service.google.com/a/example.com)만 SSO 로그인 페이지로 리디렉션됩니다.
각 네트워크 마스크는 올바른 형식을 사용해야 합니다. 다음 IPv6의 예에서 슬래시(/) 및 그 뒤의 숫자가 CIDR을 나타냅니다. 이 예에서 마지막 96비트는 고려되지 않으며 네트워크 범위에 있는 모든 IP 주소가 영향을 받습니다.
- 2001:db8::/32
IPv4의 예에서 마지막 8비트(예: 0)는 고려되지 않으며 64.233.187.0~64.233.187.255 범위에 있는 모든 IP 주소가 영향을 받습니다.
- 64.233.187.0/24
네트워크 마스크가 없는 도메인의 경우 최고 관리자가 아닌 사용자를 ID 제공업체(IdP)에 추가해야 합니다.
SSO 사용자/네트워크 매핑 매트릭스
네트워크 마스크 없음 | 최고 관리자 | 사용자 |
---|---|---|
accounts.google.com | 최고 관리자가 accounts.google.com으로 로그인하려는 경우 Google 이메일 주소(사용자 이름 및 도메인 포함) 및 비밀번호를 입력하라는 메시지가 표시되고 로그인하면 관리 콘솔로 리디렉션됩니다. SSO 서버로 리디렉션되지는 않습니다. | 최고 관리자 권한이 없는 사용자가 accounts.google.com에 로그인하려는 경우 SSO 로그인 페이지로 리디렉션됩니다. |
admin.google.com | 최고 관리자가 admin.google.com으로 로그인하려는 경우 Google 이메일 주소(사용자 이름 및 도메인 포함) 및 비밀번호를 입력하라는 메시지가 표시되고 로그인하면 관리 콘솔로 리디렉션됩니다. SSO 서버로 리디렉션되지는 않습니다. |
최고 관리자 권한이 없는 사용자(예: 위임된 관리자)가 admin.google.com에 로그인하려는 경우 Google 계정 세부정보로 로그인하면 SSO 서버로 리디렉션됩니다. |
네트워크 마스크 있음 | 최고 관리자 | 사용자 |
accounts.google.com/o/oauth2/v2/auth?*login_hint=xxxxx@example.com* | 최고 관리자 권한 유무와 관계없이 사용자가 accounts.google.com/o/oauth2/v2/auth에서 login_hint URL 매개변수를 이용하여 Google OAuth 플로우를 시작하려는 경우 SSO 로그인 페이지로 리디렉션됩니다. | 최고 관리자 권한 유무와 관계없이 사용자가 accounts.google.com/o/oauth2/v2/auth에서 login_hint URL 매개변수를 이용하여 Google OAuth 플로우를 시작하려는 경우 SSO 로그인 페이지로 리디렉션됩니다. |
service.google.com | 최고 관리자 권한 유무와 관계없이 사용자가 service.google.com에 로그인하려는 경우 accounts.google.com 페이지로 리디렉션되고, 전체 Google 이메일 주소(사용자 이름 및 비밀번호 포함)를 입력하라는 메시지가 표시됩니다. | 최고 관리자 권한 유무와 관계없이 사용자가 service.google.com에 로그인하려는 경우 accounts.google.com 페이지로 리디렉션되고, 전체 Google 이메일 주소(사용자 이름 및 비밀번호 포함)를 입력하라는 메시지가 표시됩니다. |
service.google.com /a/example.com* 네트워크 마스크 내 |
최고 관리자 권한 유무와 관계없이 네트워크 마스크 내의 사용자가 service.google.com/a/example.com에 로그인하려는 경우 SSO 로그인 페이지로 리디렉션됩니다. |
최고 관리자 권한 유무와 관계없이 네트워크 마스크 내의 사용자가 service.google.com/a/example.com에 로그인하려는 경우 SSO 로그인 페이지로 리디렉션됩니다. |
