Configurer le SSO

Vous pouvez configurer l'authentification unique (SSO) avec Google en tant que fournisseur de services, selon les besoins de votre organisation. Google Workspace est compatible avec le SSO basé sur SAML et OIDC.

Si vos utilisateurs utilisent des URL de service spécifiques au domaine pour accéder aux services Google (par exemple, https://mail.google.com/a/example.com), vous pouvez également gérer la manière dont ces URL fonctionnent avec l'authentification unique.

Si votre organisation a besoin d'une redirection SSO conditionnelle basée sur l'adresse IP ou du SSO pour les super-administrateurs, vous pouvez également configurer l'ancien profil SSO.

Configurer l'authentification unique avec SAML

Avant de commencer

Pour configurer un profil SSO SAML, vous devez obtenir une configuration de base en consultant l'équipe d'assistance ou la documentation de votre fournisseur d'identité :

  • ID d'entité du fournisseur d'identité : c'est ainsi que votre IdP s'identifie lorsqu'il communique avec Google.
  • URL de la page de connexion : elle est également appelée "URL d'authentification unique" ou "point de terminaison SAML 2.0 (HTTP)". C'est ici que les utilisateurs se connectent à votre IdP.
  • URL de la page de déconnexion : page à laquelle l'utilisateur accède après avoir quitté l'application ou le service Google.
  • URL de la page de modification du mot de passe : page sur laquelle les utilisateurs SSO peuvent modifier leur mot de passe (au lieu de le faire avec Google).
  • Certificat : certificat X.509 au format PEM de votre IdP. Le certificat contient la clé publique qui valide la connexion de l'IdP.

Exigences relatives aux certificats

  • Il doit s'agir d'un certificat X.509 au format PEM ou DER intégrant une clé publique.
  • La clé publique doit être générée avec les algorithmes DSA ou RSA.
  • La clé publique du certificat doit correspondre à la clé privée utilisée pour signer la réponse SAML.

Vous les recevrez généralement de votre fournisseur d'identité. Toutefois, vous pouvez également les générer vous-même.

Créer un profil SSO SAML

Pour créer un profil SSO tiers, suivez la procédure ci-dessous. Vous pouvez créer jusqu'à 1 000 profils dans votre organisation.

  1. Dans la console d'administration Google, accédez à Menu puis SécuritépuisAuthentificationpuisSSO avec un IdP tiers.

    Vous devez disposer du droit d'administrateur Paramètres de sécurité.

  2. Dans la section Profils SSO tiers, cliquez sur Ajouter un profil SAML.
  3. Dans le champ Profil SSO SAML, saisissez le nom du profil.
  4. (Facultatif) Dans le champ Saisir automatiquement l'adresse e-mail, sélectionnez l'option correspondant au format d'indice de connexion accepté par votre IdP. Pour en savoir plus, consultez Utiliser la saisie automatique de l'adresse e-mail pour simplifier les connexions SSO.
  5. Dans la section Informations sur le fournisseur d'identité, procédez comme suit :
    1. Saisissez l'ID d'entité du fournisseur d'identité, l'URL de la page de connexion et l'URL de la page de déconnexion que vous avez obtenus auprès de votre IdP.
    2. Dans le champ URL de modification du mot de passe, saisissez l'URL de la page de modification du mot de passe de votre IdP. Les utilisateurs seront redirigés vers cette URL pour réinitialiser leur mot de passe.

  6. Cliquez sur Importer un certificat.

    Vous pouvez importer jusqu'à deux certificats, ce qui vous permet d'effectuer une rotation si nécessaire.

  7. Cliquez sur Enregistrer.

  8. Dans la section Informations sur le fournisseur de services, copiez l'ID d'entité et l'URL ACS, puis enregistrez-les. Vous en aurez besoin pour configurer l'authentification unique avec Google dans le panneau de configuration de l'administrateur de votre IdP.

  9. (Facultatif) Si votre IdP accepte le chiffrement des assertions, vous pouvez générer un certificat et le partager avec lui pour activer le chiffrement. Chaque profil SSO SAML peut comporter jusqu'à deux certificats de fournisseurs de services.

