Configurar o logon único usando provedores de identidade de terceiros

Resultados do mapeamento de rede

As máscaras de rede são endereços IP representados com a notação do roteamento entre domínios sem classificação (CIDR, na sigla em inglês). O CIDR especifica quantos bits do endereço IP são incluídos. O Google usa máscaras de rede para determinar quais endereços IP ou intervalos de endereços IP serão apresentados com o serviço de Logon único (SSO, na sigla em inglês).

É importante que cada máscara de rede use o formato correto. No seguinte exemplo do IPv6, a barra (/) e o número depois da barra representam o CIDR. Os últimos 96 bits não são considerados, e todos os IPs no intervalo de rede são afetados.

  • 2001:db8::/32

Neste exemplo do IPv4, os últimos 8 bits (o zero) não são levados em consideração, e todos os IPs no intervalo 64.233.187.0–64.233.187.255 são afetados.

  • 64.233.187.0/24

Em domínios sem máscara de rede, é preciso adicionar ao IdP usuários que não sejam superusuários.

Matriz de mapeamento de usuário/rede do SSO

sem máscara de rede superusuários usuários
accounts.google.com Quando superusuários tentam fazer login em accounts.google.com, precisam inserir o endereço de e-mail completo do Google (incluindo o nome de usuário e o domínio) e a senha. Após o login, eles são redirecionados para o Admin Console. Eles não são redirecionados para o servidor de SSO. Quando usuários sem privilégios de superusuário tentam fazer login em accounts.google.com, eles são redirecionados para a página de login do SSO.
admin.google.com Quando superusuários tentam fazer login em admin.google.com, precisam inserir o endereço de e-mail completo do Google (incluindo o nome de usuário e o domínio) e a senha. Após o login, eles são redirecionados para o Admin Console. Eles não são redirecionados para o servidor de SSO.
 
Quando usuários sem privilégios de superusuário, como administradores delegados, tentam fazer login em admin.google.com, são redirecionados para o servidor de SSO após terem feito login com os detalhes da Conta do Google.
com máscara de rede superusuários usuários
service.google.com Quando usuários (com ou sem privilégios de superadministrador) tentam fazer login no service.google.com, eles são redirecionados para accounts.google.com, onde precisam inserir o endereço de e-mail completo do Google (incluindo nome de usuário e domínio). Quando usuários (com ou sem privilégios de superadministrador) tentam fazer login no service.google.com, eles são redirecionados para accounts.google.com, onde precisam inserir o endereço de e-mail completo do Google (incluindo nome de usuário e domínio).
service.google.com
/a/seu_domínio.com

dentro de uma máscara de rede

Quando usuários (com ou sem privilégios de superadministrador) na máscara de rede tentam fazer login em service.google.com/a/seu_domínio.com, eles são redirecionados para a página de login do SSO.

Quando usuários (com ou sem privilégios de superadministrador) na máscara de rede tentam fazer login em service.google.com/a/seu_domínio.com, eles são redirecionados para a página de login do SSO.

service.google.com
/a/seu_domínio.com
fora de uma máscara de rede
Quando usuários (com ou sem privilégios de superadministrador) fora da máscara de rede tentam fazer login em service.google.com/a/seu_domínio.com, eles não são redirecionados para o servidor de SSO. Quando usuários (com ou sem privilégios de superadministrador) fora da máscara de rede tentam fazer login em service.google.com/a/seu_domínio.com, eles não são redirecionados para o servidor de SSO.
service.google.com
/a/seu_domínio.com

solicitações de serviço não autenticado

O IP de origem de todas as solicitações de serviço não autenticadas é verificado durante o acesso via service.google.com/a/seu_domínio.com.

Se o IP de origem corresponder a uma máscara de rede (intervalo do CIDR), os usuários serão redirecionados para a página de login do SSO.

Se o IP de origem não corresponder a uma máscara de rede, o usuário precisará digitar um nome de usuário e uma senha do Google.

Conexões diretas com accounts.google.com são solicitadas para um nome de usuário e uma senha do Google.

O IP de origem de todas as solicitações de serviço não autenticadas é verificado durante o acesso via service.google.com/a/seu_domínio.com.

Se o IP de origem corresponder a uma máscara de rede (intervalo do CIDR), os usuários serão redirecionados para a página de login do SSO.

Se o IP de origem não corresponder a uma máscara de rede, o usuário precisará digitar um nome de usuário e uma senha do Google.

Conexões diretas com accounts.google.com são solicitadas para um nome de usuário e uma senha do Google.

Expiração da sessão quando uma máscara de rede está configurada 
Esta seção vai se aplicar a você somente se todas essas condições forem verdadeiras:
  • Seu domínio tem SSO com um IdP de terceiros.
  • Seu domínio tem uma máscara de rede.
  • Um usuário conectado por meio do IdP de terceiros (consulte a tabela em "Matriz de mapeamento de usuário/rede SSO").
Uma sessão ativa do Google pode ser encerrada e o usuário solicitado a fazer uma nova autenticação quando:
  • A sessão do usuário atinge a duração máxima permitida, conforme especificado na configuração do controle de sessão do Google no Admin Console.
  • O administrador modificou a conta do usuário alterando a senha ou exigindo que o usuário altere a senha no próximo login (por meio do Admin Console ou do SDK Admin).

Experiência do usuário

Se o usuário iniciou a sessão em um IdP de terceiros, a sessão será apagada e o usuário será redirecionado para a página de login do Google.

Como o usuário iniciou a sessão do Google em um IdP de terceiros, ele pode não entender por que precisa fazer login no Google para recuperar o acesso à conta. Os usuários podem ser redirecionados para uma página de login do Google, mesmo quando tentam navegar para outros URLs do Google.

Se você estiver planejando alguma manutenção que inclua o encerramento de sessões ativas e quiser evitar confusão, peça aos usuários que saiam das sessões e permaneçam desconectados até que a manutenção seja concluída.

Recuperação de usuários

Quando aparecer a página de login do Google porque a sessão ativa foi encerrada, o usuário pode recuperar o acesso à conta seguindo um destes procedimentos:

  • Se aparecer a mensagem "Se você acessou esta página por engano, clique neste link para sair e tente fazer login novamente", o usuário poderá clicar no link da mensagem.
  • Se a mensagem ou o link não aparecer, o usuário sairá e fará login novamente acessando https://accounts.google.com/logout.
  • O usuário pode limpar os cookies do navegador.

Depois de usar um dos métodos de recuperação, a sessão do Google será encerrada e o usuário poderá fazer login.  

 

Isso foi útil?
Como podemos melhorá-lo?