أقنعة الشبكات هي عناوين IP يتم تمثيلها باستخدام رموز التوجيه بين النطاقات بدون فئات (CIDR). يحدد CIDR عدد وحدات البت التي يتم تضمينها لعنوان IP. وتستخدم Google أقنعة الشبكات لتحديد عناوين IP أو نطاقات عناوين IP التي سيتم تقديمها مع خدمة الدخول المُوحَّد (SSO).
ملاحظة: بالنسبة إلى إعدادات أقنعة الشبكات، تتم إعادة توجيه عناوين URL للخدمة الخاصة بالنطاق فقط، مثل service.google.com/a/example.com، إلى صفحة تسجيل الدخول المُوحَّد (SSO).
من المهم أن يستخدم كل قناع شبكة الصيغة الصحيحة. ففي مثال IPv6 التالي، تُمثّل الشرطة المائلة (/) والرقم الذي يليها رمز CIDR. لن يتم أخذ آخر 96 وحدة بت في الاعتبار، وستتأثر جميع عناوين IP في نطاق الشبكة هذا.
- 2001:db8::/32
في مثال IPv4 هذا، لن يتم أخذ آخر 8 وحدات بت (بمعنى: الصفر) في الاعتبار، وستتأثر جميع عناوين IP التي كانت في النطاق من 64.233.187.0 إلى 64.233.187.255.
- 64.233.187.0/24
في النطاقات التي لا تحتوي على قناع الشبكة، يجب إضافة المستخدمين الذين ليسوا مشرفين متميزين إلى موفِّر الهوية (IdP).
مصفوفة تعيين الشبكة/مستخدم خدمة الدخول الموحّد (SSO)
بدون قناع الشبكة | المشرفون المتميزون | المستخدمون |
---|---|---|
accounts.google.com | عندما يحاول المشرفون المتميزون تسجيل الدخول إلى accounts.google.com، ستتم مطالبتهم بإدخال عنوان البريد الإلكتروني الكامل في Google (بما في ذلك اسم المستخدم والنطاق) وكلمة المرور، وسيُعاد توجيههم إلى وحدة تحكم المشرف بعد تسجيل الدخول. ولن يُعاد توجيههم إلى خادم الدخول الموحّد (SSO). | عندما يحاول المستخدمون الذين لا تتوفر لديهم امتيازات المشرف المتميز تسجيل الدخول إلى accounts.google.com، ستتم إعادة توجيههم إلى صفحة تسجيل الدخول الموحّد (SSO). |
admin.google.com | عندما يحاول المستخدمون المتميزون تسجيل الدخول إلى admin.google.com، ستتم مطالبتهم بإدخال عنوان البريد الإلكتروني الكامل في Google (بما في ذلك اسم المستخدم والنطاق) وكلمة المرور، وستتم إعادة توجيههم إلى وحدة تحكم المشرف بعد تسجيل الدخول. ولن يُعاد توجيههم إلى خادم الدخول الموحّد (SSO). |
عندما يحاول المستخدمون الذين لا تتوفر لديهم امتيازات المشرفين المتميزين، مثل المشرفين المفوضين، تسجيل الدخول إلى admin.google.com، سيُعاد توجيههم إلى خادم الدخول الموحّد (SSO) بعد تسجيل الدخول باستخدام تفاصيل حساب Google. |
باستخدام قناع الشبكة | المشرفون المتميزون | المستخدمون |
accounts.google.com/o/oauth2/v2/auth?*login_hint=xxxxx@example.com* | عندما يحاول المستخدمون (ممن لديهم أو ليس لديهم امتيازات المشرف المتميز) بدء تدفق Google OAuth من accounts.google.com/o/oauth2/v2/auth باستخدام معلمة عنوان URL login_hint، ستتم إعادة توجيههم إلى تسجيل الدخول المُوحَّد (SSO). | عندما يحاول المستخدمون (ممن لديهم أو ليس لديهم امتيازات المشرف المتميز) بدء تدفق Google OAuth من accounts.google.com/o/oauth2/v2/auth باستخدام معلمة عنوان URL login_hint، ستتم إعادة توجيههم إلى تسجيل الدخول المُوحَّد (SSO). |
service.google.com | عندما يحاول المستخدمون (ممن لديهم أو ليس لديهم امتيازات المشرف المتميز) تسجيل الدخول إلى service.google.com، تتم إعادة توجيههم إلى accounts.google.com، حيث يُطلب منهم إدخال عنوان بريدهم الإلكتروني الكامل على Google (بما في ذلك اسم المستخدم وكلمة المرور). | عندما يحاول المستخدمون (ممن لديهم أو ليس لديهم امتيازات المشرف المتميز) تسجيل الدخول إلى service.google.com، تتم إعادة توجيههم إلى accounts.google.com، حيث يُطلب منهم إدخال عنوان بريدهم الإلكتروني الكامل على Google (بما في ذلك اسم المستخدم وكلمة المرور). |
service.google.com /a/example.com* ضمن قناع شبكة |
عندما يحاول المستخدمون (ممن لديهم أو ليس لديهم امتيازات المشرف المتميز) ضمن قناع الشبكة تسجيل الدخول إلى service.google.com/a/example.com، سيُعاد توجيههم إلى صفحة تسجيل الدخول المُوحَّد (SSO). |
