Paramètres SSO facultatifs et maintenance

Effectuer une rotation des certificats

Si vous importez deux certificats dans un profil d'authentification unique (SSO) SAML, Google peut utiliser l'un ou l'autre pour valider une réponse SAML de votre IdP. Cela vous permet de remplacer en toute sécurité un certificat arrivant à expiration du côté de l'IdP. Suivez ces étapes au moins 24 heures avant l'expiration d'un certificat :

  1. Créez un certificat sur l'IdP.
  2. Importez le certificat en tant que deuxième certificat dans la console d'administration. Pour obtenir des instructions, consultez Créer un profil SAML.
  3. Attendez 24 heures pour que les comptes utilisateur Google soient mis à jour avec le nouveau certificat.
  4. Configurez l'IdP pour qu'il utilise le nouveau certificat à la place de celui qui arrive à expiration.
  5. (Facultatif) Une fois que les utilisateurs ont confirmé qu'ils peuvent se connecter, supprimez l'ancien certificat de la console d'administration. Vous pourrez ensuite importer un nouveau certificat si nécessaire.

Utiliser la saisie automatique de l'adresse e-mail pour simplifier les connexions SSO

Pour aider vos utilisateurs à se connecter, activez l'option Saisir automatiquement l'adresse e-mail lorsque vous créez ou mettez à jour un profil d'authentification unique (SSO) SAML entrant.

La saisie automatique de l'adresse e-mail remplit automatiquement le champ de l'adresse e-mail sur la page de connexion de votre fournisseur d'identité (IdP) tiers. Les utilisateurs n'ont donc qu'à saisir leur mot de passe. Vous pouvez activer l'option Saisir automatiquement l'adresse e-mail lorsque vous créez ou mettez à jour un profil SSO SAML entrant.

La saisie automatique de l'adresse e-mail utilise un paramètre d'indice de connexion pour envoyer de manière sécurisée les adresses e-mail de vos utilisateurs à votre IdP. Ce paramètre est une fonctionnalité courante que de nombreux IdP tiers acceptent pour les connexions initiées par l'IdP.

Le paramètre d'indice de connexion n'est pas standardisé. Par conséquent, les IdP utilisent différentes variantes, telles que les suivantes :

  • login_hint : pris en charge par les IdP tels que Microsoft Entra
  • LoginHint : pris en charge par les IdP tels qu'Okta

En raison de ces variantes, vous devrez vérifier le format pris en charge par votre IdP et choisir le paramètre correspondant dans la console d'administration Google.

Options permettant d'activer la saisie automatique de l'adresse e-mail

Activer la saisie automatique de l'adresse e-mail dans un nouveau profil

  1. Connectez-vous à la console d'administration Google avec un compte administrateur.

    Si vous ne disposez pas d'un compte administrateur, vous ne pouvez pas accéder à la console d'administration.

  2. Dans la console d'administration Google, accédez à Menu  puis SécuritépuisAuthentificationpuisSSO avec un IdP tiers.

    Vous devez disposer du droit d'administrateur Paramètres de sécurité.

  3. Dans la section Profils SSO tiers, cliquez sur Ajouter un profil SAML.
  4. Dans le champ Profil SSO SAML, saisissez le nom du profil.
  5. Dans le champ Saisir automatiquement l'adresse e-mail, sélectionnez l'option correspondant au format d'indice de connexion accepté par votre IdP.
  6. Dans la section Informations sur le fournisseur d'identité, procédez comme suit :
    1. Saisissez l'ID d'entité du fournisseur d'identité, l'URL de la page de connexion et l'URL de la page de déconnexion que vous avez obtenus auprès de votre IdP.
    2. Dans le champ URL de modification du mot de passe, saisissez l'URL de la page de modification du mot de passe de votre IdP.
      Les utilisateurs seront redirigés vers cette URL pour réinitialiser leur mot de passe.
  7. Cliquez sur Enregistrer et continuez à créer le profil.

Activer la saisie automatique de l'adresse e-mail dans un profil existant

  1. Connectez-vous à la console d'administration Google avec un compte administrateur.

    Si vous ne disposez pas d'un compte administrateur, vous ne pouvez pas accéder à la console d'administration.

