Provisionnement des utilisateurs et authentification unique de Microsoft Entra ID (anciennement Azure AD)

Ce document explique comment configurer la gestion des comptes utilisateur et l'authentification unique entre un locataire Microsoft Entra ID (anciennement Azure AD) et votre compte Cloud Identity ou Google Workspace.

Dans ce document, nous partons du principe que vous utilisez déjà Microsoft Office 365 ou Microsoft Entra ID dans votre organisation et que vous souhaitez utiliser Microsoft Entra ID pour permettre aux utilisateurs de s'authentifier auprès de Google Cloud. Microsoft Entra ID peut être connecté à un annuaire Active Directory sur site et utiliser la fédération Entra ID, l'authentification directe ou la synchronisation du hachage de mot de passe.

Objectifs

  • Configurer Microsoft Entra ID pour provisionner automatiquement les utilisateurs et, éventuellement, les groupes dans Cloud Identity ou Google Workspace.
  • Configurer l'authentification unique pour permettre aux utilisateurs de se connecter à Google Cloud à l'aide d'un compte utilisateur Microsoft Entra ID ou d'un utilisateur provisionné à partir d'Active Directory vers Microsoft Entra ID.

Coûts

Si vous utilisez l'édition gratuite de Cloud Identity, la configuration de la fédération avec Microsoft Entra ID n'entraînera l'utilisation d'aucun composant Google Cloud facturable.

Consultez la page de tarification Microsoft Entra ID pour connaître les frais éventuels liés à l'utilisation de Microsoft Entra ID.

Avant de commencer

  • Assurez-vous de bien comprendre les différences entre la connexion de Google Cloud à Microsoft Entra ID et la connexion directe de Google Cloud à Active Directory.
  • Choisissez comment vous souhaitez mapper les identités, les groupes et les domaines entre Microsoft Entra ID et Cloud Identity ou Google Workspace Plus précisément, répondez aux questions suivantes :
    • Prévoyez-vous d'utiliser des adresses e-mail ou des noms principaux d'utilisateur (UPN) comme identifiants communs pour les utilisateurs ?
    • Prévoyez-vous de créer des groupes ? Si tel est le cas, envisagez-vous de mapper les groupes par adresse e-mail ou par nom ?
    • Prévoyez-vous de gérer tous les utilisateurs sur Google Cloud ou seulement un sous-ensemble d'utilisateurs spécifique ?
  • Avant de connecter votre locataire Microsoft Entra ID en production à Google Cloud, envisagez d'utiliser un locataire de test Microsoft Entra ID pour configurer et tester le provisionnement des utilisateurs.
  • Inscrivez-vous à Cloud Identity si vous n'avez pas encore de compte.
  • Si vous utilisez l'édition gratuite de Cloud Identity et que vous souhaitez gérer plus de 50 utilisateurs, demandez une augmentation du nombre total d'utilisateurs Cloud Identity gratuits via votre service d'assistance.
  • Si vous pensez que l'un des domaines que vous prévoyez d'utiliser pour Cloud Identity a pu être utilisé par les employés pour enregistrer des comptes personnels, envisagez d'abord de migrer ces comptes. Pour en savoir plus, consultez la section Évaluer les comptes utilisateur existants.

Préparer votre compte Cloud Identity ou Google Workspace

Créer un utilisateur pour Microsoft Entra ID

Pour autoriser Microsoft Entra ID à accéder à votre compte Cloud Identity ou Google Workspace, vous devez créer un utilisateur pour Microsoft Entra ID dans votre compte Cloud Identity ou Google Workspace.

L'utilisateur Microsoft Entra ID est destiné uniquement au provisionnement automatisé. Par conséquent, il est préférable de le séparer des autres comptes utilisateur en le plaçant dans une unité organisationnelle distincte (UO). L'utilisation d'une UO distincte vous permet également de désactiver ultérieurement l'authentification unique pour l'utilisateur Microsoft Entra ID.

Pour créer une UO, procédez comme suit :

  1. Ouvrez la console d'administration et connectez-vous à l'aide du compte super-administrateur créé lors de votre inscription à Cloud Identity ou Google Workspace.
  2. Dans le menu, accédez à Annuaire > Unités organisationnelles.
  3. Cliquez sur Créer une unité organisationnelle, puis saisissez un nom et une description pour l'UO :
    • Nom : Automation
    • Description : Automation users
  4. Cliquez sur Créer.

Créez un compte utilisateur pour Microsoft Entra ID et placez-le dans l'UO Automation :

  1. Dans le menu, accédez à Annuaire > Utilisateurs, puis cliquez sur Ajouter un utilisateur pour créer un utilisateur.

  2. Indiquez un prénom, un nom et une adresse e-mail appropriés, tels que :

    • Prénom : Microsoft Entra ID
    • Nom : Provisioning

    • Adresse e-mail principale : azuread-provisioning

      Conservez le domaine principal de l'adresse e-mail.

