Ce document explique comment configurer la gestion des utilisateurs et l'authentification unique entre une organisation Okta et votre compte Cloud Identity ou Google Workspace.
Dans ce document, nous partons du principe que vous utilisez déjà Okta dans votre organisation et que vous souhaitez utiliser Okta pour permettre aux utilisateurs de s'authentifier auprès de Google Cloud.
Objectifs
- Configurez Okta pour provisionner automatiquement les utilisateurs et, éventuellement, les groupes dans Cloud Identity ou Google Workspace.
- Configurez l'authentification unique pour permettre aux utilisateurs de se connecter à Google Cloud à l'aide d'un compte utilisateur Okta.
Coûts
Si vous utilisez l'édition gratuite de Cloud Identity, la configuration de la fédération avec Okta n'entraînera l'utilisation d'aucun composant Google Cloud facturable.
Consultez la page des tarifs d'Okta pour connaître les frais éventuels liés à l'utilisation d'Okta.
Avant de commencer
- Inscrivez-vous à Cloud Identity si vous n'avez pas encore de compte.
- Si vous utilisez l'édition gratuite de Cloud Identity et que vous souhaitez gérer plus de 50 utilisateurs, demandez une augmentation du nombre total d'utilisateurs Cloud Identity gratuits via votre service d'assistance.
- Si vous pensez que l'un des domaines que vous prévoyez d'utiliser pour Cloud Identity a pu être utilisé par les employés pour enregistrer des comptes personnels, envisagez d'abord de migrer ces comptes. Pour en savoir plus, consultez la section Évaluer les comptes utilisateur existants.
Préparer votre compte Cloud Identity ou Google Workspace
Créer un utilisateur pour Okta
Pour autoriser Okta à accéder à votre compte Cloud Identity ou Google Workspace, vous devez créer un utilisateur pour Okta dans votre compte Cloud Identity ou Google Workspace.
L'utilisateur Okta est destiné uniquement au provisionnement automatisé. Par conséquent, il est préférable de le séparer des autres comptes utilisateur en le plaçant dans une unité organisationnelle distincte (UO). L'utilisation d'une UO distincte vous permet également de désactiver ultérieurement l'authentification unique pour l'utilisateur Okta.
Pour créer une UO, procédez comme suit :
- Ouvrez la console d'administration et connectez-vous à l'aide du compte super-administrateur créé lors de votre inscription à Cloud Identity ou Google Workspace.
- Dans le menu, accédez à Annuaire > Unités organisationnelles.
- Cliquez sur Créer une unité organisationnelle, puis saisissez un nom et une description pour l'UO :
- Nom :
Automation
- Description :
Automation users
- Nom :
- Cliquez sur Créer.
Créez un compte utilisateur pour Okta et placez-le dans l'UO Automation
:
- Dans le menu, accédez à Annuaire > Utilisateurs, puis cliquez sur Ajouter un utilisateur pour créer un utilisateur.
Indiquez un prénom, un nom et une adresse e-mail appropriés, tels que :
- Prénom :
Okta
- Nom :
Provisioning
Adresse e-mail principale :
okta-provisioning
Conservez le domaine principal de l'adresse e-mail.
- Prénom :
Cliquez sur Gérer le mot de passe, l'unité organisationnelle et la photo de profil de l'utilisateur, puis configurez les paramètres suivants :
- Unité organisationnelle : sélectionnez l'UO
Automation
que vous avez créée précédemment. - Mot de passe : Sélectionnez Créer un mot de passe et saisissez un mot de passe.
- Exiger la modification du mot de passe à la prochaine connexion : Désactivé
- Unité organisationnelle : sélectionnez l'UO
Cliquez sur Ajouter un utilisateur.
Cliquez sur OK.
Attribuer des droits à Okta
Pour permettre à Okta de créer, répertorier et suspendre des utilisateurs et des groupes dans votre compte Cloud Identity ou Google Workspace, vous devez faire de l'utilisateur okta-provisioning
un super-administrateur:
- Recherchez le nouvel utilisateur dans la liste, puis cliquez sur son nom pour ouvrir la page de son compte.
- Sous Rôles et droits d'administrateur, cliquez sur Attribuer des rôles.
- Activez le rôle super-administrateur.
- Cliquez sur Enregistrer.
Configurer le provisionnement Okta
Vous êtes maintenant prêt à connecter Okta à votre compte Cloud Identity ou Google Workspace en configurant l'application Google Workspace à partir du catalogue Okta.
L'application Google Workspace peut gérer à la fois le provisionnement des utilisateurs et l'authentification unique. Utilisez cette application même si vous utilisez Cloud Identity et que vous prévoyez uniquement de configurer l'authentification unique pour Google Cloud.
