Configurer l'authentification unique pour votre organisation

Vous pouvez configurer l'authentification unique (SSO) avec Google en tant que fournisseur de services, selon les besoins de votre organisation. Les profils SSO, qui contiennent les paramètres de votre fournisseur d'identité (IdP), vous permettent d'appliquer différents paramètres SSO à différents utilisateurs de votre organisation.

Google Workspace est compatible avec les protocoles SSO basés sur SAML et OIDC :

Si tous vos utilisateurs se connectent via un fournisseur d'identité à l'aide de SAML :

  1. Suivez la procédure Configurer un profil SSO pour votre organisation ci-dessous.
  2. Si vous souhaitez exclure certains utilisateurs de l'authentification unique (et leur demander de se connecter directement à Google), suivez la procédure décrite dans Déterminer les utilisateurs autorisés à utiliser l'authentification unique, qui vous permet de choisir l'option "Aucun" pour le profil SSO.

Si vous utilisez plusieurs fournisseurs d'identité pour vos utilisateurs ou OIDC :

La procédure à suivre dépend du protocole utilisé par votre IdP (SAML ou OIDC) :

Si vos utilisateurs utilisent des URL de service spécifiques au domaine pour accéder aux services Google (par exemple, https://mail.google.com/a/example.com), vous pouvez également gérer la manière dont ces URL fonctionnent avec l'authentification unique.

Avant de commencer

Pour configurer un profil SSO SAML, vous devez obtenir une configuration de base en consultant l'équipe d'assistance ou la documentation de votre fournisseur d'identité :

  • URL de la page de connexion : elle est également appelée "URL d'authentification unique" ou "point de terminaison SAML 2.0 (HTTP)". C'est ici que les utilisateurs se connectent à votre IdP.
  • URL de la page de déconnexion : page à laquelle l'utilisateur accède après avoir quitté l'application ou le service Google.
  • Certificat X.509 PEM de votre fournisseur d'identité. Pour en savoir plus sur les certificats X.509, consultez la page Clé SAML et certificat de validation.
  • URL de la page de modification du mot de passe : page sur laquelle les utilisateurs SSO peuvent modifier leur mot de passe (au lieu de le faire avec Google).

Configurer le profil SSO pour votre organisation

Utilisez cette option si tous vos utilisateurs qui utilisent l'authentification unique utilisent un seul fournisseur d'identité.

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Dans la console d'administration, accédez à Menu puis Sécuritépuis Authentificationpuis SSO avec un IdP tiers.
  3. Dans Profil SSO tiers pour votre organisation, cliquez sur Ajouter un profil SSO.
  4. Cochez l'option Configurer l'authentification unique avec un fournisseur d'identité tiers.

Fournissez les informations suivantes pour votre fournisseur d'identité :

  • Saisissez l'URL de la page de connexion et l'URL de la page de déconnexion de votre IdP.

    Remarque : Toutes les URL doivent être indiquées et doivent utiliser le protocole HTTPS (par exemple, https://sso.example.com).

  • Cliquez sur Importer un certificat, puis recherchez et importez le certificat X.509 fourni par votre IdP. Pour savoir comment générer un certificat, consultez Clé SAML et certificat de validation.
  • Indiquez si vous souhaitez utiliser un émetteur spécifique au domaine dans la requête SAML de Google.

    Si plusieurs domaines utilisent l'authentification unique avec votre fournisseur d'identité, utilisez un émetteur spécifique au domaine pour identifier le domaine à l'origine de la requête SAML.

    • Case cochée : Google envoie un émetteur spécifique à votre domaine sur google.com/a/example.com (en remplaçant example.com par votre nom de domaine Google Workspace principal).
    • Case décochée : Google envoie l'émetteur standard dans la requête SAML : google.com.
  • (Facultatif) Pour appliquer l'authentification unique à un ensemble d'utilisateurs dans des plages d'adresses IP spécifiques, saisissez un masque de réseau. Pour en savoir plus, consultez Résultats du mappage de réseaux.

    Remarque : Vous pouvez également configurer l'authentification unique partielle en attribuant le profil SSO à des unités organisationnelles ou groupes spécifiques.

  • Saisissez l'URL de la page de modification du mot de passe de votre fournisseur d'identité. Les utilisateurs seront redirigés vers cette URL (et non vers la page Google de modification du mot de passe) pour réinitialiser leur mot de passe.

