Se connecter à votre fournisseur d'identité pour le chiffrement côté client

Éditions compatibles avec cette fonctionnalité : Frontline Plus, Enterprise Plus, Education Standard et Education Plus. Comparer votre édition

Après avoir choisi votre service de clés externe pour le chiffrement côté client (CSE) Google Workspace, vous devez associer Google Workspace à un fournisseur d'identité (IdP). Il peut s'agir d'un fournisseur tiers ou d'une identité Google. Votre service de clés de chiffrement utilise votre IdP pour authentifier les utilisateurs avant qu'ils ne puissent chiffrer du contenu ou accéder au contenu chiffré.

Remarque : Après avoir configuré votre IdP, vous pouvez configurer un IdP pour les invités afin d'autoriser l'accès externe au contenu chiffré côté client de votre organisation. Pour en savoir plus, consultez Configurer un IdP pour les invités.

Avant de commencer

Assurez-vous d'avoir sélectionné le service de clés de chiffrement que vous souhaitez utiliser avec le CSE. Pour en savoir plus, consultez Choisir votre service de clés externe.

Étape 1 : Préparez l'association à l'IdP

Passer en revue les applications Web, de bureau et mobiles, ainsi que les outils utilitaires compatibles

L'association à l'IdP vous permet de configurer le CSE pour toutes les applications Web Google Workspace compatibles :

  • Google Drive
  • Google Docs
  • Google Sheets
  • Google Slides
  • Gmail
  • Google Agenda
  • Google Meet (audio, vidéo et messages de chat)

L'association à l'IdP vous permet également de configurer le CSE pour les applications de bureau et mobiles suivantes :

Vous pouvez également configurer les outils utilitaires suivants :

Choisir un IdP pour le CSE

Pour utiliser un service de clés de chiffrement avec le CSE, vous devez disposer d'un fournisseur d'identité (IdP) compatible avec la norme OpenID Connect (OIDC). Si vous n'utilisez pas encore d'IdP OIDC avec Google Workspace, voici deux méthodes pour configurer votre IdP afin de l'utiliser avec votre service de clés :

**Option 1 : Utiliser un IdP tiers (recommandé)**

Utilisez un IdP tiers OIDC si votre modèle de sécurité requiert une meilleure isolation de vos données chiffrées par rapport à Google.

Si vous utilisez déjà un IdP tiers pour l'authentification unique (SSO) SAML : nous vous recommandons d'utiliser l'IdP qui vous permet d'accéder aux services Google Workspace pour le CSE, si celui-ci est compatible avec OIDC. En savoir plus sur l'utilisation de l'authentification unique basée sur SAML avec Google Workspace

**Option 2 : Utiliser l'identité Google**

Si votre modèle de sécurité ne nécessite pas forcément d'isoler les données chiffrées par rapport à Google, vous pouvez utiliser l'identité Google par défaut comme fournisseur d'identité.

IdP tiers uniquement : configurer les navigateurs des utilisateurs

Si vous utilisez un IdP tiers pour le CSE, nous vous recommandons d'autoriser les cookies tiers provenant de votre IdP dans les navigateurs de vos utilisateurs. Sinon, les utilisateurs devront peut-être se connecter plus souvent à votre IdP lorsqu'ils utilisent le CSE.

  • Si votre organisation utilise Chrome Enterprise : vous pouvez utiliser la règle CookiesAllowedForUrls.
  • Pour les autres navigateurs : consultez la documentation d'aide du navigateur pour savoir comment autoriser les cookies tiers.

Choisir le mode de connexion à votre IdP pour le CSE

Qu'il s'agisse d'un fournisseur d'identité tiers ou de l'identité Google, vous pouvez configurer votre IdP à l'aide d'un fichier .well-known hébergé sur le site Web de votre organisation, ou bien à l'aide de la console d'administration (remplacement du fournisseur d'identité). Chaque méthode comporte plusieurs points à prendre en considération, qui sont décrits dans le tableau ci-dessous.

Remarque : Si vous configurez un IdP pour les invités, vous devez utiliser la console d'administration.

