Notification

Vous prévoyez votre stratégie de retour au bureau ? Découvrez comment Chrome OS peut vous aider.

Configurer l'authentification unique et le provisionnement des utilisateurs entre Microsoft Entra ID et ChromeOS

En tant qu'administrateur, vous pouvez configurer le provisionnement des utilisateurs et l'authentification unique (SSO) entre un locataire Microsoft Entra ID et votre compte Google Workspace ou Cloud Identity. Vos utilisateurs peuvent ensuite se connecter à une page d'authentification Microsoft Entra ID au lieu de l'écran de connexion Google sur leurs appareils ChromeOS.

Les appareils Chrome OS sont compatibles avec l'authentification unique Security Assertion Markup Language (SAML). Les utilisateurs peuvent ainsi se connecter à un appareil à l'aide des mêmes mécanismes d'authentification que ceux en vigueur ailleurs au sein de votre entreprise. Leurs mots de passe peuvent demeurer sur les serveurs du fournisseur d'identité (IdP) de votre entreprise. Le fonctionnement est presque le même qu'une connexion à un compte Google Workspace depuis un navigateur via l'authentification unique SAML. Toutefois, étant donné que l'utilisateur se connecte à un appareil, des éléments supplémentaires doivent être pris en compte.

Avant de commencer

  • Votre domaine est configuré dans Microsoft Entra ID et Google (Workspace ou Cloud Identity).
  • Les noms des comptes utilisateur sont identiques dans Microsoft Entra ID et Google. L'annuaire Microsoft Entra ID contient votre domaine en tant que sous-domaine enregistré.
  • Ces étapes ne nécessitent pas de fédération locale, comme ADFS (Active Directory Federation Services). Cependant, elles s'appuient sur le service cloud équivalent fourni avec le niveau gratuit de Microsoft Entra ID.

Instructions

Étape 1 : Créez une application d'entreprise
  1. Connectez-vous au portail Microsoft Azure.
  2. Dans le champ de recherche situé en haut, saisissez enterprise application et sélectionnez-la dans la liste des résultats de recherche.
  3. En haut du volet Applications d'entreprise, cliquez sur Nouvelle application.
  4. Sous "Plates-formes cloud", cliquez sur Google Cloud Platform.
  5. Cliquez sur Google Cloud/G Suite Connector par Microsoft.
  6. Dans le champ de nom, saisissez Google Cloud/G Suite Connector by Microsoft.
  7. Cliquez sur Créer.
Étape 2 : Attribuez un compte utilisateur spécifique à votre application d'entreprise

Toujours dans le portail Microsoft Azure :

  1. Sur la gauche, sous "Gérer", cliquez sur Utilisateurs et groupes. Vous pouvez également cliquer sur Attribuer les utilisateurs et les groupes dans la section "Premiers pas" de la page "Présentation".
  2. En haut du volet "Utilisateurs et groupes", cliquez sur Ajouter un utilisateur/groupe.
  3. Dans le volet Ajouter une attribution situé à gauche, sous Utilisateurs, cliquez sur Aucune sélection.
  4. Dans le volet "Utilisateurs", sélectionnez l'utilisateur de votre choix.
  5. Cliquez sur Sélectionner.
  6. Dans le volet "Ajouter une attribution", cliquez sur Attribuer.
Étape 3 : Configurez l'authentification unique avec SAML

Toujours dans le portail Microsoft Azure :

