Notification

Vous prévoyez votre stratégie de retour au bureau ? Découvrez comment Chrome OS peut vous aider.

Configurer l'authentification unique SAML pour les appareils Chrome OS

Les appareils Chrome OS sont compatibles avec l'authentification unique Security Assertion Markup Language (SAML). Les utilisateurs peuvent ainsi se connecter à un appareil à l'aide des mêmes mécanismes d'authentification que ceux en vigueur ailleurs au sein de votre entreprise. Leurs mots de passe peuvent demeurer sur les serveurs du fournisseur d'identité (IdP) de votre entreprise. Le fonctionnement est presque le même qu'une connexion à un compte Google Workspace depuis un navigateur via l'authentification unique SAML. Toutefois, étant donné que l'utilisateur se connecte à un appareil, des éléments supplémentaires doivent être pris en compte.

Pour en savoir plus, consultez Configurer l'authentification unique pour les comptes Google gérés faisant appel à des fournisseurs d'identité tiers.

Conditions requises

  • Appareil Chrome OS exécutant la version 36 ou ultérieure
  • Domaine configuré pour l'authentification unique SAML pour Google Workspace
  • URL SAML utilisant le protocole HTTPS et non HTTP
  • Licences ChromeOS pour vos appareils

Étape 1 : Configurez l'authentification unique

Si ce n'est pas déjà fait, configurez l'authentification unique pour les comptes Google gérés à l'aide de fournisseurs d'identité tiers.

Étape 2 : Testez l'authentification unique

Configurez et testez l'authentification unique SAML sur un domaine de test vous appartenant. Si vous n'en possédez pas, testez l'authentification unique SAML avec quelques utilisateurs en créant un groupe de test et en activant l'authentification unique pour les seuls utilisateurs de ce groupe. Après avoir ainsi testé l'authentification unique SAML, déployez-la pour environ 5 % de vos utilisateurs.

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Dans la console d'administration, accédez à Menu puis AppareilspuisChromepuisParamètres. La page Paramètres des utilisateurs et du navigateur s'ouvre par défaut.

    Si vous vous êtes inscrit à la gestion cloud du navigateur Chrome, accédez à Menu puis Navigateur ChromepuisParamètres.

  3. Pour appliquer ce paramètre à l'ensemble des utilisateurs et des navigateurs enregistrés, laissez l'unité organisationnelle racine sélectionnée. Sinon, sélectionnez une unité organisationnelle enfant.
  4. Accédez à Sécurité.
  5. Cliquez sur Single sign-on (Authentification unique).
  6. Sélectionnez Activer l'authentification unique SAML pour les appareils Chrome.
  7. Cliquez sur Enregistrer.

(Facultatif) Étape 3 : Activez les cookies d'authentification unique SAML

Si vous activez les cookies d'authentification unique SAML, les utilisateurs de l'authentification unique pourront se connecter à des sites Web et services cloud internes utilisant le même fournisseur d'identité pour les connexions suivantes sur leur appareil.

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Dans la console d'administration, accédez à Menu puis AppareilspuisChromepuisParamètrespuisParamètres de l'appareil.
  3. Pour appliquer ce paramètre à l'ensemble des utilisateurs et des navigateurs enregistrés, laissez l'unité organisationnelle racine sélectionnée. Sinon, sélectionnez une unité organisationnelle enfant.
  4. Accédez à Paramètres de connexion.
  5. Cliquez sur Comportement des cookies d'authentification unique.
  6. Sélectionnez Activer le transfert des cookies d'authentification unique SAML dans la session utilisateur lors de la connexion. Pour en savoir plus, consultez Définir des règles relatives aux appareils ChromeOS.
  7. Cliquez sur Enregistrer.

(Facultatif) Étape 4 : Synchronisez les mots de passe locaux de ChromeOS et de l'authentification unique SAML

Vous pouvez choisir de synchroniser les mots de passe locaux des appareils ChromeOS avec les mots de passe de l'authentification unique SAML des utilisateurs.

