Maski sieci to adresy IP przedstawione w notacji CIDR (Classless Inter-Domain Routing). Notacja CIDR określa, ile bitów adresu IP należy uwzględniać. Google wykorzystuje maski sieci do ustalania, którym adresom IP lub zakresom adresów IP należy udostępniać usługę logowania jednokrotnego.
Uwaga: obecnie w przypadku ustawień masek sieci na stronę logowania jednokrotnego przekierowują tylko adresy URL usługi właściwe dla domeny, na przykład usluga.google.com/a/example.com.
To istotne, aby każda maska sieci miała prawidłowy format. W poniższym przykładzie adresu IPv6 ukośnik (/) i znajdująca się za nim liczba przedstawiają notację CIDR. Ostatnie 96 bitów nie jest brane pod uwagę, a w tym przedziale sieci znajdą się wszystkie adresy IP.
- 2001:db8::/32
W tym przykładzie adresu IPv4 nie będzie brane pod uwagę ostatnie 8 bitów (wartość zero), a w przedziale znajdą się wszystkie adresy IP z zakresu od 64.233.187.0 do 64.233.187.255.
- 64.233.187.0/24
W przypadku domen bez maski sieci do dostawcy tożsamości (IdP) dodaj użytkowników, którzy nie są superużytkownikami.
Tabela mapowania sieci i użytkowników logowania jednokrotnego
| Bez maski sieci | Superużytkownicy | Użytkownicy |
|---|---|---|
| accounts.google.com | Gdy superadministratorzy próbują zalogować się na stronie accounts.google.com, pojawia się prośba o podanie pełnego adresu e-mail Google (wraz z nazwą użytkownika i domeną) oraz hasła. Po zalogowaniu się następuje przekierowanie do konsoli administracyjnej. Nie następuje przekierowanie na serwer logowania jednokrotnego. | Gdy użytkownicy bez uprawnień superużytkownika próbują zalogować się na stronie accounts.google.com, są przekierowywani na stronę logowania jednokrotnego. |
| admin.google.com | Gdy superadministratorzy próbują zalogować się na stronie admin.google.com, pojawia się prośba o podanie pełnego adresu e-mail Google (wraz z nazwą użytkownika i domeną) oraz hasła. Po zalogowaniu się następuje przekierowanie do konsoli administracyjnej. Nie następuje przekierowanie na serwer logowania jednokrotnego. |
Gdy użytkownicy bez uprawnień superadministratora, na przykład administratorzy delegowani, próbują zalogować się na stronie admin.google.com, po zalogowaniu się za pomocą danych konta Google zostają przekierowani na serwer logowania jednokrotnego. |
| Z maską sieci | Superużytkownicy | Użytkownicy |
| accounts.google.com/o/oauth2/v2/auth?*login_hint=xxxxx@example.com* | Gdy użytkownicy (z uprawnieniami superużytkownika lub bez nich) próbują zainicjować obsługę protokołu Google OAuth, logując się na accounts.google.com/o/oauth2/v2/auth za pomocą parametru URL login_hint, zostają przekierowani na stronę logowania jednokrotnego. | Gdy użytkownicy (z uprawnieniami superużytkownika lub bez nich) próbują zainicjować obsługę protokołu Google OAuth, logując się na accounts.google.com/o/oauth2/v2/auth za pomocą parametru URL login_hint, zostają przekierowani na stronę logowania jednokrotnego. |
| usluga.google.com | Gdy użytkownicy (z uprawnieniami superadministratora lub bez nich) próbują zalogować się na stronie usluga.google.com, zostają przekierowani na stronę accounts.google.com, gdzie wyświetlana jest prośba o podanie pełnego adresu e-mail Google (wraz z nazwą użytkownika i hasłem). | Gdy użytkownicy (z uprawnieniami superadministratora lub bez nich) próbują zalogować się na stronie usluga.google.com, zostają przekierowani na stronę accounts.google.com, gdzie wyświetlana jest prośba o podanie pełnego adresu e-mail Google (wraz z nazwą użytkownika i hasłem). |
| usluga.google.com /a/example.com* wewnątrz maski sieci |
Gdy użytkownicy (z uprawnieniami superadministratora lub bez nich) wewnątrz maski sieci próbują zalogować się na stronie usluga.google.com/a/example.com, zostają przekierowani na stronę logowania jednokrotnego. |
