Authentification unique Active Directory

Last reviewed 2023-02-27 UTC

Cet article vous explique comment configurer l'authentification unique entre votre environnement Active Directory et votre compte Cloud Identity ou Google Workspace à l'aide des services de fédération Active Directory (AD FS) de Microsoft et de la fédération SAML.

Dans cet article, nous supposons que vous comprenez comment la gestion des identités Active Directory peut être étendue à Google Cloud et que vous avez déjà configuré le provisionnement des comptes utilisateur. Nous partons également du principe que vous disposez d'un serveur AD FS 4.0 opérationnel fonctionnant sous Windows Server 2016 ou une version ultérieure.

Pour suivre ce guide, vous devez connaître Active Directory Domain Services et AD FS. Vous devez également disposer d'un compte utilisateur Cloud Identity ou Google Workspace doté de droits de super-administrateur et d'un compte Active Directory doté d'un accès administrateur à votre serveur AD FS.

Objectifs

  • Configurer votre serveur AD FS de sorte que Cloud Identity ou Google Workspace puisse l'utiliser comme fournisseur d'identité
  • Créer une stratégie d'émission de revendications permettant de mapper les identités entre Active Directory et Cloud Identity ou Google Workspace
  • Configurer votre compte Cloud Identity ou Google Workspace pour la délégation de l'authentification à AD FS

Coûts

Si vous utilisez l'édition gratuite de Cloud Identity, l'exécution du tutoriel présenté dans cet article n'entraînera l'utilisation d'aucun composant Google Cloud facturable.

Avant de commencer

  1. Vérifiez que votre serveur AD FS exécute Windows Server 2016 ou une version ultérieure. Il est également possible de configurer l'authentification unique à l'aide de versions antérieures de Windows Server et d'AD FS, mais les étapes de configuration requises peuvent en ce cas différer de celles qui sont décrites dans cet article.
  2. Assurez-vous d'avoir bien compris comment la gestion des identités Active Directory peut être étendue à Google Cloud.
  3. Configurez le provisionnement des utilisateurs entre Active Directory et Cloud Identity ou Google Workspace.
  4. Pensez à configurer AD FS dans une configuration de ferme de serveurs, de façon à éviter d'en faire un point de défaillance unique. Une fois que vous avez activé l'authentification unique, la disponibilité d'AD FS détermine si les utilisateurs peuvent se connecter à la console Google Cloud.

Comprendre l'authentification unique

Google Cloud Directory Sync vous a déjà permis d'automatiser la création et la maintenance des utilisateurs, ainsi que de lier leur cycle de vie aux utilisateurs d'Active Directory.

Google Cloud Directory Sync provisionne les détails des comptes utilisateur, mais pas les mots de passe. Chaque fois qu'un utilisateur doit s'authentifier dans Google Cloud, l'authentification doit être déléguée à Active Directory, à l'aide d'AD FS et du protocole SAML (Security Assertion Markup Language). Cette configuration garantit que seul Active Directory a accès aux identifiants de l'utilisateur et applique les règles ou mécanismes d'authentification multifacteurs (MFA) existants. De plus, elle crée une expérience d'authentification unique entre votre environnement sur site et Google.

Pour en savoir plus sur l'authentification unique, consultez la page Authentification unique.

Configurer AD FS

Avant d'activer l'authentification unique dans Cloud Identity ou Google Workspace, vous devez configurer AD FS.

Créer l'approbation de partie de confiance

Créez une approbation de partie de confiance :

  1. Connectez-vous à votre serveur AD FS et ouvrez le composant logiciel enfichable MMC Gestion AD FS.
  2. Sélectionnez AD FS > Approbations de partie de confiance.
  3. Dans le volet Actions, cliquez sur Ajouter une approbation de partie de confiance.
  4. Sur la page Bienvenue de l'assistant, sélectionnez Prise en charge des revendications, puis cliquez sur Démarrer.
  5. Sur la page Sélectionner la source de données, sélectionnez Saisir manuellement les données concernant la partie de confiance, puis cliquez sur Suivant.
  6. Sur la page Spécifier le nom à afficher, saisissez un nom tel que Google Cloud, puis cliquez sur Suivant.
  7. Sur la page Configurer le certificat, cliquez sur Suivant.

  8. Sur la page Configurer l'URL, sélectionnez Activer la compatibilité du protocole WebSSO SAML 2.0, puis saisissez l'URL de service SSO suivante :

    https://www.google.com/a/DOMAIN/acs

    Remplacez DOMAIN par le domaine principal de votre compte Cloud Identity ou Google Workspace, puis cliquez sur Next (Suivant).

