Fédérer Google Cloud avec Azure Active Directory : configurer le provisionnement et l'authentification unique

Cet article explique comment configurer la gestion des comptes utilisateur et l'authentification unique entre un locataire Microsoft Azure AD et votre compte Cloud Identity ou Google Workspace.

Cet article part du principe que vous utilisez déjà Microsoft Office 365 ou Azure AD dans votre organisation et que vous souhaitez utiliser Azure AD pour permettre aux utilisateurs de s'authentifier auprès de Google Cloud. Azure AD est peut être connecté à un annuaire Active Directory sur site et utilise peut être la fédération AD FS, l'authentification directe ou la synchronisation du hachage de mot de passe.

Objectifs

  • Configurer Azure AD pour gérer automatiquement les utilisateurs et, éventuellement, les groupes dans Cloud Identity ou Google Workspace.
  • Configurer l'authentification unique pour permettre aux utilisateurs de se connecter à Google Cloud à l'aide d'un compte utilisateur Azure AD ou d'un utilisateur géré à partir d'Active Directory vers Azure AD.

Coûts

Si vous utilisez l'édition gratuite de Cloud Identity, la configuration de la fédération avec Azure AD n'entraînera l'utilisation d'aucun composant Google Cloud facturable.

Consultez la page de tarification Azure AD pour connaître les frais éventuels liés à l'utilisation d'Azure AD.

Avant de commencer

  • Assurez-vous de bien comprendre les différences entre la connexion de Google Cloud à Azure AD et la connexion directe de Google Cloud à Active Directory.
  • Choisissez comment vous souhaitez mapper les identités, les groupes et les domaines entre Azure AD et Cloud Identité ou Google Workspace. Plus précisément, répondez aux questions suivantes :
    • Prévoyez-vous d'utiliser des adresses e-mail ou des noms principaux d'utilisateur (UPN) comme identifiants communs pour les utilisateurs ?
    • Prévoyez-vous de créer des groupes ? Si tel est le cas, envisagez-vous de mapper les groupes par adresse e-mail ou par nom ?
    • Prévoyez-vous de gérer tous les utilisateurs sur Google Cloud ou seulement un sous-ensemble d'utilisateurs spécifique ?
  • Avant de connecter votre locataire de production Azure AD à Google Cloud, envisagez d'utiliser un locataire de test Azure AD pour configurer et tester la gestion des comptes utilisateur.
  • Inscrivez-vous à Cloud Identity si vous n'avez pas encore de compte.
  • Si vous utilisez l'édition gratuite de Cloud Identity et que vous souhaitez gérer plus de 50 utilisateurs, demandez une augmentation du nombre total d'utilisateurs Cloud Identity gratuits via votre service d'assistance.
  • Si vous pensez que l'un des domaines que vous prévoyez d'utiliser pour Cloud Identity a pu être utilisé par les employés pour enregistrer des comptes personnels, envisagez d'abord de migrer ces comptes. Pour en savoir plus, consultez la section Évaluer les comptes utilisateur existants.

Préparer votre compte Cloud Identity ou Google Workspace

Créer un utilisateur pour Azure AD

Pour qu'Azure AD puisse interagir avec l'API de Cloud Identity et de Google Workspace, Azure AD doit disposer d'un compte utilisateur. Lorsque vous vous êtes inscrit à Cloud Identity ou Google Workspace, vous avez créé un utilisateur super-administrateur. Bien que vous puissiez utiliser cet utilisateur pour Azure AD, il est préférable de créer un utilisateur distinct utilisé exclusivement par Azure AD.

  1. Ouvrez la console d'administration et connectez-vous à l'aide du compte super-administrateur créé lors de votre inscription à Cloud Identity ou Google Workspace.
  2. Dans le menu, accédez à Annuaire > Utilisateurs, puis cliquez sur Ajouter un utilisateur pour créer un utilisateur.
  3. Indiquez un prénom, un nom et une adresse e-mail appropriés, tels que :
    1. Prénom : Azure AD
    2. Nom : Provisioning
    3. Adresse e-mail principale : azuread-provisioning
    4. Conservez le domaine principal de l'adresse e-mail.
  4. Définissez Générer automatiquement un mot de passe sur Désactivé et entrez un mot de passe.
  5. Définissez Exiger la modification du mot de passe à la prochaine connexion sur Désactivé.
  6. Cliquez sur Ajouter un utilisateur.
  7. Cliquez sur OK.