Gdy użytkownicy (z uprawnieniami superadministratora lub bez nich) wewnątrz maski sieci próbują zalogować się na stronie usluga.google.com/a/example.com, zostają przekierowani na stronę logowania jednokrotnego. |
| usluga.google.com /a/example.com* poza maską sieci |
Gdy użytkownicy (z uprawnieniami superadministratora lub bez nich) poza maską sieci próbują zalogować się na stronie usluga.google.com/a/example.com, nie następuje przekierowanie na serwer logowania jednokrotnego. | Gdy użytkownicy (z uprawnieniami superadministratora lub bez nich) poza maską sieci próbują zalogować się na stronie usluga.google.com/a/example.com, nie następuje przekierowanie na serwer logowania jednokrotnego. |
| usluga.google.com /a/example.com* nieuwierzytelnione wywołania usługi |
Adresy IP wszystkich nieuwierzytelnionych wywołań usługi są sprawdzane w przypadku uzyskiwania dostępu przez stronę usluga.google.com/a/example.com. Jeśli maska sieci (zakres CIDR) obejmuje dany adres IP, użytkownik zostaje przekierowany na stronę logowania jednokrotnego. Jeśli maska sieci (zakres CIDR) nie obejmuje tego adresu IP, wyświetlana jest prośba o podanie nazwy użytkownika i hasła Google. W przypadku bezpośrednich połączeń z accounts.google.com należy podać nazwę użytkownika, a następnie hasło Google. |
Adresy IP wszystkich nieuwierzytelnionych wywołań usługi są sprawdzane w przypadku uzyskiwania dostępu przez stronę usluga.google.com/a/example.com. Jeśli maska sieci (zakres CIDR) obejmuje dany adres IP, użytkownik zostaje przekierowany na stronę logowania jednokrotnego. Jeśli maska sieci (zakres CIDR) nie obejmuje tego adresu IP, wyświetlana jest prośba o podanie nazwy użytkownika i hasła Google. W przypadku bezpośrednich połączeń z accounts.google.com należy podać nazwę użytkownika, a następnie hasło Google. |
* Nie wszystkie usługi obsługują ten wzorzec adresu URL. Przykłady usług, które go obsługują:
- Gmail
- Dysk Google
- Twoja domena oferuje logowanie jednokrotne przy użyciu zewnętrznego dostawcy tożsamości.
- Domena ma maskę sieci.
- Użytkownik zalogował się przy użyciu zewnętrznego dostawcy tożsamości (patrz tabela w sekcji „Tabela mapowania sieci i użytkowników logowania jednokrotnego”).
- sesja użytkownika osiągnie maksymalny dozwolony czas trwania określony w ustawieniu Kontrola sesji Google w konsoli administracyjnej,
- administrator zmodyfikuje konto użytkownika przez zmianę hasła lub włączenie wymagania zmiany hasła przy następnym logowaniu (w konsoli administracyjnej lub przy użyciu pakietu Admin SDK).
Sposób działania
Jeśli użytkownik zainicjował sesję u zewnętrznego dostawcy tożsamości, sesja zostanie wyczyszczona, a użytkownik – przekierowany na stronę logowania Google.
Użytkownik zainicjował sesję Google u zewnętrznego dostawcy tożsamości, może więc nie rozumieć, dlaczego musi zalogować się w Google, aby odzyskać dostęp do swojego konta. Użytkownicy mogą zostać przekierowani na stronę logowania Google, nawet jeśli spróbują przejść na inne adresy URL Google.
Jeśli planujesz konserwację, która obejmuje zakończenie aktywnych sesji użytkowników, i chcesz uniknąć dezorientowania użytkowników, poproś ich, aby wylogowali się z sesji i pozostali wylogowani, dopóki konserwacja nie zostanie zakończona.
Odzyskiwanie konta użytkownika
Gdy użytkownik zobaczy stronę logowania Google z powodu zakończenia jego aktywnej sesji, może odzyskać dostęp do swojego konta, wykonując jedną z tych czynności:
- Gdy użytkownik zobaczy komunikat „Jeśli ta strona wyświetliła się w wyniku błędu, kliknij tutaj, by się wylogować i ponownie zalogować”, może kliknąć link w tym komunikacie.
- Jeśli użytkownik nie zobaczy tego komunikatu ani linku, może się wylogować i ponownie zalogować na stronie https://accounts.google.com/logout.
- Użytkownik może wyczyścić pliki cookie przeglądarki.
Po użyciu jednej z metod odzyskiwania sesja Google zostanie całkowicie zakończona i będzie można się zalogować.
