Application cloud Office 365

Le protocole SAML (Security Assertion Markup Language) permet à vos utilisateurs de se connecter aux applications cloud de l'entreprise avec leurs identifiants Google Cloud.

Configurer l'authentification unique via le protocole SAML pour Microsoft Office 365

Voici comment configurer l'authentification unique (SSO) via le protocole SAML pour l'application Microsoft Office 365.

Avant de commencer
Étape 1 : Configurez l'ImmutableID (ID non modifiable)

Office 365 identifie les utilisateurs de manière unique à l'aide de l'attribut ImmutableID. Pour que l'authentification unique fonctionne entre Google et Office 365, chaque utilisateur d'Office 365 doit posséder un ImmutableID, et l'attribut d'ID de nom SAML envoyé à Office 365 lors de l'authentification unique doit être le même que l'ImmutableID.

L'ImmutableID d'un utilisateur d'Office 365 varie selon la façon dont le compte utilisateur est créé. Voici les scénarios les plus probables :

  • Aucun utilisateur ne se trouve encore dans Office 365. Si vous configurez Google pour qu'il provisionne automatiquement les utilisateurs, vous n'avez pas à configurer l'ImmutableID, car il correspond déjà par défaut à l'adresse e-mail de l'utilisateur (le nom d'utilisateur principal, ou UPN). Passez à l'étape 2 ci-dessous.
  • Si des utilisateurs ont été créés dans la console d'administration Office 365, l'ImmutableID doit être vierge. Pour ces utilisateurs, définissez l'ImmutableID dans Office 365 à l'aide de la commande PowerShell Set-MsolUser afin qu'il corresponde à l'UPN de l'utilisateur :

    Set-MsolUser -UserPrincipalName testuser@yourdomain.com -ImmutableId testuser@yourdomain.com

    Vous pouvez également mettre tous les comptes utilisateur à jour de manière groupée à l'aide de Set-MsolUser. Reportez-vous à la documentation PowerShell pour obtenir des instructions spécifiques.

  • Si des utilisateurs ont été créés via la synchronisation Azure Active Directory, l'ImmutableID est une version encodée de l'objectGUID Active Directory. Pour ces utilisateurs :
    1. Récupérez l'ImmutableID d'Azure AD à l'aide de PowerShell. Par exemple, pour récupérer l'ImmutableID pour tous les utilisateurs et l'exporter vers un fichier CSV :

      $exportUsers = Get-MsolUser -All | Select-Object UserprincipalName, ImmutableID | Export-Csv C:\csvfile

    2. Créez un attribut personnalisé dans Google, puis insérez l'ImmutableID Office 365 de chaque utilisateur dans son profil. Pour en savoir plus, consultez Ajouter un attribut personnalisé et Mettre à jour un profil utilisateur. Vous pouvez également automatiser ce processus avec GAM (un outil de ligne de commande Open Source) ou le SDK Admin de Workspace.

Pour en savoir plus sur l'attribut ImmutableID, consultez la documentation Microsoft.

Étape 2 : Obtenez des informations sur le fournisseur d'identité (IdP) Google
  1. Connectez-vous à votre Console d'administration Google.

    Connectez-vous avec un compte disposant de droits de super-administrateur (ne se terminant pas par @gmail.com).

  2. Sur la page d'accueil de la console d'administration, accédez à Sécurité puis Configurer l'authentification unique pour les applications SAML.

    Pour ce faire, vous devez être connecté en tant que super-administrateur.

  3. Dans la section Configurer l'authentification unique (SSO), copiez l'URL d'authentification unique et l'ID d'entité, puis enregistrez-les et téléchargez le Certificat.

Passez ensuite à Office 365 pour suivre la procédure de configuration de l'étape 3. Vous reviendrez à la console d'administration lors de l'étape 4 ci-dessous pour terminer la configuration de l'authentification unique.

