Configurer l'authentification unique pour votre organisation

Vous pouvez configurer l'authentification unique (SSO) avec Google en tant que fournisseur de services, selon les besoins de votre organisation. Les profils SSO, qui contiennent les paramètres de votre fournisseur d'identité (IdP), vous permettent d'appliquer différents paramètres SSO à différents utilisateurs de votre organisation:

Si tous vos utilisateurs se connectent via un seul fournisseur d'identité :

  1. Suivez la procédure Configurer un profil SSO pour votre organisation ci-dessous.
  2. Si vous souhaitez exclure certains utilisateurs de l'authentification unique (et leur demander de se connecter directement à Google), suivez la procédure décrite dans Attribuer un profil SSO à des unités organisationnelles ou à des groupes, qui vous permet de choisir l'option "Aucun" pour le profil SSO.

Si vous utilisez plusieurs fournisseurs d'identité pour vos utilisateurs :

  1. Suivez la procédure Créer un profil SSO pour chacun de vos fournisseurs d'identité. 
  2. Attribuez les profils SSO aux unités organisationnelles ou aux groupes.

    Si certains utilisateurs d'une unité organisationnelle (par exemple, une sous-unité organisationnelle) n'ont pas besoin de l'authentification unique, vous pouvez également désactiver l'authentification unique pour ces utilisateurs à l'aide d'attributions.

Si vos utilisateurs utilisent des URL de service spécifiques au domaine pour accéder aux services Google (par exemple, https://mail.google.com/a/votredomaine.com), vous pouvez également gérer la manière dont ces URL fonctionnent avec l'authentification unique.

Avant de commencer

Pour configurer un profil SSO SAML, vous devez obtenir une configuration de base en consultant l'équipe d'assistance ou la documentation de votre fournisseur d'identité :

  • URL de la page de connexion : cette URL est également appelée "URL d'authentification unique" ou "point de terminaison SAML 2.0" (HTTP). C'est ici que les utilisateurs se connectent à votre IdP.
  • URL de la page de déconnexion (facultatif) : page à laquelle l'utilisateur accède après avoir quitté l'application ou le service Google.
  • Certificat X.509 PEM de votre IdP. Pour en savoir plus sur les certificats X.509, consultez la page Clé SAML et certificat de validation.
  • URL de la page de modification du mot de passe (facultatif) : page sur laquelle les utilisateurs SSO peuvent modifier leur mot de passe (au lieu de le faire avec Google).

Configurer le profil SSO pour votre organisation

Utilisez cette option si tous vos utilisateurs qui utilisent l'authentification unique utilisent un seul fournisseur d'identité. 

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Sur la page d'accueil de la console d'administration, accédez à Sécurité.
  3. Dans Profil SSO tiers pour votre organisation, cliquez sur Ajouter un profil SSO.
  4. Cochez l'option Configurer l'authentification unique avec un fournisseur d'identité tiers.

Fournissez les informations suivantes pour votre fournisseur d'identité :

  • Saisissez l'URL de la page de connexion et l'URL de la page de déconnexion pour votre fournisseur d'identité.

    Remarque : Toutes les URL doivent être indiquées et doivent utiliser le protocole HTTPS (par exemple, https://sso.domaine.com).

  • Cliquez sur Importer un certificat, puis recherchez et importez le certificat X.509 fourni par votre IdP. Pour savoir comment générer un certificat, consultez Clé SAML et certificat de validation.
  • Indiquez si vous souhaitez utiliser un émetteur spécifique au domaine dans la requête SAML de Google.

    Si plusieurs domaines utilisent l'authentification unique avec votre IdP, utilisez un émetteur spécifique au domaine pour identifier le domaine à l'origine de la requête SAML.

    • Case cochée : Google envoie un émetteur spécifique à votre domaine sur google.com/a/votre_domaine.com (en remplaçant votre_domaine.com par votre nom de domaine Google Workspace principal)
    • Case décochée : Google envoie l'émetteur standard dans la requête SAML : google.com.
  • (Facultatif) Pour appliquer l'authentification unique à un ensemble d'utilisateurs dans des plages d'adresses IP spécifiques, saisissez un masque de réseau. Pour en savoir plus, consultez Résultats du mappage de réseau.

    Remarque : Vous pouvez également configurer l'authentification unique partielle en attribuant le profil SSO à des unités organisationnelles ou groupes spécifiques.

  • (Facultatif) Saisissez l'URL de modification du mot de passe pour votre fournisseur d'identité. Les utilisateurs sont redirigés vers cette URL (et non vers la page de modification du mot de passe Google) pour réinitialiser leur mot de passe.

    Remarque : Si vous indiquez une URL ici, les utilisateurs sont dirigés vers cette page, même si vous n'activez pas l'authentification unique pour votre organisation.