    "Enable support for the SAML 2.0 WebSSO protocol" (Activer la prise en charge du protocole WebSSO SAML 2.0)

  9. Sur la page Configurer les identifiants, ajoutez les deux identifiants suivants :

    • google.com/a/DOMAIN, en remplaçant DOMAIN par le domaine principal de votre compte Cloud Identity ou Google Workspace
    • google.com

    Cliquez ensuite sur Next (Suivant).

    "Relying party trust identifiers" (Identificateurs d'approbation de partie de confiance)

  10. Sur la page Choisir une stratégie de contrôle d'accès, choisissez une stratégie d'accès appropriée, puis cliquez sur Suivant.

  11. Sur la page Prêt à ajouter l'approbation, vérifiez vos paramètres, puis cliquez sur Suivant.

  12. Sur la dernière page, décochez la case Configurer la stratégie d'émission de revendications et fermez l'assistant.

    La liste des approbations de partie de confiance comporte à présent une nouvelle entrée.

Configurer l'URL de déconnexion

Lorsque vous permettez aux utilisateurs d'utiliser l'authentification unique à l'échelle de plusieurs applications, il est important qu'ils aient aussi la possibilité de se déconnecter simultanément de plusieurs applications :

  1. Dans la console de gestion AD FS, sous Approbations de partie de confiance, cliquez avec le bouton droit sur l'approbation que vous venez de créer, puis cliquez sur Propriétés.
  2. Sous l'onglet Endpoints (Points de terminaison), cliquez sur Add SAML (Ajouter SAML).

  3. Dans la boîte de dialogue Add an Endpoint (Ajouter un point de terminaison), configurez les paramètres suivants :

    1. Endpoint type (Type de point de terminaison) : SAML Logout (Déconnexion SAML)
    2. Binding (Liaison) : POST

    3. Trusted URL (URL approuvée) : https://ADFS/adfs/ls/?wa=wsignout1.0

      Remplacez ADFS par le nom de domaine complet de votre serveur AD FS.

      "Add an endpoint" (Ajouter un point de terminaison)

  4. Cliquez sur OK.

  5. Cliquez sur OK pour fermer la boîte de dialogue.

Configurer le mappage des revendications

Une fois qu'AD FS a authentifié un utilisateur, il émet une assertion SAML. Cette assertion fournit la preuve que l'authentification a bien eu lieu. L'assertion doit déterminer qui a été authentifié, ce qui constitue l'objectif de la revendication NameID.

Pour que Google Sign-In puisse associer le paramètre NameID à un utilisateur, NameID doit contenir l'adresse e-mail principale de cet utilisateur. Selon la méthode choisie pour mapper les utilisateurs entre Active Directory et Cloud Identity ou Google Workspace, le paramètre NameID doit contenir le nom d'utilisateur principal (UPN) ou l'adresse e-mail de l'utilisateur Active Directory, après application des substitutions de domaine requises, le cas échéant.

UPN

  1. Dans la liste des approbations de partie de confiance, sélectionnez l'approbation que vous venez de créer et cliquez sur Éditer la stratégie d'émission de revendication.
  2. Cliquez sur Ajouter une règle.
  3. Sur la page Sélectionner le type de règle de l'assistant Ajouter une règle de revendication de transformation, sélectionnez Transformer une revendication entrante, puis cliquez sur Suivant.

  4. Sur la page Configurer la règle de revendication, configurez les paramètres suivants :

    • Nom de la règle de revendication : Name Identifier
    • Type de revendication entrante : UPN
    • Type de revendication sortante : Name ID
    • Format d'ID de nom sortant : Email

  5. Sélectionnez Transmettre toutes les valeurs de revendication, puis cliquez sur Terminer.

  6. Cliquez sur OK pour fermer la boîte de dialogue de stratégie d'émission de revendication.

UPN : substitution de domaine

  1. Dans la liste des approbations de partie de confiance, sélectionnez l'approbation que vous venez de créer et cliquez sur Éditer la stratégie d'émission de revendication.
  2. Cliquez sur Ajouter une règle.
  3. Sur la page Sélectionner le type de règle de l'assistant Ajouter une règle de revendication de transformation, sélectionnez Transformer une revendication entrante, puis cliquez sur Suivant.

  4. Sur la page Configurer la règle de revendication, configurez les paramètres suivants :

    • Nom de la règle de revendication : Name Identifier
    • Type de revendication entrante : UPN
    • Type de revendication sortante : Name ID
    • Format d'ID de nom sortant : Email

  5. Sélectionnez Remplacer le suffixe d'e-mail de revendication entrant par un nouveau suffixe d'e-mail et configurez le paramètre suivant :

    • Nouveau suffixe d'e-mail : nom de domaine utilisé par votre compte Cloud Identity ou Google Workspace.