    1. Cliquez sur la section Informations sur le fournisseur de services pour accéder au mode Édition.
    2. Dans le champ Certificat SP, cliquez sur Générer un certificat.
    3. Cliquez sur Enregistrer. Copiez le contenu du certificat ou téléchargez-le sous forme de fichier.
    4. Partagez le certificat avec votre IdP.
    5. (Facultatif) Pour effectuer la rotation d'un certificat, revenez à Informations sur le fournisseur de services, cliquez sur Générer un autre certificat, puis partagez le nouveau certificat avec votre IdP. Une fois que vous êtes sûr que votre IdP utilise le nouveau certificat, supprimez celui d'origine.

Configurer votre IdP

Pour configurer votre IdP de sorte qu'il utilise ce profil SSO, saisissez les informations de la section Informations sur le fournisseur de services du profil dans les champs appropriés des paramètres SSO de votre IdP. L'URL ACS et l'ID d'entité sont propres à ce profil.

Configurer l'ancien profil SSO

L'ancien profil SSO est compatible avec les comptes utilisateur qui n'ont pas été migrés vers des profils SSO. Il n'est compatible qu'avec un seul IdP.

  1. Dans la console d'administration Google, accédez à Menu puis SécuritépuisAuthentificationpuisSSO avec un IdP tiers.

    Vous devez disposer du droit d'administrateur Paramètres de sécurité.

  2. Sous Profils SSO tiers, cliquez sur Ajouter un profil SAML.
  3. En bas de la page Informations sur le fournisseur d'identité, cliquez sur Accéder aux paramètres de l'ancien profil SSO.
  4. Sur la page Ancien profil SSO, cochez la case Activer le SSO avec un fournisseur d'identité tiers.
  5. Fournissez les informations suivantes concernant votre IdP :
    • Saisissez l'URL de la page de connexion et l'URL de la page de déconnexion de votre IdP.

      Remarque : Toutes les URL doivent être indiquées et doivent utiliser le protocole HTTPS (par exemple, https://sso.example.com).

    • Cliquez sur Importer un certificat, puis recherchez et importez le certificat X.509 fourni par votre IdP. Pour en savoir plus, consultez Exigences concernant les certificats.
    • Indiquez si vous souhaitez utiliser un émetteur spécifique au domaine dans la requête SAML de Google.

      Si plusieurs domaines utilisent l'authentification unique avec votre fournisseur d'identité, utilisez un émetteur spécifique au domaine pour identifier le domaine à l'origine de la requête SAML.

      • Case cochée : Google envoie un émetteur spécifique à votre domaine sur google.com/a/example.com (en remplaçant example.com par votre nom de domaine Google Workspace principal).
      • Case décochée : Google envoie l'émetteur standard dans la requête SAML : google.com.
    • (Facultatif) Pour appliquer l'authentification unique à un ensemble d'utilisateurs dans des plages d'adresses IP spécifiques, saisissez un masque de réseau. Pour en savoir plus, consultez Résultats du mappage de réseaux.

      Remarque : Vous pouvez également configurer l'authentification unique partielle en attribuant le profil SSO à des unités organisationnelles ou groupes spécifiques.

    • Saisissez l'URL de modification du mot de passe de votre IdP. Les utilisateurs seront redirigés vers cette URL (et non vers la page Google de modification du mot de passe) pour réinitialiser leur mot de passe. Tous les utilisateurs (autres que les super-administrateurs) qui tentent de modifier leur mot de passe à l'adresse https://myaccount.google.com/ sont redirigés vers l'URL que vous avez spécifiée. Ce paramètre s'applique même si le SSO n'est pas activé. Notez également que les masques réseau ne sont pas pris en compte.

      Remarque : Si vous indiquez une URL ici, les utilisateurs sont redirigés vers cette page, même si vous n'activez pas l'authentification unique pour votre organisation.

  6. Cliquez sur Enregistrer.

Une fois enregistré, l'ancien profil SSO s'affiche dans le tableau Profils SSO.

Configurer votre IdP

Pour configurer votre IdP de sorte qu'il utilise ce profil SSO, saisissez les informations de la section "Informations sur le fournisseur de services" du profil dans les champs appropriés des paramètres SSO de votre IdP. L'URL ACS et l'ID d'entité sont propres à ce profil.

