Se connecter au fournisseur d'identité pour le chiffrement côté client

Éditions compatibles avec cette fonctionnalité : Enterprise Plus, Education Standard et Education Plus. Comparer votre édition

Après avoir choisi votre service de clés externe pour le chiffrement côté client (CSE) Google Workspace, vous devez associer Google Workspace à un fournisseur d'identité (IdP). Il peut s'agit d'un fournisseur tiers ou d'une identité Google. Le service de clés de chiffrement choisi pour chiffrer le contenu utilisera votre IdP pour authentifier les utilisateurs avant qu'ils ne puissent chiffrer du contenu ou accéder au contenu chiffré.

Remarque : Après avoir configuré votre IdP, vous pouvez configurer un IdP pour les invités afin d'autoriser l'accès externe au contenu chiffré côté client de votre organisation. Pour en savoir plus, consultez Configurer un IdP pour les invités.

Avant de commencer

Assurez-vous d'avoir sélectionné les services de clés de chiffrement que vous souhaitez utiliser avec le CSE. Pour en savoir plus, consultez Choisir votre service de clés externe.

Étape 1 : Préparez l'association à l'IdP

Ouvrir la section  |  Tout réduire

Passer en revue les applications Web, de bureau et mobiles compatibles

L'association à l'IdP vous permet de configurer le CSE pour toutes les applications Web Google Workspace compatibles :

  • Google Drive
  • Google Docs
  • Google Sheets
  • Google Slides
  • Dans Gmail 
  • Google Agenda
  • Google Meet (audio, vidéo et messages de chat)

L'association à l'ldP vous permet également de configurer le CSE pour les applications de bureau et mobiles suivantes :

Choisir un IdP pour le chiffrement côté client

Pour utiliser un service de clés de chiffrement avec le CSE, vous devez disposer d'un fournisseur d'identité (IdP) compatible avec la norme OpenID Connect (OIDC). Si vous n'utilisez pas encore d'IdP OIDC avec Google Workspace, voici deux méthodes pour configurer votre IdP afin de l'utiliser avec votre service de clés :

Option 1 : Utiliser un IdP tiers (recommandé)

Utilisez un IdP tiers OIDC si votre modèle de sécurité requiert une meilleure isolation de vos données chiffrées par rapport à Google.

Si vous utilisez déjà un IdP tiers pour l'authentification unique (SSO) SAML : nous vous recommandons d'utiliser l'IdP qui vous permet d'accéder aux services Google Workspace pour le CSE, si celui-ci est compatible avec OIDC. En savoir plus sur l'utilisation de l'authentification unique basée sur SAML avec Google Workspace

Option 2 : Utiliser l'identité Google

Si votre modèle de sécurité ne nécessite pas forcément d'isoler les données chiffrées par rapport à Google, vous pouvez utiliser l'identité Google par défaut comme fournisseur d'identité. 

IdP tiers uniquement : Configurer les navigateurs des utilisateurs

Si vous utilisez un IdP tiers pour le CSE, nous vous recommandons d'autoriser les cookies tiers provenant de votre IdP dans les navigateurs de vos utilisateurs. Sinon, les utilisateurs devront peut-être se connecter plus souvent à votre IdP lorsqu'ils utilisent le CSE.

  • Si votre organisation utilise Chrome Enterprise : vous pouvez utiliser la règle CookiesAllowedForUrls.
  • Pour les autres navigateurs : consultez la documentation d'aide du navigateur pour savoir comment autoriser les cookies tiers.
Choisir le mode de connexion au fournisseur d'identité pour le chiffrement côté client

Qu'il s'agisse d'un fournisseur d'identité tiers ou de l'identité Google, vous pouvez configurer votre IdP à l'aide d'un fichier .well-known hébergé sur le site Web de votre organisation, ou bien à l'aide de la console d'administration (remplacement du fournisseur d'identité). Chaque méthode comporte plusieurs points à prendre en considération, qui sont décrits dans le tableau ci-dessous.