    Remarque : Si vous indiquez une URL ici, les utilisateurs sont dirigés vers cette page, même si vous n'activez pas l'authentification unique pour votre organisation.

Désactiver l'authentification unique pour tous les utilisateurs

Si vous devez désactiver l'authentification tierce pour tous vos utilisateurs sans modifier l'attribution du profil SSO pour les unités organisationnelles ou les groupes, vous pouvez le faire en procédant comme suit :

  1. Décochez Configurer l'authentification unique avec un fournisseur d'identité tiers.
  2. Cliquez sur Enregistrer.

Créer un profil SSO SAML

Pour créer un profil SSO tiers, suivez la procédure ci-dessous. Vous pouvez créer jusqu'à 1 000 profils dans votre organisation.

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Dans la console d'administration, accédez à Menu puis Sécuritépuis Authentificationpuis SSO avec un IdP tiers.
  3. Sous Profils SSO tiers, cliquez sur Ajouter un profil SAML.
  4. Attribuez un nom au profil.
  5. Indiquez l'URL de la page de connexion et les autres informations obtenues auprès de votre fournisseur d'identité.
  6. Saisissez l'URL de la page de modification du mot de passe de votre fournisseur d'identité. Les utilisateurs seront redirigés vers cette URL (et non vers la page Google de modification du mot de passe) pour réinitialiser leur mot de passe.
  7. Cliquez sur Importer un certificat, puis localisez et importez votre fichier de certificat. Pour savoir comment générer un certificat, consultez Clé SAML et certificat de validation.
  8. Cliquez sur Enregistrer.
  9. Dans la section Informations sur le fournisseur de services, copiez l'ID d'entité et l'URL ACS, puis enregistrez-les. Vous en aurez besoin pour configurer l'authentification unique avec Google dans le panneau de configuration de l'administrateur du fournisseur d'identité.
  10. (Facultatif) Si votre IdP accepte le chiffrement des assertions, vous pouvez générer et partager un certificat avec lui pour activer le chiffrement. Chaque profil SSO SAML peut comporter jusqu'à deux certificats de fournisseurs de services.
    1. Cliquez sur la section Informations sur le fournisseur de services pour accéder au mode Édition.
    2. Sous Certificat SP, cliquez sur Générer un certificat. (Le certificat s'affichera une fois enregistré.)
    3. Cliquez sur Enregistrer. Le nom, la date d'expiration et le contenu du certificat s'affichent.
    4. Utilisez les boutons situés au-dessus d'un certificat pour copier son contenu ou le télécharger sous forme de fichier, puis pour partager le certificat avec votre IdP. 
    5. (Facultatif) Si vous devez effectuer la rotation d'un certificat, revenez sur la page "Informations sur le fournisseur de services", cliquez sur Générer un autre certificat, puis partagez le nouveau certificat avec votre IdP. Une fois que vous êtes sûr que votre IdP utilise le nouveau certificat, vous pouvez supprimer le certificat d'origine.

Déterminer les utilisateurs autorisés à utiliser l'authentification unique

Activez l'authentification unique pour une unité organisationnelle ou un groupe en attribuant un profil SSO et l'IdP associé. Vous pouvez également désactiver l'authentification unique en attribuant la valeur "Aucun" au profil SSO. Vous pouvez également appliquer une règle d'authentification unique mixte au sein d'une unité organisationnelle ou d'un groupe. Par exemple, vous pouvez activer l'authentification unique pour l'unité organisationnelle dans son ensemble, puis la désactiver pour une sous-unité organisationnelle.