Créer une application
Pour configurer l'application Google Workspace, procédez comme suit:
- Ouvrez le tableau de bord d'administration Okta et connectez-vous en tant qu'utilisateur disposant des droits de super-administrateur.
- Dans le menu, accédez à Applications > Applications.
- Cliquez sur Parcourir le catalogue d'applications.
- Recherchez
Google Workspace
et sélectionnez l'application Google Workspace. - Cliquez sur Ajouter une intégration.
Sur la page General settings (Paramètres généraux), configurez les éléments suivants:
- Libellé de l'application :
Google Cloud
- Votre domaine d'entreprise Google Apps: nom de domaine principal utilisé par votre compte Cloud Identity ou Google Workspace.
Afficher les liens suivants:
- Définissez le paramètre Compte sur activé.
- Définissez les autres liens sur activé si vous utilisez Google Workspace. Sinon, définissez les autres liens sur désactivé.
Visibilité de l'application: définie sur activée si vous utilisez Google Workspace, désactivée dans le cas contraire.
Navigateur automatique du plug-in: défini sur désactivé
- Libellé de l'application :
Cliquez sur Suivant.
Sur la page Options de connexion, configurez les éléments suivants:
- Méthodes d'authentification: sélectionnez SAML 2.0.
- Default Relay State (État du relais par défaut) : laissez ce champ vide.
- Paramètres de connexion avancés > RPID: laissez ce champ vide.
Choisissez la manière dont vous souhaitez renseigner l'adresse e-mail principale des utilisateurs dans Cloud Identity ou Google Workspace. L'adresse e-mail principale d'un utilisateur doit utiliser le domaine principal de votre compte Cloud Identity ou Google Workspace ou l'un de ses domaines secondaires.
Nom d'utilisateur Okta
Pour utiliser le nom d'utilisateur Okta de l'utilisateur en tant qu'adresse e-mail principale, utilisez les paramètres suivants:
- Format du nom d'utilisateur de l'application: Nom d'utilisateur Okta
- Mettre à jour le nom d'utilisateur de l'application sur: Créer et mettre à jour.
E-mail
Pour utiliser le nom d'utilisateur Okta de l'utilisateur en tant qu'adresse e-mail principale, utilisez les paramètres suivants:
- Format du nom d'utilisateur de l'application: Email
- Mettre à jour le nom d'utilisateur de l'application sur: Créer et mettre à jour.
Cliquez sur OK.
Configurer le provisionnement des utilisateurs
Dans cette section, vous allez configurer Okta pour provisionner automatiquement les utilisateurs et les groupes dans Google Cloud.
- Sur la page des paramètres de l'application Google Cloud, ouvrez l'onglet Provisionnement.
Cliquez sur Configurer l'intégration d'API et configurez les éléments suivants:
- Activer l'intégration de l'API: définissez l'option sur activé.
- Importation de groupes: défini sur désactivé, sauf si vous avez des groupes existants dans Cloud Identity ou Google Workspace que vous souhaitez importer dans Okta
Cliquez sur S'authentifier avec Google Workspace.
Connectez-vous à l'aide de l'utilisateur
okta-provisioning@DOMAIN
que vous avez créé précédemment, oùDOMAIN
est le domaine principal de votre compte Cloud Identity ou Google Workspace.Consultez les conditions d'utilisation et les règles de confidentialité de Google. Si vous acceptez les conditions, cliquez sur Je comprends.
Confirmez l'accès à l'API Cloud Identity en cliquant sur Autoriser.
Cliquez sur Enregistrer.
Okta est connecté à votre compte Cloud Identity ou Google Workspace, mais le provisionnement est toujours désactivé. Pour activer le provisionnement, procédez comme suit:
- Sur la page des paramètres de l'application Google Cloud, ouvrez l'onglet Provisionnement.
Cliquez sur Modifier et configurez les éléments suivants:
- Créer des utilisateurs: définissez l'option sur activé.
- Update user attributes (Mettre à jour les attributs utilisateur) : défini sur enabled (activé)
- Désactiver les utilisateurs: définissez l'option sur activé.
- Sync password : défini sur disabled (désactivé)
Si vous le souhaitez, cliquez sur Accéder à l'éditeur de profil pour personnaliser les mappages d'attributs.
Si vous utilisez des mappages personnalisés, vous devez mapper
userName
,nameGivenName
etnameFamilyName
. Tous les autres mappages d'attributs sont facultatifs.Cliquez sur Enregistrer.
Configurer l'affectation des utilisateurs
Dans cette section, vous allez configurer les utilisateurs Okta à provisionner dans Cloud Identity ou Google Workspace:
- Sur la page des paramètres de l'application Google Cloud, ouvrez l'onglet Assignments (Attribution).
