Paramètres SSO facultatifs et maintenance

Effectuer une rotation des certificats

Si vous importez deux certificats dans un profil SSO SAML, Google peut utiliser l'un ou l'autre pour valider une réponse SAML de votre IdP. Cela vous permet de remplacer en toute sécurité un certificat arrivant à expiration du côté de l'IdP. Suivez ces étapes au moins 24 heures avant l'expiration d'un certificat :

  1. Créez un certificat sur l'IDP.
  2. Importez le certificat en tant que deuxième certificat dans la console d'administration. Pour obtenir des instructions, consultez Créer un profil SAML.
  3. Attendez 24 heures pour que les comptes utilisateur Google soient mis à jour avec le nouveau certificat.
  4. Configurez l'IdP pour qu'il utilise le nouveau certificat à la place de celui qui arrive à expiration.
  5. (Facultatif) Une fois que les utilisateurs ont confirmé qu'ils peuvent se connecter, supprimez l'ancien certificat de la console d'administration. Vous pourrez ensuite importer un nouveau certificat si nécessaire.

Gérer les URL de service spécifiques au domaine

Le paramètre URL de service spécifiques au domaine vous permet de contrôler ce qui se passe lorsque les utilisateurs se connectent à l'aide d'URL de service, telles que https://mail.google.com/a/example.com.

  1. Connectez-vous à la console d'administration Google avec un compte administrateur.

    Si vous ne disposez pas d'un compte administrateur, vous ne pouvez pas accéder à la console d'administration.

  2. Accédez à Menu puis Sécurité > Authentification > SSO avec un IdP tiers.

    Le droit d'administrateur Paramètres de sécurité est requis.

  3. Cliquez sur URL de service spécifiques au domaine pour ouvrir les paramètres.

Vous disposez de deux options :

  • Rediriger les utilisateurs vers le fournisseur d'identité tiers. Choisissez cette option pour toujours acheminer ces utilisateurs vers l'IdP tiers que vous sélectionnez dans la liste déroulante du profil SSO. Il peut s'agir du profil SSO de votre organisation ou d'un autre profil tiers (si vous en avez ajouté un).

    Important : Ne sélectionnez pas ce paramètre si certains de vos groupes ou unités organisationnelles n'utilisent pas l'authentification unique. Vos utilisateurs sans authentification unique seront automatiquement redirigés vers le fournisseur d'identité et ne pourront pas se connecter.

  • Demander aux utilisateurs de saisir d'abord leur nom d'utilisateur sur la page de connexion Google. Avec cette option, les utilisateurs qui saisissent des URL spécifiques au domaine sont d'abord redirigés vers la page de connexion Google. S'ils utilisent l'authentification unique, ils sont redirigés vers la page de connexion du fournisseur d'identité.

Résultats du mappage de réseaux

Les masques de réseau sont des adresses IP représentées avec la notation CIDR (Classless Inter-Domain Routing ce qui signifie Routage inter-domaine sans classe). Le CIDR indique le nombre de bits de l'adresse IP qui sont inclus. Le profil SSO de votre organisation peut utiliser des masques de réseau pour déterminer les adresses ou plages d'adresses IP pour lesquelles le service SSO doit être appliqué.

Remarque : Pour les paramètres de masques de réseau, seules les URL de service spécifiques à un domaine, par exemple service.google.com/a/example.com, vous redirigent actuellement vers la page de connexion SSO.

Il est important que tous les masques de réseau soient au bon format. Dans l'exemple d'adresse IPv6 suivant, la barre oblique (/) et le nombre qui la suit représentent le CIDR. Les 96 derniers bits ne sont pas pris en compte et toutes les adresses IP de la plage réseau sont concernées.

  • 2001:db8::/32

Dans cet exemple d'adresse IPv4, les huit derniers bits (le zéro) ne sont pas pris en compte et toutes les adresses IP comprises entre 64.233.187.0 et 64.233.187.255 sont concernées.

  • 64.233.187.0/24

Dans les domaines sans masque de réseau, ajoutez les utilisateurs autres que des super-administrateurs au fournisseur d'identités (IdP).

Expérience utilisateur relative au SSO lors de la consultation d'URL de service Google

Le tableau suivant présente l'expérience utilisateur pour les visites directes sur les URL de service Google, avec et sans masque de réseau :

Sans masque de réseau Super-administrateurs Utilisateurs
service.google.com Ils sont invités à saisir leur adresse e-mail et leur mot de passe Google. Ils sont invités à saisir leur adresse e-mail, puis sont redirigés vers la page de connexion SSO.
Avec un masque de réseau Super-administrateurs et utilisateurs
service.google.com Ils sont invités à saisir leur adresse e-mail et leur mot de passe.
service.google.com
/a/votre_domaine.com*
(dans le masque de réseau)		 Ils sont redirigés vers la page de connexion SSO.
service.google.com
/a/votre_domaine.com
(en dehors du masque de réseau
)		 Ils sont invités à saisir leur adresse e-mail et leur mot de passe.
accounts.google.com/
o/oauth2/v2/auth?login_hint=
xxxxx@example.com

Les utilisateurs qui accèdent au point de terminaison OAuth 2.0 de Google à l'aide du paramètre d'URL login_hint sont redirigés vers la page de connexion SSO.