Remarques Configuration .well-known Configuration dans la console d'administration (remplacement du fournisseur d'identité)
Isolation de Google Les paramètres d'IdP sont stockés sur votre propre serveur. Les paramètres d'IdP sont stockés sur les serveurs Google.
Responsabilités de l'administrateur Un webmaster peut gérer votre configuration à la place d'un super-administrateur Google Workspace. Seul un super-administrateur Google Workspace peut gérer votre configuration d'IdP.
Disponibilité du CSE La disponibilité (temps d'activité) du CSE dépend de celle du serveur qui héberge votre fichier .well-known. La disponibilité du CSE correspond à la disponibilité générale des services Google Workspace.
Facilité de configuration Nécessite la modification des paramètres DNS de votre serveur, en dehors de la console d'administration. Configurez les paramètres dans la console d'administration.
Partage en dehors de votre organisation Le service de clés externe de votre collaborateur peut accéder facilement à vos paramètres d'IdP. L'accès peut être automatisé et permettre au service de votre collaborateur d'accéder immédiatement à toute modification des paramètres du fournisseur d'identité.

Le service de clés externe de votre collaborateur ne peut pas accéder à vos paramètres d'IdP dans la console d'administration. Vous devez fournir les paramètres d'IdP directement à votre collaborateur avant de partager des fichiers chiffrés pour la première fois, ainsi que chaque fois que vous modifiez ces paramètres.

Étape 2 : Créez des ID client pour le CSE

Créer un ID client pour les applications Web

Vous devez créer un ID client et ajouter des URI de redirection pour les applications Web Google Workspace compatibles. Pour obtenir la liste des applications compatibles, consultez la section Applications Web, de bureau et mobiles compatibles plus haut sur cette page.

La façon dont vous créez un ID client pour les applications Web varie selon que vous utilisez un IdP tiers ou une identité Google.

Remarque : Si vous configurez un IdP pour les invités, vous devez créer un ID client supplémentaire pour l'accès à Google Meet. Celui-ci permet de vérifier que l'invité a été invité à la réunion. Pour en savoir plus, consultez Configurer un IdP pour les invités.

**Si vous utilisez un IdP tiers pour le CSE**

Créez un ID client à l'aide de la console d'administration de votre IdP. Vous devez également ajouter les URI de redirection suivants à la console d'administration de votre IdP :

Services Web :

  • https://client-side-encryption.google.com/callback
  • https://client-side-encryption.google.com/oidc/cse/callback
  • https://client-side-encryption.google.com/oidc/drive/callback
  • https://client-side-encryption.google.com/oidc/gmail/callback
  • https://client-side-encryption.google.com/oidc/meet/callback
  • https://client-side-encryption.google.com/oidc/calendar/callback
  • https://client-side-encryption.google.com/oidc/docs/callback
  • https://client-side-encryption.google.com/oidc/sheets/callback
  • https://client-side-encryption.google.com/oidc/slides/callback

Drive pour ordinateur :

http://localhost

Applications mobiles Android et iOS :

  • https://client-side-encryption.google.com/oidc/gmail/native/callback
  • https://client-side-encryption.google.com/oidc/meet/native/callback
  • https://client-side-encryption.google.com/oidc/calendar/native/callback
  • https://client-side-encryption.google.com/oidc/drive/native/callback
  • https://client-side-encryption.google.com/oidc/gmail/meet/native/callback

**Si vous utilisez l'identité Google pour le CSE**

Vous devez créer un ID client dans la console Google Cloud. Vous l'ajouterez dans votre fichier .well-known/cse-configuration ou dans la console d'administration. Vous allez également configurer des origines JavaScript (également appelé CORS, Cross-Origin Resource Sharing) et ajouter des URI de redirection.

  1. Accédez à la page console.cloud.google.com.
  2. Créez un projet Google Cloud. Obtenir des instructions

    Configurez le projet comme vous le souhaitez (cette opération permet de conserver les identifiants).

  3. Dans la console, accédez à Menu  puisAPI et servicespuisIdentifiants.
  4. Créez un ID client OAuth pour une nouvelle application Web que vous utiliserez avec le CSE. Obtenir des instructions détaillées
  5. Modifiez les origines JavaScript avec les éléments suivants :
    • https://admin.google.com
    • https://client-side-encryption.google.com
  6. Dans le champ URI de redirection autorisés, indiquez les éléments suivants.