Pour qu'Azure AD puisse créer, répertorier et supprimer des utilisateurs et des groupes, vous devez attribuer des droits supplémentaires à l'utilisateur. En outre, il est conseillé d'exempter ce compte de l'authentification unique. Dans le cas contraire, vous pourriez vous trouver dans l'impossibilité d'autoriser à nouveau Azure AD en cas de problème lié à l'authentification unique. Vous pouvez satisfaire ces deux conditions en attribuant à l'utilisateur le rôle de super-administrateur :

  1. Recherchez le nouvel utilisateur dans la liste et ouvrez-le.
  2. Sous Rôles et droits d'administrateur, cliquez sur Attribuer des rôles.
  3. Activez le rôle super-administrateur.
  4. Cliquez sur Enregistrer.

Enregistrer des domaines

Dans Cloud Identity et Google Workspace, les utilisateurs et les groupes sont identifiés par adresse e-mail. Les domaines utilisés par ces adresses e-mail doivent d'abord être enregistrés et vérifiés.

Préparez une liste de domaines DNS que vous devez enregistrer :

  • Si vous envisagez de mapper les utilisateurs par UPN, incluez tous les domaines de ces UPN. En cas de doute, incluez tous les domaines personnalisés de votre locataire Azure AD.
  • Si vous envisagez de mapper les utilisateurs par adresse e-mail, incluez tous les domaines de ces adresses e-mail. La liste des domaines peut être différente de la liste des domaines personnalisés de votre locataire Azure AD.

Si vous prévoyez de créer des groupes, modifiez la liste des domaines DNS :

  • Si vous envisagez de mapper les groupes par adresse e-mail, incluez tous les domaines de ces adresses e-mail. En cas de doute, incluez tous les domaines personnalisés de votre locataire Azure AD.
  • Si vous prévoyez de mapper des groupes par leur nom, ajoutez un sous-domaine dédié tel que groups.[PRIMARY-DOMAIN], où [PRIMARY-DOMAIN] est le nom de domaine principal de votre compte Cloud Identity ou Google Workspace.

Maintenant que vous avez identifié la liste des domaines DNS, vous pouvez enregistrer tous les domaines manquants. Pour chaque domaine de la liste qui n'est pas encore enregistré, procédez comme suit :

  1. Dans la console d'administration, accédez à Compte > Domaines.
  2. Cliquez sur Ajouter/Supprimer des domaines.
  3. Cliquez sur Ajouter un domaine ou un alias de domaine.
  4. Dans la boîte de dialogue, sélectionnez Ajouter un autre domaine.
  5. Dans la zone de texte en dessous, entrez le nom de domaine.
  6. Cliquez sur Poursuivre et valider la propriété du domaine.

    Si le domaine est un sous-domaine d'un autre domaine déjà vérifié, il est immédiatement utilisable. Sinon, vous êtes invité à vérifier le domaine.

  7. Cliquez sur Sélectionnez le bureau d'enregistrement ou le fournisseur de votre domaine pour sélectionner le bureau d'enregistrement ou le fournisseur du domaine DNS concerné.

  8. Vous voyez maintenant un ensemble d'instructions propres au bureau d'enregistrement ou au fournisseur sélectionné. Suivez ces instructions pour vérifier la propriété du domaine.

Configurer le provisionnement Azure AD

Créer une application d'entreprise

Vous êtes maintenant prêt à connecter Azure AD à votre compte Cloud Identity ou G Suite en configurant l'application de galerie Google Cloud/Google Workspace Connector by Microsoft, disponible sur la place de marché Microsoft Azure.

L'application de galerie peut être configurée pour gérer à la fois la gestion des comptes utilisateur et l'authentification unique. Toutefois, si vous utilisez une instance de l'application dans les deux cas, vous risquez de rencontrer une limitation d'Azure AD. Pour éviter ce risque, utilisez deux instances de l'application de galerie.

Tout d'abord, créez une instance de l'application de galerie pour gérer le provisionnement des utilisateurs :