- Cliquez sur Attribuer > Attribuer à des personnes ou sur Attribuer > Attribuer à des groupes.
- Sélectionnez un utilisateur ou un groupe, puis cliquez sur Attribuer.
- Dans la boîte de dialogue d'attribution qui s'affiche, conservez les paramètres par défaut et cliquez sur Enregistrer et revenir en arrière.
- Cliquez sur OK.
Répétez cette procédure pour chaque utilisateur ou groupe que vous souhaitez provisionner. Pour provisionner tous les utilisateurs sur Cloud Identity ou Google Workspace, attribuez le groupe Tous.
Configurer l'attribution de groupes
Vous pouvez éventuellement autoriser Okta à provisionner des groupes vers Cloud Identity ou Google Workspace. Au lieu de sélectionner des groupes individuellement, il est préférable de configurer Okta pour provisionner les groupes en fonction d'une convention d'attribution de noms.
Par exemple, pour permettre à Okta de provisionner tous les groupes commençant par google-cloud
, procédez comme suit:
- Sur la page des paramètres de l'application Google Cloud, ouvrez l'onglet Regrouper des groupes.
- Cliquez sur Regrouper des groupes > Rechercher des groupes par rôle.
Sur la page Regrouper des groupes par règle, configurez la règle suivante:
- Nom de la règle: nom du rôle, par exemple
Google Cloud
. - Le nom du groupe : commence par
google-cloud
- Nom de la règle: nom du rôle, par exemple
Cliquez sur Créer une règle.
Dépannage
Pour résoudre les problèmes de provisionnement des utilisateurs ou des groupes, cliquez sur Afficher les journaux sur la page des paramètres de l'application Google Cloud.
Pour permettre à Okta de réessayer une tentative infructueuse de provisionnement des utilisateurs, procédez comme suit:
- Accédez à Tableau de bord > Tâches.
- Recherchez la tâche ayant échouée et ouvrez ses informations.
- Sur la page des détails, cliquez sur Réessayer la tâche sélectionnée.
Configurer Okta pour l'authentification unique
Si vous avez suivi la procédure de configuration du provisionnement Okta, tous les utilisateurs Okta concernés sont désormais automatiquement provisionnés dans Cloud Identity ou Google Workspace. Pour permettre à ces utilisateurs de se connecter, configurez l'authentification unique:
- Sur la page des paramètres de l'application Google Cloud, ouvrez l'onglet Connexion.
- Cliquez sur SAML 2.0 > Plus de détails.
- Cliquez sur Télécharger pour télécharger le certificat de signature.
- Notez les valeurs des champs Sign-on URL (URL de connexion) et Sign-out URL (URL de déconnexion), dont vous avez besoin pour l'une des étapes suivantes.
Une fois que vous avez préparé Okta pour l'authentification unique, vous pouvez activer l'authentification unique dans votre compte Cloud Identity ou Google Workspace:
- Ouvrez la Console d'administration et connectez-vous à l'aide d'un super-administrateur.
- Dans le menu, cliquez sur Afficher plus et accédez à Sécurité > Authentification > SSO avec un fournisseur d'identité tiers.
Cliquez sur Ajouter un profil SSO.
Définissez Configurer l'authentification unique avec un fournisseur d'identité tiers sur activé.
Saisissez les paramètres suivants :
- URL de connexion: saisissez l'URL de connexion que vous avez copiée à partir de la page des paramètres Okta.
- URL de la page de déconnexion: saisissez l'URL de déconnexion que vous avez copiée depuis la page des paramètres Okta.
- URL de la page de modification du mot de passe :
https://ORGANIZATION.okta.com/enduser/settings
, oùORGANIZATION
est le nom de votre organisation Okta.
Sous Certificat de validation, cliquez sur Importer un certificat, puis sélectionnez le certificat de signature de jetons que vous avez téléchargé précédemment.
Cliquez sur Enregistrer.
Mettez à jour les paramètres SSO de l'UO Automation
pour désactiver l'authentification unique :
- Sous Gérer l'attribution des profils SSO, cliquez sur Commencer.
- Développez Unités organisationnelles et sélectionnez l'UO
Automation
. - Modifiez l'attribution du profil SSO de Profil SSO tiers de l'organisation à Aucun.
- Cliquez sur Remplacer.
Ajouter la console Google Cloud et d'autres services Google au tableau de bord des applications
Pour ajouter la console Google Cloud et, éventuellement, d'autres services Google au tableau de bord des applications Okta de vos utilisateurs, procédez comme suit:
- Dans le tableau de bord d'administration Okta, sélectionnez Applications > Applications.
