Migrer de l'ancien SSO vers les profils SSO

Google Workspace propose deux méthodes pour configurer l'authentification unique (SSO) avec Google en tant que partie de confiance de votre fournisseur d'identité :

  • Ancien profil SSO : vous permet de configurer un seul IdP pour votre organisation.
  • Profils SSO : méthode plus récente et recommandée pour configurer le SSO. Elle vous permet d'appliquer différents paramètres SSO à différents utilisateurs de votre organisation, est compatible avec SAML et OIDC, dispose d'API plus modernes et sera privilégiée pour les nouvelles fonctionnalités de Google.

Nous conseillons à tous les clients de migrer vers les profils SSO pour profiter de ces avantages. Les profils SSO peuvent coexister avec le profil SSO de votre organisation. Vous pouvez donc tester de nouveaux profils SSO avant de migrer l'ensemble de votre organisation.

Présentation du processus de migration

  1. Dans la console d'administration, créez un profil SSO pour votre IdP et enregistrez le nouveau profil auprès de votre IdP.
  2. Attribuez des utilisateurs de test pour qu'ils utilisent le nouveau profil et vérifiez qu'il fonctionne.
  3. Attribuez votre unité organisationnelle racine au nouveau profil.
  4. Mettez à jour les URL spécifiques au domaine pour qu'elles utilisent le nouveau profil.
  5. Nettoyage : désinscrivez votre ancien fournisseur de services, vérifiez que le provisionnement automatique des utilisateurs fonctionne toujours.

Étape 1 : Créer un profil SSO

  1. Suivez ces étapes pour créer un profil SAML SSO. Votre nouveau profil doit utiliser le même IdP que votre profil SSO existant pour votre organisation.

  2. Enregistrez le nouveau profil SSO auprès de votre IdP en tant que nouveau fournisseur de services.

    Votre IdP verra le nouveau profil comme un fournisseur de services distinct (il peut les appeler "Applications" ou "Parties de confiance"). La procédure d'enregistrement du nouveau fournisseur de services varie selon votre IdP, mais elle nécessite généralement de configurer l'ID d'entité et l'URL ACS (Assertion Consumer Service) pour le nouveau profil.

Remarques pour les utilisateurs de l'API

  • Si vous utilisez le profil SSO de votre organisation, vous ne pouvez utiliser que l'API Google Workspace Admin Settings pour gérer les paramètres SSO.
  • L'API Cloud Identity peut gérer les profils SSO en tant que inboundSamlSsoProfiles et les attribuer à des groupes ou à des unités organisationnelles à l'aide de inboundSsoAssignments.

Différences entre les profils SSO et l'ancien profil SSO

Assertions de super-administrateur

Les profils SSO n'acceptent pas les assertions concernant les super-administrateurs. Lorsque vous utilisez le profil SSO de votre organisation, les assertions sont acceptées, mais les super-administrateurs ne sont pas redirigés vers l'IdP.  Par exemple, les assertions suivantes seraient acceptées :

  • L'utilisateur suit un lien de lanceur d'applications depuis votre IdP (SAML initié par l'IdP).
  • L'utilisateur accède à une URL de service spécifique au domaine (par exemple, https://drive.google.com/a/your_domain.com).
  • L'utilisateur se connecte à un Chromebook configuré pour accéder directement à votre IdP. En savoir plus

Paramètres de validation post-authentification unique

Les paramètres qui contrôlent la validation post-SSO (comme les questions d'authentification à la connexion ou la validation en deux étapes) sont différents pour les profils SSO et pour le profil SSO de votre organisation. Pour éviter toute confusion, nous vous recommandons d'attribuer la même valeur à ces deux paramètres. En savoir plus

Étape 2 : Attribuer des utilisateurs tests au profil

Nous vous recommandons de tester d'abord votre nouveau profil SSO sur les utilisateurs d'un seul groupe ou d'une seule unité organisationnelle avant de l'appliquer à tous les utilisateurs. Utilisez un groupe ou une unité organisationnelle existants, ou créez-en un si nécessaire.

Si vous disposez d'appareils ChromeOS gérés, nous vous recommandons d'effectuer des tests basés sur les unités organisationnelles, car vous pouvez attribuer des appareils ChromeOS à des unités organisationnelles, mais pas à des groupes.

  1. (Facultatif) Créez une unité organisationnelle ou un groupe de configuration, puis attribuez-y des utilisateurs de test.
  2. Suivez cette procédure pour attribuer des utilisateurs au nouveau profil SSO.

Remarques pour les organisations disposant d'appareils ChromeOS gérés

Si vous avez configuré l'authentification unique pour les appareils ChromeOS afin que les utilisateurs accèdent directement à votre fournisseur d'identité, vous devez tester le comportement de l'authentification unique séparément pour ces utilisateurs.

Notez que pour que la connexion aboutisse, le profil SSO attribué à l'unité organisationnelle de l'appareil doit correspondre au profil SSO attribué à l'unité organisationnelle de l'utilisateur de l'appareil.

Par exemple, si vous disposez actuellement d'une unité organisationnelle "Ventes" pour les employés qui utilisent des Chromebooks gérés et se connectent directement à votre fournisseur d'identité, créez une unité organisationnelle telle que "test_sso_ventes", attribuez-lui le nouveau profil et déplacez-y certains utilisateurs et les Chromebooks qu'ils utilisent.

Étape 3 : Attribuer votre unité organisationnelle racine et mettre à jour les URL de service

Une fois que vous avez testé le nouveau profil SSO sur un groupe de test ou une unité organisationnelle, vous pouvez l'attribuer à d'autres utilisateurs.

  1. Accédez à SécuritépuisSSO avec des fournisseurs d'identité tierspuisGérer l'attribution des profils SSO.
  2. Cliquez sur Gérer.
  3. Sélectionnez votre unité organisationnelle racine et attribuez-la au nouveau profil SSO.
  4. (Facultatif) Si d'autres unités organisationnelles ou groupes sont attribués au profil SSO de votre organisation, attribuez-les au nouveau profil SSO.

Étape 4 : Mettre à jour les URL spécifiques au domaine

Si votre organisation utilise des URL spécifiques au domaine (par exemple, https://mail.google.com/a/your_domain.com), modifiez ce paramètre pour utiliser le nouveau profil SSO :

  1. Accédez à SécuritépuisSSO avec des fournisseurs d'identité tierspuisURL de service spécifiques au domaine.
  2. Sous "Rediriger automatiquement les utilisateurs vers l'IdP tiers dans le profil SSO suivant", sélectionnez le nouveau profil SSO dans la liste déroulante.

Étape 5 : Nettoyage

  1. Sous SécuritépuisSSO avec des fournisseurs d'identité tierspuisProfils SSO, cliquez sur Ancien profil SSO pour ouvrir les paramètres du profil.
  2. Décochez Activer l'ancien profil SSO pour désactiver l'ancien profil.
  3. Vérifiez que le provisionnement automatique des comptes utilisateur configuré avec votre IdP fonctionne correctement avec votre nouveau profil SSO.
  4. Désinscrivez l'ancien fournisseur de services auprès de votre IdP.