Migrer de l'ancien SSO vers les profils SSO

Google Workspace propose deux méthodes pour configurer l'authentification unique (SSO) avec Google en tant que partie de confiance de votre fournisseur d'identité :

  • Ancien profil SSO : vous ne pouvez configurer qu'un seul IdP pour votre organisation.
  • Profils SSO : méthode de configuration de l'authentification unique la plus récente et recommandée. Elle vous permet d'appliquer différents paramètres SSO à différents utilisateurs de votre organisation, est compatible avec SAML et OIDC, dispose d'API plus modernes et sera privilégiée pour les nouvelles fonctionnalités de Google.

Nous conseillons à tous les clients de migrer vers des profils SSO pour profiter de ces avantages. Les profils SSO peuvent coexister avec le profil SSO de votre organisation. Vous pouvez donc tester de nouveaux profils SSO avant de migrer l'ensemble de votre organisation.

Présentation de la procédure de migration

  1. Dans la console d'administration, créez un profil SSO pour votre IdP et enregistrez-le auprès de votre IdP.
  2. Attribuez le nouveau profil à des utilisateurs tests pour vous assurer qu'il fonctionne.
  3. Attribuez votre unité organisationnelle racine au nouveau profil.
  4. Mettez à jour les URL spécifiques au domaine pour utiliser le nouveau profil.
  5. Nettoyage : désinscrivez votre ancien fournisseur de services, vérifiez que le provisionnement automatique des utilisateurs fonctionne toujours.

Étape 1 : Créer un profil SSO

  1. Suivez cette procédure pour créer un profil SSO SAML. Votre nouveau profil doit utiliser le même IdP que votre profil SSO existant pour votre organisation.
  2. Enregistrez le nouveau profil SSO auprès de votre IdP en tant que nouveau fournisseur de services.

    Votre IdP considérera le nouveau profil comme un fournisseur de services distinct (il peut l'appeler "Applications" ou "Parties de confiance"). La procédure d'enregistrement du nouveau fournisseur de services varie selon votre IdP, mais elle nécessite généralement de configurer l'ID d'entité et l'URL ACS (Assertion Consumer Service) pour le nouveau profil.

Remarques pour les utilisateurs de l'API
  • Si vous utilisez le profil SSO de votre organisation, vous ne pouvez utiliser que l'API Google Workspace Admin Settings pour gérer les paramètres SSO.
  • L'API Cloud Identity peut gérer les profils SSO en tant que inboundSamlSsoProfiles et les attribuer à des groupes ou à des unités organisationnelles à l'aide de inboundSsoAssignments.
Différences entre les profils SSO et l'ancien profil SSO

Assertions de super-administrateur

Les profils SSO n'acceptent pas les assertions concernant les super-administrateurs. Lorsque vous utilisez le profil SSO de votre organisation, les assertions sont acceptées, mais les super-administrateurs ne sont pas redirigés vers l'IdP. Par exemple, les assertions suivantes seraient acceptées :

  • L'utilisateur suit un lien vers le lanceur d'applications à partir de votre IdP (SAML initié par l'IdP)
  • L'utilisateur accède à une URL de service spécifique au domaine (par exemple, https://drive.google.com/a/your_domain.com)
  • L'utilisateur se connecte à un Chromebook configuré pour accéder directement à votre IdP. En savoir plus 

Paramètres de validation post-SSO

Les paramètres qui contrôlent la validation post-SSO (comme les questions d'authentification à la connexion ou la validation en deux étapes) sont différents pour les profils SSO que pour le profil SSO de votre organisation. Pour éviter toute confusion, nous vous recommandons d'attribuer la même valeur à ces deux paramètres. En savoir plus

Étape 2 : Attribuer des utilisateurs tests au profil

Nous vous recommandons de tester d'abord votre nouveau profil SSO sur les utilisateurs d'un seul groupe ou d'une seule unité organisationnelle avant de le déployer pour tous les utilisateurs. Utilisez une unité organisationnelle ou un groupe existant, ou créez-en un si nécessaire.