  1. Cliquez sur Gérer l'attribution des profils SSO.
  2. Si vous attribuez le profil SSO pour la première fois, cliquez sur "Commencer". Sinon, cliquez sur Gérer.
  3. Sur la gauche, sélectionnez l'unité organisationnelle ou le groupe auquel vous attribuez le profil SSO.
    • Si l'attribution du profil SSO pour une unité organisationnelle ou un groupe diffère de l'attribution du profil pour l'ensemble du domaine, un avertissement de remplacement s'affiche lorsque vous sélectionnez cette unité organisationnelle ou ce groupe.
    • Vous ne pouvez pas attribuer le profil SSO à des utilisateurs en particulier. La vue "Utilisateurs" vous permet de vérifier le paramètre associé à un utilisateur spécifique.
  4. Choisissez l'Attribution du profil SSO pour l'unité organisationnelle ou le groupe sélectionné.
    • Pour exclure l'unité organisationnelle ou le groupe de l'authentification unique, sélectionnez Aucun. Les utilisateurs de l'unité organisationnelle ou du groupe se connectent directement à Google.
    • Pour attribuer un autre fournisseur d'identité à l'unité organisationnelle ou au groupe, sélectionnez Autre profil SSO, puis sélectionnez le profil SSO dans la liste déroulante.
  5. (Profils SSO SAML uniquement) Après avoir sélectionné un profil SAML, choisissez une option de connexion pour les utilisateurs qui accèdent directement à un service Google sans avoir à se connecter au fournisseur d'identité tiers du profil SSO. Vous pouvez demander aux utilisateurs de saisir leur nom d'utilisateur Google, puis les rediriger vers l'IdP, ou les obliger à saisir leur nom d'utilisateur et leur mot de passe Google. 

    Remarque : Si vous choisissez d'exiger des utilisateurs qu'ils saisissent leur nom d'utilisateur et leur mot de passe Google, le paramètre URL de la page de modification du mot de passe de ce profil SSO SAML (disponible sous Profil SSO > Informations sur le fournisseur d'identité) est ignorée. Les utilisateurs peuvent ainsi modifier leur mot de passe Google si nécessaire.

  6. (Profil SSO OIDC Microsoft uniquement) Saisissez le mot de passe de votre compte Microsoft, puis cliquez sur Se connecter pour vérifier votre configuration SSO Microsoft.

    Si vous êtes un administrateur d'organisation Azure AD, vous pouvez accepter le consentement au nom de l'organisation. Cela signifie que les utilisateurs finaux ne seront pas invités à donner leur consentement OAuth.

  7. Cliquez sur Enregistrer.
  8. Attribuez des profils SSO à d'autres UO ou groupes si nécessaire.

Une fois la fiche Gérer l'attribution des profils SSO fermée, les attributions des unités organisationnelles et des groupes mises à jour s'affichent dans la section Gérer l'attribution des profils SSO

Supprimer une attribution de la liste des attributions des profils SSO

  1. Cliquez sur le nom d'un groupe ou d'une unité organisationnelle pour ouvrir les paramètres d'attribution de profil correspondant.
  2. Remplacez le paramètre d'attribution existant par le paramètre de l'unité organisationnelle parente :
    • Pour les attributions d'unités organisationnelles, cliquez sur Hériter.
    • Pour les attributions de groupe, cliquez sur Non défini.  
    • Pour les attributions d'UO racine, définissez l'attribution sur Aucun (ou sur Profil SSO tiers de l'organisation) si vous souhaitez utiliser le profil SSO tiers pour votre organisation.

Gérer les URL de service spécifiques au domaine

Le paramètre URL de service spécifiques au domaine vous permet de contrôler ce qui se passe lorsque les utilisateurs se connectent à l'aide d'URL de service, telles que https://mail.google.com/a/example.com. Deux options s'offrent à vous :

  • Rediriger les utilisateurs vers le fournisseur d'identité tiers. Choisissez cette option pour toujours acheminer ces utilisateurs vers l'IdP tiers que vous sélectionnez dans la liste déroulante du profil SSO. Il peut s'agir du profil SSO de votre organisation ou d'un autre profil tiers (si vous en avez ajouté un).

    Important : Ne sélectionnez pas ce paramètre si certains de vos groupes ou unités organisationnelles n'utilisent pas l'authentification unique. Vos utilisateurs sans authentification unique seront automatiquement redirigés vers le fournisseur d'identité et ne pourront pas se connecter.

  • Demander aux utilisateurs de saisir d'abord leur nom d'utilisateur sur la page de connexion Google. Avec cette option, les utilisateurs qui saisissent des URL spécifiques au domaine sont d'abord redirigés vers la page de connexion Google. S'ils utilisent l'authentification unique, ils sont redirigés vers la page de connexion du fournisseur d'identité.

Voir aussi

Se connecter avec l'authentification unique

Résoudre les problèmes liés à l'authentification unique

Ces informations vous-ont elles été utiles ?

Comment pouvons-nous l'améliorer ?
Recherche
Effacer la recherche
Fermer le champ de recherche
Menu principal
16528864666711493427
true
Rechercher dans le centre d'aide
true
true
true
true
true
73010
false
false