Par défaut, le mot de passe local est mis à jour chaque fois que les utilisateurs se connectent en ligne. Vous pouvez configurer la fréquence à laquelle les utilisateurs doivent se connecter en ligne à l'aide des paramètres Fréquence de connexion par authentification unique SAML ou Fréquence de déverrouillage par authentification unique SAML. Toutefois, il peut arriver que des utilisateurs modifient leur mot de passe d'authentification unique SAML avant de devoir se reconnecter en ligne. Dans ce cas, les utilisateurs continuent à utiliser leur ancien mot de passe ChromeOS local jusqu'à leur prochaine connexion en ligne.

Pour que le mot de passe Chrome OS local reste synchronisé avec leur mot de passe d'authentification unique SAML, vous pouvez les forcer à se connecter en ligne dès que leur mot de passe d'authentification SAML change. Ainsi, ils mettent à jour leur mot de passe Chrome OS presque immédiatement.

  1. Pour informer Google que le mot de passe d'un utilisateur a été modifié, vous pouvez utiliser l'une des méthodes suivantes :
    1. Intégration de l'IdP : par exemple, si vous utilisez Okta, vous pouvez utiliser les workflows Okta. Pour en savoir plus, consultez la documentation GitHub.

    2. Intégration de Microsoft Entra ID : Change Password Notifier (CPN pour Microsoft Entra ID) informe Google des modifications de mots de passe associées à Microsoft Entra ID. Pour en savoir plus, consultez Synchroniser les mots de passe de ChromeOS à l'aide de Change Password Notifier pour Microsoft Entra ID.

    3. Intégration d'AD : Change Password Notifier pour Active Directory (CPN pour AD) informe Google des modifications apportées aux mots de passe Microsoft AD. Pour en savoir plus, consultez Synchroniser les mots de passe ChromeOS à l'aide de Change Password Notifier pour Active Directory.
    4. Intégration d'API : intégrez votre fournisseur d'identité à l'API Device Token. Vous pouvez obtenir l'API Device Token de Chrome ici. Pour plus d'informations, consultez Enable API suite for cloud project.
  2. Configurez les paramètres appropriés :
    1. Flux de synchronisation des mots de passe de l'authentification unique SAML : indiquez si vous souhaitez appliquer les connexions en ligne uniquement depuis l'écran de connexion ou depuis les écrans de connexion et de verrouillage. Pour plus d'informations, consultez Définir des règles Chrome pour les utilisateurs ou les navigateurs.
    2. Synchronisation des mots de passe de l'authentification unique SAML : sélectionnez Déclencher les flux d'authentification pour synchroniser les mots de passe avec les fournisseurs SSO. Pour plus d'informations, consultez Définir des règles Chrome pour les utilisateurs ou les navigateurs.

(Facultatif) Étape 5 : Informez à l'avance vos utilisateurs des changements de mot de passe

Vous pouvez vous assurer que les utilisateurs sont informés des changements de mot de passe à venir sur leurs appareils ChromeOS.

Actuellement, les notifications d'expiration de mot de passe ne sont pas compatibles avec Microsoft Entra ID.

Remarque : Nous vous recommandons d'effectuer soit l'Étape 4 : Synchronisez les mots de passe locaux de Chrome OS et de l'authentification unique SAML, soit l'Étape 5 : Informez à l'avance vos utilisateurs des changements de mot de passe, et non les deux.

Pour informer à l'avance les utilisateurs des changements de mot de passe :