  6. Cliquez sur Terminer, puis sur OK.

E-mail

  1. Dans la liste des approbations de partie de confiance, sélectionnez l'approbation que vous venez de créer et cliquez sur Éditer la stratégie d'émission de revendication.
  2. Ajoutez une règle pour rechercher l'adresse e-mail :
    1. Dans la boîte de dialogue, cliquez sur Ajouter une règle.
    2. Sélectionnez Envoyer les attributs LDAP en tant que revendications, puis cliquez sur Suivant.
    3. Sur la page suivante, appliquez les paramètres ci-dessous :
      1. Nom de la règle de revendication : Email address
      2. Magasin d'attributs : Active Directory
    4. Ajoutez une ligne à la liste des mappages d'attributs LDAP :
      1. Attribut LDAP : E-Mail-Addresses
      2. Type de revendication sortante : E-Mail-Address
    5. Cliquez sur Finish (Terminer).

  3. Ajoutez une autre règle pour définir NameID :

    1. Cliquez sur Ajouter une règle.
    2. Sur la page Sélectionner le type de règle de l'assistant Ajouter une règle de revendication de transformation, sélectionnez Transformer une revendication entrante, puis cliquez sur Suivant.

    3. Sur la page Configurer la règle de revendication, configurez les paramètres suivants :

      • Nom de la règle de revendication : Name Identifier
      • Type de revendication entrante : E-Mail-Address
      • Type de revendication sortante : Name ID
      • Format d'ID de nom sortant : Email

    4. Sélectionnez Transmettre toutes les valeurs de revendication, puis cliquez sur Terminer.

    5. Cliquez sur OK pour fermer la boîte de dialogue de stratégie d'émission de revendication.

E-mail : substitution de domaine

  1. Dans la liste des approbations de partie de confiance, sélectionnez l'approbation que vous venez de créer et cliquez sur Éditer la stratégie d'émission de revendication.
  2. Ajoutez une règle pour rechercher l'adresse e-mail :
    1. Dans la boîte de dialogue, cliquez sur Ajouter une règle.
    2. Sélectionnez Envoyer les attributs LDAP en tant que revendications, puis cliquez sur Suivant.
    3. Sur la page suivante, appliquez les paramètres ci-dessous :
      1. Nom de la règle de revendication : Email address
      2. Magasin d'attributs : Active Directory
    4. Ajoutez une ligne à la liste des mappages d'attributs LDAP :
      1. Attribut LDAP : E-Mail-Addresses
      2. Type de revendication sortante : E-Mail-Address
    5. Cliquez sur Finish (Terminer).

  3. Ajoutez une autre règle pour définir la valeur NameID :

    1. Cliquez sur Ajouter une règle.
    2. Sur la page Sélectionner le type de règle de l'assistant Ajouter une règle de revendication de transformation, sélectionnez Transformer une revendication entrante, puis cliquez sur Suivant.

    3. Sur la page Configurer la règle de revendication, configurez les paramètres suivants :

      • Nom de la règle de revendication : Name Identifier
      • Type de revendication entrante : E-Mail-Address
      • Type de revendication sortante : Name ID
      • Format d'ID de nom sortant : Email

  4. Sélectionnez Remplacer le suffixe d'e-mail de revendication entrant par un nouveau suffixe d'e-mail et configurez le paramètre suivant :

    • Nouveau suffixe d'e-mail : nom de domaine utilisé par votre compte Cloud Identity ou Google Workspace.

  5. Cliquez sur Terminer, puis sur OK. Authentification unique.

Exporter le certificat de signature de jetons AD FS

Une fois qu'AD FS a authentifié un utilisateur, il transmet une assertion SAML à Cloud Identity ou à Google Workspace. Pour permettre à Cloud Identity et à Google Workspace de vérifier l'intégrité et l'authenticité de cette assertion, AD FS signe l'assertion avec une clé de signature de jeton spéciale et fournit un certificat permettant à Cloud Identity ou Google Workspace de vérifier la signature.

Exportez maintenant le certificat de signature à partir d'AD FS :

  1. Dans la console de gestion AD FS, cliquez sur Service > Certificats.
  2. Cliquez avec le bouton droit sur le certificat répertorié sous Signature de jetons, puis cliquez sur Afficher le certificat.
  3. Sélectionnez l'onglet Details (Détails).
  4. Cliquez sur Copier dans un fichier pour ouvrir l'assistant d'exportation de certificat.
  5. Sur la page Bienvenue dans l'assistant d'exportation de certificats, cliquez sur Suivant.
  6. Sur la page Exporter la clé privée, sélectionnez Non, ne pas exporter la clé privée.
  7. Sur la page Exporter le format de fichier, sélectionnez X.509 (.CER) encodé en base64, puis cliquez sur Suivant.
  8. Sur la page Fichier à exporter, indiquez un nom de fichier local, puis cliquez sur Suivant.
  9. Cliquez sur Terminer pour fermer la boîte de dialogue.
  10. Copiez le certificat exporté sur votre ordinateur local.

