Netzwerkmasken sind IP-Adressen, die unter Verwendung der Spezifikation "Classless Inter-Domain Routing (CIDR)" dargestellt werden. Die CIDR-Spezifikation legt fest, wie viele Bits der IP-Adresse angegeben werden. Google ermittelt mithilfe von Netzwerkmasken, für welche IP-Adressen oder IP-Adressbereiche der SSO-Dienst verwendet wird.
Hinweis: Bei den Einstellungen für Netzwerkmasken werden derzeit nur domainspezifische Dienst-URLs wie service.google.com/a/example.com auf die SSO-Anmeldeseite weitergeleitet.
Netzwerkmasken müssen dem richtigen Format entsprechen. Im folgenden IPv6-Beispiel stellen der Schrägstrich (/) und die darauf folgende Zahl die CIDR-Spezifikation dar. Die letzten 96 Bit entfallen und es werden alle IP-Adressen in diesem Netzwerkbereich berücksichtigt.
- 2001:db8::/32
In diesem IPv4-Beispiel entfallen die letzten acht Bit (d. h. die 0) und es werden alle IP-Adressen berücksichtigt, die sich im Bereich zwischen 64.233.187.0 und 64.233.187.255 befinden.
- 64.233.187.0/24
In Domains ohne Netzwerkmaske müssen Sie Nutzer, die keine Power User sind, dem Identitätsanbieter hinzufügen.
Matrix für die SSO-Nutzer-/Netzwerkzuordnung
| ohne Netzwerkmaske | Power User | Nutzer |
|---|---|---|
| accounts.google.com | Wenn Super Admins sich auf der Seite accounts.google.com anmelden, werden sie dazu aufgefordert, ihre vollständige E-Mail-Adresse von Google, einschließlich Nutzername und Domain, sowie das Passwort einzugeben. Nachdem sie sich angemeldet haben, werden sie zur Admin-Konsole weitergeleitet. Sie werden nicht auf den SSO-Server weitergeleitet. | Wenn Nutzer ohne die Berechtigungen eines Power Users sich auf der Seite accounts.google.com anmelden, werden sie auf die SSO-Anmeldeseite weitergeleitet. |
| admin.google.com | Wenn Super Admins sich auf der Seite admin.google.com anmelden, werden sie dazu aufgefordert, ihre vollständige E-Mail-Adresse von Google, einschließlich Nutzername und Domain, sowie das Passwort einzugeben. Nachdem sie sich angemeldet haben, werden sie zur Admin-Konsole weitergeleitet. Sie werden nicht auf den SSO-Server weitergeleitet. |
Wenn Nutzer ohne die Berechtigungen eines Super Admins, beispielsweise delegierte Administratoren, sich auf der Seite admin.google.com anmelden, werden sie zum SSO-Server weitergeleitet, nachdem sie sich mit ihrem Google-Konto angemeldet haben. |
| mit Netzwerkmaske | Power User | Nutzer |
| accounts.google.com/o/oauth2/v2/auth?*login_hint=xxxxx@example.com* | Wenn Nutzer mit oder ohne Super Admin-Berechtigungen Google OAuth-Ablauf über accounts.google.com/o/oauth2/v2/auth mit dem login_hint URL-Parameter starten, werden sie zur SSO-Anmeldeseite weitergeleitet. | Wenn Nutzer mit oder ohne Super Admin-Berechtigungen Google OAuth-Ablauf über accounts.google.com/o/oauth2/v2/auth mit dem login_hint URL-Parameter starten, werden sie zur SSO-Anmeldeseite weitergeleitet. |
| dienst.google.com | Wenn sich Nutzer mit oder ohne Super Admin-Berechtigungen auf der Seite service.google.com anmelden, werden sie zu accounts.google.com weitergeleitet. Dort werden sie aufgefordert, ihre vollständige E-Mail-Adresse von Google, einschließlich Nutzername und Passwort, einzugeben. | Wenn sich Nutzer mit oder ohne Super Admin-Berechtigungen auf der Seite service.google.com anmelden, werden sie zu accounts.google.com weitergeleitet. Dort werden sie aufgefordert, ihre vollständige E-Mail-Adresse von Google, einschließlich Nutzername und Passwort, einzugeben. |
| service.google.com /a/example.com* innerhalb einer Netzwerkmaske |
Wenn sich Nutzer mit oder ohne Super Admin-Berechtigungen innerhalb der Netzwerkmaske auf der Seite service.google.com/a/example.com anmelden, werden sie zur SSO-Anmeldeseite weitergeleitet. |