Remarque : Si vous configurez un IdP pour les invités, vous devez utiliser la console d'administration.

Remarques : configuration .well-known Configuration dans la console d'administration (remplacement du fournisseur d'identité)
Isolation de Google Les paramètres d'IdP sont stockés sur votre propre serveur. Les paramètres d'IdP sont stockés sur les serveurs Google.
Responsabilités des administrateurs Un webmaster peut gérer votre configuration à la place d'un super-administrateur Google Workspace. Seul un super-administrateur Google Workspace peut gérer votre configuration d'IdP.
Disponibilité du chiffrement côté client La disponibilité (temps d'activité) du CSE dépend de celle du serveur qui héberge votre fichier .well-known. La disponibilité du CSE correspond à la disponibilité générale des services Google Workspace.
Facilité de paramétrage Nécessite la modification des paramètres DNS de votre serveur, en dehors de la console d'administration. Configurez les paramètres dans la console d'administration.
Partager du contenu en dehors de votre organisation Le service de clés externe de votre collaborateur peut accéder facilement à vos paramètres d'IdP. L'accès peut être automatisé et permettre au service de votre collaborateur d'accéder immédiatement à toute modification des paramètres du fournisseur d'identité.

Le service de clés externe de votre collaborateur ne peut pas accéder à vos paramètres d'IdP dans la console d'administration. Vous devez fournir les paramètres d'IdP directement à votre collaborateur avant de partager des fichiers chiffrés pour la première fois, ainsi que chaque fois que vous modifiez ces paramètres.

Étape 2 : Créez des ID client pour le CSE

Ouvrir la section  |  Tout réduire

Créer un ID client pour les applications Web

Vous devez créer un ID client et ajouter des URI de redirection pour les applications Web Google Workspace compatibles. Pour obtenir la liste des applications compatibles, consultez la section Applications Web, de bureau et mobiles compatibles plus haut sur cette page.

La façon dont vous créez un ID client pour les applications Web varie selon que vous utilisez un IdP tiers ou une identité Google.

Remarque : Si vous configurez un IdP pour les invités, vous devez créer un ID client supplémentaire pour l'accès à Google Meet. Celui-ci permet de vérifier que l'invité a été invité à la réunion. Pour en savoir plus, consultez Configurer un IdP pour les invités.

Si vous utilisez un IdP tiers pour le CSE

Créez un ID client à l'aide de la console d'administration de votre IdP. Vous devez également ajouter les URI de redirection suivants à la console d'administration de votre IdP :

Services Web :

  • https://client-side-encryption.google.com/callback
  • https://client-side-encryption.google.com/oidc/cse/callback
  • https://client-side-encryption.google.com/oidc/drive/callback
  • https://client-side-encryption.google.com/oidc/gmail/callback
  • https://client-side-encryption.google.com/oidc/meet/callback
  • https://client-side-encryption.google.com/oidc/calendar/callback
  • https://client-side-encryption.google.com/oidc/docs/callback
  • https://client-side-encryption.google.com/oidc/sheets/callback
  • https://client-side-encryption.google.com/oidc/slides/callback

Drive pour ordinateur :

http://localhost

Applications mobiles Android et iOS :

  • https://client-side-encryption.google.com/oidc/gmail/native/callback
  • https://client-side-encryption.google.com/oidc/meet/native/callback
  • https://client-side-encryption.google.com/oidc/calendar/native/callback
  • https://client-side-encryption.google.com/oidc/drive/native/callback
  • https://client-side-encryption.google.com/oidc/gmail/meet/native/callback

Si vous utilisez l'identité Google pour le CSE

Vous devez créer un ID client dans la console Google Cloud. Vous allez également configurer des origines JavaScript (également appelé CORS, Cross-Origin Resource Sharing) et ajouter des URI de redirection.

  1. Accédez à console.cloud.google.com.
  2. Créez un projet Google Cloud. Obtenir des instructions

    Configurez le projet comme vous le souhaitez (cette opération permet de conserver les identifiants).