* Tous les services ne sont pas compatibles avec ce format d'URL. Gmail et Drive sont des exemples de services compatibles.

Expiration de session lorsqu'un masque de réseau est configuré
Cette section s'applique à vous uniquement si toutes les conditions suivantes sont remplies :
  • Votre domaine dispose du SSO auprès d'un fournisseur d'identité tiers.
  • Votre domaine possède un masque de réseau.
  • Un utilisateur s'est connecté via le fournisseur d'identité tiers (voir le tableau de la section "Matrice de correspondance utilisateur/réseau relative au SSO").
Il est possible que la session Google active d'un utilisateur soit interrompue et que l'utilisateur soit invité à se reconnecter dans les cas suivants :
  • La session utilisateur atteint la durée maximale autorisée spécifiée dans le paramètre Contrôle de session Google de la console d'administration.
  • L'administrateur a modifié le compte utilisateur en changeant le mot de passe immédiatement ou en spécifiant que l'utilisateur doit le faire la prochaine fois qu'il se connecte (via la console d'administration ou le SDK Admin).

Expérience utilisateur

Si l'utilisateur a lancé la session sur un fournisseur d'identité tiers, la session est effacée et l'utilisateur est redirigé vers la page de connexion Google.

Étant donné que l'utilisateur a initié sa session Google sur un fournisseur d'identité tiers, il se peut qu'il ne comprenne pas pourquoi il doit se connecter à Google pour retrouver l'accès à son compte. Les utilisateurs peuvent être redirigés vers une page de connexion Google, même lorsqu'ils essaient d'accéder à d'autres URL Google.

Si vous planifiez une opération de maintenance qui consiste à interrompre des sessions utilisateur actives, demandez à vos utilisateurs de se déconnecter de leurs sessions jusqu'à la fin de l'opération afin d'éviter toute confusion.

Récupération d'un compte utilisateur

Lorsqu'un utilisateur voit la page de connexion Google, car sa session active a été interrompue, il peut de nouveau accéder à son compte en effectuant l'une des actions suivantes :

  • Si l'utilisateur voit le message "Si vous avez atteint cette page par erreur, veuillez cliquer ici pour vous déconnecter, puis réessayez de vous connecter", il peut cliquer sur le lien.
  • Si l'utilisateur ne voit pas ce message ou ce lien, il peut se déconnecter, puis se connecter à nouveau à l'adresse https://accounts.google.com/logout.
  • L'utilisateur peut effacer les cookies de son navigateur.

Une fois que l'une des méthodes de récupération a été employé, la session Google est complètement interrompue et l'utilisateur peut à nouveau se connecter.

Configurer la validation en deux étapes avec le SSO

  1. Connectez-vous à la console d'administration Google avec un compte administrateur.

    Si vous ne disposez pas d'un compte administrateur, vous ne pouvez pas accéder à la console d'administration.

  2. Accédez à Menu  puis  Sécurité > Authentification > Questions d'authentification à la connexion.

    Vous devez pour cela disposer du droit d'administrateur Gestion de la sécurité utilisateur.

  3. Sur la gauche, sélectionnez l'unité organisationnelle pour laquelle vous souhaitez définir la règle.

    Pour la définir pour tous les utilisateurs, sélectionnez l'unité organisationnelle racine. Au départ, les unités organisationnelles héritent des paramètres de leur parent.

  4. Cliquez sur Validation post-authentification unique.
  5. Choisissez les paramètres en fonction de la façon dont vous utilisez les profils SSO dans votre organisation. Vous pouvez appliquer un paramètre aux utilisateurs qui utilisent l'ancien profil SSO et à ceux qui se connectent à l'aide d'autres profils SSO.
  6. En bas à droite, cliquez sur Enregistrer.

    Google crée une entrée dans le journal d'audit de l'administrateur pour indiquer la modification de la règle.

Le paramètre de validation post-authentification unique par défaut dépend du type d'utilisateur SSO :

  • Pour les utilisateurs qui se connectent à l'aide de l'ancien profil SSO, le paramètre par défaut consiste à ignorer les questions d'authentification à la connexion supplémentaires et la validation en deux étapes.
  • Pour les utilisateurs qui se connectent à l'aide d'autres profils SSO, le paramètre par défaut consiste à appliquer des questions d'authentification à la connexion supplémentaires et la validation en deux étapes.

Voir aussi

Ces informations vous-ont elles été utiles ?

Comment pouvons-nous l'améliorer ?
true
Recherche
Effacer la recherche
Fermer le champ de recherche
Applications Google
Menu principal
415157263033543012
true
Rechercher dans le centre d'aide
true
true
true
false
false
false
false