  3. Cliquez sur Gérer le mot de passe, l'unité organisationnelle et la photo de profil de l'utilisateur, puis configurez les paramètres suivants :

    • Unité organisationnelle : sélectionnez l'UO Automation que vous avez créée précédemment.
    • Mot de passe : Sélectionnez Créer un mot de passe et saisissez un mot de passe.
    • Exiger la modification du mot de passe à la prochaine connexion : Désactivé

  4. Cliquez sur Ajouter un utilisateur.

  5. Cliquez sur OK.

Attribuer des droits à Microsoft Entra ID

Pour permettre à Microsoft Entra ID de créer, de répertorier et de suspendre des utilisateurs et des groupes dans votre compte Cloud Identity ou Google Workspace, vous devez accorder des droits supplémentaires à l'utilisateur azuread-provisioning comme suit :

  • Pour autoriser Microsoft Entra ID à gérer tous les utilisateurs, y compris les administrateurs délégués et les super-administrateurs, vous devez faire de l'utilisateur azuread-provisioning un super-administrateur.

  • Pour autoriser Microsoft Entra ID à ne gérer que les utilisateurs non administrateurs, il suffit de définir l'utilisateur azuread-provisioning comme administrateur délégué. En tant qu'administrateur délégué, Microsoft Entra ID ne peut pas gérer les autres administrateurs délégués ou les super-administrateurs.

Super-administrateur

Pour rendre l'utilisateur azuread-provisioning super-administrateur, procédez comme suit :

  1. Recherchez le nouvel utilisateur dans la liste, puis cliquez sur son nom pour ouvrir la page de son compte.
  2. Sous Rôles et droits d'administrateur, cliquez sur Attribuer des rôles.
  3. Activez le rôle super-administrateur.
  4. Cliquez sur Enregistrer.

Administrateur délégué

Pour attribuer le rôle d'administrateur délégué à l'utilisateur azuread-provisioning, créez un nouveau rôle d'administrateur et attribuez-le à l'utilisateur :

  1. Dans le menu, accédez à Compte > Rôles d'administrateur.
  2. Cliquez sur Créer un rôle.
  3. Attribuez un nom et une description au rôle, par exemple :
    • Nom : Microsoft Entra ID
    • Description : Role for automated user and group provisioning
  4. Cliquez sur Continuer.
  5. Sur l'écran suivant, faites défiler la page jusqu'à la section Droits pour l'API Admin et définissez les droits suivants sur Activé :
    • Unités organisationnelles > Lire
    • Utilisateurs
    • Groupes
  6. Cliquez sur Continuer.
  7. Cliquez sur Créer un rôle.
  8. Cliquez sur Attribuer aux utilisateurs.
  9. Sélectionnez l'utilisateur azuread-provisioning et cliquez sur Attribuer un rôle.

Enregistrer des domaines

Dans Cloud Identity et Google Workspace, les utilisateurs et les groupes sont identifiés par adresse e-mail. Les domaines utilisés par ces adresses e-mail doivent d'abord être enregistrés et validés.

Préparez une liste de domaines DNS que vous devez enregistrer :

  • Si vous envisagez de mapper les utilisateurs par UPN, incluez tous les domaines de ces UPN. En cas de doute, incluez tous les domaines personnalisés de votre locataire Microsoft Entra ID.
  • Si vous envisagez de mapper les utilisateurs par adresse e-mail, incluez tous les domaines de ces adresses e-mail. La liste des domaines peut être différente de la liste des domaines personnalisés de votre locataire Microsoft Entra ID.

Si vous prévoyez de créer des groupes, modifiez la liste des domaines DNS :

  • Si vous envisagez de mapper les groupes par adresse e-mail, incluez tous les domaines de ces adresses e-mail. En cas de doute, incluez tous les domaines personnalisés de votre locataire Microsoft Entra ID.
  • Si vous prévoyez de mapper des groupes par leur nom, ajoutez un sous-domaine dédié tel que groups.PRIMARY_DOMAIN, où PRIMARY_DOMAIN est le nom de domaine principal de votre compte Cloud Identity ou Google Workspace.

Maintenant que vous avez identifié la liste des domaines DNS, vous pouvez enregistrer tous les domaines manquants. Pour chaque domaine de la liste qui n'est pas encore enregistré, procédez comme suit :

  1. Dans la console d'administration, accédez à Compte > Domaines > Gérer les domaines.
  2. Cliquez sur Ajouter un domaine.
  3. Saisissez le nom de domaine et sélectionnez Domaine secondaire.
  4. Cliquez sur Ajouter un domaine et commencer la validation, puis suivez les instructions pour valider la propriété du domaine.

Configurer le provisionnement Microsoft Entra ID

Créer une application d'entreprise

Vous êtes prêt à connecter Microsoft Entra ID à votre compte Cloud Identity ou Google Workspace en configurant l'application de galerie Google Cloud/G Suite Connector by Microsoft, disponible sur la place de marché Microsoft Azure.

L'application de galerie peut être configurée pour gérer à la fois le provisionnement des utilisateurs et l'authentification unique. Dans ce document, vous utilisez deux instances de l'application de galerie : l'une pour la gestion des comptes utilisateur et l'autre pour l'authentification unique.