  1. Dans la console d'administration Google, configurez l'authentification unique pour les comptes Google gérés à l'aide de fournisseurs d'identité tiers.
  2. Configurez une assertion SAML d'expiration de mot de passe pour votre fournisseur d'authentification unique SAML. Aidez-vous de l'exemple ci-dessous.
  3. Configurez les paramètres dans la console d'administration.
    1. Fréquence de connexion par authentification unique SAML : saisissez une valeur inférieure au délai d'expiration du mot de passe. Chrome OS ne met à jour ses assertions que lors des connexions en ligne. Pour plus d'informations, consultez Définir des règles Chrome pour les utilisateurs ou les navigateurs.
    2. Synchronisation des mots de passe de l'authentification unique SAML : sélectionnez Déclencher les flux d'authentification pour synchroniser les mots de passe avec les fournisseurs SSO. Indiquez en nombre de jours le délai de notification avant le changement. Vous pouvez saisir une valeur comprise entre 0 et 90 jours. Si ce champ n'est pas renseigné, la valeur par défaut de 0 est utilisée. Les utilisateurs ne sont pas informés à l'avance, mais seulement lorsque leur mot de passe expire. Pour plus d'informations, consultez Définir des règles Chrome pour les utilisateurs ou les navigateurs.

Exemple d'AttributeStatement

Dans l'exemple :

  • Le nom de l'attribut contient passwordexpirationtimestamp : horodatage de l'expiration du mot de passe de l'utilisateur authentifié. Ce champ peut être vide si le mot de passe n'expire pas, ou être antérieur s'il est déjà arrivé à expiration. Si vous préférez, vous pouvez utiliser passwordmodifiedtimestamp.
  • La valeur de l'attribut correspond au filetime du système NTFS : nombre de cycles de 100 ns depuis le 1er janvier 1601 UTC. Si vous préférez, vous pouvez choisir l'heure Unix ou une date et une heure au format ISO 8601. Aucun autre format n'est accepté.

<AttributeStatement>
<Attribute
     Name="http://schemas.google.com/saml/2019/passwordexpirationtimestamp">
     <AttributeValue>132253026634083525</AttributeValue>
</Attribute>
</AttributeStatement>

(Facultatif) Étape 6 : Activez la redirection IdP de l'authentification unique SAML

Pour que les personnes qui utilisent l'authentification unique puissent accéder directement à la page de votre fournisseur d'identité (IdP) SAML sans avoir à saisir leur adresse e-mail, vous pouvez activer la redirection IdP de l'authentification unique SAML.

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Dans la console d'administration, accédez à Menu puis AppareilspuisChromepuisParamètrespuisParamètres de l'appareil.
  3. Pour appliquer ce paramètre à l'ensemble des utilisateurs et des navigateurs enregistrés, laissez l'unité organisationnelle racine sélectionnée. Sinon, sélectionnez une unité organisationnelle enfant.
  4. Accédez à Paramètres de connexion.
  5. Cliquez sur Redirection IdP de l'authentification unique.
  6. Sélectionnez Autoriser les utilisateurs à accéder directement à la page IdP de l'authentification unique SAML. Pour en savoir plus, consultez Définir des règles relatives aux appareils ChromeOS.
  7. Cliquez sur Enregistrer.

(Facultatif) Étape 7 : Transférez les noms d'utilisateur

Vous pouvez transférer automatiquement les noms d'utilisateur de Google Identity au fournisseur d'identité tiers pour éviter aux utilisateurs de devoir saisir leur nom d'utilisateur deux fois.

Avant de commencer

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Dans la console d'administration, accédez à Menu puis AppareilspuisChromepuisParamètrespuisParamètres de l'appareil.
  3. Pour appliquer ce paramètre à l'ensemble des utilisateurs et des navigateurs enregistrés, laissez l'unité organisationnelle racine sélectionnée. Sinon, sélectionnez une unité organisationnelle enfant.
  4. Accédez à Paramètres de connexion.
  5. Cliquez sur Saisir automatiquement le nom d'utilisateur sur la page de connexion de l'IdP SAML.
  6. Saisissez le nom du paramètre d'URL.
  7. Cliquez sur Enregistrer.

(Facultatif) Étape 8 : Contrôlez le contenu sur les écrans de connexion et de verrouillage

Lorsque l'authentification unique SAML ou OpenID Connect est utilisée pour authentifier les utilisateurs, ou lorsque vous configurez des connexions réseau avec des portails captifs en dehors des sessions utilisateur, vous pouvez bloquer ou autoriser des URL sur les écrans de connexion et de verrouillage des utilisateurs à l'aide des règles DeviceAuthenticationURLBlocklist et DeviceAuthenticationURLAllowlist.

