Provisionnement des utilisateurs et authentification unique B2B Microsoft Entra ID (anciennement Azure AD)

Ce document montre comment étendre le provisionnement des utilisateurs et l'authentification unique Microsoft Entra ID (anciennement Azure AD) afin d'activer l'authentification unique (SSO) pour les collaborateurs B2B Microsoft Entra ID.

Nous partons du principe que vous utilisez Microsoft Office 365 ou Microsoft Entra ID dans votre organisation, et que vous avez déjà configuré le provisionnement des utilisateurs et l'authentification unique Microsoft Entra ID conformément au schéma suivant.

Dans ce schéma, les utilisateurs de fournisseurs d'identité (IdP, Identity Provider) externes et d'autres locataires Microsoft Entra ID se connectent au locataire Microsoft Entra ID via l'authentification B2B.

Objectifs

• Étendre la configuration du provisionnement des utilisateurs Microsoft Entra ID de sorte qu'il couvre les utilisateurs invités de Microsoft Entra B2B
• Étendre la configuration SSO Microsoft Entra ID aux utilisateurs invités de Microsoft Entra B2B.
• Configurer Cloud Identity afin de limiter la durée des sessions pour les utilisateurs invités

Avant de commencer

Assurez-vous que vous avez configuré le provisionnement des utilisateurs et l'authentification unique Microsoft Entra ID.

Utilisateurs invités de Microsoft Entra B2B

Microsoft Entra ID vous permet d'inviter des utilisateurs externes en tant qu'invités pour votre locataire Microsoft Entra ID. Lorsque vous conviez un utilisateur externe, Microsoft Entra ID crée un compte utilisateur invité dans votre locataire. Ces comptes utilisateur invités diffèrent des comptes utilisateur Microsoft Entra ID standards sur plusieurs points :

• Les utilisateurs invités n'ont pas de mot de passe. Au moment de la connexion, ils sont automatiquement redirigés vers leur locataire d'origine ou vers l'IdP externe à partir duquel ils ont été invités.
• Le nom d'utilisateur principal (UPN, User Principal Name) du compte utilisateur invité comporte un préfixe dérivé de l'adresse e-mail de l'invité, associé au domaine initial du locataire (par exemple : prefix#EXT#@tenant.onmicrosoft.com).
• Si vous invitez un utilisateur d'un autre locataire Microsoft Entra ID et que celui-ci est ensuite supprimé de son locataire d'origine, le compte utilisateur invité reste actif dans votre locataire Microsoft Entra ID.

Ces différences affectent la manière dont vous configurez le provisionnement des utilisateurs et l'authentification unique :

• Étant donné que onmicrosoft.com est un domaine DNS appartenant à Microsoft, vous ne pouvez pas ajouter tenant.onmicrosoft.com comme domaine secondaire à votre compte Cloud Identity ou Google Workspace. Cette limite implique que vous ne pouvez pas vous servir de l'UPN de l'utilisateur invité comme adresse e-mail principale lors du provisionnement de cet utilisateur dans Cloud Identity ou Google Workspace.

  Pour provisionner les utilisateurs invités dans Cloud Identity ou Google Workspace, vous devez configurer un mappage qui transforme leur UPN en un domaine utilisé par votre compte Cloud Identity ou Google Workspace.

  Dans ce document, vous allez configurer un mappage d'UPN, comme indiqué dans le tableau suivant.

  	UPN d'origine dans Microsoft Entra ID	Adresse e-mail principale dans Cloud Identity ou Google Workspace
  Utilisateur standard	alice@example.com	alice@example.com
  Invité Microsoft Entra ID	charlie@altostrat.com	charlie_altostrat.com@example.com
  Invité externe	user@hotmail.com	user_hotmail.com@example.com

• Lorsqu'un utilisateur est supprimé de son locataire d'origine, Microsoft Entra ID ne suspend pas l'utilisateur correspondant dans Cloud Identity ou Google Workspace. Cela présente un risque pour la sécurité : bien que toute tentative d'utilisation de l'authentification unique échoue pour un tel utilisateur, les sessions de navigateur et les jetons d'actualisation existants (y compris ceux utilisés par Google Cloud CLI) peuvent rester actifs pendant des jours voire des semaines, l'utilisateur pouvant ainsi continuer à accéder aux ressources.

  Avec l'approche présentée dans ce document, vous pouvez limiter ce risque en provisionnant les utilisateurs invités dans une unité organisationnelle dédiée dans Cloud Identity ou Google Workspace, et en appliquant une règle qui limite la durée des sessions à huit heures. Cette règle garantit que les sessions de navigateur et les jetons d'actualisation existants sont invalidés au plus tard huit heures après la suppression de l'utilisateur dans son locataire d'origine, entraînant ainsi la révocation de tous les accès. Toutefois, l'utilisateur reste actif dans Cloud Identity ou Google Workspace jusqu'à ce que vous supprimiez l'utilisateur invité de votre compte Microsoft Entra ID.