  1. Sur la gauche, sous "Gérer", cliquez sur Authentification unique.
  2. Sélectionnez une méthode d'authentification unique. Cliquez sur SAML.
  3. Sur la page d'authentification SAML, accédez à Basic SAML Configuration (Configuration SAML de base).
  4. Cliquez sur Modifier.
  5. Configurez l'identificateur (ID d'entité). Ajoutez des URL :
    • google.com/a/votredomaine.com
    • https://google.com/a/votredomaine.com
  6. Configurez l'URL de réponse (URL du service consommateur d'assertion) :
    1. Ajoutez des URL :
      • https://www.google.com/acs
      • https://www.google.com/a/votredomaine.com/acs
    2. Définissez la valeur par défaut :
      • À côté de https://www.google.com/a/votredomaine.com/acs, cochez la case Par défaut.
  7. Configurez l'URL de connexion. Ajoutez une URL :
    • https://www.google.com/a/votredomaine.com/ServiceLogin?continue=https://mail.google.com
  8. Cliquez sur Enregistrer.
  9. Téléchargez la version Base64 du certificat :
    1. Toujours sur la page d'authentification SAML, accédez à Certificat de signature SAML.
    2. À côté de Certificat (en base64), cliquez sur Télécharger.
  10. Rassemblez les informations dont vous aurez besoin pour configurer l'application Google Cloud/G Suite Connector par Microsoft pour l'associer à Microsoft Entra ID :
    1. Toujours depuis la page d'authentification SAML, accédez à Configurer Google Cloud/G Suite Connector par Microsoft.
    2. Copiez les URL :
      • URL de connexion : page sur laquelle les utilisateurs se connectent à votre système et Google Workspace.
      • URL de déconnexion : page vers laquelle les utilisateurs sont redirigés après la déconnexion.
Étape 4 : Configurez l'authentification unique Microsoft Entra ID

Configurer les paramètres du fournisseur d'identité tiers

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2.  Dans la console d'administration, accédez à Menu  puis  Sécurité puis Présentation.
  3. Cliquez sur Configurer l'authentification unique (SSO) avec un fournisseur d'identité tiers.
  4. Cliquez sur Ajouter un profil SSO.
  5. Cochez l'option Configurer l'authentification unique avec un fournisseur d'identité tiers.
  6. Saisissez les URL de votre fournisseur d'identité tiers :
    1. URL de la page de connexion : collez l'URL de connexion que vous avez copiée à l'étape 3 ci-dessus.
    2. URL de la page de déconnexion : collez l'URL de déconnexion que vous avez copiée à l'étape 3 ci-dessus.
      Remarque : Les URL doivent utiliser le protocole HTTPS.
  7. Cliquez sur Remplacer le certificat.
  8. Sélectionnez le fichier que vous souhaitez utiliser, puis cliquez sur Ouvrir.
  9. Cochez la case Utiliser un émetteur spécifique au domaine.
  10. Dans le champ "URL de la page de modification du mot de passe", saisissez l'URL :
    • https://account.activedirectory.windowsazure.com/changepassword.aspx
  11. Cliquez sur Enregistrer.

Configurer les paramètres utilisateur

Toujours dans la console d'administration :

  1. Dans la console d'administration, accédez à Menu puis AppareilspuisChromepuisParamètres. La page Paramètres des utilisateurs et du navigateur s'ouvre par défaut.

    Si vous vous êtes inscrit à la gestion cloud du navigateur Chrome, accédez à Menu puis Navigateur ChromepuisParamètres.

  2. Pour appliquer ce paramètre à l'ensemble des utilisateurs et des navigateurs enregistrés, laissez l'unité organisationnelle racine sélectionnée. Sinon, sélectionnez une unité organisationnelle enfant.
  3. Accédez à Sécurité.
  4. Dans "Authentification unique", sélectionnez Activer l'authentification unique SAML pour les appareils Chrome.
  5. (Facultatif) Pour la fréquence de connexion par authentification unique SAML, saisissez une valeur inférieure au délai d'expiration du mot de passe. Pour en savoir plus sur ce paramètre, consultez Définir des règles Chrome pour les utilisateurs ou les navigateurs.
  6. Cliquez sur Enregistrer.

Configurer les paramètres de l'appareil

Toujours dans la console d'administration :

  1. En haut de la page, cliquez sur Paramètres de l'appareil. Vous pouvez aussi vous rendre sur la page d'accueil de la console d'administration et sélectionner Appareils puis Chrome puis Paramètres puis Appareil.
  2. Pour appliquer ce paramètre à l'ensemble des utilisateurs et des navigateurs enregistrés, laissez l'unité organisationnelle racine sélectionnée. Sinon, sélectionnez une unité organisationnelle enfant.
  3. Accédez à Paramètres de connexion.
  4. Dans "Redirection IdP de l'authentification unique", sélectionnez Autoriser les utilisateurs à accéder directement à la page IdP de l'authentification unique SAML. Pour en savoir plus sur ce paramètre, consultez Définir des règles relatives aux appareils Chrome.
  5. Dans "Comportement des cookies d'authentification unique", sélectionnez Activer le transfert des cookies d'authentification unique SAML dans la session utilisateur pendant la connexion. Pour en savoir plus sur ce paramètre, consultez Définir des règles relatives aux appareils Chrome.
  6. Cliquez sur Enregistrer.
Étape 5 : Testez les appareils ChromeOS
  1. Allumez un appareil ChromeOS géré.
  2. Sur la page de connexion à votre Chromebook, cliquez sur Suivant.
  3. Sur la page de connexion Microsoft, saisissez votre nom d'utilisateur AD.
  4. Cliquez sur Suivant.
  5. Saisissez votre mot de passe.
  6. Cliquez sur Connexion.
  7. Pour rester connecté et accéder à la session utilisateur, cliquez sur Oui.
Étape 6 : Configurez le provisionnement des utilisateurs Microsoft Entra ID

