網路遮罩是以無類別跨網域路由 (CIDR) 標記法所表示的 IP 位址,CIDR 會指定包含的 IP 位址位元數目。網路遮罩可供 Google 判斷要在哪些 IP 位址或 IP 位址範圍提供單一登入 (SSO) 服務。
注意:就網路遮罩設定而言,目前只有特定網域的服務網址 (例如 <服務>.google.com/a/example.com) 會重新導向至 SSO 登入網頁。
每個網路遮罩都必須使用正確格式。在以下的 IPv6 範例中,斜線 (/) 和其後的數字代表 CIDR。最後 96 個位元不列入考量,而在這個網路範圍內的所有 IP 位址均會受到影響。
- 2001:db8::/32
在這個 IPv4 範例中,最後 8 個位元 (零) 不列入考量,而在 64.233.187.0 至 64.233.187.255 這個範圍內的所有 IP 位址均會受到影響。
- 64.233.187.0/24
在沒有網路遮罩的網域中,您必須將不具超級管理員權限的使用者加入身分識別提供者 (IdP)。
SSO 使用者/網路對應表
| 「沒有」網路遮罩 | 超級管理員 | 使用者 |
|---|---|---|
| accounts.google.com | 當超級管理員嘗試登入 accounts.google.com,系統會提示其輸入完整的 Google 電子郵件地址 (包含使用者名稱和網域) 與密碼,並且在登入後將其重新導向至管理控制台。系統不會將超級管理員重新導向至 SSO 伺服器。 | 當沒有超級管理員權限的使用者嘗試登入 accounts.google.com,系統會將其重新導向至 SSO 登入網頁。 |
| admin.google.com | 當超級管理員嘗試登入 admin.google.com,系統會提示其輸入完整的 Google 電子郵件地址 (包含使用者名稱和網域) 與密碼,並且在登入後將其重新導向至管理控制台。系統不會將超級管理員重新導向至 SSO 伺服器。 |
當沒有超級管理員權限的使用者 (例如委派的管理員) 嘗試登入 admin.google.com,在使用者輸入其 Google 帳戶詳細資訊並登入後,Google 會將其重新導向至 SSO 伺服器。 |
| 「有」網路遮罩 | 超級管理員 | 使用者 |
| accounts.google.com/o/oauth2/v2/auth?*login_hint=xxxxx@example.com* | 當使用者 (無論是否具備超級管理員權限) 嘗試從 accounts.google.com/o/oauth2/v2/auth 使用 login_hint 網址參數啟動 Google OAuth 流程,系統會將他們重新導向至 SSO 登入網頁。 | 當使用者 (無論是否具備超級管理員權限) 嘗試從 accounts.google.com/o/oauth2/v2/auth 使用 login_hint 網址參數啟動 Google OAuth 流程,系統會將他們重新導向至 SSO 登入網頁。 |
| <服務>.google.com | 當使用者 (無論是否具備超級管理員權限) 嘗試登入 <服務>.google.com,系統會將他們重新導向至 accounts.google.com,並提示他們輸入完整的 Google 電子郵件地址 (包含使用者名稱和密碼)。 | 當使用者 (無論是否具備超級管理員權限) 嘗試登入 <服務>.google.com,系統會將他們重新導向至 accounts.google.com,並提示他們輸入完整的 Google 電子郵件地址 (包含使用者名稱和密碼)。 |
| <服務>.google.com /a/example.com 在網路遮罩中 |
當網路遮罩中的使用者 (無論是否具備超級管理員權限) 嘗試登入 <服務>.google.com/a/example.com,系統會將他們重新導向至 SSO 登入網頁。 |
當網路遮罩中的使用者 (無論是否具備超級管理員權限) 嘗試登入 <服務>.google.com/a/example.com,系統會將他們重新導向至 SSO 登入網頁。 |
| <服務>.google.com /a/example.com* 在網路遮罩外 |
當網路遮罩外的使用者 (無論是否具備超級管理員權限) 嘗試登入 <服務>.google.com/a/example.com,系統不會將他們重新導向至 SSO 伺服器。 | 當網路遮罩外的使用者 (無論是否具備超級管理員權限) 嘗試登入 <服務>.google.com/a/example.com,系統不會將他們重新導向至 SSO 伺服器。 |
| <服務>.google.com /a/example.com* 未驗證服務要求 |
如果存取要求來自 <服務>.google.com/a/example.com,系統會檢查所有未驗證服務要求的來源 IP。 如果來源 IP 在網路遮罩 (CIDR 範圍) 中,系統會將使用者重新導向至 SSO 登入網頁。 如果來源 IP 不在網路遮罩中,系統會要求使用者依序提供使用者名稱和 Google 密碼。 如果是指向 accounts.google.com 的直接連線,系統會要求使用者依序提供使用者名稱和 Google 密碼。 |
如果存取要求來自 <服務>.google.com/a/example,系統會檢查所有未驗證服務要求的來源 IP。 如果來源 IP 在網路遮罩 (CIDR 範圍) 中,系統會將使用者重新導向至 SSO 登入網頁。 如果來源 IP 不在網路遮罩中,系統會要求使用者依序提供使用者名稱和 Google 密碼。 如果是指向 accounts.google.com 的直接連線,系統會要求使用者依序提供使用者名稱和 Google 密碼。 |
* 不是所有服務都支援這種網址模式。以下列舉兩項支援服務:
- Gmail
- Google 雲端硬碟
- 您的網域採用第三方 IdP 提供的 SSO。
- 您的網域有網路遮罩。
- 使用者是透過第三方 IdP 登入 (請參閱「SSO 使用者/網路對應表」這份表格)。
- 使用者工作階段的持續時間已達到 Google 工作階段控制設定 (位於管理控制台設定) 所指定的時間上限。
- 管理員透過管理控制台或 Admin SDK 修改了使用者的帳戶設定,包括變更密碼或要求使用者在下次登入時變更密碼。
使用者體驗
如果使用者是透過第三方 IdP 來啟動工作階段,系統會清除工作階段,並將使用者重新導向至 Google 登入網頁。
由於使用者是透過第三方 IdP 啟動 Google 工作階段,所以他們可能不知道為何需要登入 Google 才能取回帳戶存取權。系統可能將使用者重新導向至 Google 登入網頁,即使他們嘗試前往其他 Google 網址也一樣。
如果您打算進行的維護工作需要終止使用者目前的工作階段,而且想避免對使用者造成困擾,請指示使用者登出工作階段,並且在維護作業完成前保持登出狀態。
復原使用者
如果使用者是因為現有工作階段遭終止才看到 Google 登入網頁,他們可以採取下列任一行動以取回帳戶存取權:
- 如果使用者看到「如果系統誤將您導向這個頁面,請按這裡登出,然後試著重新登入」訊息,他們可以點選訊息中的連結。
- 如果使用者沒有看到以上訊息或連結,則需要前往 https://accounts.google.com/logout 登出再重新登入。
- 使用者可以清除自己的瀏覽器 Cookie。
使用者用了上述任一復原方式後,他們的 Google 工作階段就會徹底終止,而且隨即可以登入帳戶。
