À propos du SSO

Une fois le SSO configuré, les utilisateurs qui se connectent à leur IdP tiers peuvent accéder aux applications Google sans validation supplémentaire, à quelques exceptions près :

• Même s'ils se sont déjà connectés à leur IdP tiers, il se peut que Google mette en place une mesure de sécurité supplémentaire et leur demande de valider leur identité. Pour en savoir plus et pour savoir comment désactiver cette vérification si nécessaire, consultez "Comprendre la connexion sécurisée SAML".
• Vous pouvez configurer une validation en deux étapes supplémentaire pour les utilisateurs des services Google. Cette validation est en général ignorée lorsque l'authentification unique est activée. Pour en savoir plus, consultez "Activer les questions d'authentification à la connexion à l'aide de l'authentification unique".

La figure 1 illustre le processus de connexion d'un utilisateur à une application Google, telle que Gmail, via un service SSO basé sur SAML et géré par un partenaire. Liste numérotée qui suit les détails de l'image à chaque étape.

Remarque : En amont de ce processus, le partenaire doit fournir à Google l'URL associée à son service d'authentification unique (SSO), ainsi que la clé publique qui lui sera nécessaire pour valider les réponses SAML.

Figure 1 : Illustration du processus de connexion à Google à l'aide d'un service SSO basé sur SAML.

Les étapes suivantes sont illustrées sur ce diagramme :

1. L'utilisateur tente d'accéder à une application Google hébergée, telle que Gmail, Google Agenda ou un autre service Google.
2. Google génère une demande d'authentification SAML, qui est encodée et intégrée dans l'URL associée au service SSO du partenaire. Le paramètre RelayState, qui contient l'URL encodée de l'application Google à laquelle tente d'accéder l'utilisateur, est également intégré dans l'URL d'authentification unique. Ce paramètre RelayState est un identifiant opaque qui est renvoyé sans aucune modification ni inspection.
3. Google envoie une URL de redirection au navigateur de l'utilisateur. Cette URL inclut la demande d'authentification SAML encodée qui doit être envoyée au service SSO du partenaire.
4. Le navigateur effectue une redirection vers l'URL d'authentification unique.
5. Le partenaire décode la demande SAML et en extrait l'URL du service ACS (Assertion Consumer Service) de Google et de la destination de l'utilisateur (paramètre RelayState).
6. Il authentifie ensuite l'utilisateur, soit en l'invitant à saisir ses identifiants de connexion, soit en vérifiant ses cookies de session.
7. Le partenaire génère une réponse SAML contenant le nom de l'utilisateur authentifié. Conformément aux spécifications SAML v2.0, cette réponse contient les signatures numériques des clés DSA/RSA publiques et privées du partenaire.
8. Le partenaire encode la réponse SAML et le paramètre RelayState avant de les renvoyer au navigateur de l'utilisateur. Il fournit le mécanisme permettant au navigateur de transmettre ces informations au service ACS de Google. Par exemple, il peut intégrer la réponse SAML et l'URL de destination dans un formulaire, puis fournir à l'utilisateur un bouton sur lequel cliquer pour envoyer le formulaire à Google. Il peut également inclure un script JavaScript sur la page qui envoie le formulaire à Google.
9. Le navigateur envoie une réponse à l'URL ACS. Le service ACS de Google vérifie la réponse SAML à l'aide de la clé publique du partenaire. Si la réponse est validée, le service ACS redirige l'utilisateur vers l'URL de destination.
10. L'utilisateur est connecté à l'appli Google.