网络掩码是以无类别域间路由 (CIDR) 表示法表示的 IP 地址。CIDR 规定了要添加的 IP 地址的位数。Google 使用网络掩码来判断要对哪些 IP 地址或 IP 地址范围提供 SSO 服务。
注意:就网络掩码设置而言,只有具体网域的服务网址(例如 service.google.com/a/example.com)目前会重定向至 SSO 登录页面。
每个网络掩码的格式都必须准确无误。在以下 IPv6 示例中,斜线 (/) 及其后的数字代表 CIDR。最后 96 位不予考虑,该网络范围内的所有 IP 地址都会受到影响。
- 2001:db8::/32
在以下 IPv4 示例中,最后 8 位(也就是零)不予考虑,从 64.233.187.0 到 64.233.187.255 范围内的所有 IP 地址都会受影响。
- 64.233.187.0/24
在没有网络掩码的网域中,请务必将超级用户以外的用户添加至身份提供商 (IdP)。
SSO 用户/网络映射矩阵
| 无网络掩码 | 超级用户 | 用户 |
|---|---|---|
| accounts.google.com | 当超级用户尝试登录 accounts.google.com 时,系统会提示其输入自己完整的 Google 电子邮件地址(包括用户名和域名)和密码,并在超级用户登录后将其重定向到管理控制台。系统不会将超级用户重定向到 SSO 服务器。 | 当没有超级用户权限的用户尝试登录 accounts.google.com 时,系统会将其重定向到 SSO 登录页面。 |
| admin.google.com | 当超级用户尝试登录 admin.google.com 时,系统会提示其输入自己完整的 Google 电子邮件地址(包括用户名和域名)和密码,并在超级用户登录后将其重定向到管理控制台。系统不会将超级用户重定向到 SSO 服务器。 |
当不具备超级用户权限的用户(例如指派的管理员)尝试登录 admin.google.com 时,在用户利用自己的 Google 帐号信息登录后,系统会将其重定向到 SSO 服务器。 |
| 有网络掩码 | 超级用户 | 用户 |
| accounts.google.com/o/oauth2/v2/auth?*login_hint=xxxxx@example.com* | 当用户(无论是否拥有超级用户权限)尝试通过 accounts.google.com/o/oauth2/v2/auth 使用 login_hint 网址参数启动 Google OAuth 流程时,系统会将其重定向到 SSO 登录页面。 | 当用户(无论是否拥有超级用户权限)尝试通过 accounts.google.com/o/oauth2/v2/auth 使用 login_hint 网址参数启动 Google OAuth 流程时,系统会将其重定向到 SSO 登录页面。 |
| service.google.com | 当用户(无论是否拥有超级用户权限)尝试登录 service.google.com 时,系统会将其重定向到 accounts.google.com,并提示其输入完整的 Google 电子邮件地址(包括用户名和密码)。 | 当用户(无论是否拥有超级用户权限)尝试登录 service.google.com 时,系统会将其重定向到 accounts.google.com,并提示其输入完整的 Google 电子邮件地址(包括用户名和密码)。 |
| service.google.com /a/example.com* 在网络掩码范围内 |
当网络掩码范围内的用户(无论是否拥有超级用户权限)尝试登录 service.google.com/a/example.com 时,系统会将其重定向到 SSO 登录页面。 |
当网络掩码范围内的用户(无论是否拥有超级用户权限)尝试登录 service.google.com/a/example.com 时,系统会将其重定向到 SSO 登录页面。 |
| service.google.com /a/example.com* 在网络掩码范围外 |
当网络掩码范围外的用户(无论是否拥有超级用户权限)尝试登录 service.google.com/a/example.com 时,系统不会将其重定向到 SSO 服务器。 | 当网络掩码范围外的用户(无论是否拥有超级用户权限)尝试登录 service.google.com/a/example.com 时,系统不会将其重定向到 SSO 服务器。 |
| service.google.com /a/example.com* 未经身份验证的服务请求 |
通过 service.google.com/a/example.com 访问时,系统会核对所有未经验证的服务请求的来源 IP。 如果来源 IP 位于网络掩码范围(CIDR 范围)内,系统会将用户重定向到 SSO 登录页面。 如果来源 IP 位于网络掩码范围外,系统会提示用户输入用户名,然后输入 Google 密码。 直接连接到 accounts.google.com 时,系统会提示用户输入用户名,然后输入 Google 密码。 |
通过 service.google.com/a/example.com 访问时,系统会核对所有未经验证的服务请求的来源 IP。 如果来源 IP 位于网络掩码范围(CIDR 范围)内,系统会将用户重定向到 SSO 登录页面。 如果来源 IP 位于网络掩码范围外,系统会提示用户输入用户名,然后输入 Google 密码。 直接连接到 accounts.google.com 时,系统会提示用户输入用户名,然后输入 Google 密码。 |
* 并非所有服务都支持此网址格式。以下列举了一些支持此格式的服务:
- Gmail
- Google 云端硬盘
- 您的网域使用第三方 IdP 提供的 SSO 服务。
- 您的网域拥有网络掩码。
- 用户通过第三方 IdP 登录(请参阅“SSO 用户/网络映射矩阵”中的表格)。
- 用户会话的时长达到了管理控制台 Google 会话控制设置中指定的上限。
- 管理员修改了用户帐号,例如更改密码或要求用户在下次登录时更改密码(通过管理控制台或使用 Admin SDK 更改)。
用户体验
如果用户通过第三方 IdP 发起会话,则系统会清除会话,并将用户重定向到 Google 登录页面。
由于用户是通过第三方 IdP 发起 Google 会话的,他们可能不理解为什么需要登录 Google 才能重新访问自己的帐号。用户甚至会在尝试导航到其他 Google 网址时,被重定向到 Google 登录页面。
如果您计划进行维护,且维护过程会终止有效的用户会话,为了避免引起用户困惑,请让用户退出他们的会话并保持退出状态,直至维护完成。
用户恢复
如果用户因为有效会话被终止而看到 Google 登录页面,他们可以通过以下其中一种操作重新登录其帐号:
- 如果用户看到“如果您被系统错误地带到此页面,请点击此处退出帐号,然后尝试重新登录。”这一消息,则可以点击该消息中的链接。
- 如果用户没有看到上述消息或链接,则可以通过以下网址退出帐号并重新登录:https://accounts.google.com/logout。
- 用户可以清除自己的浏览器 Cookie。
用户采用上述任一恢复方式后,他们的 Google 会话就会完全终止,且他们可以重新登录。