Format
URL ACS https://accounts.google.com/a/{domain.com}/acs
{domain.com} est le nom de domaine Workspace de votre organisation.
ID d'entité Au choix :
  • google.com
  • google.com/a/customerprimarydomain (si vous choisissez d'utiliser un émetteur spécifique au domaine lors de la configuration de l'ancien profil).

Désactiver l'ancien profil SSO

  1. Dans la liste Profils SSO tiers, cliquez sur Ancien profil SSO.
  2. Dans les paramètres Ancien profil SSO, décochez Activer le SSO avec un fournisseur d'identité tiers.
  3. Confirmez que vous souhaitez continuer, puis cliquez sur Enregistrer.

Dans la liste Profils SSO, l'ancien profil SSO est désormais Désactivé.

  • Les unités organisationnelles auxquelles l'ancien profil SSO est attribué affichent une alerte dans la colonne Profil attribué.
  • La colonne Assigned profile (Profil attribué) affiche Aucun pour l'unité organisationnelle racine.
  • Dans Gérer l'attribution des profils SSO, l'ancien profil SSO s'affiche comme inactif.

Migrer d'un ancien profil SAML vers un profil SSO

Si votre organisation utilise l'ancien profil SSO, nous vous recommandons de migrer vers les profils SSO, qui offrent plusieurs avantages, y compris la prise en charge d'OIDC, des API plus modernes et une plus grande flexibilité pour appliquer les paramètres SSO à vos groupes d'utilisateurs. En savoir plus

Configurer le SSO avec OIDC

Pour utiliser le SSO basé sur OIDC, procédez comme suit :

  1. Choisissez une option OIDC : créez un profil OIDC personnalisé dans lequel vous fournissez des informations sur votre partenaire OIDC ou utilisez le profil OIDC Microsoft Entra préconfiguré.
  2. Suivez la procédure Déterminer les utilisateurs autorisés à utiliser l'authentification unique pour attribuer le profil OIDC préconfiguré aux unités organisationnelles ou aux groupes sélectionnés.

Si certains utilisateurs d'une unité organisationnelle (par exemple, une sous-unité organisationnelle) n'ont pas besoin du SSO, vous pouvez également le désactiver pour ces utilisateurs à l'aide d'attributions.

Remarque : L'interface de ligne de commande Google Cloud n'est actuellement pas compatible avec la réauthentification avec OIDC.

Avant de commencer

Pour configurer un profil OIDC personnalisé, vous devez obtenir une configuration de base en consultant l'équipe d'assistance ou la documentation de votre IdP :

  • URL de l'émetteur : URL complète du serveur d'autorisation de l'IdP.
  • Client OAuth identifié par son ID client et authentifié par un code secret client.
  • URL de la page de modification du mot de passe : page sur laquelle les utilisateurs SSO peuvent modifier leur mot de passe (au lieu de le faire avec Google).

De plus, Google a besoin que votre IdP tienne compte des points suivants :

  • La revendication email de votre IdP doit correspondre à l'adresse e-mail principale de l'utilisateur côté Google.
  • Il doit utiliser le flux avec code d'autorisation.

Créer un profil OIDC personnalisé

  1. Dans la console d'administration Google, accédez à Menu puis SécuritépuisAuthentificationpuisSSO avec un IdP tiers.

    Vous devez disposer du droit d'administrateur Paramètres de sécurité.

  2. Sous Profils SSO tiers, cliquez sur Ajouter un profil OIDC.
  3. Nommez le profil OIDC.
  4. Saisissez les détails OIDC : ID client, URL de l'émetteur et code secret du client.
  5. Cliquez sur Enregistrer.
  6. Sur la page des paramètres SSO OIDC du nouveau profil, copiez l'URI de redirection. Vous devrez mettre à jour votre client OAuth sur votre IdP pour répondre aux requêtes à l'aide de cet URI.

Pour modifier les paramètres, pointez sur Détails OIDC, puis cliquez sur Modifier  .

Utiliser le profil OIDC Microsoft Entra

Assurez-vous d'avoir configuré les prérequis suivants pour OIDC dans le locataire Microsoft Entra ID de votre organisation :

  • Le locataire Microsoft Entra ID doit être validé à l'aide du domaine.
  • Les utilisateurs finaux doivent disposer de licences Microsoft 365.
  • Le nom d'utilisateur (adresse e-mail principale) de l'administrateur Google Workspace qui attribue le profil SSO doit correspondre à l'adresse e-mail principale du compte administrateur de votre locataire Azure AD.