  3. Dans la console, accédez à Menu puisAPI et servicespuisIdentifiants.
  4. Créez un ID client OAuth pour une nouvelle application Web que vous utiliserez avec le CSE. Obtenir des instructions détaillées
  5. Modifiez les origines JavaScript avec les éléments suivants :
    • https://admin.google.com
    • https://client-side-encryption.google.com
  6. Dans le champ URI de redirection autorisés, indiquez les éléments ci-dessous.

    Services Web :

    • https://client-side-encryption.google.com/callback
    • https://client-side-encryption.google.com/oidc/cse/callback
    • https://client-side-encryption.google.com/oidc/drive/callback
    • https://client-side-encryption.google.com/oidc/gmail/callback
    • https://client-side-encryption.google.com/oidc/meet/callback
    • https://client-side-encryption.google.com/oidc/calendar/callback
    • https://client-side-encryption.google.com/oidc/docs/callback
    • https://client-side-encryption.google.com/oidc/sheets/callback
    • https://client-side-encryption.google.com/oidc/slides/callback

    Drive pour ordinateur :

    http://localhost

    Applications mobiles Android et iOS :

    Aucune configuration supplémentaire n'est nécessaire pour les applications mobiles Android et iOS.

Un ID client OAuth est créé. Enregistrez cet ID pour pouvoir l'utiliser dans votre fichier .well-known/cse-configuration ou dans la console d'administration.

Créer des ID client pour les applications de bureau et mobiles

Si vous souhaitez que vos utilisateurs puissent utiliser le CSE avec des applications de bureau et mobiles, vous avez besoin d'ID client pour ces applications. Pour chaque application mobile, vous avez besoin d'un ID client pour chaque plate-forme (Android et iOS). Pour obtenir la liste des applications compatibles, consultez la section Applications Web, de bureau et mobiles compatibles plus haut sur cette page.

La façon dont vous obtenez les ID client pour les applications de bureau et mobiles varie selon que vous utilisez un IdP tiers ou une identité Google.

Remarque : Ces ID client doivent être compatibles avec le type d'attribution authorization_code pour PKCE (RFC 7636).

Si vous utilisez un IdP tiers pour le CSE

Utilisez la console d'administration de votre IdP pour générer un ID client distinct pour chaque application.

Si vous utilisez l'identité Google pour le CSE

Utilisez les ID client suivants :

  • Drive pour ordinateur : utilisez l'ID client 947318989803-k88lapdik9bledfml8rr69ic6d3rdv57.apps.googleusercontent.com.
  • Drive sur Android : utilisez l'ID client 313892590415-6lbccuf47cou4q45vanraqp3fv5jt9do.apps.googleusercontent.com.
  • Drive sur iOS : utilisez l'ID client 313892590415-d3h1l7kl4htab916r6jevqdtu8bfmh9m.apps.googleusercontent.com.
  • Agenda sur Android : utilisez l'ID client 313892590415-q84luo8fon5pn5vl8a6rppo1qvcd3qvn.apps.googleusercontent.com.
  • Agenda sur iOS : utilisez l'ID client 313892590415-283b3nilr8561tedgu1n4dcm9hd6g3hr.apps.googleusercontent.com.
  • Gmail sur Android : utilisez l'ID client 313892590415-samhd32i4piankgs42o9sit5e9dug452.apps.googleusercontent.com.
  • Gmail sur iOS : utilisez l'ID client 313892590415-ijvjpbnsh0gauuunjgsdn64ngg37k6rc.apps.googleusercontent.com.
  • Meet sur Android : utilisez l'ID client 313892590415-i06v47su4k03ns7ot38akv7s9ari5oa5.apps.googleusercontent.com.
  • Meet sur iOS : utilisez l'ID client 313892590415-32ha2bvs0tr1b12s089i33o58hjvqt55.apps.googleusercontent.com.