Tout d'abord, créez une instance de l'application de galerie pour gérer le provisionnement des utilisateurs :

  1. Ouvrez le portail Azure et connectez-vous en tant qu'utilisateur disposant des droits d'administrateur global.
  2. Sélectionnez Microsoft Entra ID > Applications d'entreprise.
  3. Cliquez sur Nouvelle application.
  4. Recherchez Google Cloud, puis cliquez sur l'élément Google Cloud/G Suite Connector by Microsoft dans la liste des résultats.
  5. Définissez le nom de l'application sur Google Cloud (Provisioning).
  6. Cliquez sur Create (Créer).
  7. L'ajout de l'application peut prendre quelques secondes. Vous devriez ensuite être redirigé vers une page intitulée Présentation de Google Cloud (provisionnement).
  8. Dans le menu de gauche, cliquez sur Gérer > Propriétés :
    1. Définissez Activé pour que les utilisateurs se connectent sur Non.
    2. Définissez Assignment required (Affectation obligatoire) sur Non.
    3. Définissez Visible par les utilisateurs sur Non.
    4. Cliquez sur Enregistrer.
  9. Dans le menu de gauche, cliquez sur Gérer > Provisionnement.
    1. Cliquez sur Get started (Commencer).
    2. Définissez Mode d'approvisionnement sur Automatique.
    3. Cliquez sur Identifiants de l'administrateur > Autoriser.
    4. Connectez-vous à l'aide de l'utilisateur azuread-provisioning@DOMAIN que vous avez créé précédemment, où DOMAIN est le domaine principal de votre compte Cloud Identity ou Google Workspace.
    5. Étant donné que vous vous connectez pour la première fois avec cet utilisateur, vous êtes invité à accepter les conditions d'utilisation et les règles de confidentialité de Google.
    6. Si vous acceptez les conditions, cliquez sur Je comprends.
    7. Confirmez l'accès à l'API Cloud Identity en cliquant sur Autoriser.
    8. Cliquez sur Tester la connexion pour vérifier que Microsoft Entra ID peut s'authentifier auprès de Cloud Identity ou Google Workspace.
    9. Cliquez sur Enregistrer.

Configurer le provisionnement des utilisateurs

La meilleure façon de configurer le provisionnement des utilisateurs diffère selon que vous envisagez de mapper les utilisateurs par adresse e-mail ou par UPN.

UPN

  1. Sous Mappages, cliquez sur Provisionner des utilisateurs Entra ID.
  2. Pour les attributs surname et givenName, procédez comme suit :
    1. Cliquez sur Modifier.
    2. Définissez Default value if null (Valeur par défaut si valeur nulle) sur _.
    3. Cliquez sur OK.
  3. Cliquez sur Enregistrer.
  4. Confirmez que l'enregistrement des modifications entraîne la resynchronisation des utilisateurs et des groupes en cliquant sur Oui.
  5. Cliquez sur X pour fermer la boîte de dialogue Mappage des attributs.

UPN : substitution de domaine

  1. Sous Mappages, cliquez sur Provisionner des utilisateurs Entra ID.

  2. Pour l'attribut userPrincipalName, procédez comme suit :

    1. Cliquez sur Modifier.

    2. Configurez le mappage suivant :

      • Type de mappage : Expression.

      • Expression :

        Replace([userPrincipalName], "@DOMAIN", , , "@SUBSTITUTE_DOMAIN", , )

      Remplacez les éléments suivants :

      • DOMAIN : nom de domaine que vous souhaitez remplacer
      • Nom de domaine SUBSTITUTE_DOMAIN à utiliser à la place

    3. Cliquez sur OK.

  3. Pour les attributs surname et givenName, procédez comme suit :

    1. Cliquez sur Modifier.
    2. Définissez Default value if null (Valeur par défaut si valeur nulle) sur _.
    3. Cliquez sur OK.

  4. Cliquez sur Enregistrer.

  5. Confirmez que l'enregistrement des modifications entraîne la resynchronisation des utilisateurs et des groupes en cliquant sur Oui.

  6. Cliquez sur X pour fermer la boîte de dialogue Mappage des attributs.

Adresse e-mail

  1. Sous Mappages, cliquez sur Provisionner des utilisateurs Entra ID.
  2. Pour l'attribut userPrincipalName, procédez comme suit :
    1. Cliquez sur Modifier.
    2. Définissez l'attribut source sur mail.
    3. Cliquez sur OK.
  3. Pour les attributs surname et givenName, procédez comme suit :
    1. Cliquez sur Modifier.
    2. Définissez Default value if null (Valeur par défaut si valeur nulle) sur _.
    3. Cliquez sur OK.
  4. Cliquez sur Enregistrer.
  5. Confirmez que l'enregistrement des modifications entraîne la resynchronisation des utilisateurs et des groupes en cliquant sur Oui.
  6. Cliquez sur X pour fermer la boîte de dialogue Mappage des attributs.

Vous devez configurer les mappages pour primaryEmail, name.familyName, name.givenName et suspended. Tous les autres mappages d'attributs sont facultatifs.