Préparer votre compte Cloud Identity ou Google Workspace

Dans votre compte Cloud Identity ou Google Workspace, créez une unité organisationnelle dans laquelle tous les utilisateurs invités seront provisionnés.

1. Ouvrez la console d'administration et connectez-vous à l'aide du compte super-administrateur créé lors de votre inscription à Cloud Identity ou Google Workspace.
2. Dans le menu, accédez à Annuaire > Unités organisationnelles.
3. Cliquez sur Créer une unité organisationnelle, puis saisissez un nom et une description pour l'UO :
   1. Nom de l'unité organisationnelle : guests
   2. Description : Microsoft Entra B2B guest users
4. Cliquez sur Créer.

Appliquez à l'unité organisationnelle une règle qui limite la durée des sessions à huit heures. Non seulement cette durée s'applique aux sessions de navigateur, mais elle limite également la durée de vie des jetons d'actualisation OAuth.

1. Dans la console d'administration, accédez à Sécurité > Contrôle des accès et des données > Contrôle des sessions Google Cloud.

2. Sélectionnez les invités de l'unité organisationnelle et appliquez les paramètres suivants :

   • Règles de réauthentification : Demander une nouvelle authentification

   • Fréquence de réauthentification : 8 heures

     Cette durée correspond à la durée maximale pendant laquelle un utilisateur invité peut toujours accéder aux ressources Google Cloud après sa suspension dans Microsoft Entra ID.

   • Méthode de réauthentification : Mot de passe

     Ce paramètre garantit que les utilisateurs doivent s'authentifier de nouveau à l'aide de Microsoft Entra ID une fois la session expirée.

3. Cliquez sur Remplacer.

Configurer le provisionnement Microsoft Entra ID

Vous êtes maintenant prêt à ajuster votre configuration Microsoft Entra ID existante pour permettre le provisionnement des utilisateurs invités B2B.

1. Dans le portail Azure, accédez à Microsoft Entra ID > Applications d'entreprise.
2. Sélectionnez l'application d'entreprise Google Cloud (Provisioning) (Google Cloud (provisionnement)), que vous utilisez pour le provisionnement des utilisateurs.
3. Cliquez sur Manage > Provisioning (Gérer > Provisionnement).
4. Cliquez sur Edit provisioning (Modifier le provisionnement).
5. Sous Mappages, cliquez sur Provisionner des utilisateurs Microsoft Entra ID.
6. Sélectionnez la ligne userPrincipalName.

7. Dans la boîte de dialogue Edit Attribute (Modifier l'attribut), appliquez les modifications suivantes :

   1. Mapping type (Type de mappage) : remplacez Direct par Expression.

   2. Expression :

      Replace([originalUserPrincipalName], "#EXT#@TENANT_DOMAIN", , , "@PRIMARY_DOMAIN", , )

      Remplacez les éléments suivants :

      • TENANT_DOMAIN : domaine .onmicrosoft.com de votre locataire Microsoft Entra ID, par exemple tenant.onmicrosoft.com.
      • PRIMARY_DOMAIN : nom de domaine principal utilisé par votre compte Cloud Identity ou Google Workspace, tel que example.org.

8. Cliquez sur OK.

9. Sélectionnez Add new mapping (Ajouter un nouveau mappage).

10. Dans la boîte de dialogue Edit Attribute (Modifier l'attribut), configurez les paramètres suivants :

    1. Mapping type (Type de mappage) : Expression.

    2. Expression :

       IIF(Instr([originalUserPrincipalName], "#EXT#", , )="0", "/", "/guests")

    3. Target attribute (Attribut cible) : OrgUnitPath

11. Cliquez sur OK.

12. Cliquez sur Save (Enregistrer).

13. Cliquez sur Yes (Oui) pour confirmer que l'enregistrement des modifications entraînera la resynchronisation des utilisateurs et des groupes.