  1. Ouvrez le portail Azure et connectez-vous en tant qu'utilisateur disposant des droits d'administrateur global.
  2. Sélectionnez Azure Active Directory / Applications d'entreprise.
  3. Cliquez sur Nouvelle application.
  4. Recherchez Google Cloud, puis cliquez sur l'élément Connecteur Google Cloud/G Suite de Microsoft dans la liste des résultats.
  5. Définissez le nom de l'application sur Google Cloud (Provisioning).
  6. Cliquez sur Ajouter.
  7. L'ajout de l'application peut prendre quelques secondes. Vous devriez ensuite être redirigé vers une page intitulée Présentation de Google Cloud (provisionnement).
  8. Dans le menu de gauche, cliquez sur Gérer > Propriétés.
    1. Définissez Activé pour que les utilisateurs se connectent sur Non.
    2. Définissez Affectation de l'utilisateur obligatoire sur Non.
    3. Définissez Visible par les utilisateurs sur Non.
    4. Cliquez sur Enregistrer.
  9. Dans le menu de gauche, cliquez sur Gérer > Provisionnement :
    1. Définissez Mode d'approvisionnement sur Automatique.
    2. Cliquez sur Informations d'identification de l'administrateur > Autoriser.
    3. Connectez-vous à l'aide de l'utilisateur azuread-provisioning@[DOMAIN] que vous avez créé précédemment, où [DOMAIN] est le domaine de votre compte Cloud Identity ou Google Workspace.
    4. Étant donné que vous vous connectez pour la première fois avec cet utilisateur, vous êtes invité à accepter les conditions d'utilisation et les règles de confidentialité de Google.
    5. Si vous acceptez les conditions, cliquez sur Accepter.
    6. Confirmez l'accès à l'API Cloud Identity en cliquant sur Autoriser.
    7. Cliquez sur Tester la connexion pour vérifier qu'Azure AD peut s'authentifier auprès de Cloud Identity ou Google Workspace.
    8. Cliquez sur Enregistrer.

Configurer le provisionnement des utilisateurs

La meilleure façon de configurer le provisionnement des utilisateurs diffère selon que vous envisagez de mapper les utilisateurs par adresse e-mail ou par UPN.

Mapper par UPN

  1. Sous Mappages, cliquez sur Provisionner les utilisateurs Azure Active Directory.
  2. Sous Mappage des attributs, sélectionnez la ligne nom de famille et définissez Valeur par défaut si valeur nulle sur _.
  3. Sélectionnez la ligne givenName et définissez Valeur par défaut si valeur nulle sur _.
  4. Cliquez sur OK.
  5. Cliquez sur Enregistrer.
  6. Confirmez que l'enregistrement des modifications entraîne la resynchronisation des utilisateurs et des groupes en cliquant sur Oui.
  7. Cliquez sur X pour fermer la boîte de dialogue Mappage des attributs.

Mapper par adresse e-mail

  1. Sous Mappages, cliquez sur Provisionner les utilisateurs Azure Active Directory.
  2. Sous Mappage des attributs, sélectionnez la ligne userPrincipalName et définissez l'attribut source sur e-mail.
  3. Sélectionnez la ligne nom de famille et définissez Valeur par défaut si valeur nulle sur _.
  4. Sélectionnez la ligne givenName et définissez Valeur par défaut si valeur nulle sur _.
  5. Cliquez sur OK.
  6. Cliquez sur Enregistrer.
  7. Confirmez que l'enregistrement des modifications entraîne la resynchronisation des utilisateurs et des groupes en cliquant sur Oui.
  8. Cliquez sur X pour fermer la boîte de dialogue Mappage des attributs.

Configurer le provisionnement des groupes

La meilleure façon de configurer le provisionnement des groupes dépend du mappage des groupes par adresse e-mail ou par UPN.

Aucun mappage des groupes

  1. Sous Mappages, cliquez sur Provisionner les groupes Azure Active Directory.
  2. Définissez Activé sur Non.
  3. Cliquez sur Enregistrer.
  4. Confirmez que l'enregistrement des modifications entraîne la resynchronisation des utilisateurs et des groupes en cliquant sur Oui.
  5. Cliquez sur X pour fermer la boîte de dialogue Mappage des attributs.

Mapper par adresse e-mail

  • Si vous mappez les groupes par adresse e-mail, conservez les paramètres par défaut.

Mapper par nom

  1. Dans la section Mappages, cliquez sur Provisionner les groupes Azure Active Directory.
  2. Dans la section Mappages d'attributs, cliquez sur mail pour ouvrir la boîte de dialogue Modifier l'attribut.
  3. Configurez les paramètres suivants :
    1. Type de mappage : Expression.
    2. Expression : Join("@", NormalizeDiacritics(StripSpaces([displayName])), "[GROUPS-DOMAIN]") Remplacez [GROUPS-DOMAIN] par le domaine que toutes les adresses e-mail du groupe sont censées utiliser ; par exemple, groups.example.com.
    3. Attribut cible : email.
  4. Cliquez sur OK.
  5. Cliquez sur Enregistrer.
  6. Confirmez que l'enregistrement des modifications entraîne la resynchronisation des utilisateurs et des groupes en cliquant sur Oui.
  7. Cliquez sur X pour fermer la boîte de dialogue Mappage des attributs.

