Configurer une application SAML personnalisée

Utilisation de l'authentification unique basée sur SAML

L'authentification unique (SSO) permet aux utilisateurs de se connecter à toutes les applications cloud de leur entreprise à l'aide des identifiants de leur compte Google géré. Google propose le service d'authentification unique préintégré pour plus de 200 applications cloud courantes.

Procédez comme suit afin de configurer l'authentification unique à l'aide du langage SAML pour une application personnalisée ne figurant pas dans le catalogue préintégré.

Configurer une application SAML personnalisée

Tout développer  |  Tout réduire

Étape 1 : Ajoutez l'application SAML personnalisée
  1. Connectez-vous à votre Console d'administration Google.

    Connectez-vous avec un compte disposant de droits de super-administrateur (ne se terminant pas par @gmail.com).

  2. Dans la console d'administration, accédez à Menu  puis  Applications puis Applications Web et mobiles.
  3. Cliquez sur Ajouter une application puis Ajouter une application SAML personnalisée.
    Saisissez le nom de l'application et, si vous le souhaitez, importez une icône pour votre application. L'icône d'application s'affiche dans la liste des applications Web et mobiles, sur la page des paramètres des applications et dans le lanceur d'applications. Si vous n'en importez pas, une icône est créée à l'aide des deux premières lettres du nom de l'application.
  4. Cliquez sur Continuer.
  5. Sur la page Informations sur le fournisseur d'identité Google, récupérez les informations de configuration requises par le fournisseur de services à l'aide de l'une des options suivantes :
    1. Téléchargez les métadonnées IdP.
    2. Copiez l'URL SSO et l'ID d'entité, puis téléchargez le certificat (ou l'empreinte SHA-256, au besoin).
  6. (Facultatif) Pour saisir les informations sur la page de configuration d'authentification unique appropriée, dans une fenêtre ou un onglet de navigateur distinct, connectez-vous à votre fournisseur de services, saisissez les informations copiées à l'étape 5, puis revenez dans la console d'administration.
  7. Cliquez sur Continuer.
  8. Contactez votre fournisseur de services pour connaître les valeurs de ces champs. Dans la fenêtre Détails relatifs au fournisseur de services, saisissez :
    1. URL ACS : URL ACS du fournisseur de services recevant la réponse SAML. Elle doit commencer par https://.
    2. ID d'entité : nom unique.
    3. URL de démarrage (facultatif) : permet de définir le paramètre RelayState dans une requête SAML, qui peut être une URL vers laquelle effectuer une redirection après authentification.
  9. (Facultatif) Pour indiquer que votre fournisseur de services exige que la totalité de la réponse d'authentification SAML soit signée, cochez la case Réponse signée. Si cette option n'est pas cochée (valeur par défaut), seule l'assertion contenue dans la réponse est signée.
  10. (Facultatif) Définissez le format ID du nom et la valeur ID du nom pour votre application SAML personnalisée. Par défaut, le champ ID du nom contient l'adresse e-mail principale.
    Conseil : Consultez les articles de configuration de notre catalogue d'applications SAML pour connaître les éventuels mappages d'identifiant de nom requis pour les applications du catalogue. Vous pouvez également créer des attributs personnalisés dans la console d'administration ou via les API du SDK Google Admin, puis les mapper avec ceux-ci.
  11. Cliquez sur Continuer.
  12. Si nécessaire, cliquez sur Ajouter un mappage pour mapper les attributs utilisateur en fonction des exigences du fournisseur de services.
    Remarque : Vous pouvez définir jusqu'à 10 000 attributs pour l'ensemble des applications. Puisque chaque application possède un attribut par défaut, le nombre comprend l'attribut par défaut et tous les attributs personnalisés que vous ajoutez.
    1. Sous Attributs d'annuaire Google, cliquez sur le menu Sélectionner un champ pour choisir le nom d'un champ. Tous les attributs d'annuaire Google ne sont pas disponibles dans la liste déroulante. Si un attribut que vous souhaitez mapper (l'adresse e-mail du responsable, par exemple) n'est pas disponible, vous pouvez l'ajouter en tant qu'attribut personnalisé afin de pouvoir le sélectionner ici.
    2. Sous Attributs de l'application, saisissez l'attribut correspondant à votre application SAML personnalisée.
  13. (Facultatif) Pour saisir des noms de groupes pertinents pour cette application :
    1. Dans le champ Appartenance à un groupe (facultatif), cliquez sur Rechercher un groupe, saisissez une ou plusieurs lettres du nom du groupe, puis sélectionnez-en un.
    2. Ajoutez des groupes si nécessaire (75 groupes au maximum).
    3. Sous Attribut de l'application, saisissez le nom d'attribut des groupes du fournisseur de services correspondant.