  2. Dans la console d'administration Google, accédez à Menu  puis SécuritépuisAuthentificationpuisSSO avec un IdP tiers.

    Vous devez disposer du droit d'administrateur Paramètres de sécurité.

  3. Dans la section Profils SSO tiers, cliquez sur le profil que vous souhaitez modifier.
  4. Cliquez sur Informations sur le fournisseur de services.
  5. Dans le champ Saisir automatiquement l'adresse e-mail, sélectionnez l'option correspondant au format d'indice de connexion accepté par votre IdP.
  6. Cliquez sur Enregistrer.

Gérer les URL de service spécifiques au domaine

Le paramètre URL de service spécifiques au domaine vous permet de contrôler ce qui se passe lorsque les utilisateurs se connectent à l'aide d'URL de service, telles que https://mail.google.com/a/example.com.

  1. Dans la console d'administration Google, accédez à Menu  puis SécuritépuisAuthentificationpuisSSO avec un IdP tiers.

    Vous devez disposer du droit d'administrateur Paramètres de sécurité.

  2. Cliquez sur URL de service spécifiques au domaine pour ouvrir les paramètres.

Vous disposez de deux options :

  • Rediriger les utilisateurs vers le fournisseur d'identité tiers Choisissez cette option pour toujours rediriger ces utilisateurs vers l'IdP tiers que vous sélectionnez dans la liste déroulante du profil SSO. Il peut s'agir du profil SSO de votre organisation ou d'un autre profil tiers (si vous en avez ajouté un).

    Important : Ne sélectionnez pas ce paramètre si certains de vos groupes ou unités organisationnelles n'utilisent pas l'authentification unique. Vos utilisateurs sans authentification unique seront automatiquement redirigés vers le fournisseur d'identité et ne pourront pas se connecter.

  • Demander aux utilisateurs de saisir d'abord leur nom d'utilisateur sur la page de connexion Google. Avec cette option, les utilisateurs qui saisissent des URL spécifiques au domaine sont d'abord redirigés vers la page de connexion Google. S'ils utilisent l'authentification unique, ils sont redirigés vers la page de connexion du fournisseur d'identité.

Résultats du mappage de réseaux

Les masques de réseau sont des adresses IP représentées avec la notation CIDR (Classless Inter-Domain Routing). Le CIDR indique le nombre de bits de l'adresse IP qui sont inclus. Le profil SSO de votre organisation peut utiliser des masques de réseau pour déterminer les adresses ou plages d'adresses IP pour lesquelles le service SSO doit être appliqué.

Remarque : Pour les paramètres de masques de réseau, seules les URL de service spécifiques à un domaine, par exemple service.google.com/a/example.com, vous redirigent actuellement vers la page de connexion SSO.

Il est important que tous les masques de réseau soient au bon format. Dans l'exemple d'adresse IPv6 suivant, la barre oblique (/) et le nombre qui la suit représentent le CIDR. Les 96 derniers bits ne sont pas pris en compte et toutes les adresses IP de la plage réseau sont concernées.

  • 2001:db8::/32

Dans cet exemple d'adresse IPv4, les huit derniers bits (le zéro) ne sont pas pris en compte et toutes les adresses IP comprises entre 64.233.187.0 et 64.233.187.255 sont concernées.

  • 64.233.187.0/24

Dans les domaines sans masque de réseau, ajoutez les utilisateurs autres que des super-administrateurs au fournisseur d'identité (IdP).

Expérience utilisateur relative au SSO lors de la consultation d'URL de service Google

Le tableau suivant présente l'expérience utilisateur pour les visites directes sur les URL de service Google, avec et sans masque de réseau :

Sans masque de réseau Les super-administrateurs : Les utilisateurs sont :
service.google.com Ils sont invités à saisir leur adresse e-mail et leur mot de passe Google. Ils sont invités à saisir leur adresse e-mail, puis sont redirigés vers la page de connexion SSO.
Avec un masque de réseau Super-administrateurs et utilisateurs
service.google.com Ils sont invités à saisir leur adresse e-mail et leur mot de passe.
service.google.com
/a/votre_domaine.com*
(dans le masque de réseau)		 Ils sont redirigés vers la page de connexion SSO.
service.google.com
/a/votre_domaine.com
(en dehors du masque de réseau
)		 Ils sont invités à saisir leur adresse e-mail et leur mot de passe.
accounts.google.com/
o/oauth2/v2/auth?login_hint=
xxxxx@example.com

Les utilisateurs qui accèdent au point de terminaison OAuth 2.0 de Google à l'aide du paramètre d'URL login_hint sont redirigés vers la page de connexion SSO.