Étape 3 : Connectez-vous à votre IdP pour le CSE

Pour associer Google Workspace à votre fournisseur d'identité (IdP), vous pouvez utiliser un fichier .well-known ou la console d'administration. Une fois la connexion établie, vous devez autoriser votre IdP dans la console d'administration.

Remarque : Si vous configurez un IdP pour les invités, vous devez utiliser la console d'administration.

Option 1 : Se connecter à l'IdP via un fichier .well-known

Pour configurer votre IdP tiers ou Google avec cette option, vous devez placer un fichier .well-known sur le site Web public de votre organisation. Ce fichier identifie l'IdP que vous utilisez et permet à vos collaborateurs externes de découvrir vos paramètres d'IdP.

Ouvrir la section  |  Tout réduire

Étape 1 : Placez le fichier .well-known sur votre serveur

Votre configuration d'IdP doit être placée à l'URI suivant sur votre domaine :

https://cse.sousdomaine.domaine.extension/.well-known/cse-configuration

Remplacez sousdomaine.domaine.extension par le domaine de votre adresse e-mail. Par exemple, si le domaine de votre adresse e-mail est solarmora.com, vous devez placer votre fichier .well-known à l'adresse suivante :

https://cse.solarmora.com/.well-known/cse-configuration

Remarque : Le préfixe https://cse. est obligatoire, car l'URI .well-known n'est pas enregistré auprès de l'IETF (RFC 8615).

Étape 2 : Configurez le fichier .well-known

Le contenu de votre fichier .well-known (dans well-known/cse-configuration) doit être encodé au format JSON (RFC 8259) et contenir les champs suivants :

Champ Description

name

 Nom du fournisseur d'identité. Vous pouvez utiliser le nom de votre choix. Ce nom apparaît dans les messages d'erreur d'IdP affichés pour les utilisateurs des services Google tels que Drive et les éditeurs Docs.

client_id

ID client OpenID Connect (OIDC) utilisé par l'application Web cliente de CSE pour acquérir un jeton Web JSON (JWT).

Lorsque vous créez un ID client, vous ajoutez également des URI de redirection dans la console Google Cloud.

Pour en savoir plus sur la création d'un ID client, consultez Créer un ID client pour les applications Web plus haut sur cette page.
discovery_uri

URL de découverte OIDC telle que définie dans cette spécification OpenID.

Si vous utilisez un IdP tiers

Votre IdP vous fournit cette URL, qui se termine généralement par /.well-known/openid-configuration.

Si vous utilisez l'identité Google

Utilisez https://accounts.google.com/.well-known/openid-configuration.
grant_type

Flux OAuth utilisé pour OIDC avec les applications Web clientes de CSE.

Si vous utilisez un IdP tiers

Vous pouvez utiliser le type d'attribution implicit (implicite) ou authorization_code (code d'autorisation) pour les applications Web de CSE. 

Si vous utilisez l'identité Google

Vous ne pouvez utiliser que le type d'attribution implicit pour les applications Web.

applications

Les applications clientes supplémentaires avec lesquelles vous souhaitez utiliser le CSE. Vous devez ajouter un ID client à chaque application dans votre fichier .well-known. 

Remarque : Ces ID client doivent être compatibles avec le type d'attribution authorization_code pour PKCE (RFC 7636).

Pour en savoir plus sur la création d'ID client, consultez la section Créer un ID client pour les applications de bureau et mobiles plus haut sur cette page.

Si vous utilisez un IdP tiers, le fichier .well-known devrait se présenter comme suit :

{

  "name" : "nom de l'IdP",

  "client_id": "ID de l'IdP",

  "discovery_uri" : "https://votre_idp.com/.well-known/openid-configuration",

  "applications":{

    "drivefs":{

      "client_id": "ID de l'IdP"

    },

    "drive-android": {

      "client_id": "ID de l'IdP"
    },

    "drive-ios": {

      "client_id": "ID de l'IdP"

    },

    "calendar-android": {

      "client_id": "ID de l'IdP"

    },

    "calendar-ios": {

      "client_id": "ID de l'IdP"

