Маски сети – это IP-адреса, представленные в формате бесклассовой адресации (Classless Inter-Domain Routing, или CIDR). С помощью значения CIDR можно указать, сколько битов IP-адреса входит в маску. Google использует маски сети для определения IP-адресов или диапазонов IP-адресов, для которых будет применяться система единого входа.
Примечание. При настройке масок сети нужно учитывать, что в настоящее время на страницу единого входа перенаправляются только URL сервисов для определенного домена (вида service.google.com/a/example.com).
Очень важно использовать корректный формат для всех масок сети. В следующем примере (протокол IPv6) косая черта (/) и число после нее – это префикс сети в нотации CIDR. Последние 96 битов не учитываются, и единый вход будет активирован для всех IP-адресов в диапазоне.
- 2001:db8::/32
В примере ниже (протокол IPv4) последние 8 битов (ноль) не учитываются, и единый вход будет активирован для всех IP-адресов в диапазоне от 64.233.187.0 до 64.233.187.255.
- 64.233.187.0/24
В доменах без масок сети всех пользователей, которые не являются суперадминистраторами, необходимо добавить в базу поставщика удостоверений (IdP).
Матрица связывания аккаунтов при использовании системы единого входа
| Маска сети не задана | Суперадминистраторы | Пользователи |
|---|---|---|
| accounts.google.com | При входе на странице accounts.google.com суперадминистраторы должны указать полный адрес электронной почты Google (имя пользователя и домен) и пароль. После входа в аккаунт они будут перенаправлены в консоль администратора, а не на сервер системы единого входа. | Пользователи без прав суперадминистратора при входе в аккаунт на странице accounts.google.com попадут на страницу единого входа. |
| admin.google.com | При входе на странице admin.google.com суперадминистраторы должны указать полный адрес электронной почты Google (имя пользователя и домен) и пароль. После входа в аккаунт они будут перенаправлены в консоль администратора, а не на сервер системы единого входа. |
Пользователи без прав суперадминистратора, например назначенные администраторы, после входа в аккаунт Google на странице admin.google.com перенаправляются на сервер системы единого входа. |
| Маска сети задана | Суперадминистраторы | Пользователи |
| accounts.google.com/o/oauth2/v2/auth?*login_hint=xxxxx@example.com* | Пользователи, независимо от того, назначены ли им права суперадминистратора, начавшие процесс Google OAuth на странице accounts.google.com/o/oauth2/v2/auth с URL-параметром login_hint, перенаправляются на страницу единого входа. | Пользователи, независимо от того, назначены ли им права суперадминистратора, начавшие процесс Google OAuth на странице accounts.google.com/o/oauth2/v2/auth с URL-параметром login_hint, перенаправляются на страницу единого входа. |
| service.google.com | При входе на странице service.google.com все пользователи, независимо от того, назначены ли им права суперадминистратора, перенаправляются на страницу accounts.google.com, где им предлагается указать полный адрес электронной почты Google (включая имя пользователя и пароль). | При входе на странице service.google.com все пользователи, независимо от того, назначены ли им права суперадминистратора, перенаправляются на страницу accounts.google.com, где им предлагается указать полный адрес электронной почты Google (включая имя пользователя и пароль). |
| service.google.com /a/example.com* (в пределах маски сети) |
При входе на странице service.google.com/a/example.com с адреса в диапазоне маски сети все пользователи, независимо от того, назначены ли им права суперадминистратора, перенаправляются на страницу единого входа. |
При входе на странице service.google.com/a/example.com с адреса в диапазоне маски сети все пользователи, независимо от того, назначены ли им права суперадминистратора, перенаправляются на страницу единого входа. |
| service.google.com /a/example.com* (вне пределов маски сети) |
При входе на странице service.google.com/a/example.com с адреса за пределами диапазона маски сети все пользователи, независимо от того, назначены ли им права суперадминистратора, не перенаправляются на сервер системы единого входа. | При входе на странице service.google.com/a/example.com с адреса за пределами диапазона маски сети все пользователи, независимо от того, назначены ли им права суперадминистратора, не перенаправляются на сервер системы единого входа. |
| service.google.com /a/example.com* (неаутентифицированные запросы к сервису) |
IP-адреса всех неаутентифицированных запросов проверяются при открытии страницы service.google.com/a/example.com. Если IP-адрес находится в диапазоне маски сети (CIDR), пользователь будет перенаправлен на страницу единого входа. Если IP-адрес находится за пределами указанного диапазона, необходимо ввести данные аккаунта Google. Чтобы выполнить вход на странице accounts.google.com, необходимо ввести данные аккаунта Google. |
IP-адреса всех неаутентифицированных запросов проверяются при открытии страницы service.google.com/a/example.com. Если IP-адрес находится в диапазоне маски сети (CIDR), пользователь будет перенаправлен на страницу единого входа. Если IP-адрес находится за пределами указанного диапазона, необходимо ввести данные аккаунта Google. Чтобы выполнить вход на странице accounts.google.com, необходимо ввести данные аккаунта Google. |
*Не все сервисы поддерживают этот шаблон URL. Он поддерживается, например, в следующих сервисах:
- Gmail;
- Google Диск.
- В вашем домене используется система единого входа со сторонним поставщиком идентификационной информации.
- В домене настроена маска сети.
- Пользователь вошел в систему с помощью стороннего поставщика идентификационной информации (дополнительные сведения приведены в таблице "Матрица связывания аккаунтов при использовании системы единого входа").
- Достигнуто ограничение продолжительности сеанса, заданное в консоли администратора Google.
- Администратор изменил пароль аккаунта пользователя или запросил смену пароля при следующем входе пользователя в систему, задав соответствующие настройки в консоли администратора или с помощью Admin SDK.
Что происходит при завершении активного сеанса пользователя
Если сеанс завершен, то пользователи, начавшие сеанс с помощью стороннего поставщика идентификационной информации, будут перенаправлены на страницу входа с аккаунтом Google.
Пользователи могут не понять, почему для восстановления доступа к аккаунту требуется войти в Google. Пользователи могут быть перенаправлены на страницу входа Google, даже если они пытались войти через URL-адреса Google.
Если вы планируете технические работы, которые потребуют завершения активных сеансов, но хотите избежать проблем для пользователей, попросите их завершить сеансы и не входить в систему до завершения технических работ.
Как восстановить доступ к аккаунту
Когда пользователь перенаправляется на страницу входа в аккаунт Google из-за прерывания активного сеанса, он может восстановить доступ к своему аккаунту одним из следующих способов:
- Увидев сообщение "Если вы попали на эту страницу по ошибке, нажмите здесь, чтобы выйти из аккаунта, а затем войти ещё раз", пользователь может нажать на ссылку в этом сообщении.
- Если это сообщение или ссылка не появились, пользователю необходимо выйти из аккаунта, перейдя на страницу https://accounts.google.com/logout, и снова войти в него.
- Пользователь может удалить файлы cookie в своем браузере.
После того как пользователь восстановит доступ к аккаунту одним из перечисленных выше способов, его сеанс Google будет полностью завершен и он сможет снова войти в свой аккаунт.