    Services Web :

    • https://client-side-encryption.google.com/callback
    • https://client-side-encryption.google.com/oidc/cse/callback
    • https://client-side-encryption.google.com/oidc/drive/callback
    • https://client-side-encryption.google.com/oidc/gmail/callback
    • https://client-side-encryption.google.com/oidc/meet/callback
    • https://client-side-encryption.google.com/oidc/calendar/callback
    • https://client-side-encryption.google.com/oidc/docs/callback
    • https://client-side-encryption.google.com/oidc/sheets/callback
    • https://client-side-encryption.google.com/oidc/slides/callback

    Drive pour ordinateur :

    http://localhost

    Applications mobiles Android et iOS :

    Aucune configuration supplémentaire n'est nécessaire pour les applications mobiles Android et iOS.

Un ID client OAuth est créé. Enregistrez cet ID pour pouvoir l'ajouter à votre fichier .well-known/cse-configuration ou à la console d'administration.

Créer des ID client pour les applications de bureau et mobiles

Si vous souhaitez que vos utilisateurs puissent utiliser le CSE avec des applications de bureau et mobiles, vous avez besoin d'ID client pour ces applications. Vous les ajouterez à votre fichier .well-known/cse-configuration ou à la console d'administration.  Vous devrez peut-être également ajouter les ID client à la configuration de votre service de clés. Pour en savoir plus, consultez la documentation de votre service de clés.

Pour chaque application mobile, vous avez besoin d'un ID client pour chaque plate-forme (Android et iOS). Pour obtenir la liste des applications compatibles, consultez la section Applications Web, de bureau et mobiles compatibles plus haut sur cette page.

La façon dont vous obtenez les ID client pour les applications de bureau et mobiles varie selon que vous utilisez un IdP tiers ou une identité Google.

Remarque : Ces ID client doivent être compatibles avec le type d'attribution authorization_code pour PKCE (RFC 7636).

**Si vous utilisez un IdP tiers pour le CSE**

Utilisez la console d'administration de votre IdP pour générer un ID client distinct pour chaque application.

**Si vous utilisez l'identité Google pour le CSE**

Utilisez les ID client suivants :

  • Drive pour ordinateur : utilisez l'ID client 947318989803-k88lapdik9bledfml8rr69ic6d3rdv57.apps.googleusercontent.com.
  • Drive sur Android : utilisez l'ID client 313892590415-6lbccuf47cou4q45vanraqp3fv5jt9do.apps.googleusercontent.com.
  • Drive sur iOS : utilisez l'ID client 313892590415-d3h1l7kl4htab916r6jevqdtu8bfmh9m.apps.googleusercontent.com.
  • Agenda sur Android : utilisez l'ID client 313892590415-q84luo8fon5pn5vl8a6rppo1qvcd3qvn.apps.googleusercontent.com.
  • Agenda sur iOS : utilisez l'ID client 313892590415-283b3nilr8561tedgu1n4dcm9hd6g3hr.apps.googleusercontent.com.
  • Gmail sur Android : utilisez l'ID client 313892590415-samhd32i4piankgs42o9sit5e9dug452.apps.googleusercontent.com.
  • Gmail sur iOS : utilisez l'ID client 313892590415-ijvjpbnsh0gauuunjgsdn64ngg37k6rc.apps.googleusercontent.com.
  • Meet sur Android : utilisez l'ID client 313892590415-i06v47su4k03ns7ot38akv7s9ari5oa5.apps.googleusercontent.com.
  • Meet sur iOS : utilisez l'ID client 313892590415-32ha2bvs0tr1b12s089i33o58hjvqt55.apps.googleusercontent.com.

Créer des ID clients pour les outils utilitaires

Voici nos recommandations :

  1. Utilisez un ID client pour chaque outil utilitaire qui interagit avec les points de terminaison privilégiés (privilegedwrap, privilegedunwrap, privilegedprivatekeydecrypt) de votre service de clés. Pour obtenir la liste des outils compatibles, consultez Passer en revue les applications Web, de bureau et mobiles compatibles, ainsi que les outils utilitaires sur cette page.
  2. Configurez les règles d'accès de votre service de clés pour les points de terminaison privilegedunwrap et privilegedprivatekeydecrypt afin d'autoriser l'ID client de l'utilitaire de déchiffrement CSE.

