เน็ตเวิร์กมาสก์คือที่อยู่ IP ที่แสดงโดยใช้รูปแบบ Classless Inter-Domain Routing (CIDR) ซึ่ง CIDR จะระบุว่าที่อยู่ IP จะมีจำนวนบิตเท่าใด Google ใช้เน็ตเวิร์กมาสก์เพื่อพิจารณาว่าจะใช้ที่อยู่ IP รายการใดหรือช่วงใดเพื่อแสดงพร้อมกับบริการ SSO
หมายเหตุ: สําหรับการตั้งค่าเน็ตเวิร์กมาสก์ ในปัจจุบันจะมีเพียง URL บริการเฉพาะโดเมน เช่น service.google.com/a/example.com เท่านั้นที่เปลี่ยนเส้นทางไปยังหน้าลงชื่อเข้าใช้ SSO
สิ่งสำคัญคือแต่ละเน็ตเวิร์กมาสก์จะต้องใช้รูปแบบที่ถูกต้อง ในตัวอย่าง IPv6 ต่อไปนี้ เครื่องหมายทับ (/) และตัวเลขหลังจากนั้นคือ CIDR ระบบจะไม่พิจารณา 96 บิตสุดท้าย และที่อยู่ IP ทั้งหมดในช่วงเครือข่ายดังกล่าวจะได้รับผล
- 2001:db8::/32
ในตัวอย่าง IPv4 นี้ ระบบจะไม่พิจารณา 8 บิตสุดท้าย (คือเลข 0) และที่อยู่ IP ทั้งหมดที่อยู่ในช่วง 64.233.187.0 ถึง 64.233.187.255 จะได้รับผล
- 64.233.187.0/24
ในโดเมนที่ไม่มีเน็ตเวิร์กมาสก์ คุณต้องเพิ่มผู้ใช้ที่ไม่ใช่ผู้ดูแลระบบขั้นสูงไว้ในผู้ให้บริการข้อมูลประจำตัว (IdP)
เมทริกซ์การแมปเครือข่าย/ผู้ใช้ SSO
| ไม่มีเน็ตเวิร์กมาสก์ | ผู้ดูแลระบบขั้นสูง | ผู้ใช้ |
|---|---|---|
| accounts.google.com | เมื่อผู้ดูแลระบบขั้นสูงพยายามลงชื่อเข้าใช้ accounts.google.com ระบบจะแจ้งเตือนให้ป้อนที่อยู่อีเมล Google แบบเต็ม (รวมชื่อผู้ใช้และโดเมน) และรหัสผ่าน แล้วจะเปลี่ยนเส้นทางไปยังคอนโซลผู้ดูแลระบบหลังจากลงชื่อเข้าใช้แล้ว โดยระบบจะไม่เปลี่ยนเส้นทางให้ผู้ใช้ไปที่เซิร์ฟเวอร์ SSO | เมื่อผู้ใช้ที่ไม่มีสิทธิ์ของผู้ดูแลระบบขั้นสูงพยายามลงชื่อเข้าใช้ accounts.google.com ระบบจะเปลี่ยนเส้นทางให้ผู้ใช้ไปที่หน้าลงชื่อเข้าใช้ของ SSO |
| admin.google.com | เมื่อผู้ดูแลระบบขั้นสูงพยายามลงชื่อเข้าใช้ admin.google.com ระบบจะแจ้งเตือนให้ป้อนที่อยู่อีเมล Google แบบเต็ม (รวมชื่อผู้ใช้และโดเมน) และรหัสผ่าน แล้วจะเปลี่ยนเส้นทางไปยังคอนโซลผู้ดูแลระบบหลังจากลงชื่อเข้าใช้แล้ว โดยระบบจะไม่เปลี่ยนเส้นทางให้ผู้ใช้ไปที่เซิร์ฟเวอร์ SSO |
เมื่อผู้ใช้ที่ไม่มีสิทธิ์ของผู้ดูแลระบบขั้นสูง (เช่น ผู้ดูแลระบบที่ได้รับมอบหมาย) พยายามลงชื่อเข้าใช้ admin.google.com ระบบจะเปลี่ยนเส้นทางให้ผู้ใช้ไปที่เซิร์ฟเวอร์ SSO หลังจากลงชื่อเข้าใช้ด้วยรายละเอียดบัญชี Google แล้ว |
| มีเน็ตเวิร์กมาสก์ | ผู้ดูแลระบบขั้นสูง | ผู้ใช้ |