Si vous gérez des appareils ChromeOS, nous vous recommandons de les tester par unité organisationnelle, car vous pouvez les attribuer à des unités organisationnelles, mais pas à des groupes.

  1. (Facultatif) Créez une unité organisationnelle ou un groupe de configuration, puis attribuez-y des utilisateurs de test.
  2. Suivez cette procédure pour attribuer des utilisateurs au nouveau profil SSO.
Remarques pour les organisations disposant d'appareils ChromeOS gérés

Si vous avez configuré l'authentification unique pour les appareils ChromeOS afin que les utilisateurs accèdent directement à votre IdP, vous devez tester le comportement de l'authentification unique séparément pour ces utilisateurs.

Notez que pour que la connexion aboutisse, le profil SSO attribué à l'unité organisationnelle de l'appareil doit correspondre au profil SSO attribué à l'unité organisationnelle de l'utilisateur de l'appareil.

Par exemple, si vous disposez actuellement d'une unité organisationnelle "Service commercial" pour les employés qui utilisent des Chromebooks gérés et se connectent directement à votre fournisseur d'identité, créez une unité organisationnelle telle que "sales_sso_testing", attribuez-lui le nouveau profil, puis déplacez certains utilisateurs et les Chromebooks qu'ils utilisent dans cette unité organisationnelle.

Étape 3 : Attribuer votre unité organisationnelle racine et mettre à jour les URL de service

Une fois que vous avez testé le nouveau profil SSO sur un groupe de test ou une unité organisationnelle, vous pouvez l'attribuer à d'autres utilisateurs.

  1. Accédez à Sécurité puisSSO avec des fournisseurs d'identité tiers puisGérer l'attribution des profils SSO.
  2. Cliquez sur Gérer.
  3. Sélectionnez votre unité organisationnelle racine et attribuez-la au nouveau profil d'authentification unique.
  4. (Facultatif) Si d'autres unités organisationnelles ou groupes sont attribués au profil SSO de votre organisation, attribuez-les au nouveau profil SSO.

Étape 4 : Mettre à jour les URL spécifiques au domaine

Si votre organisation utilise des URL spécifiques au domaine (par exemple, https://mail.google.com/a/your_domain.com), modifiez ce paramètre pour utiliser le nouveau profil SSO :

  1. Accédez à Sécurité puisSSO avec des fournisseurs d'identité tiers puisURL de service spécifiques au domaine.
  2. Sous "Rediriger automatiquement les utilisateurs vers l'IdP tiers dans le profil SSO suivant", sélectionnez le nouveau profil SSO dans la liste déroulante.

Étape 5 : Nettoyage

  1. Sous Sécurité puisSSO avec des fournisseurs d'identité tiers puisProfils SSO, cliquez sur Ancien profil SSO pour ouvrir les paramètres du profil.
  2. Décochez Activer l'ancien profil SSO pour désactiver l'ancien profil.
  3. Vérifiez que le provisionnement automatique des comptes utilisateur configuré avec votre IdP fonctionne correctement avec votre nouveau profil SSO.
  4. Désinscrivez l'ancien fournisseur de services de votre IdP.

Ces informations vous-ont elles été utiles ?

Comment pouvons-nous l'améliorer ?

Vous avez encore besoin d'aide ?

Essayez les solutions ci-dessous :

Posez une question à la communauté de l'aide Obtenez des réponses de membres de la communauté
Contactez-nous Donnez-nous plus de détails pour que nous puissions vous aider
true
Démarrez dès aujourd'hui votre essai gratuit de 14 jours.

Messagerie professionnelle, stockage en ligne, agendas partagés, visioconférences et bien plus. Démarrez dès aujourd'hui votre essai gratuit de G Suite.

Recherche
Effacer la recherche
Fermer le champ de recherche
Applications Google
Menu principal
13507729936838625109
true
Rechercher dans le centre d'aide
true
true
true
true
true
73010
false
false
false
false