- Cliquez sur Parcourir le catalogue d'applications.
- Recherchez
Bookmark app
et sélectionnez l'application Favoris. - Cliquez sur Ajouter une intégration.
Sur la page General settings (Paramètres généraux), configurez les éléments suivants:
- Libellé de l'application :
Google Cloud console
- URL:
https://www.google.com/a/PRIMARY_DOMAIN/ServiceLogin?continue=https://console.cloud.google.com/
, en remplaçantPRIMARY_DOMAIN
par le nom de domaine principal utilisé par votre compte Cloud Identity ou Google Workspace.
- Libellé de l'application :
Cliquez sur OK.
Remplacez le logo de l'application par le logo Google Cloud.
Ouvrez l'onglet Connexion.
Cliquez sur Authentification des utilisateurs > Modifier et configurez les éléments suivants:
- Règle d'authentification: définie sur Tableau de bord Okta
Cliquez sur Enregistrer.
Ouvrez l'onglet Attribution et attribuez un ou plusieurs utilisateurs. Les utilisateurs attribués voient le lien de la console Google Cloud dans leur tableau de bord des utilisateurs.
Si vous le souhaitez, répétez les étapes ci-dessus pour tous les services Google supplémentaires que vous souhaitez inclure dans les tableaux de bord des utilisateurs. Le tableau ci-dessous contient les URL et les logos des services Google couramment utilisés:
Service Google | URL | Logo |
---|---|---|
Console Google Cloud | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://console.cloud.google.com |
|
Google Docs | https://docs.google.com/a/DOMAIN |
|
Google Sheets | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://sheets.google.com
|
|
Google Sites | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://slides.google.com |
|
Google Drive | https://drive.google.com/a/DOMAIN |
|
Gmail | https://mail.google.com/a/DOMAIN |
|
Google Groupes | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://groups.google.com |
|
Google Keep | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://keep.google.com
|
|
Looker Studio | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://lookerstudio.google.com |
|
YouTube | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://www.youtube.com/
|
Tester l'authentification unique
Une fois que vous avez terminé la configuration de l'authentification unique dans Okta et Cloud Identity ou Google Workspace, vous pouvez accéder à Google Cloud de deux manières:
- Dans la liste du tableau de bord Okta des utilisateurs
- Directement en ouvrant https://console.cloud.google.com/
Pour vérifier que la deuxième option fonctionne comme prévu, exécutez le test suivant :
- Choisissez un utilisateur Okta provisionné pour Cloud Identity ou Google Workspace et qui ne dispose pas de droits de super-administrateur. Les utilisateurs dotés des droits de super-administrateur doivent toujours se connecter à l'aide des identifiants Google et ne conviennent donc pas pour tester l'authentification unique.
- Ouvrez une nouvelle fenêtre de navigateur et accédez à l'URL https://console.cloud.google.com/.
- Sur la page Google Sign-In qui s'affiche, saisissez l'adresse e-mail de l'utilisateur, puis cliquez sur Suivant.
Vous êtes redirigé vers Okta et une autre invite de connexion apparaît. Saisissez l'adresse e-mail de l'utilisateur et suivez la procédure d'authentification.
Une fois l'authentification réussie, Okta doit vous rediriger vers Google Sign-In. Étant donné que vous vous connectez pour la première fois avec cet utilisateur, vous êtes invité à accepter les conditions d'utilisation et les règles de confidentialité de Google.
Si vous acceptez les conditions, cliquez sur Je comprends.
Vous êtes redirigé vers la console Google Cloud, qui vous demande de confirmer vos préférences et d'accepter les conditions d'utilisation de Google Cloud.
Si vous acceptez ces conditions, cliquez sur Oui, puis sur Accepter et continuer.
Cliquez sur l'icône de l'avatar en haut à gauche de la page, puis sur Déconnexion.
Vous êtes redirigé vers une page Okta confirmant que vous êtes déconnecté.
N'oubliez pas que les utilisateurs dotés de droits de super-administrateur sont exemptés de l'authentification unique, ce qui vous permet de continuer à utiliser la console d'administration pour vérifier ou modifier des paramètres.
Nettoyer
Pour éviter que les ressources utilisées lors de ce tutoriel soient facturées sur votre compte Google Cloud, supprimez le projet contenant les ressources, ou conservez le projet et supprimez les ressources individuelles.
Étapes suivantes
- Consultez les bonnes pratiques pour planifier des comptes et des organisations ainsi que les bonnes pratiques pour fédérer Google Cloud avec un fournisseur d'identité externe.
- Familiarisez-vous avec nos meilleures pratiques en termes de gestion des comptes super-administrateur.