Déterminer les utilisateurs autorisés à utiliser l'authentification unique

Activez le SSO pour une unité organisationnelle ou un groupe en attribuant un profil SSO et l'IdP associé. Vous pouvez également désactiver l'authentification unique en attribuant la valeur "Aucun" au profil SSO. Vous pouvez également appliquer une règle SSO mixte au sein d'une unité organisationnelle ou d'un groupe. Par exemple, vous pouvez activer le SSO pour l'unité organisationnelle dans son ensemble, puis le désactiver pour une sous-unité organisationnelle.

Si vous n'avez pas encore créé de profil SAML ou OIDC, faites-le avant de continuer. Vous pouvez également attribuer le profil OIDC préconfiguré.

  1. Cliquez sur Gérer l'attribution des profils SSO.
  2. Si vous attribuez le profil SSO pour la première fois, cliquez sur "Commencer". Sinon, cliquez sur Gérer les devoirs.
  3. Sur la gauche, sélectionnez l'unité organisationnelle ou le groupe auquel vous attribuez le profil SSO.
    • Si l'attribution du profil SSO pour une unité organisationnelle ou un groupe diffère de l'attribution du profil au niveau du domaine, un avertissement de remplacement s'affiche lorsque vous sélectionnez cette unité organisationnelle ou ce groupe.
    • Vous ne pouvez pas attribuer le profil SSO à des utilisateurs en particulier. La vue "Utilisateurs" vous permet de vérifier le paramètre associé à un utilisateur spécifique.
  4. Choisissez une Attribution du profil SSO pour l'unité organisationnelle ou le groupe sélectionné :
    • Pour exclure l'unité organisationnelle ou le groupe du SSO, sélectionnez Aucun. Les utilisateurs de l'unité organisationnelle ou du groupe se connectent directement à Google.
    • Pour attribuer un autre IdP à l'unité organisationnelle ou au groupe, sélectionnez Autre profil SSO, puis sélectionnez le profil SSO dans la liste déroulante.

  5. (Profils SSO SAML uniquement) Après avoir sélectionné un profil SAML, choisissez une option de connexion pour les utilisateurs qui accèdent directement à un service Google sans avoir à se connecter au fournisseur d'identité tiers du profil SSO. Vous pouvez demander aux utilisateurs de saisir leur nom d'utilisateur Google, puis les rediriger vers l'IdP, ou les obliger à saisir leur nom d'utilisateur et leur mot de passe Google.

    Remarque : Si vous choisissez d'exiger des utilisateurs qu'ils saisissent leur nom d'utilisateur et leur mot de passe Google, le paramètre URL de la page de modification du mot de passe de ce profil SSO SAML (disponible sous Profil SSO > Informations sur le fournisseur d'identité) est ignoré. Les utilisateurs peuvent ainsi modifier leur mot de passe Google si nécessaire.

  6. Cliquez sur Enregistrer.

  7. (Facultatif) Attribuez des profils SSO à d'autres unités organisationnelles ou groupes si nécessaire.

Une fois la fiche Gérer l'attribution des profils SSO fermée, les attributions des unités organisationnelles et des groupes mises à jour s'affichent dans la section Gérer l'attribution des profils SSO.

Supprimer l'attribution d'un profil SSO

  1. Cliquez sur le nom d'un groupe ou d'une unité organisationnelle pour ouvrir les paramètres d'attribution de profil correspondant.
  2. Remplacez le paramètre d'attribution existant par le paramètre de l'unité organisationnelle parente :
    • Pour les attributions d'une unité organisationnelle, cliquez sur Hériter.
    • Pour les attributions d'un groupe, cliquez sur Non défini.

Remarque : Votre unité organisationnelle racine est toujours présente dans la liste des attributions de profils, même si le profil est défini sur "Aucun".

Voir aussi


Google, Google Workspace, ainsi que les marques et logos associés sont des marques appartenant à Google LLC. Tous les autres noms de sociétés et de produits sont des marques des sociétés auxquelles ils sont associés.