Désactiver l'authentification unique pour tous les utilisateurs

Si vous devez désactiver l'authentification tierce pour tous vos utilisateurs sans modifier l'attribution du profil SSO pour les unités organisationnelles ou les groupes, vous pouvez le faire en procédant comme suit :

  1. Décochez Configurer l'authentification unique avec un fournisseur d'identité tiers.
  2. Cliquez sur Enregistrer.

Créer un profil SSO

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Sur la page d'accueil de la console d'administration, accédez à Sécurité.
  3. Sous "Profils SSO tiers", cliquez sur Ajouter un profil SAML.
  4. Attribuez un nom au profil.
  5. Indiquez l'URL de la page de connexion et les autres informations obtenues auprès de votre IdP.
  6. Cliquez sur Importer un certificat, puis localisez et importez votre fichier de certificat. Pour savoir comment générer un certificat, consultez Clé SAML et certificat de validation.
  7. Cliquez sur Enregistrer.
  8. Dans la section Informations sur le fournisseur de services, copiez l'ID d'entité et l'URL ACS, et conservez-les. Vous aurez besoin de ces valeurs pour configurer l'authentification unique avec Google dans le panneau de configuration de l'administrateur du fournisseur d'identité.

Remarque : Vous pouvez créer un maximum de 1 000 profils SSO tiers.

Déterminer les utilisateurs autorisés à utiliser l'authentification unique

Activez l'authentification unique pour une unité organisationnelle ou un groupe en attribuant un profil SSO et le fournisseur d'identité associé. Vous pouvez également désactiver l'authentification unique en affectant la valeur "None" au profil SSO. Vous pouvez également appliquer une règle d'authentification unique mixte au sein d'une unité organisationnelle ou d'un groupe, par exemple en activant l'authentification unique pour l'unité organisationnelle dans son ensemble, puis en la désactivant pour une sous-unité organisationnelle. 

  1. Cliquez sur Gérer l'attribution des profils SSO.
  2. Si vous attribuez le profil SSO pour la première fois, cliquez sur "Commencer". Sinon, cliquez sur Gérer.
  3. Sur la gauche, sélectionnez l'unité organisationnelle ou le groupe auquel vous attribuez le profil SSO.
    • Si l'attribution du profil SSO pour une unité organisationnelle ou un groupe diffère de l'attribution du profil pour l'ensemble du domaine, un avertissement de remplacement s'affiche lorsque vous sélectionnez cette unité organisationnelle ou ce groupe.
    • Vous ne pouvez pas attribuer le profil SSO à des utilisateurs en particulier. La vue "Utilisateurs" vous permet de vérifier le paramètre associé à un utilisateur spécifique.
  4. Choisissez l'Attribution du profil SSO pour l'unité organisationnelle ou le groupe sélectionné.
    • Pour exclure l'unité organisationnelle ou le groupe de l'authentification unique, sélectionnez Aucun. Les utilisateurs de l'unité organisationnelle ou du groupe se connectent directement à Google.
    • Pour affecter un autre IdP à l'UO ou au groupe, sélectionnez Autre profil SSO, puis sélectionnez le profil SSO dans la liste déroulante.
  5. Cliquez sur Enregistrer.
  6. Si nécessaire, attribuez des profils SSO à d'autres UO ou groupes.

Une fois la fiche Gérer l'attribution des profils SSO fermée, les attributions des unités organisationnelles et des groupes mises à jour s'affichent dans la section Gérer l'attribution des profils SSO

Gérer les URL de service spécifiques au domaine

Le paramètre URL de service spécifiques au domaine vous permet de contrôler ce qui se passe lorsque les utilisateurs se connectent à l'aide d'URL de service, telles que https://mail.google.com/a/votredomaine.com. Vous disposez de deux options:

  • Rediriger les utilisateurs vers le fournisseur d'identité tiers. Choisissez cette option pour toujours acheminer ces utilisateurs vers l'IdP tiers que vous sélectionnez dans la liste déroulante du profil SSO. Il peut s'agir du profil SSO de votre organisation ou d'un autre profil tiers (si vous en avez ajouté un).

    Important : Ne sélectionnez pas ce paramètre si certains de vos unités organisationnelles ou groupes n'utilisent pas l'authentification unique. Vos utilisateurs sans authentification unique seront automatiquement acheminés vers le fournisseur d'identité et ne pourront pas se connecter.

  • Demander aux utilisateurs de saisir d'abord leur nom d'utilisateur sur la page de connexion Google. Avec cette option, les utilisateurs qui saisissent des URL spécifiques au domaine sont d'abord redirigés vers la page de connexion Google. S'ils sont des utilisateurs de l'authentification unique, ils sont redirigés vers la page de connexion du fournisseur d'identité.

Voir aussi

Se connecter avec l'authentification unique

Résoudre les problèmes d'authentification unique

Ces informations vous-ont elles été utiles ?
Comment pouvons-nous l'améliorer ?

Vous avez encore besoin d'aide ?

Connectez-vous pour accéder à des options d'assistance supplémentaires afin de résoudre rapidement votre problème.

true
Démarrez dès aujourd'hui votre essai gratuit de 14 jours.

Messagerie professionnelle, stockage en ligne, agendas partagés, visioconférences et bien plus. Démarrez dès aujourd'hui votre essai gratuit de G Suite.

Recherche
Effacer la recherche
Fermer le champ de recherche
Applications Google
Menu principal
Rechercher dans le centre d'aide
true
73010
false