Lorsque vous configurez des mappages d'attributs supplémentaires, tenez compte des points suivants :

  • La galerie Google Cloud/G Suite Connector by Microsoft ne vous permet actuellement pas d'attribuer des alias d'adresse e-mail.
  • La galerie Google Cloud/G Suite Connector by Microsoft ne vous permet actuellement pas d'attribuer de licences aux utilisateurs. Pour contourner ce problème, envisagez de configurer l'attribution automatique des licences pour les unités organisationnelles.
  • Pour affecter un utilisateur à une unité organisationnelle, ajoutez un mappage pour OrgUnitPath. Le chemin d'accès doit commencer par un caractère / et doit faire référence à une unité organisationnelle existante, par exemple /employees/engineering.

Configurer le provisionnement des groupes

La meilleure façon de configurer le provisionnement des groupes varie selon que vos groupes sont à extension messagerie. Si les groupes ne sont pas à extension messagerie ou si ils utilisent une adresse e-mail se terminant par "onmicrosoft.com", vous pouvez obtenir une adresse e-mail à partir du nom du groupe.

Aucun mappage des groupes

  1. Sous Mappages, cliquez sur Provisionner des groupes Entra ID.
  2. Définissez Activé sur Non.
  3. Cliquez sur Enregistrer.
  4. Confirmez que l'enregistrement des modifications entraîne la resynchronisation des utilisateurs et des groupes en cliquant sur Oui.
  5. Cliquez sur X pour fermer la boîte de dialogue Mappage des attributs.

Nom

  1. Dans la section Mappages, cliquez sur Provisionner des groupes Entra ID.
  2. Pour l'attribut mail, procédez comme suit :
    1. Cliquez sur Modifier.
    2. Configurez les paramètres suivants :
      1. Type de mappage : Expression.
      2. Expression : Join("@", NormalizeDiacritics(StripSpaces([displayName])), "GROUPS_DOMAIN") Remplacez GROUPS_DOMAIN par le domaine que toutes les adresses e-mail du groupe sont censées utiliser (par exemple, groups.example.com).
      3. Attribut cible : email.
    3. Cliquez sur OK.
  3. Cliquez sur Enregistrer.
  4. Confirmez que l'enregistrement des modifications entraîne la resynchronisation des utilisateurs et des groupes en cliquant sur Oui.
  5. Cliquez sur X pour fermer la boîte de dialogue Mappage des attributs.

Adresse e-mail

  • Si vous mappez les groupes par adresse e-mail, conservez les paramètres par défaut.

Configurer l'affectation des utilisateurs

Si vous savez que seul un sous-ensemble d'utilisateurs a besoin d'accéder à Google Cloud, vous pouvez éventuellement restreindre le provisionnement de l'ensemble des comptes utilisateur en attribuant l'application d'entreprise à des utilisateurs ou des groupes d'utilisateurs spécifiques.

Si vous souhaitez que tous les utilisateurs soient provisionnés, vous pouvez ignorer les étapes suivantes.

  1. Dans le menu de gauche, cliquez sur Gérer > Utilisateurs et groupes.
  2. Ajoutez les utilisateurs ou les groupes à provisionner. Si vous sélectionnez un groupe, tous ses membres sont automatiquement provisionnés.
  3. Cliquez sur Attribuer.

Activer le provisionnement automatique

L'étape suivante consiste à configurer Microsoft Entra ID pour provisionner automatiquement les utilisateurs dans Cloud Identity ou Google Workspace :

  1. Dans le menu de gauche, cliquez sur Gérer > Approvisionnement.
  2. Sélectionnez Modifier la gestion des comptes.
  3. Définissez État de l'approvisionnement sur Activé.

  4. Sous Paramètres, définissez le champ d'application sur l'un des éléments suivants :

    1. Synchroniser uniquement les utilisateurs et groupes assignés si vous avez configuré l'affectation d'utilisateur
    2. Synchroniser l'ensemble des utilisateurs et groupes dans les autres cas

    Si cette case permettant de définir le champ d'application ne s'affiche pas, cliquez sur Enregistrer et actualisez la page.

  5. Cliquez sur Enregistrer.

Microsoft Entra ID lance une synchronisation initiale. Selon le nombre d'utilisateurs et de groupes dans l'annuaire, ce processus peut prendre plusieurs minutes, voire plusieurs heures. Vous pouvez actualiser la page du navigateur pour voir l'état de la synchronisation au bas de la page, ou sélectionner Journaux d'audit dans le menu pour afficher plus de détails.

Une fois la synchronisation initiale terminée, Microsoft Entra ID propage régulièrement les mises à jour de Microsoft Entra ID vers votre compte Cloud Identity ou Google Workspace. Pour plus de détails sur la manière dont Microsoft Entra ID gère les modifications des utilisateurs et des groupes, consultez les sections Mapper le cycle de vie du compte utilisateur et Mapper le cycle de vie du groupe.

Dépannage

Si la synchronisation ne démarre pas dans les cinq minutes, vous pouvez la forcer de la manière suivante :

  1. Cliquez sur Edit provisioning (Modifier le provisionnement).
  2. Définissez État de l'approvisionnement sur Désactivé.
  3. Cliquez sur Enregistrer.
  4. Définissez État de l'approvisionnement sur Activé.
  5. Cliquez sur Enregistrer.
  6. Fermez la boîte de dialogue de provisionnement.
  7. Cliquez sur Restart provisioning (Redémarrer le provisionnement).