Configurer l'affectation des utilisateurs

Si vous savez que seul un sous-ensemble d'utilisateurs a besoin d'accéder à Google Cloud, vous pouvez éventuellement restreindre l'ensemble des comptes utilisateur en attribuant l'application d'entreprise à des utilisateurs ou des groupes d'utilisateurs spécifiques.

Si vous souhaitez que tous les utilisateurs soient provisionnés, vous pouvez ignorer les étapes suivantes.

  1. Dans le menu de gauche, cliquez sur Gérer > Utilisateurs et groupes.
  2. Cliquez sur Ajouter un utilisateur.
  3. Sélectionner Utilisateurs
  4. Sélectionnez les utilisateurs ou les groupes à provisionner. Si vous sélectionnez un groupe, tous ses membres sont automatiquement provisionnés.
  5. Cliquez sur Sélectionner.
  6. Cliquez sur Attribuer.

Activer le provisionnement automatique

L'étape suivante consiste à configurer Azure AD pour gérer automatiquement les utilisateurs sur Cloud Identity ou Google Workspace :

  1. Dans le menu de gauche, cliquez sur Gérer > Approvisionnement.
  2. Sélectionnez Modifier la gestion des comptes.
  3. Sous Paramètres, définissez État de l'approvisionnement sur Activé.
  4. Définissez le champ d'application sur l'un des éléments suivants :

    1. Synchroniser uniquement les utilisateurs et groupes assignés si vous avez configuré l'affectation d'utilisateur
    2. Synchroniser l'ensemble des utilisateurs et groupes dans les autres cas

    Si cette case permettant de définir le champ d'application ne s'affiche pas, cliquez sur Enregistrer et actualisez la page.

  5. Cliquez sur Enregistrer.

Azure AD démarre une synchronisation initiale. Selon le nombre d'utilisateurs et de groupes dans l'annuaire, ce processus peut prendre plusieurs minutes, voire plusieurs heures. Vous pouvez actualiser la page du navigateur pour voir l'état de la synchronisation au bas de la page, ou sélectionner Journaux d'audit dans le menu pour afficher plus de détails.

Une fois la synchronisation initiale terminée, Azure AD propage régulièrement les mises à jour d'Azure AD vers votre compte Cloud Identity ou Google Workspace. Pour plus de détails sur la manière dont Azure AD gère les modifications des utilisateurs et des groupes, consultez les sections Mapper le cycle de vie de l'utilisateur et Mapper le cycle de vie du groupe.

Dépannage

Si la synchronisation ne démarre pas dans les cinq minutes, vous pouvez la forcer de la manière suivante :

  1. Définissez État de l'approvisionnement sur Désactivé.
  2. Cliquez sur Enregistrer.
  3. Définissez État de l'approvisionnement sur Activé.
  4. Cliquez sur Enregistrer.
  5. Sélectionnez Effacer l'état en cours et redémarrer la synchronisation.
  6. Cliquez sur Enregistrer.
  7. Confirmez le redémarrage de la synchronisation en cliquant sur Oui.

Si la synchronisation ne démarre toujours pas, cliquez sur Tester la connexion pour vérifier que vos identifiants ont bien été enregistrés.

Configurer Azure AD pour l'authentification unique

Bien que tous les utilisateurs d'Azure AD pertinents soient désormais automatiquement provisionnés dans Cloud Identity ou Google Workspace, vous ne pouvez pas encore les utiliser pour vous connecter. Pour permettre aux utilisateurs de se connecter, vous devez maintenant configurer l'authentification unique.

Créer une application d'entreprise

Créez une deuxième application d'entreprise pour gérer l'authentification unique :

  1. Dans le portail Azure, accédez à Azure Active Directory > Applications d'entreprise.
  2. Cliquez sur Nouvelle application.
  3. Recherchez Google Cloud, puis cliquez sur connecteur Google Cloud/G Suite Connector de Microsoft dans la liste des résultats.
  4. Définissez le nom de l'application sur Google Cloud.
  5. Cliquez sur Ajouter.

    L'ajout de l'application peut prendre quelques secondes. Vous êtes ensuite redirigé vers une page intitulée Présentation de Google Cloud.

