Le maschere di rete sono indirizzi IP rappresentati utilizzando il metodo Classless Inter-Domain Routing (CIDR). Il CIDR specifica il numero di bit dell'indirizzo IP inclusi. Google utilizza le maschere di rete per determinare quali indirizzi IP o intervalli di IP presentare con il servizio SSO.
Nota: per le impostazioni delle maschere di rete, solo gli URL del servizio specifici del dominio, ad esempio servizio.google.com/a/example.com, attualmente reindirizzano alla pagina di accesso SSO.
È importante utilizzare il formato corretto per ciascuna maschera di rete. Nel seguente esempio di IPv6, la barra (/) e il numero che la segue rappresentano il CIDR. Gli ultimi 96 bit non vengono presi in considerazione, mentre sono interessati tutti gli indirizzi IP compresi in quell'intervallo di rete.
- 2001:db8::/32
In questo esempio relativo a IPv4, gli ultimi 8 bit (lo zero) non vengono presi in considerazione, mentre sono interessati tutti gli indirizzi IP compresi nell'intervallo tra 64.233.187.0 e 64.233.187.255.
- 64.233.187.0/24
Per i domini senza maschera di rete, devi aggiungere al provider di identità (IdP) gli utenti che non sono super amministratori.
Matrice della mappatura di rete/utente SSO
| senza maschera di rete | super amministratori | utenti |
|---|---|---|
| accounts.google.com | Quando i super amministratori tentano di accedere ad accounts.google.com, vengono invitati a fornire il loro indirizzo email Google completo (inclusi nome utente e dominio) e la password. Dopo l'accesso, vengono reindirizzati alla Console di amministrazione. Non vengono reindirizzati al server SSO. | Quando gli utenti senza privilegi di super amministratore tentano di accedere ad accounts.google.com, vengono reindirizzati alla pagina di accesso SSO. |
| admin.google.com | Quando i super amministratori tentano di accedere ad admin.google.com, vengono invitati a fornire il loro indirizzo email Google completo (inclusi nome utente e dominio) e la password. Dopo l'accesso, vengono reindirizzati alla Console di amministrazione. Non vengono reindirizzati al server SSO. |
Quando gli utenti senza privilegi di super amministratore, ad esempio utenti con delega di amministratori, tentano di accedere ad admin.google.com, vengono reindirizzati al server SSO dopo che eseguono l'accesso con le credenziali dell'account Google. |
| con maschera di rete | super amministratori | utenti |
| accounts.google.com/o/oauth2/v2/auth?*login_hint=xxxxx@example.com* | Quando gli utenti (con o senza i privilegi di super amministratore) tentano di avviare il flusso OAuth di Google da accounts.google.com/o/oauth2/v2/auth con il parametro URL login_hint, vengono reindirizzati alla pagina di accesso SSO. | Quando gli utenti (con o senza i privilegi di super amministratore) tentano di avviare il flusso OAuth di Google da accounts.google.com/o/oauth2/v2/auth con il parametro URL login_hint, vengono reindirizzati alla pagina di accesso SSO. |
| servizio.google.com | Quando gli utenti (con o senza i privilegi di super amministratore) tentano di accedere a servizio.google.com, vengono reindirizzati ad accounts.google.com, dove dovranno fornire il loro indirizzo email Google completo (inclusi nome utente e password). | Quando gli utenti (con o senza i privilegi di super amministratore) tentano di accedere a servizio.google.com, vengono reindirizzati ad accounts.google.com, dove dovranno fornire il loro indirizzo email Google completo (inclusi nome utente e password). |
| servizio.google.com /a/example.com* all'interno di una maschera di rete |
Quando gli utenti (con o senza i privilegi di super amministratore) all'interno della maschera di rete tentano di accedere a servizio.google.com/a/example.com, vengono reindirizzati alla pagina di accesso SSO. |
Quando gli utenti (con o senza i privilegi di super amministratore) all'interno della maschera di rete tentano di accedere a servizio.google.com/a/example.com, vengono reindirizzati alla pagina di accesso SSO. |