عندما يحاول المستخدمون (ممن لديهم أو ليس لديهم امتيازات المشرف المتميز) ضمن قناع الشبكة تسجيل الدخول إلى service.google.com/a/example.com، سيُعاد توجيههم إلى صفحة تسجيل الدخول المُوحَّد (SSO). |
service.google.com /a/example.com* خارج قناع الشبكة |
عندما يحاول المستخدمون (ممن لديهم أو ليس لديهم امتيازات المشرف المتميز) خارج قناع الشبكة تسجيل الدخول إلى service.google.com/a/example.com، لن يُعاد توجيههم إلى خادم الدخول الموحَّد (SSO). | عندما يحاول المستخدمون (ممن لديهم أو ليس لديهم امتيازات المشرف المتميز) خارج قناع الشبكة تسجيل الدخول إلى service.google.com/a/example.com، لن يُعاد توجيههم إلى خادم الدخول الموحَّد (SSO). |
service.google.com /a/example.com* طلبات الخدمة التي لم تتم مصادقتها |
يتم التحقُّق من عنوان IP الأصلي لجميع طلبات الخدمة التي لم تتم مصادقتها عند الدخول عبر service.google.com/a/example.com. إذا كان عنوان IP الأصلي واقعًا ضمن قناع شبكة (نطاق CIDR)، ستتم إعادة توجيههم إلى صفحة تسجيل الدخول المُوحَّد (SSO). إذا لم يكن عنوان IP الأصلي واقعًا ضمن قناع شبكة، فستتم مطالبتهم بإدخال اسم المستخدم ثم كلمة المرور في Google. يتم طلب إدخال اسم المستخدم، ثم كلمة مرور Google من الروابط المباشرة بالعنوان accounts.google.com. |
يتم التحقُّق من عنوان IP الأصلي لجميع طلبات الخدمة التي لم تتم مصادقتها عند الدخول عبر service.google.com/a/example.com. إذا كان عنوان IP الأصلي واقعًا ضمن قناع شبكة (نطاق CIDR)، ستتم إعادة توجيههم إلى صفحة تسجيل الدخول المُوحَّد (SSO). إذا لم يكن عنوان IP الأصلي واقعًا ضمن قناع شبكة، فستتم مطالبتهم بإدخال اسم المستخدم ثم كلمة المرور في Google. يتم طلب إدخال اسم المستخدم، ثم كلمة مرور Google من الروابط المباشرة بالعنوان accounts.google.com. |
* لا تتوافق جميع الخدمات مع نمط عنوان URL هذا. في ما يلي أمثلة على الخدمات المتوافقة:
- Gmail
- Google Drive
- يمتلك نطاقك خدمة الدخول المُوحَّد (SSO) مع موفِّر هوية تابع لجهة خارجية.
- يمتلك نطاقك قناع شبكة.
- سجَّل مستخدم الدخول من خلال موفر الهوية التابع لجهة خارجية (يُرجى الاطِّلاع على الجدول في "مصفوفة تحديد الشبكة/مستخدم خدمة الدخول الموحَّد (SSO)")
- وصول مدة جلسة المستخدم إلى الحد الأقصى المسموح به كما هو محدَّد في إعداد التحكُّم في جلسة Google ضمن "وحدة تحكُّم المشرف".
- تعديل المشرف حساب المستخدم من خلال تغيير كلمة المرور أو طلب تغيير كلمة المرور من المستخدم عند تسجيل الدخول التالي له (إما من خلال وحدة تحكم المشرف أو باستخدام SDK للمشرف).
تجربة المستخدم
إذا بدأ المستخدم الجلسة على موفِّر هوية تابع لجهة خارجية، سيتم محو الجلسة ويُعاد توجيه المستخدم إلى صفحة "تسجيل الدخول بحساب Google".
بسبب بدء المستخدم لجلسة Google على موفِّر هوية تابع لجهة خارجية، قد لا يعرف سبب ضرورة تسجيل الدخول إلى Google لاستعادة إمكانية الوصول إلى حسابه. قد تتم إعادة توجيه المستخدمين إلى صفحة "تسجيل الدخول بحساب Google" حتى عندما يحاولون الانتقال إلى عناوين URL أخرى في Google.
إذا كنت تخطط لإجراء بعض الصيانة التي تتضمن إنهاء جلسات المستخدمين النشطة وتريد تجنب حدوث التباس لدى المستخدمين، اطلب من المستخدمين تسجيل الخروج من جلساتهم والبقاء مُسجّلي الخروج حتى اكتمال الصيانة.
استرداد إمكانية وصول المستخدم
عند اطِّلاع المستخدم على صفحة "تسجيل الدخول بحساب Google" بسبب إنهاء جلسته النشطة، يمكنه استعادة إمكانية الوصول إلى حسابه من خلال تنفيذ أحد الإجراءات التالية:
- في حال اطِّلاع المستخدم على الرسالة "في حال وصلت إلى هذه الصفحة عن طريق الخطأ، يُرجى النقر هنا لتسجيل الخروج ومحاولة تسجيل الدخول مرة أخرى"، يمكنه النقر على الرابط في الرسالة.
- في حال لم يطَّلع المستخدم على هذه الرسالة أو الرابط، عليه تسجيل الخروج ثم تسجيل الدخول مرة أخرى من خلال الانتقال إلى https://accounts.google.com/logout.
- يمكن للمستخدم محو ملفات تعريف الارتباط في المتصفِّح.
وبعد استخدام أي طريقة من طرق الاسترداد، يتم إنهاء جلسة Google بشكل كامل ويمكن للمستخدم تسجيل الدخول بعد ذلك.