Si la synchronisation ne démarre toujours pas, cliquez sur Tester la connexion pour vérifier que vos identifiants ont bien été enregistrés.

Configurer Microsoft Entra ID pour l'authentification unique

Bien que tous les utilisateurs Microsoft Entra ID pertinents soient désormais automatiquement provisionnés dans Cloud Identity ou Google Workspace, vous ne pouvez pas encore les utiliser pour vous connecter. Pour permettre aux utilisateurs de se connecter, vous devez maintenant configurer l'authentification unique.

Créer un profil SAML

Pour configurer l'authentification unique avec Microsoft Entra ID, vous devez d'abord créer un profil SAML dans votre compte Cloud Identity ou Google Workspace. Le profil SAML contient les paramètres liés à votre locataire Microsoft Entra ID, y compris son URL et son certificat de signature.

Vous attribuerez ultérieurement le profil SAML à certains groupes ou unités organisationnelles.

Procédez comme suit pour créer un profil SAML dans votre compte Cloud Identity ou Google Workspace :

  1. Dans la console d'administration, accédez à la page SSO avec un IdP tiers.

    Accéder à la page "SSO avec un IdP tiers"

  2. Cliquez sur Profils SSO tiers > Ajouter un profil SAML.

  3. Sur la page Profil SSO SAML, saisissez les paramètres suivants :

    • Nom : Entra ID
    • ID d'entité de l'IdP : laissez ce champ vide.
    • URL de la page de connexion : laissez ce champ vide.
    • URL de la page de déconnexion : laissez ce champ vide.
    • URL de la page de modification du mot de passe : laissez ce champ vide.

    N'importez pas de certificat de validation pour le moment.

  4. Cliquez sur Enregistrer.

    La page Profil SSO SAML qui s'affiche contient deux URL :

    • ID d'entité
    • URL ACS

    Vous aurez besoin de ces URL dans la section suivante lors de la configuration de Microsoft Entra ID.

Créer une application Microsoft Entra ID

Créez une deuxième application d'entreprise pour gérer l'authentification unique :

  1. Dans le portail Azure, accédez à Microsoft Entra ID > Applications d'entreprise.
  2. Cliquez sur Nouvelle application.
  3. Recherchez Google Cloud, puis cliquez sur connecteur Google Cloud/G Suite Connector de Microsoft dans la liste des résultats.
  4. Définissez le nom de l'application sur Google Cloud.

  5. Cliquez sur Créer.

    L'ajout de l'application peut prendre quelques secondes. Vous êtes ensuite redirigé vers une page intitulée Présentation de Google Cloud.

  6. Dans le menu de gauche, cliquez sur Gérer > Propriétés.

  7. Définissez Activé pour que les utilisateurs se connectent sur Oui.

  8. Définissez Assignment required (Affectation obligatoire) sur Oui, sauf si vous souhaitez autoriser tous les utilisateurs à employer l'authentification unique.

  9. Cliquez sur Enregistrer.

Configurer l'affectation des utilisateurs

Si vous savez déjà que seul un sous-ensemble d'utilisateurs a besoin d'accéder à Google Cloud, vous pouvez éventuellement restreindre l'ensemble d'utilisateurs autorisés à se connecter en attribuant l'application d'entreprise à des utilisateurs ou à des groupes d'utilisateurs spécifiques.

Si vous avez défini Affectation de l'utilisateur obligatoire sur Non auparavant, vous pouvez ignorer les étapes suivantes.

  1. Dans le menu de gauche, cliquez sur Gérer > Utilisateurs et groupes.
  2. Ajoutez les utilisateurs ou les groupes pour lesquels vous souhaitez autoriser l'authentification unique.
  3. Cliquez sur Attribuer.

Activer l'authentification unique

Pour permettre à Cloud Identity d'utiliser Microsoft Entra ID pour l'authentification, vous devez ajuster certains paramètres :

  1. Dans le menu de gauche, cliquez sur Gérer > Authentification unique.
  2. Sur l'écran de sélection, cliquez sur la fiche SAML.
  3. Sur la fiche Configuration SAML de base, cliquez sur Modifier.

  4. Dans la boîte de dialogue Configuration SAML de base, entrez les paramètres suivants :

    1. Identifiant (ID d'entité) :
      • Ajoutez l'URL d'entité de votre profil SSO et définissez l'option Par défaut sur Activé.
      • Supprimez toutes les autres entrées.
    2. URL de réponse : ajoutez l'URL ACS de votre profil SSO.

    3. URL de connexion :

      https://www.google.com/a/PRIMARY_DOMAIN/ServiceLogin?continue=https://console.cloud.google.com/

      Remplacez PRIMARY_DOMAIN par le nom de domaine principal utilisé par votre compte Cloud Identity ou Google Workspace.

  5. Cliquez sur Enregistrer, puis fermez la boîte de dialogue en cliquant sur X.

  6. Sur la fiche Certificat de signature SAML, recherchez l'entrée libellée Certificat (base 64) et cliquez sur Télécharger pour télécharger le certificat sur votre ordinateur local.