    },

    "gmail-android": {

      "client_id": "ID de l'IdP"

    },

    "gmail-ios": {

      "client_id": "ID de l'IdP"

    },

    "meet-android": {

      "client_id": "ID de l'IdP"

    },

    "meet-ios": {

      "client_id": "ID de l'IdP"

    }

  }

}

Si vous utilisez l'identité Google, le fichier .well-known devrait se présenter comme suit :

{

  "name" : "Google Identity",

  "client_id" : "ID émis par Google Cloud (créé ci-dessus)",

  "discovery_uri" : "https://accounts.google.com/.well-known/openid-configuration",

  "applications":{

    "drivefs":{

      "client_id": "947318989803-k88lapdik9bledfml8rr69ic6d3rdv57.apps.googleusercontent.com"

    },

    "drive-android":{
      "client_id": "313892590415-6lbccuf47cou4q45vanraqp3fv5jt9do.apps.googleusercontent.com"
    },
    "drive-ios":{
      "client_id": "313892590415-d3h1l7kl4htab916r6jevqdtu8bfmh9m.apps.googleusercontent.com"

    },
    "calendar-android":{
      "client_id": "313892590415-q84luo8fon5pn5vl8a6rppo1qvcd3qvn.apps.googleusercontent.com"

    },
    "calendar-ios":{
      "client_id": "313892590415-283b3nilr8561tedgu1n4dcm9hd6g3hr.apps.googleusercontent.com"

    },
    "gmail-android":{
      "client_id": "313892590415-samhd32i4piankgs42o9sit5e9dug452.apps.googleusercontent.com"

    },
    "gmail-ios":{
      "client_id": "313892590415-ijvjpbnsh0gauuunjgsdn64ngg37k6rc.apps.googleusercontent.com"

    },
    "meet-android":{
      "client_id": "313892590415-i06v47su4k03ns7ot38akv7s9ari5oa5.apps.googleusercontent.com"

    },
    "meet-ios":{
      "client_id": "313892590415-32ha2bvs0tr1b12s089i33o58hjvqt55.apps.googleusercontent.com"

    }

  }

}

Étape 3 : Configurez CORS

Si vous utilisez l'identité Google pour votre IdP : vous configurez CORS dans la console Google Cloud lorsque vous créez votre ID client. Pour en savoir plus, consultez Créer un ID client pour les applications Web plus haut sur cette page.

Si vous utilisez un IdP tiers : vos configurations .well-known/openid-configuration et .well-known/cse-configuration doivent autoriser les URL d'origine pour les appels CORS (Cross-Origin Resource Sharing, partage de ressources inter-origines). Dans la console d'administration de votre IdP, définissez vos configurations comme suit :

.well-known/openid-configuration (URI de découverte)

  • Méthodes : GET
  • Origines autorisées :
    • https://admin.google.com
    • https://client-side-encryption.google.com

.well-known/cse-configuration

  • Méthodes : GET
  • Origines autorisées :
    • https://admin.google.com
    • https://client-side-encryption.google.com

Option 2 : Se connecter à l'IdP via la console d'administration

Au lieu d'utiliser un fichier .well-known, vous pouvez associer Google Workspace à votre IdP via la console d'administration.
Remarque : Si vous configurez un IdP pour les invités, vous devez utiliser la console d'administration.

Ouvrir la section  |  Tout réduire

Étape 1 : Collectez des informations sur votre IdP

Pour vous connecter à l'IdP via la console d'administration, vous aurez besoin des informations suivantes concernant votre fournisseur d'identité :

Nom de votre IdP Pour en savoir plus, consultez Configurer le fichier .well-known plus haut sur cette page.
ID client des applications Web Pour en savoir plus, consultez Créer un ID client pour les applications Web plus haut sur cette page.
URI de découverte Pour en savoir plus, consultez Configurer le fichier .well-known plus haut sur cette page.
ID client des applications de bureau et mobiles (facultatif) Pour en savoir plus, consultez la section Créer des ID client pour les applications de bureau et mobiles plus haut sur cette page.