Pour en savoir plus, consultez URL bloquées sur l'écran de connexion/de verrouillage et Exceptions d'URL bloquées sur les écrans de connexion/verrouillage.

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Dans la console d'administration, accédez à Menu puis AppareilspuisChromepuisParamètrespuisParamètres de l'appareil.
  3. Pour appliquer ce paramètre à l'ensemble des utilisateurs et des navigateurs enregistrés, laissez l'unité organisationnelle racine sélectionnée. Sinon, sélectionnez une unité organisationnelle enfant.
  4. Accédez à Paramètres de connexion.
  5. Cliquez sur URL bloquées sur les écrans de connexion/verrouillage.
    1. Indiquez les URL à bloquer sur les écrans de connexion et de verrouillage.
    2. Cliquez sur Enregistrer.
  6. Cliquez sur Exceptions d'URL bloquées sur les écrans de connexion/verrouillage.
    1. Indiquez les URL à autoriser sur les écrans de connexion et de verrouillage.
    2. Cliquez sur Enregistrer.

Étape 9 : Déployez l'authentification unique SAML sur les appareils

Après avoir testé l'authentification unique SAML sur 5 % des appareils de votre entreprise, vous pouvez la déployer pour tous les utilisateurs en définissant les mêmes règles pour d'autres groupes. Si vous rencontrez des problèmes, contactez l'assistance Google Cloud.

Se connecter à un appareil Chrome OS via l'authentification unique SAML

Une fois que l'authentification unique SAML a été configurée sur les appareils de votre organisation, les utilisateurs qui se connectent à ce type d'appareil passent par les étapes ci-dessous.

Conditions requises

  • Vous avez suivi toutes les étapes décrites ci-dessus.

Procédure de connexion :

Demandez à vos utilisateurs de procéder comme suit lorsqu'ils se connectent pour la première fois à leur appareil. Remarque : Effectuez un test avant de généraliser le déploiement à toute l'organisation.

  1. Saisissez votre nom d'utilisateur (adresse e-mail complète) sur la page de connexion de l'appareil Chrome OS. Vous n'avez pas besoin de saisir de mot de passe pour l'instant.
  2. Vous êtes redirigé vers la page d'authentification unique SAML de votre organisation. Saisissez vos identifiants SAML sur la page de connexion du fournisseur SAML.
  3. Le cas échéant, saisissez une nouvelle fois votre mot de passe pour clore le processus de connexion. Cette étape n'est requise que si votre fournisseur d'identité n'a pas implémenté l'API Credentials Passing. Cela est nécessaire pour permettre l'accès hors connexion à votre appareil et pouvoir le déverrouiller.
  4. Une fois que vous êtes connecté, votre session commence et le navigateur s'ouvre. La prochaine fois que vous vous connecterez, vous ne devrez saisir votre mot de passe qu'une seule fois, au démarrage de l'appareil. En cas de problème, veuillez contacter votre administrateur informatique.

Questions fréquentes

Puis-je utiliser l'authentification intégrée de Windows (WIA) pour permettre aux utilisateurs de se connecter à des applications basées sur un navigateur et à l'intranet sans avoir à saisir manuellement leur nom d'utilisateur et leur mot de passe ?

Non. L'authentification intégrée de Windows (WIA) n'est plus compatible avec AD FS (Active Directory Federation Services). Pour en savoir plus, consultez Migrer vers la gestion Chrome dans le cloud.

Après m'être connecté auprès de mon fournisseur SAML, je suis invité à saisir à nouveau mon mot de passe. Est-ce normal ?

Oui. Cela est nécessaire pour permettre l'accès hors connexion à votre appareil Chrome OS et pouvoir le déverrouiller. Nous proposons une API que les fournisseurs SAML peuvent appliquer pour éliminer cette étape de confirmation.

