Les masques de réseau sont des adresses IP représentées avec la notation CIDR (Classless Inter-Domain Routing ce qui signifie Routage inter-domaine sans classe). Le CIDR indique le nombre de bits de l'adresse IP qui sont inclus. Google utilise les masques de réseau pour déterminer les adresses ou plages d'adresses IP pour lesquelles le service SSO doit être appliqué.
Remarque : Pour les paramètres de masques de réseau, seules les URL de service spécifiques à un domaine, par exemple service.google.com/a/example.com, vous redirigent actuellement vers la page de connexion SSO.
Il est important que tous les masques de réseau soient au bon format. Dans l'exemple d'adresse IPv6 suivant, la barre oblique (/) et le nombre qui la suit représentent le CIDR. Les 96 derniers bits ne sont pas pris en compte et toutes les adresses IP de la plage réseau sont concernées.
- 2001:db8::/32
Dans cet exemple d'adresse IPv4, les huit derniers bits (le zéro) ne sont pas pris en compte et toutes les adresses IP comprises entre 64.233.187.0 et 64.233.187.255 sont concernées.
- 64.233.187.0/24
Dans les domaines sans masque de réseau, ajoutez les utilisateurs autres que des super-administrateurs au fournisseur d'identités (IdP).
Matrice de correspondance utilisateur/réseau relative au SSO
| sans masque de réseau | super-administrateurs | utilisateurs |
|---|---|---|
| accounts.google.com | Lorsque des super-administrateurs tentent de se connecter à accounts.google.com, ils sont invités à saisir leur adresse e-mail complète (nom d'utilisateur et domaine inclus) et leur mot de passe Google, puis sont redirigés directement vers la console d'administration. Ils ne sont pas redirigés vers le serveur SSO. | Lorsque des utilisateurs ne disposant pas de droits de super-administrateurs tentent de se connecter à l'adresse accounts.google.com, ils sont redirigés vers la page de connexion SSO. |
| admin.google.com | Lorsque des super-administrateurs tentent de se connecter à admin.google.com, ils sont invités à saisir leur adresse e-mail complète (nom d'utilisateur et domaine inclus) et leur mot de passe Google, puis sont redirigés directement vers la console d'administration. Ils ne sont pas redirigés vers le serveur SSO. |
Lorsque des utilisateurs ne disposant pas de droits de super-administrateurs (administrateurs délégués, par exemple) tentent de se connecter à l'adresse admin.google.com, ils sont redirigés vers le serveur SSO après s'être connectés avec les identifiants de leur compte Google. |
| avec masque de réseau | super-administrateurs | utilisateurs |
| accounts.google.com/o/oauth2/v2/auth?*login_hint=xxxxx@example.com* | Lorsque des utilisateurs (disposant ou non de droits de super-administrateurs) tentent de lancer le processus OAuth de Google depuis accounts.google.com/o/oauth2/v2/auth avec l'URL login_hint, ils sont redirigés vers la page d'authentification unique. | Lorsque des utilisateurs (disposant ou non de droits de super-administrateurs) tentent de lancer le processus OAuth de Google depuis accounts.google.com/o/oauth2/v2/auth avec l'URL login_hint, ils sont redirigés vers la page d'authentification unique. |
| service.google.com | Lorsque des utilisateurs (disposant ou non de droits de super-administrateurs) tentent de se connecter à l'adresse service.google.com, ils sont redirigés vers accounts.google.com et sont invités à saisir leur adresse e-mail Google complète (nom d'utilisateur et mot de passe inclus). | Lorsque des utilisateurs (disposant ou non de droits de super-administrateurs) tentent de se connecter à l'adresse service.google.com, ils sont redirigés vers accounts.google.com et sont invités à saisir leur adresse e-mail Google complète (nom d'utilisateur et mot de passe inclus). |
| service.google.com /a/example.com au sein d'un masque de réseau |
Lorsque des utilisateurs (disposant ou non de droits de super-administrateurs) tentent de se connecter à l'adresse service.google.com/a/example.com depuis une adresse IP appartenant au masque de réseau, ils sont redirigés vers la page de connexion SSO. |
Lorsque des utilisateurs (disposant ou non de droits de super-administrateurs) tentent de se connecter à l'adresse service.google.com/a/example.com depuis une adresse IP appartenant au masque de réseau, ils sont redirigés vers la page de connexion SSO. |