14. Fermez la boîte de dialogue Attribute Mapping (Mappage d’attributs).

Configurer Microsoft Entra ID pour l'authentification unique

Pour vous assurer que les utilisateurs invités peuvent s'authentifier à l'aide de l'authentification unique, vous devez à présent étendre votre configuration Microsoft Entra ID existante afin d'activer l'authentification unique pour les invités :

1. Sur le portail Azure, accédez à Microsoft Entra ID > Applications d'entreprise.
2. Sélectionnez l'application d'entreprise Google Cloud, que vous utilisez pour l'authentification unique.
3. Cliquez sur Manage > Single Sign-on (Gérer > Authentification unique).
4. Sur l'écran de sélection, cliquez sur la fiche SAML.
5. Sur la fiche User Attributes & Claims (Attributs et revendications utilisateur) cliquez sur Edit (Modifier).
6. Sélectionnez la ligne intitulée Unique User Identifier (Name ID) (Identifiant d'utilisateur unique (ID de nom)).
7. Sélectionnez Claim conditions (Conditions de revendication).
8. Ajoutez une revendication conditionnelle pour les invités externes :
   • User type (Type d'utilisateur) : External guests (Invités externes)
   • Source : Transformation
   • Transformation : RegexReplace()
   • Paramètre 1 : Attribut
   • Attribut : user.userprincipalname
   • Modèle d'expression régulière : (?'username'^.*?)#EXT#@(?i).*\.onmicrosoft\.com$
   • Modèle de remplacement : {username}@PRIMARY_DOMAIN, en remplaçant PRIMARY_DOMAIN par le nom de domaine principal utilisé par votre compte Cloud Identity ou Google Workspace.
9. Cliquez sur Ajouter.

10. Ajoutez une revendication conditionnelle pour les invités Microsoft Entra ID issus de locataires différents :

    • Type d'utilisateur : Invités Microsoft Entra
    • Source : Transformation
    • Transformation : RegexReplace()
    • Paramètre 1 : Attribut

    • Attribut : user.localuserprincipalname

    • Modèle d'expression régulière : (?'username'^.*?)#EXT#@(?i).*\.onmicrosoft\.com$

    • Modèle de remplacement : {username}@PRIMARY_DOMAIN, en remplaçant PRIMARY_DOMAIN par le nom de domaine principal utilisé par votre compte Cloud Identity ou Google Workspace.

11. Cliquez sur Ajouter.

12. Ajoutez une revendication conditionnelle pour les utilisateurs Microsoft Entra ID standards :

    • User type (Type d'utilisateur) : Members (Membres)
    • Source : Attribute (Attribut)
    • Value (Valeur) : user.userprincipalname

13. Cliquez sur Enregistrer.

Tester l'authentification unique

Pour vérifier que la configuration fonctionne correctement, vous devez disposer de trois utilisateurs test dans votre locataire Microsoft Entra ID :

• Un utilisateur Microsoft Entra ID standard.
• Un utilisateur Microsoft Entra ID invité. Il s'agit d'un utilisateur qui a été invité et qui est issu d'un autre locataire Microsoft Entra ID.
• Un utilisateur invité externe. Il s'agit d'un utilisateur qui a été invité avec une adresse e-mail autre que Microsoft Entra ID, par exemple une adresse @hotmail.com.

Pour chaque utilisateur, effectuez le test suivant :

1. Ouvrez une nouvelle fenêtre de navigation privée et accédez à l'adresse https://console.cloud.google.com/.

2. Sur la page Google Sign-In qui apparaît, saisissez l'adresse e-mail de l'utilisateur tel qu'elle apparaît dans la colonne Adresse e-mail principale dans Cloud Identity ou Google Workspace dutableau précédent. Reportez-vous à ce tableau pour découvrir comment l'adresse e-mail dans Cloud Identity ou Google Workspace est dérivée du nom d'utilisateur principal.

   Vous êtes redirigé vers Microsoft Entra ID où vous voyez une autre invite de connexion.

3. Lorsque l'invite de connexion s'affiche, saisissez l'UPN de l'utilisateur et suivez les instructions pour vous authentifier.

   Une fois l'authentification réussie, Microsoft Entra ID vous redirige vers Google Sign-In. Étant donné que vous vous connectez pour la première fois avec cet utilisateur, vous êtes invité à accepter les conditions d'utilisation et les règles de confidentialité de Google.

4. Si vous acceptez les conditions, cliquez sur Accepter.

   Vous êtes redirigé vers la console Google Cloud, qui vous demande de confirmer vos préférences et d'accepter les conditions d'utilisation de Google Cloud.

5. Si vous acceptez ces conditions, cliquez sur Oui, puis sur Accepter et continuer.

6. Cliquez sur l'icône d'avatar, puis sur Se déconnecter.

   Vous êtes redirigé vers une page Microsoft Entra ID confirmant que vous êtes déconnecté.

Étapes suivantes

• En savoir plus sur la fédération de Google Cloud avec Microsoft Entra ID.
• Consultez les bonnes pratiques pour planifier des comptes et des organisations ainsi que les bonnes pratiques pour fédérer Google Cloud avec un fournisseur d'identité externe.