| accounts.google.com/o/oauth2/v2/auth?*login_hint=xxxxx@example.com* | เมื่อผู้ใช้ (ทั้งที่มีและไม่มีสิทธิ์ของผู้ดูแลระบบขั้นสูง) พยายามเริ่มขั้นตอนของ Google OAuth จาก accounts.google.com/o/oauth2/v2/auth พร้อมพารามิเตอร์ login_hint URL ระบบจะเปลี่ยนเส้นทางไปยังหน้าลงชื่อเข้าใช้ SSO | เมื่อผู้ใช้ (ทั้งที่มีและไม่มีสิทธิ์ของผู้ดูแลระบบขั้นสูง) พยายามเริ่มขั้นตอนของ Google OAuth จาก accounts.google.com/o/oauth2/v2/auth พร้อมพารามิเตอร์ login_hint URL ระบบจะเปลี่ยนเส้นทางไปยังหน้าลงชื่อเข้าใช้ SSO |
| service.google.com | เมื่อผู้ใช้ (ไม่ว่าจะมีสิทธิ์ของผู้ดูแลระบบขั้นสูงหรือไม่) พยายามลงชื่อเข้าใช้ service.google.com ระบบจะเปลี่ยนเส้นทางให้ไปที่ accounts.google.com พร้อมทั้งแจ้งเตือนให้ป้อนอีเมล Google แบบเต็ม (รวมชื่อผู้ใช้และรหัสผ่าน) | เมื่อผู้ใช้ (ไม่ว่าจะมีสิทธิ์ของผู้ดูแลระบบขั้นสูงหรือไม่) พยายามลงชื่อเข้าใช้ service.google.com ระบบจะเปลี่ยนเส้นทางให้ไปที่ accounts.google.com พร้อมทั้งแจ้งเตือนให้ป้อนอีเมล Google แบบเต็ม (รวมชื่อผู้ใช้และรหัสผ่าน) |
| service.google.com /a/example.com* ภายในเน็ตเวิร์กมาสก์ |
เมื่อผู้ใช้ (ไม่ว่าจะมีสิทธิ์ของผู้ดูแลระบบขั้นสูงหรือไม่) ภายในเน็ตเวิร์กมาสก์พยายามลงชื่อเข้าใช้ service.google.com/a/example.com ระบบจะเปลี่ยนเส้นทางให้ไปที่หน้าลงชื่อเข้าใช้ SSO |
เมื่อผู้ใช้ (ไม่ว่าจะมีสิทธิ์ของผู้ดูแลระบบขั้นสูงหรือไม่) ภายในเน็ตเวิร์กมาสก์พยายามลงชื่อเข้าใช้ service.google.com/a/example.com ระบบจะเปลี่ยนเส้นทางให้ไปที่หน้าลงชื่อเข้าใช้ SSO |
| service.google.com /a/example.com* ภายนอกเน็ตเวิร์กมาสก์ |
เมื่อผู้ใช้ (ไม่ว่าจะมีสิทธิ์ของผู้ดูแลระบบขั้นสูงหรือไม่) ภายนอกเน็ตเวิร์กมาสก์พยายามลงชื่อเข้าใช้ service.google.com/a/example.com ระบบจะไม่เปลี่ยนเส้นทางให้ไปที่เซิร์ฟเวอร์ SSO | เมื่อผู้ใช้ (ไม่ว่าจะมีสิทธิ์ของผู้ดูแลระบบขั้นสูงหรือไม่) ภายนอกเน็ตเวิร์กมาสก์พยายามลงชื่อเข้าใช้ service.google.com/a/example.com ระบบจะไม่เปลี่ยนเส้นทางให้ไปที่เซิร์ฟเวอร์ SSO |
| service.google.com /a/example.com* คำขอบริการที่ไม่ได้ตรวจสอบสิทธิ์ |
ระบบจะตรวจสอบ IP ต้นทางของคำขอบริการที่ไม่ได้ตรวจสอบสิทธิ์ทั้งหมดเมื่อเข้าถึงผ่าน service.google.com/a/example.com ถ้า IP ต้นทางอยู่ภายในเน็ตเวิร์กมาสก์ (ช่วง CIDR) ระบบจะเปลี่ยนเส้นทางให้ไปที่หน้าลงชื่อเข้าใช้ SSO ถ้า IP ต้นทางไม่อยู่ภายในเน็ตเวิร์กมาสก์ ระบบจะแจ้งเตือนให้ป้อนชื่อผู้ใช้ ตามด้วยรหัสผ่านของ Google ระบบแจ้งให้เชื่อมต่อกับ accounts.google.com โดยตรงพร้อมขอให้ป้อนชื่อผู้ใช้และรหัสผ่าน Google |