  7. Sur la fiche Configurer Google Cloud, vous trouverez deux URL :

    • URL de connexion
    • Identifiant Microsoft Entra ID

    Vous aurez besoin de ces URL dans la section suivante lorsque vous compléterez le profil SAML.

Les étapes restantes diffèrent selon que vous mappez les utilisateurs par adresse e-mail ou par UPN.

UPN

  1. Sur la fiche Attributes & Claims (Attributs et revendications) cliquez sur Edit (Modifier).

  2. Supprimez toutes les revendications répertoriées sous Autres revendications. Vous pouvez supprimer des enregistrements en cliquant sur le bouton et en sélectionnant Supprimer.

    La liste des attributs et des revendications ressemble à ceci :

    Boîte de dialogue "Attributs et revendications de l'utilisateur"

  3. Fermez la boîte de dialogue en cliquant sur X.

UPN : substitution de domaine

  1. Sur la fiche User Attributes & Claims (Attributs et revendications utilisateur) cliquez sur Edit (Modifier).

  2. Supprimez toutes les revendications répertoriées sous Autres revendications. Vous pouvez supprimer des enregistrements en cliquant sur le bouton et en sélectionnant Supprimer.

    La liste des attributs et des revendications ressemble à ceci :

    Boîte de dialogue "Attributs et revendications de l'utilisateur"

  3. Cliquez sur Identifiant d'utilisateur unique (ID de nom) pour modifier le mappage des revendications.

  4. Définissez Source sur Transformation, puis configurez la transformation suivante :

    • Transformation : ExtractMailPrefix()
    • Paramètre 1 : user.userPrincipalName

  5. Sélectionnez Ajouter une transformation, puis configurez la transformation suivante :

    • Transformation : Join()
    • Séparateur : @
    • Paramètre 2 : saisissez le nom de domaine de substitution.

    Vous devez utiliser le même nom de domaine de substitution pour le provisionnement des utilisateurs et l'authentification unique. Si le nom de domaine n'est pas répertorié, vous devrez peut-être d'abord le valider.

  6. Cliquez sur Ajouter.

  7. Cliquez sur Enregistrer.

  8. Fermez la boîte de dialogue en cliquant sur X.

Adresse e-mail

  1. Sur la fiche User Attributes & Claims (Attributs et revendications utilisateur) cliquez sur Edit (Modifier).
  2. Sélectionnez la ligne intitulée Unique User Identifier (Name ID) (Identifiant d'utilisateur unique (ID de nom)).
  3. Remplacez l'attribut source par user.mail.
  4. Cliquez sur Enregistrer.

  5. Supprimez toutes les revendications répertoriées sous Autres revendications. Pour supprimer tous les enregistrements, cliquez sur , puis sur Supprimer.

    Boîte de dialogue "Attributs et revendications de l'utilisateur"

  6. Fermez la boîte de dialogue en cliquant sur .

Compléter le profil SAML

Terminez la configuration de votre profil SAML :

  1. Revenez à la console d'administration et accédez à Sécurité > Authentification > SSO avec un IdP tiers.

    Accéder à la page "SSO avec un IdP tiers"

  2. Ouvrez le profil SAML Entra ID que vous avez créé précédemment.

  3. Cliquez sur la section Informations sur le fournisseur d'identité pour modifier les paramètres.

  4. Saisissez les paramètres suivants :

    • ID d'entité de l'IdP : saisissez l'identifiant Microsoft Entra figurant sur la fiche Configurer Google Cloud du portail Azure.
    • URL de connexion : saisissez l'URL de connexion de la fiche Configurer Google Cloud du portail Azure.
    • URL de la page de déconnexion : https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0
    • URL de la page de modification du mot de passe : https://account.activedirectory.windowsazure.com/changepassword.aspx

  5. Sous Certificat de validation, cliquez sur Importer un certificat, puis sélectionnez le certificat de signature de jetons que vous avez téléchargé précédemment.

  6. Cliquez sur Enregistrer.

Le certificat de signature de jetons Microsoft Entra ID est valide pendant une durée limitée. Vous devez effectuer une rotation du certificat avant son expiration. Pour en savoir plus, consultez la section Effectuer une rotation du certificat d'authentification unique plus loin dans ce document.

Votre profil SAML est terminé, mais vous devez encore l'attribuer.

Attribuer le profil SAML

Sélectionnez les utilisateurs auxquels le nouveau profil SAML doit s'appliquer :

  1. Dans la console d'administration, sur la page SSO avec des fournisseurs d'identité tiers, cliquez sur Gérer l'attribution des profils SSO > Gérer.

    Accéder à la page "Gérer les attributions de profils SSO"

  2. Dans le volet de gauche, sélectionnez le groupe ou l'unité organisationnelle auquel vous souhaitez appliquer le profil SSO. Pour appliquer le profil à tous les utilisateurs, sélectionnez l'unité organisationnelle racine.