 

Étape 2 : Configurez CORS

Si vous utilisez l'identité Google : vous configurez le partage de ressources inter-origines (CORS) dans la console Google Cloud lorsque vous créez votre ID client. Pour en savoir plus, consultez Créer un ID client pour les applications Web plus haut sur cette page.

Si vous utilisez un IdP tiers : dans la console d'administration de votre IdP, configurez l'URI de découverte afin d'autoriser les URL d'origine pour les appels CORS, comme suit :

  • Méthode : GET
  • Origines autorisées :
    • https://admin.google.com
    • https://client-side-encryption.google.com
Étape 3 : Ajoutez des informations à la console d'administration

Pour ce faire, vous devez être connecté en tant que super-administrateur.

  1. Connectez-vous à votre Console d'administration Google.

    Connectez-vous avec un compte disposant de droits de super-administrateur (ne se terminant pas par @gmail.com).

  2. Dans la console d'administration, accédez à Menu  puis  Sécurité puis Contrôle des accès et des données puis Chiffrement côté client.

    Remarque : Sous Configuration du fournisseur d'identité, un message indique que Google Workspace ne peut pas accéder à votre fichier .well-known. Comme vous vous connectez à votre IdP via la console d'administration, vous pouvez ignorer ce message.

  3. Sous Configuration du fournisseur d'identité, cliquez sur Configurer le remplacement du fournisseur d'identité.

    Si vous configurez un IdP pour les invités, cliquez sur Configurer l'IdP pour les invités.

  4. Saisissez les informations suivantes sur votre IdP :
    • Nom
    • ID client (pour les applications Web)
    • URI de découverte

  5. Cliquez sur Test connection (Tester la connexion).

    Si Google Workspace parvient à se connecter à votre IdP, le message "Connexion établie" s'affiche.

  6. Si vous configurez un IdP pour les invités : cliquez sur Continuer, puis sélectionnez les applications Web pour lesquelles vous souhaitez fournir un accès invité. Cliquez ensuite sur Enregistrer pour fermer la fiche.

    Remarque : Actuellement, seul Google Meet est disponible.

  7. (Facultatif) Pour utiliser le CSE avec des applications spécifiques, procédez comme suit :
    1. Sous Authentification pour les applications de bureau et mobiles Google (facultatif), sélectionnez les applications avec lesquelles vous souhaitez utiliser le CSE.
    2. Dans le champ ID client, indiquez l'ID client de l'application.
  8. Cliquez sur Ajouter un fournisseur pour fermer la fiche.

Étape 4 (IdP tiers uniquement) : Ajoutez votre IdP à la liste d'autorisation dans la console d'administration

Vous devez ajouter l'IdP tiers à votre liste d'autorisation d'applications tierces afin d'éviter que vos utilisateurs aient à se connecter plusieurs fois à l'IdP. Suivez les instructions de l'article Contrôler quelles applications tierces et internes ont accès aux données Google Workspace, sous "Gérer l'accès aux applications : "Approuvée", "Accès limité" ou "Accès bloqué".

Étape suivante

Après avoir configuré votre IdP, vous pouvez configurer votre service de clés de chiffrement.

Ces informations vous-ont elles été utiles ?

Comment pouvons-nous l'améliorer ?

Vous avez encore besoin d'aide ?

Essayez les solutions ci-dessous :

Publier dans la communauté d'aide Obtenez des réponses de membres de la communauté
Contactez-nous Donnez-nous plus de détails pour que nous puissions vous aider
true
Démarrez dès aujourd'hui votre essai gratuit de 14 jours.

Messagerie professionnelle, stockage en ligne, agendas partagés, visioconférences et bien plus. Démarrez dès aujourd'hui votre essai gratuit de G Suite.

Recherche
Effacer la recherche
Fermer le champ de recherche
Menu principal
14314801860858399510
true
Rechercher dans le centre d'aide
true
true
true
true
true
73010
false
false