ระบบจะตรวจสอบ IP ต้นทางของคำขอบริการที่ไม่ได้ตรวจสอบสิทธิ์ทั้งหมดเมื่อเข้าถึงผ่าน service.google.com/a/example.com ถ้า IP ต้นทางอยู่ภายในเน็ตเวิร์กมาสก์ (ช่วง CIDR) ระบบจะเปลี่ยนเส้นทางให้ไปที่หน้าลงชื่อเข้าใช้ SSO ถ้า IP ต้นทางไม่อยู่ภายในเน็ตเวิร์กมาสก์ ระบบจะแจ้งเตือนให้ป้อนชื่อผู้ใช้ ตามด้วยรหัสผ่านของ Google ระบบแจ้งให้เชื่อมต่อกับ accounts.google.com โดยตรงพร้อมขอให้ป้อนชื่อผู้ใช้และรหัสผ่าน Google |
* บริการบางอย่างอาจไม่รองรับรูปแบบ URL นี้ ตัวอย่างบริการที่รองรับมีดังนี้
- Gmail
- Google ไดรฟ์
- โดเมนของคุณมี SSO ที่มี IdP ของบุคคลที่สาม
- โดเมนของคุณมีเน็ตเวิร์กมาสก์
- ผู้ใช้ที่ลงชื่อเข้าใช้ผ่าน IdP ของบุคคลที่สาม (โปรดดูตารางใน "เมทริกซ์การแมปเครือข่าย/ผู้ใช้ SSO")
- ช่วงการใช้งานเซสซันของผู้ใช้ถึงระยะเวลาสูงสุดที่อนุญาตตามที่ระบุในการตั้งค่าคอนโซลผู้ดูแลระบบส่วนการควบคุมเซสซันของ google
- ผู้ดูแลระบบแก้ไขบัญชีผู้ใช้โดยการเปลี่ยนรหัสผ่านหรือกำหนดให้ผู้ใช้เปลี่ยนรหัสผ่านเมื่อลงชื่อเข้าใช้ครั้งถัดไป (ไม่ว่าจะผ่านทางคอนโซลผู้ดูแลระบบหรือใช้ Admin SDK)
ประสบการณ์ของผู้ใช้
ถ้าผู้ใช้เริ่มต้นเซสซันใน IdP ของบุคคลที่สาม ระบบจะล้างเซสซันและเปลี่ยนเส้นทางให้ผู้ใช้ไปยังหน้าลงชื่อเข้าใช้ของ Google
เนื่องจากผู้ใช้เริ่มต้นเซสซัน Google ใน IdP ของบุคคลที่สาม ดังนั้นผู้ใช้อาจไม่เข้าใจว่าทำไมจึงต้องลงชื่อเข้าใช้ Google เพื่อรับสิทธิ์เข้าถึงบัญชีอีกครั้ง ระบบอาจเปลี่ยนเส้นทางให้ผู้ใช้ไปยังหน้าลงชื่อเข้าใช้ของ Google แม้ผู้ใช้ไม่ได้พยายามไปที่ URL อื่นของ Google เลยก็ตาม
หากคุณกำลังวางแผนการซ่อมบำรุงที่มีการยกเลิกเซสซันของผู้ใช้ที่มีการใช้งานและไม่ต้องการให้เกิดความสับสน โปรดแจ้งให้ผู้ใช้ออกจากเซสซันจนกว่าการซ่อมบำรุงจะเรียบร้อย
การกู้คืนผู้ใช้
เมื่อผู้ใช้เห็นหน้าลงชื่อเข้าใช้ของ Google เนื่องจากเซสซันที่มีการใช้งานถูกยกเลิก ผู้ใช้จะขอรับสิทธิ์เข้าถึงบัญชีอีกครั้งได้โดยทำตามวิธีใดวิธีหนึ่งต่อไปนี้
- หากผู้ใช้เห็นข้อความ "หากคุณมาถึงหน้านี้โดยเกิดจากข้อผิดพลาด โปรดคลิกที่นี่เพื่อออกจากระบบและลองลงชื่อเข้าใช้อีกครั้ง" ผู้ใช้ก็คลิกลิงก์ในข้อความได้
- หากผู้ใช้ไม่เห็นลิงก์หรือข้อความดังกล่าว ผู้ใช้ก็ออกจากระบบและลงชื่อเข้าใช้ได้อีกครั้งโดยไปที่ https://accounts.google.com/logout
- ผู้ใช้เลือกที่จะล้างคุกกี้ของเบราว์เซอร์ได้
เมื่อผู้ใช้ทำตามวิธีการกู้คืนข้างต้นแล้ว เซสซัน Google จะถูกยกเลิกอย่างสมบูรณ์และผู้ใช้จะลงชื่อเข้าใช้ได้