  6. Dans le menu de gauche, cliquez sur Gérer > Propriétés.

  7. Définissez Activé pour que les utilisateurs se connectent sur Oui.

  8. Définissez Affectation de l'utilisateur obligatoire sur Oui, sauf si vous souhaitez autoriser tous les utilisateurs à employer l'authentification unique.

  9. Cliquez sur Enregistrer.

Configurer l'affectation des utilisateurs

Si vous savez déjà que seul un sous-ensemble d'utilisateurs a besoin d'accéder à Google Cloud, vous pouvez éventuellement restreindre l'ensemble d'utilisateurs autorisés à se connecter en attribuant l'application d'entreprise à des utilisateurs ou à des groupes d'utilisateurs spécifiques.

Si vous avez défini Affectation de l'utilisateur obligatoire sur Non auparavant, vous pouvez ignorer les étapes suivantes.

  1. Dans le menu de gauche, cliquez sur Gérer > Utilisateurs et groupes.
  2. Cliquez sur Ajouter un utilisateur.
  3. Sélectionnez Utilisateurs et groupes/Aucun utilisateur sélectionné.
  4. Sélectionnez les utilisateurs ou les groupes pour lesquels vous souhaitez autoriser l'authentification unique.
  5. Cliquez sur Sélectionner.
  6. Cliquez sur Attribuer.

Configurer les paramètres SAML

Pour permettre à Cloud Identity d'utiliser Azure AD pour l'authentification, vous devez ajuster certains paramètres :

  1. Dans le menu de gauche, cliquez sur Gérer > Authentification unique.
  2. Sur l'écran de sélection, cliquez sur la fiche SAML.
  3. Sur la fiche Configuration SAML de base, cliquez sur l'icône .
  4. Dans la boîte de dialogue Configuration SAML de base, entrez les paramètres suivants :
    1. Identifiant (ID d'entité) : google.com
    2. URL de réponse : https://www.google.com/
    3. URL de connexion : https://www.google.com/a/[PRIMARY-DOMAIN]/ServiceLogin?continue=https://console.cloud.google.com/, en remplaçant [PRIMARY-DOMAIN] par le nom de domaine principal utilisé par votre compte Cloud Identity ou Google Workspace.
  5. Cliquez sur Enregistrer, puis fermez la boîte de dialogue en cliquant sur X.
  6. Sur la fiche Certificat de signature SAML, recherchez l'entrée libellée Certificat (base 64) et cliquez sur Télécharger pour télécharger le certificat sur votre ordinateur local.
  7. Sur la fiche Configurer Google Cloud, recherchez l'URL de connexion et l'URL de déconnexion. Vous en aurez besoin sous peu.

Les étapes restantes diffèrent selon que vous mappez les utilisateurs par adresse e-mail ou par UPN.

Mapper par UPN

  1. Sur la fiche Attributs et revendications utilisateur, cliquez sur l'icône .
  2. Supprimez toutes les revendications répertoriées sous Autres revendications. Vous pouvez supprimer des enregistrements en cliquant sur le bouton et en sélectionnant Supprimer.
  3. La liste des attributs et des revendications devrait maintenant ressembler à ceci :

    Boîte de dialogue Attributs et revendications de l'utilisateur

  4. Fermez la boîte de dialogue en cliquant sur X.

Mapper par adresse e-mail

  1. Sur la fiche Attributs et revendications utilisateur, cliquez sur l'icône .
  2. Sélectionnez la ligne intitulée Identifiant d'utilisateur unique (ID de nom).
  3. Remplacez l'attribut source par user.mail.
  4. Cliquez sur Enregistrer.
  5. Supprimez toutes les revendications répertoriées sous Autres revendications. Pour supprimer tous les enregistrements, cliquez sur , puis sur Supprimer.

    Boîte de dialogue Attributs et revendications de l'utilisateur

  6. Fermez la boîte de dialogue en cliquant sur .

Configurer Cloud Identity ou Google Workspace pour l'authentification unique

Maintenant que vous avez préparé Azure AD pour l'authentification unique, vous pouvez activer l'authentification unique dans votre compte Cloud Identity ou Google Workspace :