| service.google.com /a/example.com en dehors d'un masque de réseau |
Lorsque des utilisateurs (disposant ou non de droits de super-administrateurs) tentent de se connecter à l'adresse service.google.com/a/example.com depuis une adresse IP n'appartenant pas au masque de réseau, ils ne sont pas redirigés vers le serveur SSO. | Lorsque des utilisateurs (disposant ou non de droits de super-administrateurs) tentent de se connecter à l'adresse service.google.com/a/example.com depuis une adresse IP n'appartenant pas au masque de réseau, ils ne sont pas redirigés vers le serveur SSO. |
| service.google.com /a/example.com requêtes au service non authentifiées |
L'adresse IP d'où proviennent les requêtes au service non authentifiées est vérifiée lorsque les utilisateurs se connectent via service.google.com/a/example.com. Si l'adresse IP d'origine appartient au masque de réseau (plage CIDR), les utilisateurs sont redirigés vers la page de connexion SSO. Si l'adresse IP d'origine n'appartient pas au masque de réseau, l'utilisateur est invité à saisir un nom d'utilisateur, puis un mot de passe Google. Les utilisateurs qui accèdent directement à l'adresse accounts.google.com doivent saisir leur nom d'utilisateur, puis leur mot de passe Google. |
L'adresse IP d'où proviennent les requêtes au service non authentifiées est vérifiée lorsque les utilisateurs se connectent via service.google.com/a/example.com. Si l'adresse IP d'origine appartient au masque de réseau (plage CIDR), les utilisateurs sont redirigés vers la page de connexion SSO. Si l'adresse IP d'origine n'appartient pas au masque de réseau, l'utilisateur est invité à saisir un nom d'utilisateur, puis un mot de passe Google. Les utilisateurs qui accèdent directement à l'adresse accounts.google.com doivent saisir leur nom d'utilisateur, puis leur mot de passe Google. |
* Tous les services ne sont pas compatibles avec ce format d'URL. Voici quelques exemples de services compatibles :
- Gmail
- Google Drive
- Votre domaine dispose du SSO auprès d'un fournisseur d'identité tiers.
- Votre domaine possède un masque de réseau.
- Un utilisateur s'est connecté via le fournisseur d'identité tiers (voir le tableau de la section "Matrice de correspondance utilisateur/réseau relative au SSO").
- La session utilisateur atteint la durée maximale autorisée spécifiée dans le paramètre Contrôle de session Google de la console d'administration.
- L'administrateur a modifié le compte utilisateur en changeant le mot de passe immédiatement ou en spécifiant que l'utilisateur doit le faire la prochaine fois qu'il se connecte (via la console d'administration ou le SDK Admin).
Expérience utilisateur
Si l'utilisateur a lancé la session sur un fournisseur d'identité tiers, la session est effacée et l'utilisateur est redirigé vers la page de connexion Google.
Étant donné que l'utilisateur a initié sa session Google sur un fournisseur d'identité tiers, il se peut qu'il ne comprenne pas pourquoi il doit se connecter à Google pour retrouver l'accès à son compte. Les utilisateurs peuvent être redirigés vers une page de connexion Google, même lorsqu'ils essaient d'accéder à d'autres URL Google.
Si vous planifiez une opération de maintenance qui consiste à interrompre des sessions utilisateur actives, demandez à vos utilisateurs de se déconnecter de leurs sessions jusqu'à la fin de l'opération afin d'éviter toute confusion.
Récupération d'un compte utilisateur
Lorsqu'un utilisateur voit la page de connexion Google, car sa session active a été interrompue, il peut de nouveau accéder à son compte en effectuant l'une des actions suivantes :
- Si l'utilisateur voit le message "Si vous avez atteint cette page par erreur, veuillez cliquer ici pour vous déconnecter, puis réessayez de vous connecter", il peut cliquer sur le lien.
- Si l'utilisateur ne voit pas ce message ou ce lien, il peut se déconnecter, puis se connecter à nouveau à l'adresse https://accounts.google.com/logout.
- L'utilisateur peut effacer les cookies de son navigateur.
Une fois que l'une des méthodes de récupération a été employé, la session Google est complètement interrompue et l'utilisateur peut à nouveau se connecter.