Étape 3 : Définissez Office 365 comme fournisseur de services SAML 2.0
  1. Dans un nouvel onglet de navigateur, connectez-vous à votre application Office 365 en tant qu'administrateur.
  2. À l'aide d'un éditeur de texte, créez des variables PowerShell depuis les données IdP copiées depuis Google. Voici les valeurs nécessaires pour chaque variable :
    Variable Valeur
    $DomainName votredomaine.fr”
    $FederationBrandName “Google Cloud Identity” (ou toute valeur que vous choisirez)
    $Authentication “Fédéré”
    $PassiveLogOnUrl
    $ActiveLogOnUri 
    “URL SSO” (depuis les informations sur l'IdP Google)
    $SigningCertificate “Collez tout le certificat ici” (depuis les informations sur l'IdP Google)*
    $IssuerURI “ID d'entité” (depuis les informations sur l'IdP Google)
    $LogOffUri “https://accounts.google.com/logout”
    $PreferredAuthenticationProtocol “SAMLP”
    * Assurez-vous que la variable $SigningCertificate se trouve sur une seule ligne de texte. Dans le cas contraire, PowerShell renverra un message d'erreur.
  3. À l'aide de la console PowerShell, exécutez la commande Set-MsolDomainAuthentication pour configurer votre domaine Active Directory afin qu'il soit fédéré. Reportez-vous à la documentation Microsoft PowerShell pour obtenir des instructions spécifiques.
  4. (Facultatif) Pour tester les paramètres de fédération, utilisez la commande PowerShell suivante :

    Get-MSolDomainFederationSettings -DomainName yourdomain.com | Format-List *

Remarque : Si votre domaine est déjà fédéré et que vous devez changer la fédération pour Google, exécutez la commande
Set-MsolDomainFederationSettings, en utilisant les paramètres du tableau ci-dessus.

Étape 4 : Définissez Google comme fournisseur d'identité (IdP) SAML
  1. Connectez-vous à votre Console d'administration Google.

    Connectez-vous avec un compte disposant de droits de super-administrateur (ne se terminant pas par @gmail.com).

  2. Sur la page d'accueil de la console d'administration, accédez à ApplicationspuisApplications Web et mobiles.
  3. Cliquez sur Ajouter une applicationpuisRechercher des applications.
  4. Saisissez Office 365 dans le champ de recherche.
  5. Dans les résultats de recherche, passez la souris sur l'application SAML Office 365, puis cliquez sur Sélectionner.
  6. Sur la page Informations sur le fournisseur d'identité Google, cliquez sur Continuer.
  7. Sur la page Détails relatifs au fournisseur de services :
    1. Cochez l'option Réponse signée.
    2. Indiquez la valeur "PERSISTENT" dans le champ Format de l'ID du nom.
    3. Si vous avez créé un attribut personnalisé pour ajouter l'attribut ImmutableID Office 365 aux profils Google de vos utilisateurs (voir l'Étape 1 ci-dessus), sélectionnez ID de nom comme attribut personnalisé. Sinon, définissez ID de nom sur Informations de base > Adresse e-mail principale.
  8. Cliquez sur Continuer.
  9. Sur la page Mappage des attributs, cliquez sur le menu Sélectionner un champ et associez les attributs d'annuaire Google suivants aux attributs Office 365 correspondants :
     
    Attribut d'annuaire Google Attribut Office 365
    Informations générales > Adresse e-mail principale IDPEmail (E-mail du fournisseur d'identité)
  10. (Facultatif) Si vous souhaitez envoyer dans la réponse SAML les informations sur l'appartenance d'un utilisateur à un groupe, saisissez le nom des groupes pertinents pour cette application dans le champ Appartenance à un groupe.
    1. Sous Groupes Google, cliquez sur le champ Rechercher un groupe.
    2. Saisissez au moins une lettre du nom du groupe.
    3. Sélectionnez le nom du groupe dans la liste déroulante.
    4. Ajoutez des groupes si nécessaire (le nombre total de groupes ne peut pas dépasser 75).
    5. Sous Attribut de l'application, saisissez le nom d'attribut correspondant des groupes du fournisseur de services.