  3. Dans le volet de droite, sélectionnez Autre profil SSO.

  4. Dans le menu, sélectionnez le profil SSO Entra ID - SAML que vous avez créé précédemment.

  5. Cliquez sur Enregistrer.

Pour attribuer le profil SAML à un autre groupe ou à une autre unité organisationnelle, répétez les étapes ci-dessus.

Mettez à jour les paramètres SSO de l'UO Automation pour désactiver l'authentification unique :

  1. Dans le volet de gauche, sélectionnez l'UO Automation.
  2. Dans le volet de droite, sélectionnez Aucune.
  3. Cliquez sur Remplacer.

Facultatif : Configurer des redirections pour les URL de service spécifiques au domaine

Lorsque vous créez un lien vers la console Google Cloud à partir de portails ou de documents internes, vous pouvez améliorer l'expérience utilisateur en utilisant des URL de service spécifiques au domaine.

Contrairement aux URL de service standards telles que https://console.cloud.google.com/, les URL de service spécifiques au domaine incluent le nom de votre domaine principal. Les utilisateurs non authentifiés qui cliquent sur un lien vers une URL de service spécifique au domaine sont immédiatement redirigés vers Entra ID au lieu de passer d'abord par une page de connexion Google Sign-In.

Voici quelques exemples d'URL de service spécifiques au domaine :

Service Google URL Logo
Console Google Cloud https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://console.cloud.google.com Logo Google Cloud
Google Docs https://docs.google.com/a/DOMAIN Logo Google Docs
Google Sheets https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://sheets.google.com Logo Google Sheets
Google Sites https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://slides.google.com Logo Google Sites
Google Drive https://drive.google.com/a/DOMAIN Logo Google Drive
Gmail https://mail.google.com/a/DOMAIN Logo Gmail
Google Groupes https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://groups.google.com Logo Google Groupes
Google Keep https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://keep.google.com Logo Google Keep
Looker Studio https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://lookerstudio.google.com Logo Looker Studio

Pour configurer des URL de service spécifiques au domaine afin qu'elles redirigent vers Entra ID, procédez comme suit :

  1. Dans la console d'administration, sur la page SSO avec des IdP tiers, cliquez sur URL de service spécifiques au domaine > Modifier.

    Accéder aux URL de service spécifiques au domaine

  2. Définissez l'option Rediriger automatiquement les utilisateurs vers l'IdP tiers dans le profil SSO suivant sur Activé.

  3. Définissez le profil SSO sur Entra ID.

  4. Cliquez sur Enregistrer.

Facultatif : Configurer des questions d'authentification à la connexion

Google Sign-In peut demander aux utilisateurs une validation supplémentaire lorsqu'ils se connectent depuis un appareil inconnu ou lorsque leur tentative de connexion semble suspecte pour d'autres raisons. Ces questions d'authentification à la connexion contribuent à améliorer la sécurité. Nous vous recommandons donc de les laisser activées.

Si vous constatez que les questions d'authentification à la connexion sont trop pénalisantes à l'usage, vous pouvez les désactiver en procédant comme suit :

  1. Dans la console d'administration, accédez à Sécurité > Authentification > Questions d'authentification à la connexion.
  2. Dans le volet de gauche, sélectionnez l'unité organisationnelle pour laquelle vous souhaitez désactiver les questions d'authentification à la connexion. Pour désactiver les questions d'authentification à la connexion pour tous les utilisateurs, sélectionnez l'unité organisationnelle racine.
  3. Sous Paramètres pour les utilisateurs qui se connectent à l'aide d'autres profils SSO, sélectionnez Ne pas demander aux utilisateurs de validation supplémentaire de la part de Google.
  4. Cliquez sur Enregistrer.

Tester l'authentification unique

Maintenant que vous avez terminé la configuration de l'authentification unique dans Microsoft Entra ID et Cloud Identity ou Google Workspace, vous pouvez accéder à Google Cloud de deux manières :

Pour vérifier que la deuxième option fonctionne comme prévu, exécutez le test suivant :

  1. Choisissez un utilisateur Microsoft Entra ID provisionné pour Cloud Identity ou Google Workspace et qui ne dispose pas de droits de super-administrateur. Les utilisateurs dotés des droits de super-administrateur doivent toujours se connecter à l'aide des identifiants Google et ne conviennent donc pas pour tester l'authentification unique.
  2. Ouvrez une nouvelle fenêtre de navigateur et accédez à l'URL https://console.cloud.google.com/.

  3. Sur la page Google Sign-In qui s'affiche, saisissez l'adresse e-mail de l'utilisateur, puis cliquez sur Suivant. Si vous utilisez la substitution de domaine, cette adresse doit être l'adresse e-mail avec substitution appliquée.

    Boîte de dialogue de connexion Google Sign-In

  4. Vous êtes redirigé vers Microsoft Entra ID et une autre invite de connexion apparaît. Entrez l'adresse e-mail de l'utilisateur (sans substitution de domaine) et cliquez sur Suivant.

    Boîte de dialogue de connexion Microsoft Entra ID.

  5. Après avoir entré votre mot de passe, vous êtes invité à indiquer si vous souhaitez rester connecté ou non. Pour l'instant, choisissez Non.

