ネットワーク マスクはクラスレス ドメイン間ルーティング(CIDR)で表記される IP アドレスです。CIDR は、IP アドレスに含まれるビット数を指定します。Google では、SSO サービスに通知する IP アドレスまたは IP アドレスの範囲の特定にネットワーク マスクを使用しています。
注: ネットワーク マスクの設定上、現在のところ、ドメイン固有のサービスの URL([サービス名].google.com/a/[ドメイン名].com などの URL)のみが SSO のログインページにリダイレクトされます。
各ネットワーク マスクで正しい形式を使用する必要があります。次の IPv6 の例では、スラッシュ(/)とそれに続く数字が CIDR を表します。アドレスの下位 96 ビットは考慮されず、そのネットワーク範囲のすべての IP アドレスが影響を受けます。
- 2001:db8::/32
次の IPv4 の例では、下位 8 ビット(0)は考慮されず、64.233.187.0 から 64.233.187.255 の範囲にあるすべての IP アドレスが影響を受けます。
- 64.233.187.0/24
ドメインでネットワーク マスクを使っていない場合は、特権管理者ではないユーザーを ID プロバイダ(IdP)に追加する必要があります。
SSO におけるユーザーとネットワークのマッピング表
| ネットワーク マスクを使わない場合 | 特権管理者 | ユーザー |
|---|---|---|
| accounts.google.com | 特権管理者が accounts.google.com からログインしようとすると、ユーザー名とドメインを含む完全な Google のメールアドレスとパスワードの入力を求められ、ログイン後は管理コンソールにリダイレクトされます。SSO サーバーにはリダイレクトされません。 | 特権管理者の権限を持たないユーザーが accounts.google.com にログインしようとすると、SSO のログインページにリダイレクトされます。 |
| admin.google.com | 特権管理者が admin.google.com からログインしようとすると、ユーザー名とドメインを含む完全な Google のメールアドレスとパスワードの入力を求められ、ログイン後は直接管理コンソールにリダイレクトされます。SSO サーバーにはリダイレクトされません。 |
特権管理者の権限を持たないユーザー(委任管理者など)が admin.google.com にログインしようとすると、Google アカウントでログインした後に SSO サーバーにリダイレクトされます。 |
| ネットワーク マスクを使う場合 | 特権管理者 | ユーザー |
| accounts.google.com/o/oauth2/v2/auth?*[email protected]* | ユーザー(特権管理者の権限があるかどうかを問わず)が accounts.google.com/o/oauth2/v2/auth から login_hint URL パラメータを使用して Google OAuth フローを開始しようとすると、SSO ログインページにリダイレクトされます。 | ユーザー(特権管理者の権限があるかどうかを問わず)が accounts.google.com/o/oauth2/v2/auth から login_hint URL パラメータを使用して Google OAuth フローを開始しようとすると、SSO ログインページにリダイレクトされます。 |
| [サービス名].google.com | ユーザー(特権管理者の権限があるかどうかを問わず)が [サービス名].google.com にログインしようとすると、accounts.google.com にリダイレクトされ、Google の完全なメールアドレス(ユーザー名とパスワードを含む)の入力を求められます。 | ユーザー(特権管理者の権限があるかどうかを問わず)が [サービス名].google.com にログインしようとすると、accounts.google.com にリダイレクトされ、Google の完全なメールアドレス(ユーザー名とパスワードを含む)の入力を求められます。 |
| [サービス名].google.com /a/[ドメイン名].com* (ネットワーク マスク内) |
ユーザー(特権管理者の権限があるかどうかを問わず)がネットワーク マスク内で [サービス名].google.com/a/[ドメイン名].com にログインしようとすると、SSO のログインページにリダイレクトされます。 |
ユーザー(特権管理者の権限があるかどうかを問わず)がネットワーク マスク内で [サービス名].google.com/a/[ドメイン名].com にログインしようとすると、SSO のログインページにリダイレクトされます。 |
| [サービス名].google.com /a/[ドメイン名].com* (ネットワーク マスク外) |
ユーザー(特権管理者の権限があるかどうかを問わず)がネットワーク マスク外から [サービス名].google.com/a/[ドメイン名].com にログインしようとした場合は、SSO サーバーにリダイレクトされません。 | ユーザー(特権管理者の権限があるかどうかを問わず)がネットワーク マスク外から [サービス名].google.com/a/[ドメイン名].com にログインしようとした場合は、SSO サーバーにリダイレクトされません。 |
| [サービス名].google.com /a/[ドメイン名].com* (未認証サービス リクエスト) |
[サービス名].google.com/a/[ドメイン名].com からアクセスすると、未認証サービスのリクエスト元 IP がチェックされます。 リクエスト元 IP アドレスがネットワーク マスク(CIDR 範囲)に該当する場合は、SSO のログインページにリダイレクトされます。 リクエスト元 IP アドレスがネットワーク マスクに該当しない場合は、ユーザー名と Google のパスワードの入力を順に求められます。 accounts.google.com に直接接続すると、ユーザー名と Google のパスワードの入力を順に求められます。 |
[サービス名].google.com/a/[ドメイン名].com からアクセスすると、未認証サービスのリクエスト元 IP がチェックされます。 リクエスト元 IP アドレスがネットワーク マスク(CIDR 範囲)に該当する場合は、SSO のログインページにリダイレクトされます。 リクエスト元 IP アドレスがネットワーク マスクに該当しない場合は、ユーザー名と Google のパスワードの入力を順に求められます。 accounts.google.com に直接接続すると、ユーザー名と Google のパスワードの入力を順に求められます。 |
* すべてのサービスがこの URL パターンをサポートしているわけではありません。以下は、この URL パターンに対応しているサービスの例です。
- Gmail
- Google ドライブ
- ドメインでサードパーティの IdP による SSO を使用している。
- ドメインにネットワーク マスクがある。
- ユーザーがサードパーティの IdP 経由でログインしている(「SSO におけるユーザーとネットワークのマッピング表」を参照)。
- ユーザー セッションが、管理コンソールの [Google のセッション管理] で指定されたセッション継続時間の上限に達した。
- 管理者がユーザー アカウントのパスワードを変更した、あるいは(管理コンソールまたは Admin SDK を使用して)次回ログイン時にパスワードを変更するようユーザーに求める設定を行った。
ユーザー エクスペリエンス
ユーザーがサードパーティの IdP でセッションを開始した場合、セッションは削除され、ユーザーは Google ログインページにリダイレクトされます。
ユーザーはサードパーティの IdP で Google セッションを開始したため、アカウントに再びアクセスするために Google へのログインが必要な理由を理解できない可能性があります。また、Google の他の URL にアクセスしようとした場合にも、Google ログインページにリダイレクトされることがあります。
アクティブなユーザー セッションの終了を伴うメンテナンスを計画している場合、混乱を防ぐために、セッションからログアウトしてメンテナンスが終了するまでログアウトしたままでいるようユーザーにご案内ください。
ユーザー アカウントへの再アクセス
アクティブ セッションの終了により Google ログインページが表示された場合、ユーザーは次のいずれかの方法で再びアカウントにアクセスできます。
- [意図せずこのページが開いた場合は、こちらをクリックしてログアウトしてからログインし直してみてください] というメッセージが表示された場合は、メッセージ内のリンクをクリックする。
- このようなメッセージまたはリンクが表示されない場合は、いったんログアウトして https://accounts.google.com/logout から再びログインする。
- ブラウザの Cookie を削除する。
以上のいずれかの方法をとることで、Google セッションが完全に終了し、アカウントに再びログインできるようになります。