* Tous les services ne sont pas compatibles avec ce format d'URL. Gmail et Drive sont des exemples de services compatibles.

Expiration de session lorsqu'un masque de réseau est configuré

Il est possible que la session Google active d'un utilisateur soit interrompue et que l'utilisateur soit invité à se reconnecter dans les cas suivants :

  • La session utilisateur atteint la durée maximale autorisée spécifiée dans le paramètre Contrôle de session Google de la console d'administration.
  • L'administrateur a modifié le compte utilisateur en changeant le mot de passe immédiatement ou en spécifiant que l'utilisateur doit le faire la prochaine fois qu'il se connecte (via la console d'administration ou le SDK Admin).

Expérience utilisateur

Si l'utilisateur a lancé la session sur un fournisseur d'identité tiers, la session est effacée et l'utilisateur est redirigé vers la page de connexion Google.

Étant donné que l'utilisateur a initié sa session Google sur un fournisseur d'identité tiers, il se peut qu'il ne comprenne pas pourquoi il doit se connecter à Google pour retrouver l'accès à son compte. Les utilisateurs peuvent être redirigés vers une page de connexion Google, même lorsqu'ils essaient d'accéder à d'autres URL Google.

Si vous planifiez une opération de maintenance qui consiste à interrompre des sessions utilisateur actives, demandez à vos utilisateurs de se déconnecter de leurs sessions jusqu'à la fin de l'opération afin d'éviter toute confusion.

Récupération d'un compte utilisateur

Lorsqu'un utilisateur voit la page de connexion Google, car sa session active a été interrompue, il peut de nouveau accéder à son compte en effectuant l'une des actions suivantes :

  • Si l'utilisateur voit le message "Si vous avez atteint cette page par erreur, veuillez cliquer ici pour vous déconnecter, puis réessayez de vous connecter", il peut cliquer sur le lien.
  • Si l'utilisateur ne voit pas ce message ou ce lien, il peut se déconnecter, puis se connecter à nouveau à l'adresse https://accounts.google.com/logout.
  • L'utilisateur peut effacer les cookies de son navigateur.

Une fois que l'une des méthodes de récupération a été employée, la session Google est complètement interrompue et l'utilisateur peut à nouveau se connecter.

Configurer la validation en deux étapes avec le SSO

  1. Dans la console d'administration Google, accédez à Menu  puis SécuritépuisAuthentificationpuisQuestions d'authentification à la connexion.

    Vous devez disposer du droit d'administrateur Gestion de la sécurité utilisateur.

  2. Sur la gauche, sélectionnez l'unité organisationnelle pour laquelle vous souhaitez définir la règle.

    Pour que la durée s'applique à tous les utilisateurs, sélectionnez l'unité organisationnelle racine. Au départ, les unités organisationnelles héritent des paramètres de leur parent.

  3. Cliquez sur Validation post-authentification unique.

  4. Choisissez les paramètres en fonction de la façon dont vous utilisez les profils SSO dans votre organisation. Vous pouvez appliquer un paramètre aux utilisateurs qui utilisent l'ancien profil SSO et à ceux qui se connectent à l'aide d'autres profils SSO.

  5. En bas à droite, cliquez sur Enregistrer.

    Google crée une entrée dans le journal d'audit de l'administrateur pour indiquer la modification de la règle.

Le paramètre de validation post-authentification unique par défaut dépend du type d'utilisateur SSO :

  • Pour les utilisateurs qui se connectent à l'aide de l'ancien profil SSO, le paramètre par défaut consiste à ignorer les questions d'authentification à la connexion supplémentaires et la validation en deux étapes.
  • Pour les utilisateurs qui se connectent à l'aide de profils SSO, le paramètre par défaut consiste à appliquer des questions d'authentification à la connexion supplémentaires et la validation en deux étapes.

Voir aussi


Google, Google Workspace, ainsi que les marques et logos associés sont des marques appartenant à Google LLC. Tous les autres noms de sociétés et de produits sont des marques des sociétés auxquelles ils sont associés.