service.google.com /a/example.com* 네트워크 마스크 외부 |
최고 관리자 권한 유무와 관계없이 네트워크 마스크 외부의 사용자가 service.google.com/a/example.com에 로그인하려는 경우 SSO 서버로 리디렉션되지 않습니다. | 최고 관리자 권한 유무와 관계없이 네트워크 마스크 외부의 사용자가 service.google.com/a/example.com에 로그인하려는 경우 SSO 서버로 리디렉션되지 않습니다. |
service.google.com /a/example.com* 인증되지 않은 서비스 요청 |
service.google.com/a/example.com을 통해 액세스할 때는 인증되지 않은 모든 서비스 요청의 원래 IP를 확인합니다. 원래 IP가 네트워크 마스크(CIDR 범위) 내에 속하는 사용자는 SSO 로그인 페이지로 리디렉션됩니다. 원래 IP가 네트워크 마스크(CIDR 범위) 내에 속하지 않는 사용자에게는 사용자 이름과 Google 비밀번호를 입력하라는 메시지가 표시됩니다. accounts.google.com에 직접 연결하면 사용자 이름과 Google 비밀번호를 입력하라는 메시지가 표시됩니다. |
service.google.com/a/example.com을 통해 액세스할 때는 인증되지 않은 모든 서비스 요청의 원래 IP를 확인합니다. 원래 IP가 네트워크 마스크(CIDR 범위) 내에 속하는 사용자는 SSO 로그인 페이지로 리디렉션됩니다. 원래 IP가 네트워크 마스크(CIDR 범위) 내에 속하지 않는 사용자에게는 사용자 이름과 Google 비밀번호를 입력하라는 메시지가 표시됩니다. accounts.google.com에 직접 연결하면 사용자 이름과 Google 비밀번호를 입력하라는 메시지가 표시됩니다. |
* 일부 서비스에서는 이 URL 패턴이 지원되지 않으며, 이 기능이 지원되는 서비스의 예는 다음과 같습니다.
- Gmail
- Google 드라이브
- 도메인에 타사 IdP의 SSO가 있습니다.
- 도메인에 네트워크 마스크가 있습니다.
- 사용자가 타사 IdP를 통해 로그인했습니다('SSO 사용자/네트워크 매핑 매트릭스'의 표 참고).
- 사용자 세션이 Google 세션 제어 관리 콘솔 설정에 지정된 최대 허용 시간에 도달한 경우
- 관리 콘솔 또는 Admin SDK를 통해 관리자가 비밀번호를 변경하거나 사용자에게 다음 로그인 시 비밀번호를 변경하도록 요구하여 사용자 계정을 수정한 경우
사용자 환경
사용자가 타사 IdP에서 세션을 시작하면 세션이 삭제되고 사용자는 Google 로그인 페이지로 리디렉션됩니다.
타사 IdP에서 Google 세션을 시작했기 때문에 사용자가 계정에 다시 액세스하기 위해 Google에 로그인해야 하는 이유를 이해하지 못할 수 있습니다. 사용자가 다른 Google URL로 이동하는 경우에도 Google 로그인 페이지로 리디렉션될 수 있습니다.
활성 사용자 세션 종료 과정이 포함된 점검을 계획하고 있는 경우 사용자의 혼란을 막기 위해 사용자에게 세션에서 로그아웃한 후 점검이 완료될 때까지 로그아웃 상태를 유지하도록 안내합니다.
사용자 복구
활성 세션이 종료되어 사용자가 Google 로그인 페이지를 보게 되는 경우 다음 중 하나를 수행하여 계정에 다시 액세스할 수 있습니다.
- '실수로 이 페이지로 이동한 경우 여기를 클릭하여 로그아웃한 다음 다시 로그인해 보세요'라는 메시지가 표시되는 경우, 사용자는 메시지의 링크를 클릭할 수 있습니다.
- 사용자에게 해당 메시지나 링크가 표시되지 않는 경우 https://accounts.google.com/logout으로 이동하여 로그아웃했다가 다시 로그인합니다.
- 사용자는 브라우저 쿠키를 삭제할 수 있습니다.
이와 같은 복구 방법 중 하나를 사용하면 Google 세션이 완전히 종료되고 로그인이 가능해 집니다.