Configurer votre compte Cloud Identity ou Google Workspace

Une fois la configuration d'AD FS terminée, vous pouvez configurer l'authentification unique dans votre compte Cloud Identity ou Google Workspace :

  1. Ouvrez la console d'administration et accédez à la page SSO avec un IDP tiers.

    Accéder à la page "SSO avec un IdP tiers"

  2. Cliquez sur Ajouter un profil SSO.

  3. Définissez Configurer l'authentification unique avec un fournisseur d'identité tiers sur activé.

  4. Saisissez les paramètres suivants. Dans toutes les URL, remplacez ADFS par le nom de domaine complet de votre serveur AD FS :

    1. URL de la page de connexion : https://ADFS/adfs/ls/
    2. URL de la page de déconnexion : https://ADFS/adfs/ls/?wa=wsignout1.0
    3. URL de la page de modification du mot de passe : https://ADFS/adfs/portal/updatepassword/

  5. Sous Certificat de validation, cliquez sur Importer un certificat, puis sélectionnez le certificat de signature de jetons que vous avez téléchargé précédemment.

  6. Cliquez sur Enregistrer.

  7. Déconnectez-vous de la console d'administration.

Tester l'authentification unique

Vous avez maintenant terminé la configuration de l'authentification unique dans AD FS et Cloud Identity ou Google Workspace. Pour vérifier si l'authentification unique fonctionne comme prévu, exécutez le test suivant :

  1. Choisissez un utilisateur Active Directory ayant déjà été provisionné pour Cloud Identity ou Google Workspace et ne disposant pas de droits de super-administrateur. Les utilisateur dotés de droits de super-administrateur doivent systématiquement se connecter à l'aide d'identifiants Google. Ils ne conviennent donc pas pour tester l'authentification unique.
  2. Ouvrez une nouvelle fenêtre de navigateur et accédez à l'URL https://console.cloud.google.com/.

  3. Sur la page Google Sign-In qui s'affiche, saisissez l'adresse e-mail de l'utilisateur, puis cliquez sur Next (Suivant). Si vous utilisez la substitution de domaine, vous devez l'appliquer à l'adresse e-mail.

    Saisissez l'adresse email de l'utilisateur

    Vous êtes redirigé vers AD FS. Si vous avez configuré AD FS pour utiliser l'authentification par formulaire, la page de connexion s'affiche.

  4. Saisissez votre nom d'utilisateur principal (UPN) et votre mot de passe pour l'utilisateur Active Directory, puis cliquez sur Sign in (Connexion).

    Saisissez votre nom d'utilisateur principal (UPN) et votre mot de passe pour l'utilisateur Active Directory

  5. Une fois l'authentification réussie, AD FS vous redirige vers Google Identity Platform. Comme il s'agit de la première connexion de cet utilisateur, vous êtes invité à accepter les conditions d'utilisation et les règles de confidentialité de Google.

  6. Si vous acceptez les conditions, cliquez sur Accepter.

  7. Vous êtes redirigé vers la console Google Cloud, qui vous demande de confirmer vos préférences et d'accepter les conditions d'utilisation de Google Cloud. Si vous acceptez ces conditions, cliquez sur Oui, puis sur Accepter et continuer.

  8. En haut à gauche, cliquez sur l'icône d'avatar, puis sur Déconnexion.

    Vous êtes ensuite redirigé vers une page AD FS confirmant votre déconnexion.

Si vous ne parvenez pas à vous connecter, vous pouvez trouver des informations supplémentaires dans le journal d'administration AD FS.

N'oubliez pas que les utilisateurs dotés de droits de super-administrateur sont exemptés de l'authentification unique, ce qui vous permet de continuer à utiliser la console d'administration pour vérifier ou modifier des paramètres.

Nettoyer

Si vous ne souhaitez pas laisser l'authentification unique activée pour votre organisation, procédez comme suit pour désactiver cette fonctionnalité dans Cloud Identity ou Google Workspace :

  1. Dans la console d'administration, cliquez sur Sécurité > Paramètres.
  2. Cliquez sur Configurer l'authentification unique (SSO) avec un fournisseur d'identité tiers.
  3. Décochez la case Configurer l'authentification unique avec un fournisseur d'identité tiers.
  4. Cliquez sur Enregistrer.

Pour nettoyer la configuration dans AD FS, procédez comme suit :

  1. Connectez-vous à votre serveur AD FS et ouvrez le composant logiciel enfichable MMC AD FS.
  2. Dans le menu de gauche, cliquez avec le bouton droit sur le dossier Approbations de partie de confiance.
  3. Dans la liste des approbations de partie de confiance, effectuez un clic droit sur Cloud Identity, puis cliquez sur Supprimer.
  4. Confirmez la suppression en cliquant sur Oui.

Étapes suivantes