Étape 3 : Connectez-vous à votre IdP pour le CSE

Pour associer Google Workspace à votre fournisseur d'identité (IdP), vous pouvez utiliser un fichier .well-known ou la console d'administration. Une fois la connexion établie, vous devez autoriser votre IdP dans la console d'administration.

Remarque : Si vous configurez un IdP pour les invités, vous devez utiliser la console d'administration.

Option 1 : Se connecter à l'IdP via un fichier .well-known

Pour configurer votre IdP tiers ou Google avec cette option, vous devez placer un fichier .well-known sur le site Web public de votre organisation. Ce fichier identifie l'IdP que vous utilisez et permet à vos collaborateurs externes de découvrir vos paramètres d'IdP.

Étape 1 : Placez le fichier .well-known sur votre serveur

Votre configuration d'IdP doit être placée à l'URI suivant sur votre domaine :

https://cse.subdomain.domain.tld/.well-known/cse-configuration

Remplacez subdomain.domain.tld par le domaine de votre adresse e-mail. Par exemple, si le domaine de votre adresse e-mail est solarmora.com, vous devez placer votre fichier .well-known à l'adresse suivante :

https://cse.solarmora.com/.well-known/cse-configuration

Remarque : Le préfixe https://cse. est obligatoire, car l'URI .well-known n'est pas enregistré auprès de l'IETF (RFC 8615).

Étape 2 : Configurez le fichier .well-known

Le contenu de votre fichier .well-known (dans well-known/cse-configuration) doit être encodé au format JSON (RFC 8259) et contenir les champs suivants :

Champ Description

name

 Nom du fournisseur d'identité. Vous pouvez utiliser le nom de votre choix. Ce nom apparaît dans les messages d'erreur d'IdP affichés pour les utilisateurs des services Google tels que Drive et les éditeurs Docs.

client_id

ID client OpenID Connect (OIDC) utilisé par l'application Web cliente de CSE pour acquérir un jeton Web JSON (JWT).

Lorsque vous créez un ID client, vous ajoutez également des URI de redirection dans la console Google Cloud.

Pour en savoir plus sur la création d'un ID client, consultez Créer un ID client pour les applications Web plus haut sur cette page.
discovery_uri

URL de découverte OIDC telle que définie dans cette spécification OpenID.

Si vous utilisez un IdP tiers

Votre IdP vous fournit cette URL, qui se termine généralement par /.well-known/openid-configuration.

Si vous utilisez une identité Google

Utiliser https://accounts.google.com/.well-known/openid-configuration
grant_type

Flux OAuth utilisé pour OIDC avec les applications Web clientes de CSE.

Si vous utilisez un IdP tiers

Vous pouvez utiliser le type d'attribution implicit ou authorization_code pour les applications Web de CSE.

Si vous utilisez une identité Google

Vous ne pouvez utiliser que le type d'attribution implicit pour les applications Web.

applications

Les applications clientes supplémentaires avec lesquelles vous souhaitez utiliser le CSE. Vous devez ajouter un ID client à chaque application dans votre fichier .well-known.

Remarque : Ces ID client doivent être compatibles avec le type d'attribution authorization_code pour PKCE (RFC 7636).

Pour en savoir plus sur la création d'ID client, consultez Créer un ID client pour les applications de bureau et mobiles plus haut sur cette page.

    **Si vous utilisez un IdP tiers, le fichier .well-known devrait se présenter comme suit :**

    **Si vous utilisez l'identité Google, le fichier .well-known devrait se présenter comme suit :**

    Étape 3 : Configurez CORS

    Si vous utilisez l'identité Google pour votre IdP : vous configurez CORS dans la console Google Cloud lorsque vous créez votre ID client. Pour en savoir plus, consultez Créer un ID client pour les applications Web plus haut sur cette page.

    Si vous utilisez un IdP tiers : vos configurations .well-known/openid-configuration et .well-known/cse-configuration doivent autoriser les URL d'origine pour les appels CORS (Cross-Origin Resource Sharing, partage de ressources inter-origines). Dans la console d'administration de votre IdP, définissez vos configurations comme suit :

      .well-known/openid-configuration (URI de découverte)

      • Méthodes : GET
      • Origines autorisées :
        • https://admin.google.com
        • https://client-side-encryption.google.com

      .well-known/cse-configuration

      • Méthodes : GET
      • Origines autorisées :
        • https://admin.google.com
        • https://client-side-encryption.google.com

      Option 2 : Se connecter à l'IdP via la console d'administration

      Au lieu d'utiliser un fichier .well-known, vous pouvez associer Google Workspace à votre IdP à l'aide de la console d'administration.

