Ce document explique comment ajouter des services Google et des applications Web sécurisées par Identity-Aware Proxy (IAP) au portail Mes applications Microsoft, et comment activer l'authentification automatique pour ces applications.
Dans le document, nous partons du principe que vous avez fédéré votre compte Cloud Identity ou Google Workspace avec Microsoft Entra ID en configurant l'ID Microsoft Entra pour l'authentification unique.
Avant de commencer
Assurez-vous d'avoir suivi la procédure visant à fédérer votre compte Cloud Identity ou Google Workspace avec Microsoft Entra ID.
Lancer l'authentification unique depuis un portail
Pour permettre l'authentification via un fournisseur d'identité externe tel qu'Azure AD, Cloud Identity et Google Workspace s'appuient sur l'authentification initiée par le fournisseur de services. Avec ce type d'authentification, le processus se déclenche chez le fournisseur de services, lequel vous redirige ensuite vers le fournisseur d'identité. Exemple :
- Vous accédez à un service Google tel que la console Google Cloud ou Looker Studio en ouvrant une URL ou un favori. Dans ce scénario, Google et ses services jouent le rôle de fournisseur de services.
- L'écran de connexion Google s'affiche, vous invitant à saisir l'adresse e-mail de votre identité Google.
- Vous êtes redirigé vers Microsoft Entra ID, qui sert de fournisseur d'identité.
- Vous vous connectez à Microsoft Entra ID.
- Microsoft Entra ID vous redirige vers le service Google auquel vous tentez d'accéder.
L'authentification initiée par le fournisseur de services offre l'avantage de permettre aux utilisateurs d'accéder directement aux services Google en ouvrant un lien ou en utilisant un favori. Si votre organisation utilise Microsoft Entra ID, vous pouvez utiliser le portail Microsoft My Apps à cette fin. Le fait de ne pas devoir passer par un portail pour ouvrir des applications convient aux utilisateurs expérimentés qui ajoutent des sites spécifiques à leurs favoris ou gardent en mémoire certaines URL. Pour les autres, il peut être utile de placer les liens vers les applications correspondantes dans un portail.
Cependant, l'ajout d'un lien tel que https://lookerstudio.google.com au portail Mes applications Microsoft révèle une insuffisance du processus d'authentification initié par le fournisseur de services. Bien que la session Microsoft Entra ID d'un utilisateur qui clique sur le lien dans le portail soit valide, il est possible qu'il voie encore l'écran de connexion Google et soit invité à saisir son adresse e-mail. Cette invite de connexion apparemment redondante indique que Google Sign-In n'a pas connaissance de la session Microsoft Entra ID existante.
Vous pouvez éviter l'invite de connexion Google supplémentaire en utilisant des URL spéciales lors de la configuration du portail Mes applications Microsoft. Ces URL intègrent une indication du compte Cloud Identity ou Google Workspace que les utilisateurs sont censés utiliser. Ces informations supplémentaires permettent d'effectuer l'authentification de façon silencieuse, ce qui améliore l'expérience utilisateur.
Ajouter des liens au portail Mes applications Microsoft
Le tableau suivant répertorie les services Google courants, le nom correspondant dans Microsoft Entra ID, ainsi que le lien à utiliser pour mettre en œuvre l'authentification unique, comme décrit dans la section précédente.
Service Google | URL | Logo |
---|---|---|
Console Google Cloud | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://console.cloud.google.com |
|
Google Docs | https://docs.google.com/a/DOMAIN |
|
Google Sheets | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://sheets.google.com
|
|
Google Sites | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://slides.google.com |
|
Google Drive | https://drive.google.com/a/DOMAIN |
|
Gmail | https://mail.google.com/a/DOMAIN |
|
Google Groupes | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://groups.google.com |
|
Google Keep | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://keep.google.com
|
|
Looker Studio | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://lookerstudio.google.com |
|
YouTube | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://www.youtube.com/
|
Pour chaque service Google que vous souhaitez ajouter au portail Mes applications Microsoft, créez une application d'entreprise :
- Sur le portail Azure, accédez à Microsoft Entra ID > Applications d'entreprise.
- Cliquez sur Nouvelle application.
Cliquez sur Créer votre propre application et saisissez les informations suivantes :
- Quel est le nom de votre application ? : Saisissez le nom du service Google, comme indiqué dans le tableau précédent.
- Que souhaitez-vous faire avec votre application ? : sélectionnez Intégrer toute autre application que vous ne trouvez pas dans la galerie (hors galerie).
Cliquez sur Créer.
Sélectionnez Propriétés.
Remplacez le logo par le fichier associé dans le tableau.
Cliquez sur Enregistrer.
Dans le menu de gauche, sélectionnez Authentification unique.
Sélectionnez Associé.
Saisissez l'URL répertoriée dans le tableau, par exemple,
http://docs.google.com/a/DOMAIN
.Remplacez
DOMAIN
par le nom de domaine principal de votre compte Cloud Identity ou Google Workspace, tel queexample.com
.Cliquez sur Enregistrer.
Notez que vous n'avez pas à configurer l'authentification unique SAML dans l'application. Toutes les opérations d'authentification unique sont toujours gérées par l'application que vous avez créée précédemment pour l'authentification unique.
