Настройка системы единого входа с помощью стороннего поставщика идентификационной информации

Результаты связывания аккаунтов в системах

Маски сети – это IP-адреса, представленные в формате бесклассовой адресации (Classless Inter-Domain Routing, или CIDR). С помощью значения CIDR можно указать, сколько битов IP-адреса входит в маску. Google использует маски сети для определения IP-адресов или диапазонов IP-адресов, для которых будет применяться система единого входа.

Очень важно использовать корректный формат для всех масок сети. В следующем примере (протокол IPv6) косая черта (/) и число после нее – это префикс сети в нотации CIDR. Последние 96 битов не учитываются, и единый вход будет активирован для всех IP-адресов в диапазоне.

  • 2001:db8::/32

В примере ниже (протокол IPv4) последние 8 битов (ноль) не учитываются, и единый вход будет активирован для всех IP-адресов в диапазоне от 64.233.187.0 до 64.233.187.255.

  • 64.233.187.0/24

В доменах без масок сети всех пользователей, которые не являются суперадминистраторами, необходимо добавить в базу поставщика удостоверений (IdP).

Матрица связывания аккаунтов при использовании системы единого входа

Маска сети не задана Суперадминистраторы Пользователи
accounts.google.com При входе на странице accounts.google.com суперадминистраторы должны указать полный адрес электронной почты Google (имя пользователя и домен) и пароль. После входа в аккаунт они будут перенаправлены в консоль администратора, а не на сервер системы единого входа. Пользователи без прав суперадминистратора при входе в аккаунт на странице accounts.google.com попадут на страницу единого входа.
admin.google.com При входе на странице admin.google.com суперадминистраторы должны указать полный адрес электронной почты Google (имя пользователя и домен) и пароль. После входа в аккаунт они будут перенаправлены в консоль администратора, а не на сервер системы единого входа.
 
Пользователи без прав суперадминистратора, например назначенные администраторы, после входа в аккаунт Google на странице admin.google.com перенаправляются на сервер системы единого входа.
Маска сети задана Суперадминистраторы Пользователи
service.google.com При входе на странице service.google.com все пользователи, независимо от того, назначены ли им права суперадминистратора, перенаправляются на страницу accounts.google.com, где им предлагается указать полный адрес электронной почты Google (включая имя пользователя и домен). При входе на странице service.google.com все пользователи, независимо от того, назначены ли им права суперадминистратора, перенаправляются на страницу accounts.google.com, где им предлагается указать полный адрес электронной почты Google (включая имя пользователя и домен).
service.google.com
/a/vash-domen.ru

в диапазоне маски сети

При входе на странице service.google.com/a/vash-domen.ru с адреса в диапазоне маски сети все пользователи, независимо от того, назначены ли им права суперадминистратора, перенаправляются на страницу единого входа.

При входе на странице service.google.com/a/vash-domen.ru с адреса в диапазоне маски сети все пользователи, независимо от того, назначены ли им права суперадминистратора, перенаправляются на страницу единого входа.

service.google.com
/a/vash-domen.ru
за пределами диапазона маски сети
При входе на странице service.google.com/a/vash-domen.ru с адреса за пределами диапазона маски сети пользователи, независимо от того, назначены ли им права суперадминистратора, не перенаправляются на сервер системы единого входа. При входе на странице service.google.com/a/vash-domen.ru с адреса за пределами диапазона маски сети пользователи, независимо от того, назначены ли им права суперадминистратора, не перенаправляются на сервер системы единого входа.
service.google.com
/a/vash-domen.ru

запросы без аутентификации

При открытии страницы service.google.com/a/vash-domen.ru проверяются IP-адреса всех неаутентифицированных запросов.

Если IP-адрес находится в диапазоне маски сети (CIDR), пользователь будет перенаправлен на страницу единого входа.

Если IP-адрес находится за пределами указанного диапазона, необходимо ввести данные аккаунта Google.

Чтобы выполнить вход на странице accounts.google.com, необходимо ввести данные аккаунта Google.

IP-адреса всех неаутентифицированных запросов проверяются при открытии страницы service.google.com/a/vash-domen.ru.

Если IP-адрес находится в диапазоне маски сети (CIDR), пользователь будет перенаправлен на страницу единого входа.

Если IP-адрес находится за пределами указанного диапазона, необходимо ввести данные аккаунта Google.

Чтобы выполнить вход на странице accounts.google.com, необходимо ввести данные аккаунта Google.

Истечение срока действия сеанса при настроенной маске сети 
Эта настройка применяется, только если выполнены все указанные ниже условия.
  • В вашем домене используется система единого входа со сторонним поставщиком идентификационной информации.
  • В домене настроена маска сети.
  • Пользователь вошел в систему с помощью стороннего поставщика идентификационной информации (дополнительные сведения приведены в таблице "Матрица связывания аккаунтов при использовании системы единого входа").
Активный сеанс пользователя в Google может быть завершен, и ему потребуется пройти повторную аутентификацию, если:
  • Достигнуто ограничение продолжительности сеанса, заданное в консоли администратора Google.
  • Администратор изменил пароль аккаунта пользователя или запросил смену пароля при следующем входе пользователя в систему, задав соответствующие настройки в консоли администратора или с помощью Admin SDK.

Что происходит при завершении активного сеанса пользователя

Если сеанс завершен, то пользователи, начавшие сеанс с помощью стороннего поставщика идентификационной информации, будут перенаправлены на страницу входа с аккаунтом Google.

Пользователи могут не понять, почему для восстановления доступа к аккаунту требуется войти в Google. Даже если они попытаются перейти по другим URL сервисов Google, они будут перенаправлены на страницу входа с аккаунтом Google.

Чтобы не вводить пользователей в замешательство, при проведении технического обслуживания, которое требует отключения активных пользовательских сеансов, попросите пользователей выйти из своих аккаунтов и не входить в них до завершения работ.

Как восстановить доступ к аккаунту

Когда пользователь перенаправляется на страницу входа в аккаунт Google из-за прерывания активного сеанса, он может восстановить доступ к своему аккаунту одним из следующих способов:

  • Если пользователь видит сообщение "Если вы попали на эту страницу по ошибке, нажмите здесь, чтобы выйти из аккаунта, а затем войти ещё раз", он может нажать на ссылку в нем.
  • Если это сообщение или ссылка не отобразились, пользователю необходимо выйти из аккаунта, перейдя на страницу https://accounts.google.com/logout, и снова войти в него.
  • Пользователь может удалить файлы cookie в своем браузере.

После того как пользователь восстановит доступ к аккаунту одним из перечисленных выше способов, его сеанс Google будет полностью завершен и он сможет снова войти в свой аккаунт.  

 

Эта информация оказалась полезной?
Как можно улучшить эту статью?