      Remarque : Si vous configurez un IdP pour les invités, vous devez utiliser la console d'administration.

      Étape 1 : Collectez des informations sur votre IdP

      Pour vous connecter à l'IdP à l'aide de la console d'administration, vous aurez besoin des informations suivantes concernant votre IdP :

      Nom de votre IdP Pour en savoir plus, consultez Configurer le fichier .well-known plus haut sur cette page.
      ID client pour les applications Web Pour en savoir plus, consultez Créer un ID client pour les applications Web plus haut sur cette page.
      URI de découverte Pour en savoir plus, consultez Configurer le fichier .well-known plus haut sur cette page.
      ID client pour les applications de bureau et mobiles (facultatif) Pour en savoir plus, consultez Créer des ID client pour les applications de bureau et mobiles plus haut sur cette page.

      Étape 2 : Configurez CORS

      Si vous utilisez l'identité Google : vous configurez le partage de ressources inter-origines (CORS) dans la console Google Cloud lorsque vous créez votre ID client. Pour en savoir plus, consultez Créer un ID client pour les applications Web plus haut sur cette page.

      Si vous utilisez un IdP tiers : dans la console d'administration de votre IdP, configurez l'URI de découverte afin d'autoriser les URL d'origine pour les appels CORS (Cross-Origin Resource Sharing), comme suit :

      • Méthode : GET
      • Origines autorisées :
        • https://admin.google.com
        • https://client-side-encryption.google.com

      Étape 3 : Ajoutez des informations à la console d'administration

      Pour cette tâche, vous devez être connecté en tant que super-administrateur.

      1. Dans la console d'administration Google, accédez à Menu  puis DonnéespuisConformitépuisChiffrement côté client.

        Pour cette tâche, vous devez être connecté en tant que super-administrateur.

        Remarque : Sous Configuration du fournisseur d'identité, un message indique que Google Workspace ne peut pas accéder à votre fichier .well-known. Comme vous vous connectez à votre IdP via la console d'administration, vous pouvez ignorer ce message.

      2. Sous Configuration du fournisseur d'identité, cliquez sur Configurer le remplacement du fournisseur d'identité.

        Si vous configurez un IdP pour les invités, cliquez sur Configurer l'IdP pour les invités.

      3. Saisissez les informations suivantes sur votre IdP :
        • Nom
        • ID client (pour les applications Web)
        • URI de découverte

      4. Cliquez sur Test connection (Tester la connexion).

        Si Google Workspace parvient à se connecter à votre IdP, le message "Connexion établie" s'affiche.

      5. Si vous configurez un IdP pour les invités : cliquez sur Continuer, puis sélectionnez les applications Web pour lesquelles vous souhaitez fournir un accès invité.

        Pour autoriser l'accès invité à Google Meet (Web), saisissez également l'ID client pour vérifier l'invitation d'un utilisateur.

        Cliquez ensuite sur Enregistrer pour fermer la fiche.

      6. (Facultatif) Pour utiliser le CSE avec des applications spécifiques :
        1. Sous Authentification pour les applications de bureau et mobiles Google (facultatif), sélectionnez les applications avec lesquelles vous souhaitez utiliser le CSE.
        2. Dans le champ ID client, indiquez l'ID client de l'application.
      7. Cliquez sur Ajouter un fournisseur pour fermer la fiche.

      Étape 4 (IdP tiers uniquement) : Ajoutez votre IdP à la liste d'autorisation dans la console d'administration

      Vous devez ajouter l'IdP tiers à votre liste d'autorisation d'applications tierces afin d'éviter que vos utilisateurs aient à se connecter plusieurs fois à l'IdP. Suivez les instructions de l'article Contrôler quelles applications tierces et internes ont accès aux données Google Workspace, sous "Gérer l'accès aux applications : "Approuvée", "Accès limité" ou "Accès bloqué".

      Étape suivante

      Après avoir configuré votre IdP, vous pouvez configurer votre service de clés de chiffrement.