| servizio.google.com /a/example.com* all'esterno di una maschera di rete |
Quando gli utenti (con o senza i privilegi di super amministratore) all'esterno della maschera di rete tentano di accedere a servizio.google.com/a/example.com, non vengono reindirizzati al server SSO. | Quando gli utenti (con o senza i privilegi di super amministratore) all'esterno della maschera di rete tentano di accedere a servizio.google.com/a/example.com, non vengono reindirizzati al server SSO. |
| servizio.google.com /a/example.com* richieste di servizio non autenticate |
L'IP di origine di tutte le richieste di servizio non autenticate viene verificato al momento dell'accesso mediante servizio.google.com/a/example.com. Se l'IP di origine si trova in una maschera di rete (intervallo CIDR), gli utenti vengono reindirizzati alla pagina di accesso SSO. Se l'IP di origine non si trova in una maschera di rete, agli utenti vengono chiesti il nome utente e la password Google. Per le connessioni dirette ad accounts.google.com vengono richiesti il nome utente e una password Google. |
L'IP di origine di tutte le richieste di servizio non autenticate viene verificato al momento dell'accesso mediante servizio.google.com/a/example.com. Se l'IP di origine si trova in una maschera di rete (intervallo CIDR), gli utenti vengono reindirizzati alla pagina di accesso SSO. Se l'IP di origine non si trova in una maschera di rete, agli utenti vengono chiesti il nome utente e la password Google. Per le connessioni dirette ad accounts.google.com vengono richiesti il nome utente e una password Google. |
*Non tutti i servizi supportano questo pattern URL. Ecco alcuni esempi di servizi che lo accettano:
- Gmail
- Google Drive
- Nel dominio è configurato il servizio SSO con un IdP di terze parti.
- Nel dominio è configurata una maschera di rete.
- Un utente ha eseguito l'accesso mediante l'IdP di terze parti (vedi la tabella "Matrice della mappatura di rete/utente SSO").
- La sessione raggiunge la durata massima consentita specificata nell'impostazione Controllo sessione Google della Console di amministrazione.
- L'amministratore ha modificato l'account dell'utente cambiando la password o richiedendo la modifica della password all'accesso successivo, utilizzando la Console di amministrazione o l'SDK Admin.
Esperienza utente
Se l'utente ha avviato la sessione su un IdP di terze parti, la sessione viene cancellata e l'utente viene reindirizzato alla pagina di accesso di Google.
Dal momento che l'utente ha avviato la sessione Google a partire da un IdP di terze parti, è possibile che non comprenda perché deve reinserire le credenziali per poter accedere nuovamente al proprio account. Gli utenti potrebbero essere reindirizzati alla pagina di accesso di Google anche quando tentano di passare ad altri URL Google.
Se stai pianificando un'operazione di manutenzione per cui è necessario terminare le sessioni utente attive e vuoi evitare di confondere gli utenti, chiedi loro di uscire dalle sessioni e di non accedere fino a quando la manutenzione non è completa.
Recupero degli utenti
Quando viene visualizzata la pagina di accesso di Google perché la sessione di un utente è stata terminata, l'utente può accedere nuovamente al proprio account eseguendo una di queste operazioni:
- Se è stato visualizzato il messaggio "Se hai raggiunto questa pagina per sbaglio, fai clic qui per uscire, quindi riprova ad accedere", l'utente può fare clic sul link presente nel messaggio.
- Se il messaggio o il link non sono stati visualizzati, l'utente può uscire e accedere nuovamente a partire dall'indirizzo https://accounts.google.com/logout.
- L'utente può cancellare i cookie del browser.
Una volta eseguita una qualsiasi delle operazioni indicate sopra, la sessione Google viene terminata del tutto e l'utente può accedere.