    Quel que soit le nombre de noms de groupes saisis, la réponse SAML inclut uniquement les groupes dont un utilisateur est membre (directement ou indirectement). Pour en savoir plus, consultez À propos du mappage des informations d'appartenance à un groupe.

  14. Cliquez sur Terminer.
Étape 2 : Activez votre application SAML
  1. Connectez-vous à votre Console d'administration Google.

    Connectez-vous avec un compte disposant de droits de super-administrateur (ne se terminant pas par @gmail.com).

  2. Dans la console d'administration, accédez à Menu  puis  Applications puis Applications Web et mobiles.
  3. Sélectionnez votre application SAML.
  4. Cliquez sur Accès utilisateur.
  5. Pour activer ou désactiver un service pour tous les membres de votre organisation, cliquez sur Activé pour tous ou sur Désactivé pour tous, puis sur Enregistrer.

  6. (Facultatif) Pour activer ou désactiver un service pour une unité organisationnelle :
    1. Sur la gauche, sélectionnez l'unité organisationnelle souhaitée.
    2. Pour modifier l'état du service, sélectionnez Activé ou Désactivé.
    3. Choisissez une option :
      • Si l'état du service est défini sur Hérité et que vous souhaitez conserver le paramètre mis à jour, même si le paramètre parent est modifié, cliquez sur Remplacer.
      • Si l'état du service est défini sur Remplacé, cliquez sur Hériter pour rétablir le paramètre parent, ou cliquez sur Enregistrer pour conserver le nouveau paramètre, même si le paramètre parent est modifié.
        Remarque : En savoir plus sur la structure organisationnelle
  7. Pour activer un service pour un ensemble d'utilisateurs au sein d'une ou de plusieurs unités organisationnelles, sélectionnez un groupe d'accès. Pour plus d'informations, consultez la section Activer ou désactiver un service pour un groupe d'accès.
  8. Vérifiez que les adresses e-mail à l'aide desquelles vos utilisateurs se connectent à l'application SAML correspondent à celles dont ils se servent pour se connecter à votre domaine Google.

Les modifications peuvent prendre jusqu'à 24 heures, mais sont généralement plus rapides. En savoir plus

Étape 3 : Vérifiez que l'authentification unique fonctionne avec votre application personnalisée

Vous pouvez tester à la fois l'authentification unique initiée par le fournisseur d'identité (IdP) et l'authentification unique initiée par le fournisseur de services (SP).

Initiée par le fournisseur d'identité (IdP)

  1. Connectez-vous à votre Console d'administration Google.

    Connectez-vous avec un compte disposant de droits de super-administrateur (ne se terminant pas par @gmail.com).

  2. Dans la console d'administration, accédez à Menu  puis  Applications puis Applications Web et mobiles.
  3. Sélectionnez votre application SAML personnalisée.
  4. En haut à gauche, cliquez sur Tester la connexion SAML.

    Votre application s'ouvre dans un onglet distinct. Si ce n'est pas le cas, mettez à jour vos paramètres IdP et SP à l'aide des informations contenues dans les messages d'erreur SAML, puis testez à nouveau la connexion SAML.

Initiée par le fournisseur de services (SP)

  1. Ouvrez l'URL d'authentification unique de votre nouvelle application SAML. Vous devriez être automatiquement redirigé vers la page de connexion Google.
  2. Saisissez votre nom d'utilisateur et votre mot de passe.

    Une fois authentifié, vous êtes redirigé vers votre nouvelle application SAML. 

Articles associés

Ces informations vous-ont elles été utiles ?

Comment pouvons-nous l'améliorer ?
Recherche
Effacer la recherche
Fermer le champ de recherche
Applications Google
Menu principal