Si un utilisateur modifie son mot de passe sur un autre appareil, comment vous assurez-vous que l'appareil est mis à jour pour être déverrouillé avec le nouveau mot de passe ?

Nous vous recommandons d'utiliser la méthode de mise à jour de l'API Directory qui informera simplement notre serveur d'authentification en cas de modification d'un mot de passe. Saisissez la valeur du mot de passe dans le corps de la requête. Si vous n'utilisez pas l'API, la modification du mot de passe sera détectée lors de la prochaine connexion en ligne. Par défaut, une connexion en ligne est automatiquement initiée tous les 14 jours sur l'appareil, même si le mot de passe n'est pas modifié. Vous pouvez en modifier la fréquence dans la console d'administration, dans AppareilspuisChromepuisParamètrespuisUtilisateurs et navigateurspuisFréquence de connexion en ligne par authentification unique SAML.

Mon mot de passe contient des caractères spéciaux. Sera-t-il accepté ?

Nous n'acceptons que les caractères ASCII imprimables.

Le message "Petit problème… Connexion impossible. La connexion a échoué, car elle a été configurée pour utiliser une URL non sécurisée. Veuillez contacter votre administrateur ou réessayer." s'affiche. Que dois-je faire ?

Si vos employés vous signalent ce message d'erreur, cela signifie que le fournisseur d'identité SAML tente d'utiliser une URL HTTP, alors que seules les URL HTTPS sont compatibles. Il est important de n'utiliser que le protocole HTTPS tout au long du processus de connexion. Par conséquent, même si le formulaire de connexion initial est envoyé via HTTPS, vous pouvez recevoir ce message d'erreur en cas de redirection du fournisseur d'identité vers une URL HTTP lors d'une étape ultérieure du processus. Si vous corrigez ce problème, mais que les utilisateurs continuent de recevoir le message d'erreur, veuillez contacter l'assistance Google Cloud.

Je suis un administrateur informatique. Pourquoi ne suis-je pas redirigé vers mon fournisseur d'identité SAML ?

Cela est volontaire. En cas d'erreur au cours de la configuration, nous souhaitons que l'administrateur soit en mesure de se connecter pour corriger le problème.

L'authentification unique fonctionne-t-elle avec les filtres de contenu TLS et SSL ?

Oui. Suivez les instructions de la rubrique Configurer l'inspection SSL sur les appareils Chrome OS pour procéder à la configuration. En plus des domaines répertoriés dans Définir une liste d'autorisation de noms d'hôtes, vous devez ajouter à la liste d'autorisation le domaine de votre fournisseur d'identité d'authentification unique, ainsi que l'adresse www.google.com.

Comment fonctionne l'authentification unique pour les autorisations d'accès à l'appareil photo ?

Pour offrir aux logiciels tiers un accès direct à l'appareil photo de l'appareil d'un utilisateur qui se connecte via l'authentification unique, activez les autorisations des appareils photo en mode d'authentification unique.

Accédez à Appareils puis Chrome puis Paramètres puis Paramètres de l'appareil puis Autorisations des appareils photo en mode d'authentification unique puis Liste d'autorisation d'accès aux appareils photo en mode d'authentification unique.

Pour en savoir plus, consultez Définir des règles relatives aux appareils ChromeOS.

En activant cette règle, l'administrateur octroie aux tiers l'accès aux appareils photo des appareils pour le compte de ses utilisateurs. L'administrateur doit s'assurer que les modes d'autorisation mis en place sont corrects, car le système ne demande aucune autorisation aux utilisateurs une fois l'autorisation d'accès à l'appareil photo accordée via cette règle.

Google et les marques et logos associés sont des marques de Google LLC. Tous les autres noms d'entreprises et de produits sont des marques des entreprises auxquelles ils sont associés.

Ces informations vous-ont elles été utiles ?

Comment pouvons-nous l'améliorer ?
true
Recherche
Effacer la recherche
Fermer le champ de recherche
Menu principal
901251937630920752
true
Rechercher dans le centre d'aide
true
true
true
true
true
410864
false
false