    Une fois l'authentification réussie, Microsoft Entra ID vous redirige vers Google Sign-In. Étant donné que vous vous connectez pour la première fois avec cet utilisateur, vous êtes invité à accepter les conditions d'utilisation et les règles de confidentialité de Google.

  6. Si vous acceptez les conditions, cliquez sur Je comprends.

    Vous êtes redirigé vers la console Google Cloud, qui vous demande de confirmer vos préférences et d'accepter les conditions d'utilisation de Google Cloud.

  7. Si vous acceptez ces conditions, cliquez sur Oui, puis sur Accepter et continuer.

  8. Cliquez sur l'icône de l'avatar en haut à gauche de la page, puis sur Déconnexion.

    Vous êtes redirigé vers une page Microsoft Entra ID confirmant que vous êtes déconnecté.

N'oubliez pas que les utilisateurs dotés de droits de super-administrateur sont exemptés de l'authentification unique, ce qui vous permet de continuer à utiliser la console d'administration pour vérifier ou modifier des paramètres.

Effectuer la rotation d'un certificat d'authentification unique

Le certificat de signature de jetons Microsoft Entra ID n'est valide que pendant plusieurs mois. Vous devez le remplacer avant son expiration.

Pour effectuer une rotation du certificat de signature, ajoutez un certificat supplémentaire à l'application Microsoft Entra ID :

  1. Dans le portail Azure, accédez à Microsoft Entra ID > Applications d'entreprise et ouvrez l'application que vous avez créée pour l'authentification unique.
  2. Dans le menu de gauche, cliquez sur Gérer > Authentification unique.

  3. Sur la fiche Certificat de signature SAML, cliquez sur Modifier.

    Une liste d'un ou de plusieurs certificats s'affiche. Un certificat est marqué comme actif.

  4. Cliquez sur Nouveau certificat.

  5. Conservez les paramètres de signature par défaut, puis cliquez sur Enregistrer.

    Le certificat est ajouté à la liste des certificats et marqué comme Inactif.

  6. Sélectionnez le nouveau certificat, puis cliquez sur  > Téléchargement du certificat Base64.

    Laissez la fenêtre du navigateur ouverte et ne fermez pas la boîte de dialogue.

Pour utiliser le nouveau certificat, procédez comme suit :

  1. Ouvrez un nouvel onglet ou une nouvelle fenêtre dans votre navigateur.

  2. Ouvrez la console d'administration et accédez à la page SSO avec un IDP tiers.

    Accéder à la page "SSO avec un IdP tiers"

  3. Ouvrez le profil SAML Entra ID.

  4. Cliquez sur Informations sur le fournisseur d'identité.

  5. Cliquez sur Importer un autre certificat, puis sélectionnez le nouveau certificat que vous avez téléchargé précédemment.

  6. Cliquez sur Enregistrer.

  7. Revenez au portail Microsoft Entra ID et à la boîte de dialogue Certificat de signature SAML.

  8. Sélectionnez le nouveau certificat, puis cliquez sur  > Activer le certificat.

  9. Cliquez sur Oui pour activer le certificat.

    Microsoft Entra ID utilise désormais le nouveau certificat de signature.

  10. Vérifiez que l'authentification unique fonctionne toujours comme prévu. Pour en savoir plus, consultez la page Tester l'authentification unique.

Pour supprimer l'ancien certificat, procédez comme suit :

  1. Revenez à la console d'administration et au profil SAML Entra ID.
  2. Cliquez sur Informations sur le fournisseur d'identité.
  3. Sous Certificat de validation, comparez les dates d'expiration de vos certificats pour trouver l'ancien, puis cliquez sur .
  4. Cliquez sur Enregistrer.

Effectuer un nettoyage

Pour éviter que les ressources utilisées lors de ce tutoriel soient facturées sur votre compte Google Cloud, supprimez le projet contenant les ressources, ou conservez le projet et supprimez les ressources individuelles.

Pour désactiver l'authentification unique dans votre compte Cloud Identity ou Google Workspace, procédez comme suit :

  1. Dans la console d'administration, accédez à Gérer l'attribution des profils SSO.

    Accéder à la page "Gérer l'attribution des profils SSO"

  2. Procédez comme suit pour chaque attribution de profil :

    1. Ouvrez le profil.
    2. Si le bouton Hériter s'affiche, cliquez sur Hériter. Si vous ne voyez pas le bouton Hériter, sélectionnez Aucun, puis cliquez sur Enregistrer.

  3. Revenez à la page SSO avec des fournisseurs d'identité tiers et ouvrez le profil SAML Microsoft Entra ID.

  4. Cliquez sur Supprimer.

Vous pouvez supprimer les paramètres d'authentification unique et de gestion dans Microsoft Entra ID comme suit :

  1. Dans le portail Azure, accédez à Microsoft Entra ID > Applications d'entreprise.
  2. Dans la liste des applications, sélectionnez Google Cloud.
  3. Dans le menu de gauche, cliquez sur Gérer > Authentification unique.
  4. Cliquez sur Supprimer.
  5. Confirmez la suppression en cliquant sur Oui.

Étapes suivantes