Lorsque vous vous êtes inscrit à Cloud Identity ou Google Workspace, vous avez créé un compte super-administrateur. Bien que vous puissiez l'utiliser pour Microsoft Entra ID, nous vous recommandons de créer un compte super-administrateur distinct réservé à Microsoft Entra ID.

Créer un compte utilisateur

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Dans la console d'administration, accédez à Menu  puis  Annuaire puis Utilisateurs.
  3. En haut de la page, cliquez sur Ajouter un utilisateur.

    L'option "Ajouter un nouvel utilisateur" est sélectionnée en haut du tableau répertoriant les utilisateurs.

  4. Saisissez les informations du compte. Pour en savoir plus, consultez Ajouter des comptes utilisateur individuellement.
  5. Cliquez sur Ajouter un utilisateur.
  6. Cliquez sur OK pour finaliser l'ajout du nouvel utilisateur.

Définir l'utilisateur comme super-administrateur

Toujours dans la console d'administration :

  1. Dans la console d'administration, accédez à Menu  puis  Annuaire puis Utilisateurs.
  2. Dans la liste "Utilisateurs", recherchez l'utilisateur que vous venez de créer.
  3. Cliquez sur le nom d'un utilisateur pour ouvrir la page de son compte.
  4. Cliquez sur Rôles et droits d'administrateur.

    Indique le lien "Rôles d'administration".

  5. Cliquez sur Attribuer des rôles.
  6. À côté du rôle Super-administrateur, cliquez sur le curseur pour qu'il prenne le statut Attribué.
  7. Cliquez sur Enregistrer.
    Conseil : Demandez au nouvel administrateur d'ajouter des options de récupération à son compte.

L'utilisateur devient généralement administrateur en quelques minutes, mais le délai de prise en compte peut aller jusqu'à 24 heures.

Gérer le provisionnement des comptes utilisateur

  1. Connectez-vous au portail Microsoft Azure.
  2. Dans le champ de recherche situé en haut, saisissez enterprise application et sélectionnez-la dans la liste des résultats de recherche.
  3. Recherchez et cliquez sur Google Cloud/G Suite Connector par Microsoft.
  4. Sur la gauche, sous "Gérer", cliquez sur Provisionnement.
  5. Cliquez sur Commencer.
  6. Dans "Mode de provisionnement", sélectionnez Automatique.
  7. Cliquez sur Informations d’identification de l’administrateur.
  8. Cliquez sur Autoriser.
  9. Connectez-vous à l'aide du compte super-administrateur que vous venez de créer.
  10. Cliquez sur Autoriser pour confirmer l'accès à l'API Cloud Identity.
  11. Sous "Identifiants de l'administrateur", cliquez sur Tester la connexion. Un message s'affiche pour vous indiquer si vous êtes autorisé à activer le provisionnement.
  12. (Facultatif) Sous "Mappages", configurez le provisionnement des utilisateurs ou des groupes. Nous vous recommandons d'utiliser le paramètre par défaut.
  13. Cliquez sur Enregistrer.
  14. En haut de la page "Provisionnement", cliquez sur Démarrer l'approvisionnement.
  15. Attendez la fin de la synchronisation.

Articles associés

Google et les marques et logos associés sont des marques de Google LLC. Tous les autres noms d'entreprises et de produits sont des marques des entreprises auxquelles ils sont associés.

Ces informations vous-ont elles été utiles ?

Comment pouvons-nous l'améliorer ?
true
Recherche
Effacer la recherche
Fermer le champ de recherche
Menu principal
6235336997612684545
true
Rechercher dans le centre d'aide
true
true
true
true
true
410864
false
false