Wenn sich Nutzer mit oder ohne Super Admin-Berechtigungen innerhalb der Netzwerkmaske auf der Seite service.google.com/a/example.com anmelden, werden sie zur SSO-Anmeldeseite weitergeleitet. |
| service.google.com /a/example.com* außerhalb einer Netzwerkmaske |
Wenn sich Nutzer mit oder ohne Super Admin-Berechtigungen außerhalb der Netzwerkmaske auf der Seite service.google.com/a/example.com anmelden, werden sie nicht zum SSO-Server weitergeleitet. | Wenn sich Nutzer mit oder ohne Super Admin-Berechtigungen außerhalb der Netzwerkmaske auf der Seite service.google.com/a/example.com anmelden, werden sie nicht zum SSO-Server weitergeleitet. |
| service.google.com /a/example.com* nicht authentifizierte Dienstanfragen |
Die Ursprungs-IP aller nicht authentifizierten Dienstanfragen wird geprüft, wenn der Zugriff über service.google.com/a/example.com erfolgt. Wenn die Ursprungs-IP in eine Netzwerkmaske (CIDR-Bereich) fällt, wird der Nutzer auf die SSO-Anmeldeseite weitergeleitet. Wenn die Ursprungs-IP nicht in eine Netzwerkmaske fällt, wird der Nutzer aufgefordert, einen Nutzernamen und ein Google-Passwort einzugeben. Bei Direktverknüpfungen zu accounts.google.com wird die Eingabe eines Nutzernamens und eines Google-Passworts angefordert. |
Die Ursprungs-IP aller nicht authentifizierten Dienstanfragen wird geprüft, wenn der Zugriff über service.google.com/a/example.com erfolgt. Wenn die Ursprungs-IP in eine Netzwerkmaske (CIDR-Bereich) fällt, wird der Nutzer auf die SSO-Anmeldeseite weitergeleitet. Wenn die Ursprungs-IP nicht in eine Netzwerkmaske fällt, wird der Nutzer aufgefordert, einen Nutzernamen und ein Google-Passwort einzugeben. Bei Direktverknüpfungen zu accounts.google.com wird die Eingabe eines Nutzernamens und eines Google-Passworts angefordert. |
* Dieses URL-Muster wird nicht von allen Diensten unterstützt. Folgende Dienste unterstützen es:
- Gmail
- Google Drive
- Ihre Domain verfügt über SSO bei einem externen Identitätsanbieter.
- Ihre Domain verfügt über eine Netzwerkmaske.
- Ein Nutzer hat sich über den externen Identitätsanbieter angemeldet (siehe Tabelle unter "Matrix für die SSO-Nutzer-/Netzwerkzuordnung").
- Die Nutzersitzung hat die maximale Dauer erreicht, die in der Admin-Konsole unter Google-Sitzungssteuerung festgelegt ist.
- Der Administrator hat über die Admin-Konsole oder die Admin SDK das Passwort des Nutzerkontos geändert oder verlangt, dass Nutzer das Passwort bei der nächsten Anmeldung ändern.
In der Praxis
Wenn Nutzer die Sitzung mit einem externen Identitätsanbieter beginnen, wird sie gelöscht und die Nutzer werden zur Google Log-in-Seite weitergeleitet.
Da sie die Sitzung ja nicht über Google gestartet haben, ist für die Nutzer nicht ohne Weiteres nachvollziehbar, warum sie sich nun bei Google anmelden müssen, um wieder Zugriff auf das Konto zu erhalten. Womöglich werden Nutzer auch beim Aufruf anderer Google-URLs zur Google Log-in-Seite weitergeleitet.
Wenn Sie also Wartungsmaßnahmen planen, bei denen auch aktive Nutzersitzungen beendet werden, und vermeiden möchten, dass solche Unklarheiten entstehen, weisen Sie Ihre Nutzer an, sich von ihren Sitzungen abzumelden und für die Dauer der Wartung abgemeldet zu bleiben.
Nutzerwiederherstellung
Wenn Nutzer die Google Log-in-Seite sehen, weil die aktive Sitzung beendet wurde, können sie durch eine der folgenden Aktionen wieder auf das Konto zugreifen:
- Über den Link in der Nachricht "Wenn Sie versehentlich auf diese Seite gelangt sind, klicken Sie hier, um sich abzumelden. Versuchen Sie dann noch einmal, sich anzumelden."
- Durch Ab- und wieder Anmelden auf https://accounts.google.com/logout, falls diese Nachricht oder der Link nicht angezeigt werden
- Durch Löschen der Cookies im Browser
Jede dieser Optionen zur Wiederherstellung hat zur Folge, dass die Google-Sitzung vollständig beendet wird und Nutzer sich wieder neu anmelden können.