    Remarque : Quel que soit le nombre de noms de groupes saisis, la réponse SAML inclut uniquement les groupes dont un utilisateur est membre (directement ou indirectement). Pour en savoir plus, consultez À propos du mappage des informations d'appartenance à un groupe.

  11. Cliquez sur Terminer.
Étape 5 : Activez l'application Office 365
  1. Connectez-vous à votre Console d'administration Google.

    Connectez-vous avec un compte disposant de droits de super-administrateur (ne se terminant pas par @gmail.com).

  2. Sur la page d'accueil de la console d'administration, accédez à ApplicationspuisApplications Web et mobiles.
  3. Sélectionnez Office 365.
  4. Cliquez sur Accès utilisateur.
  5. Pour activer ou désactiver un service pour tous les membres de votre organisation, cliquez sur Activé pour tout le monde ou sur Désactivé pour tout le monde, puis sur Enregistrer.

  6. (Facultatif) Pour activer ou désactiver un service pour une unité organisationnelle :
    1. Sur la gauche, sélectionnez l'unité organisationnelle souhaitée.
    2. Pour modifier l'état du service, sélectionnez Activé ou Désactivé.
    3. Choisissez une option :
      • Si l'état du service est défini sur Hérité et que vous souhaitez conserver le paramètre mis à jour, même si le paramètre parent est modifié, cliquez sur Remplacer.
      • Si l'état du service est défini sur Remplacé, cliquez sur Hériter pour rétablir le paramètre parent, ou cliquez sur Enregistrer pour conserver le nouveau paramètre, même si le paramètre parent est modifié.
        Remarque : En savoir plus sur la structure organisationnelle
  7. (Facultatif) Activer un service pour un groupe d'utilisateurs
    Les groupes d'accès vous permettent d'activer un service pour certains utilisateurs au sein de vos unités organisationnelles. En savoir plus

  8. Assurez-vous que les identifiants de messagerie de vos comptes utilisateur Office 365 correspondent à ceux de votre domaine Google.
Étape 6 : Vérifiez que l'authentification unique fonctionne correctement entre Office 365 et Google

Office 365 est compatible à la fois avec l'authentification unique initiée par le fournisseur d'identité (IdP) et celle initiée par le fournisseur de services (SP). Pour vérifier le bon fonctionnement de l'authentification unique avec les deux modes :

Initiée par le fournisseur d'identité (IdP)

  1. Connectez-vous à votre Console d'administration Google.

    Connectez-vous avec un compte disposant de droits de super-administrateur (ne se terminant pas par @gmail.com).

  2. Sur la page d'accueil de la console d'administration, accédez à ApplicationspuisApplications Web et mobiles.
  3. Sélectionnez Office 365.
  4. En haut à gauche, cliquez sur Tester la connexion SAML

    Office 365 s'ouvre dans un nouvel onglet. Si ce n'est pas le cas, mettez à jour vos paramètres IdP et SP à l'aide des informations contenues dans les messages d'erreur SAML, puis testez à nouveau la connexion SAML.

Initiée par le fournisseur de services (SP)

  1. Ouvrez la page https://login.microsoftonline.com/.
    Vous devriez être automatiquement redirigé vers la page de connexion Google.
  2. Saisissez vos identifiants.
  3. Une fois authentifié, vous êtes automatiquement redirigé vers Office 365.
Étape 7 : Configurez le provisionnement automatique  


Google, Google Workspace et les marques et logos associés sont des marques de Google LLC. Tous les autres noms de sociétés et de produits sont des marques des sociétés auxquelles ils sont associés.

Ces informations vous-ont elles été utiles ?
Comment pouvons-nous l'améliorer ?
true
Recherche
Effacer la recherche
Fermer le champ de recherche
Applications Google
Menu principal
Rechercher dans le centre d'aide
false