  1. Ouvrez la Console d'administration et connectez-vous à l'aide d'un super-administrateur.
  2. Dans le menu, accédez à Sécurité > Paramètres.
  3. Cliquez sur Configurer l'authentification unique (SSO) avec un fournisseur d'identité tiers.
  4. Sous Certificat de vérification, cliquez sur Sélectionner un fichier, puis sélectionnez le certificat de signature de jetons que vous avez téléchargé précédemment.
  5. Cliquez sur Importer.
  6. Cliquez sur Enregistrer.
  7. Assurez-vous que l'option Configurer l'authentification unique avec un fournisseur d'identité tiers est activée.
  8. Saisissez les paramètres suivants :
    1. URL de connexion : saisissez l'URL de connexion de la fiche Configurer Google Cloud du portail Azure.
    2. URL de la page de déconnexion : saisissez l'URL de déconnexion dans la fiche Configurer Google Cloud du portail Azure.
    3. URL de la page de modification du mot de passe : https://account.activedirectory.windowsazure.com/changepassword.aspx
  9. Cliquez sur Enregistrer.
  10. Sur la page suivante, confirmez que vous avez l'intention d'activer l'authentification unique, puis cliquez sur Je comprends et j'accepte.
  11. Déconnectez-vous de la console d'administration en cliquant sur l'avatar en haut à droite. Ensuite, cliquez sur Déconnexion.

Tester l'authentification unique

Maintenant que vous avez terminé la configuration de l'authentification unique dans Azure AD et Cloud Identity ou Google Workspace, vous pouvez accéder à Google Cloud de deux manières :

Pour vérifier que la deuxième option fonctionne comme prévu, exécutez le test suivant :

  1. Choisissez un utilisateur Azure AD provisionné pour Cloud Identity ou Google Workspace et qui ne dispose pas de droits de super-administrateur. Les utilisateurs dotés des droits de super-administrateur doivent toujours se connecter à l'aide des identifiants Google et ne conviennent donc pas pour tester l'authentification unique.
  2. Ouvrez une nouvelle fenêtre de navigateur et accédez à l'URL https://console.cloud.google.com/.
  3. Sur la page Google Sign-In qui s'affiche, saisissez l'adresse e-mail de l'utilisateur, puis cliquez sur Next (Suivant). Si vous utilisez la substitution de domaine, cette adresse doit être l'adresse e-mail avec substitution appliquée.

    Boîte de dialogue de connexion Google Sign-In

  4. Vous êtes redirigé vers Azure AD et une autre invite de connexion apparaît. Entrez l'adresse e-mail de l'utilisateur (sans substitution de domaine) et cliquez sur Suivant.

    Boîte de dialogue de connexion Azure AD

  5. Après avoir entré votre mot de passe, vous êtes invité à indiquer si vous souhaitez rester connecté ou non. Pour l'instant, choisissez Non.

    Une fois l'authentification réussie, Azure AD vous redirige vers Google Sign-In. Étant donné que vous vous connectez pour la première fois avec cet utilisateur, vous êtes invité à accepter les conditions d'utilisation et les règles de confidentialité de Google.

  6. Si vous acceptez les conditions, cliquez sur Accepter.

    Vous êtes redirigé vers Cloud Console, qui vous demande de confirmer vos préférences et d'accepter les conditions d'utilisation de Google Cloud.

  7. Si vous acceptez ces conditions, cliquez sur Oui, puis sur Accepter et continuer.

  8. Cliquez sur l'icône de l'avatar en haut à gauche de la page, puis sur Déconnexion.

    Vous êtes redirigé vers une page Azure AD confirmant que vous vous êtes déconnecté.

N'oubliez pas que les utilisateurs dotés de droits de super-administrateur sont exemptés de l'authentification unique, ce qui vous permet de continuer à utiliser la console d'administration pour vérifier ou modifier des paramètres.

Nettoyer

Pour éviter que les ressources utilisées dans ce tutoriel soient facturées sur votre compte Google Cloud Platform :

Pour désactiver l'authentification unique dans votre compte Cloud Identity ou Google Workspace, procédez comme suit :

  • Ouvrez la console d'administration et connectez-vous à l'aide du compte super-administrateur créé lors de votre inscription à Cloud Identity ou Google Workspace.
  • Dans le menu, accédez à Sécurité > Paramètres.
  • Cliquez sur Configurer l'authentification unique (SSO) avec un fournisseur d'identité tiers.
  • Assurez-vous que l'option Configurer l'authentification unique avec un fournisseur d'identité tiers est désactivée.

Vous pouvez supprimer les paramètres d'authentification unique et de gestion dans Azure AD comme suit :

  • Dans le portail Azure, accédez à Azure AD > Applications d'entreprise.
  • Dans la liste des applications, sélectionnez Google Cloud.
  • Dans le menu de gauche, cliquez sur Gérer > Authentification unique.
  • Cliquez sur Supprimer.
  • Confirmez la suppression en cliquant sur Oui.

Étapes suivantes