Pour attribuer l'application aux utilisateurs, procédez comme suit :
- Dans le menu de gauche, sélectionnez Propriétés.
- Définissez Affectation de l'utilisateur obligatoire sur Oui.
- Cliquez sur Enregistrer.
- Dans le menu de gauche, cliquez sur Gérer > Utilisateurs et groupes.
- Cliquez sur Ajouter un utilisateur.
- Sélectionnez Utilisateurs
- Sélectionnez les utilisateurs ou les groupes que vous souhaitez provisionner. Si vous sélectionnez un groupe, tous ses membres sont provisionnés.
- Cliquez sur Sélectionner.
- Cliquez sur Attribuer.
L'affichage d'un lien sur le portail Mes applications peut prendre plusieurs minutes.
Contrôler les accès
L'attribution d'utilisateurs et de groupes à des applications individuelles dans Microsoft Entra ID contrôle la visibilité du lien, mais ne contrôle pas l'accès à un service. Un service qui n'est pas visible sur le portail Mes applications d'un utilisateur peut rester accessible si l'utilisateur ouvre l'URL appropriée. Pour contrôler les utilisateurs et les groupes autorisés à accéder à un service, vous devez également activer ou désactiver le service dans la Console d'administration Google.
Vous pouvez simplifier le processus de contrôle de la visibilité et des accès en utilisant des groupes :
- Pour chaque service Google, créez un groupe de sécurité dans Microsoft Entra ID, par exemple,
Looker Studio users
etGoogle Drive users
. - Attribuez les groupes à l'application d'entreprise Microsoft Entra ID appropriée, comme décrit dans la section précédente. Par exemple, attribuez le groupe
Looker Studio users
à l'application Looker Studio et le groupeGoogle Drive users
à l'application Google Drive. - Configurez les groupes à provisionner sur votre compte Cloud Identity ou Google Workspace.
- Dans la console d'administration, activez le service correspondant pour chaque groupe.
Par exemple, activez Looker Studio pour le groupe
Looker Studio users
et Google Drive pour le groupeGoogle Drive users
. Désactivez le service pour tous les autres utilisateurs.
En ajoutant et en supprimant des membres, vous contrôlez désormais l'accès et la visibilité en une seule étape.
Applications Web protégées par IAP
Si vous utilisez IAP pour protéger vos applications Web, vous pouvez ajouter des liens vers ces applications au portail Mes applications Microsoft et activer une expérience d'authentification unique spécifique.
Ajouter des liens au portail Mes applications Microsoft
Le processus permettant d'ajouter un lien au portail Mes applications Microsoft est identique à celui des services Google. Vous devez cependant utiliser l'URL de votre application Web protégée par IAP.
Comme pour les services Google, vous pouvez empêcher les utilisateurs de voir un écran de connexion Google après avoir suivi un lien vers une application Web protégée par IAP dans le portail, mais le processus est différent. Au lieu d'utiliser une URL spéciale, vous configurez IAP pour toujours utiliser un compte Cloud Identity ou Google Workspace spécifique pour l'authentification :
Dans la console Google Cloud, activez Cloud Shell.
Initialisez une variable d'environnement :
PRIMARY_DOMAIN=primary-domain
Remplacez
primary-domain
par le domaine principal de votre compte Cloud Identity ou Google Workspace, par exempleexample.com
.Créez un fichier de paramètres temporaire qui indique à IAP de toujours utiliser le domaine principal de votre compte Cloud Identity ou Google Workspace pour l'authentification:
cat << EOF > iap-settings.yaml accessSettings: oauthSettings: loginHint: "$PRIMARY_DOMAIN" EOF
Appliquez les paramètres à toutes les ressources Web IAP du projet :
gcloud iap settings set iap-settings.yaml --resource-type=iap_web
Supprimez le fichier de paramètres temporaires :
rm iap-settings.yaml
Contrôler les accès
L'attribution d'utilisateurs et de groupes à des applications individuelles dans Microsoft Entra ID permet de contrôler la visibilité du lien vers votre application Web protégée par IAP, mais pas les accès à l'application. Pour contrôler les accès, vous devez également personnaliser la stratégie IAM (Identity and Access Management) de l'application Web protégée par IAP.
Comme pour les services Google, vous pouvez simplifier le processus de contrôle de la visibilité et des accès en utilisant des groupes :
- Pour chaque application, créez un groupe de sécurité dans Microsoft Entra ID, par exemple
Payroll application users
. - Attribuez le groupe à l'application d'entreprise Microsoft Entra ID correspondante.
- Configurez le groupe à provisionner sur votre compte Cloud Identity ou Google Workspace.
- Modifiez la stratégie IAM de l'application Web protégée par IAP pour attribuer le rôle Utilisateur de l'application Web sécurisée par IAP au groupe
Payroll application users
et désactiver l'accès des autres utilisateurs.
L'ajout de membres au groupe Payroll application users
et leur suppression vous permet de contrôler à la fois les accès et la visibilité en une seule étape.
Étapes suivantes
- En savoir plus sur la fédération de Google Cloud avec Microsoft Entra ID.
- Consultez les bonnes pratiques pour planifier des comptes et des organisations ainsi que les bonnes pratiques pour fédérer Google Cloud avec un fournisseur d'identité externe.
- Découvrez Identity-Aware Proxy.