Présentation technique de l'authentification unique basée sur SAML

Le protocole SAML (Security Assertion Markup Language) est une norme XML qui permet aux domaines Web sécurisés d'échanger des données d'authentification et d'autorisation d'utilisateurs. À l'aide de ce protocole, un fournisseur de services en ligne peut contacter un fournisseur tiers d'identité en ligne afin d'authentifier les utilisateurs qui essaient d'accéder à du contenu sécurisé.

Google propose un service d'authentification unique basé sur SAML qui offre aux entreprises partenaires un contrôle total sur les mécanismes d'autorisation et d'authentification des comptes utilisateur hébergés qui disposent d'un accès aux applications Web telles que Gmail ou Google Agenda. Par le biais de ce modèle SAML, Google fournit des services tels que Gmail et Pages d'accueil. Ses partenaires, quant à eux, fournissent des identités en contrôlant les noms d'utilisateur, mots de passe et autres informations nécessaires pour identifier, authentifier et autoriser les utilisateurs d'applications Web hébergées par Google. Plusieurs solutions de fournisseur d'identité Open Source et commerciales peuvent vous aider à implémenter l'authentification unique avec Google.

Il est important de noter que la solution d'authentification unique s'applique uniquement aux applications Web. Pour que vos utilisateurs puissent accéder aux services Google via des clients de messagerie tels qu'Outlook installés sur leur ordinateur (par exemple, par le biais de l'accès POP depuis Outlook vers Gmail), vous devez leur fournir des mots de passe valides et synchroniser ces derniers avec votre base de données utilisateur interne à l'aide de l'API Directory du SDK Admin. Il est également utile à cette étape de comprendre comment s'authentifient les utilisateurs via l'URL de connexion au panneau de configuration de l'administrateur.

Le service d'authentification unique de Google est basé sur les spécifications SAML v2.0. SAML v2.0 est accepté par différents fournisseurs connus.

Fonctionnement du service d'authentification unique SAML géré par les partenaires

Les étapes suivantes expliquent comment un service SSO basé sur SAML et géré par un partenaire permet de se connecter à une application Google hébergée.

La figure 1 ci-dessous présente le mécanisme de connexion d'un utilisateur à une application Google, telle que Gmail, via un service SSO basé sur SAML. La liste numérotée qui suit le diagramme revient en détail sur chacune des étapes.

Remarque : En amont de ce processus, le partenaire doit fournir à Google l'URL associée à son service SSO, ainsi que la clé publique qui lui sera nécessaire pour valider les réponses SAML.

Figure 1 : Connexion à Google via un service SSO basé sur SAML et géré par un partenaire

""

Les étapes suivantes sont illustrées dans ce diagramme :

  1. L'utilisateur tente d'accéder à une application Google hébergée, telle que Gmail, les pages d'accueil ou tout autre service Google.
  2. Google génère une demande d'authentification SAML, qui est encodée et intégrée dans l'URL associée au service SSO du partenaire. Le paramètre RelayState, qui contient l'URL encodée de l'application Google à laquelle tente d'accéder l'utilisateur, est également intégré dans l'URL d'authentification unique. Il constitue un identifiant opaque qui sera par la suite renvoyé sans modification ni vérification.
  3. Google envoie une URL de redirection au navigateur de l'utilisateur. Cette URL inclut la demande d'authentification SAML encodée qui doit être envoyée au service SSO du partenaire.
  4. Le partenaire décode la demande SAML et en extrait l'URL du service ACS (Assertion Consumer Service) de Google et de la destination de l'utilisateur (paramètre RelayState). Il authentifie ensuite l'utilisateur, soit en l'invitant à saisir ses identifiants de connexion, soit en vérifiant ses cookies de session.
  5. Le partenaire génère une réponse SAML contenant le nom de l'utilisateur authentifié. Conformément aux spécifications SAML 2.0, cette réponse contient les signatures numériques des clés DSA/RSA publiques et privées du partenaire.
  6. Le partenaire encode la réponse SAML et le paramètre RelayState avant de les renvoyer au navigateur de l'utilisateur. Il fournit le mécanisme permettant au navigateur de transmettre ces informations au service ACS de Google. Par exemple, il peut intégrer la réponse SAML et l'URL de destination dans un formulaire, puis fournir à l'utilisateur un bouton sur lequel cliquer pour envoyer le formulaire à Google. Il peut également inclure un script JavaScript sur la page qui se charge alors d'envoyer automatiquement le formulaire à Google.
  7. Le service ACS de Google vérifie la réponse SAML à l'aide de la clé publique du partenaire. Si la réponse est validée, l'utilisateur est redirigé vers l'URL de destination.
  8. L'utilisateur est redirigé vers l'URL de destination. Il est désormais connecté à Google.
Ces informations vous-ont elles été utiles ?
Comment pouvons-nous l'améliorer ?

Vous avez encore besoin d'aide ?

Connectez-vous pour accéder à des options d'assistance supplémentaires afin de résoudre rapidement votre problème.

Recherche
Effacer la recherche
Fermer le champ de recherche
Applications Google
Menu principal
Rechercher dans le centre d'aide
true
true
true
true
true
73010
false