Provisionnement des utilisateurs et authentification unique Okta

Last reviewed 2024-01-03 UTC

Ce document explique comment configurer la gestion des utilisateurs et l'authentification unique entre une organisation Okta et votre compte Cloud Identity ou Google Workspace.

Dans ce document, nous partons du principe que vous utilisez déjà Okta dans votre organisation et que vous souhaitez utiliser Okta pour permettre aux utilisateurs de s'authentifier auprès de Google Cloud.

Objectifs

  • Configurez Okta pour provisionner automatiquement les utilisateurs et, éventuellement, les groupes dans Cloud Identity ou Google Workspace.
  • Configurez l'authentification unique pour permettre aux utilisateurs de se connecter à Google Cloud à l'aide d'un compte utilisateur Okta.

Coûts

Si vous utilisez l'édition gratuite de Cloud Identity, la configuration de la fédération avec Okta n'entraînera l'utilisation d'aucun composant Google Cloud facturable.

Consultez la page des tarifs d'Okta pour connaître les frais éventuels liés à l'utilisation d'Okta.

Avant de commencer

Préparer votre compte Cloud Identity ou Google Workspace

Créer un utilisateur pour Okta

Pour autoriser Okta à accéder à votre compte Cloud Identity ou Google Workspace, vous devez créer un utilisateur pour Okta dans votre compte Cloud Identity ou Google Workspace.

L'utilisateur Okta est destiné uniquement au provisionnement automatisé. Par conséquent, il est préférable de le séparer des autres comptes utilisateur en le plaçant dans une unité organisationnelle distincte (UO). L'utilisation d'une UO distincte vous permet également de désactiver ultérieurement l'authentification unique pour l'utilisateur Okta.

Pour créer une UO, procédez comme suit :

  1. Ouvrez la console d'administration et connectez-vous à l'aide du compte super-administrateur créé lors de votre inscription à Cloud Identity ou Google Workspace.
  2. Dans le menu, accédez à Annuaire > Unités organisationnelles.
  3. Cliquez sur Créer une unité organisationnelle, puis saisissez un nom et une description pour l'UO :
    • Nom : Automation
    • Description : Automation users
  4. Cliquez sur Créer.

Créez un compte utilisateur pour Okta et placez-le dans l'UO Automation:

  1. Dans le menu, accédez à Annuaire > Utilisateurs, puis cliquez sur Ajouter un utilisateur pour créer un utilisateur.
  2. Indiquez un prénom, un nom et une adresse e-mail appropriés, tels que :

    • Prénom : Okta
    • Nom : Provisioning
    • Adresse e-mail principale : okta-provisioning

      Conservez le domaine principal de l'adresse e-mail.

  3. Cliquez sur Gérer le mot de passe, l'unité organisationnelle et la photo de profil de l'utilisateur, puis configurez les paramètres suivants :

    • Unité organisationnelle : sélectionnez l'UO Automation que vous avez créée précédemment.
    • Mot de passe : Sélectionnez Créer un mot de passe et saisissez un mot de passe.
    • Exiger la modification du mot de passe à la prochaine connexion : Désactivé
  4. Cliquez sur Ajouter un utilisateur.

  5. Cliquez sur OK.

Attribuer des droits à Okta

Pour permettre à Okta de créer, répertorier et suspendre des utilisateurs et des groupes dans votre compte Cloud Identity ou Google Workspace, vous devez faire de l'utilisateur okta-provisioning un super-administrateur:

  1. Recherchez le nouvel utilisateur dans la liste, puis cliquez sur son nom pour ouvrir la page de son compte.
  2. Sous Rôles et droits d'administrateur, cliquez sur Attribuer des rôles.
  3. Activez le rôle super-administrateur.
  4. Cliquez sur Enregistrer.

Configurer le provisionnement Okta

Vous êtes maintenant prêt à connecter Okta à votre compte Cloud Identity ou Google Workspace en configurant l'application Google Workspace à partir du catalogue Okta.

L'application Google Workspace peut gérer à la fois le provisionnement des utilisateurs et l'authentification unique. Utilisez cette application même si vous utilisez Cloud Identity et que vous prévoyez uniquement de configurer l'authentification unique pour Google Cloud.

Créer une application

Pour configurer l'application Google Workspace, procédez comme suit:

  1. Ouvrez le tableau de bord d'administration Okta et connectez-vous en tant qu'utilisateur disposant des droits de super-administrateur.
  2. Dans le menu, accédez à Applications > Applications.
  3. Cliquez sur Parcourir le catalogue d'applications.
  4. Recherchez Google Workspace et sélectionnez l'application Google Workspace.
  5. Cliquez sur Ajouter une intégration.
  6. Sur la page General settings (Paramètres généraux), configurez les éléments suivants:

    • Libellé de l'application : Google Cloud
    • Votre domaine d'entreprise Google Apps: nom de domaine principal utilisé par votre compte Cloud Identity ou Google Workspace.
    • Afficher les liens suivants:

      • Définissez le paramètre Compte sur activé.
      • Définissez les autres liens sur activé si vous utilisez Google Workspace. Sinon, définissez les autres liens sur désactivé.
    • Visibilité de l'application: définie sur activée si vous utilisez Google Workspace, désactivée dans le cas contraire.

    • Navigateur automatique du plug-in: défini sur désactivé

  7. Cliquez sur Suivant.

  8. Sur la page Options de connexion, configurez les éléments suivants:

    • Méthodes d'authentification: sélectionnez SAML 2.0.
    • Default Relay State (État du relais par défaut) : laissez ce champ vide.
    • Paramètres de connexion avancés > RPID: laissez ce champ vide.
  9. Choisissez la manière dont vous souhaitez renseigner l'adresse e-mail principale des utilisateurs dans Cloud Identity ou Google Workspace. L'adresse e-mail principale d'un utilisateur doit utiliser le domaine principal de votre compte Cloud Identity ou Google Workspace ou l'un de ses domaines secondaires.

    Nom d'utilisateur Okta

    Pour utiliser le nom d'utilisateur Okta de l'utilisateur en tant qu'adresse e-mail principale, utilisez les paramètres suivants:

    • Format du nom d'utilisateur de l'application: Nom d'utilisateur Okta
    • Mettre à jour le nom d'utilisateur de l'application sur: Créer et mettre à jour.

    E-mail

    Pour utiliser le nom d'utilisateur Okta de l'utilisateur en tant qu'adresse e-mail principale, utilisez les paramètres suivants:

    • Format du nom d'utilisateur de l'application: Email
    • Mettre à jour le nom d'utilisateur de l'application sur: Créer et mettre à jour.
  10. Cliquez sur OK.

Configurer le provisionnement des utilisateurs

Dans cette section, vous allez configurer Okta pour provisionner automatiquement les utilisateurs et les groupes dans Google Cloud.

  1. Sur la page des paramètres de l'application Google Cloud, ouvrez l'onglet Provisionnement.
  2. Cliquez sur Configurer l'intégration d'API et configurez les éléments suivants:

    • Activer l'intégration de l'API: définissez l'option sur activé.
    • Importation de groupes: défini sur désactivé, sauf si vous avez des groupes existants dans Cloud Identity ou Google Workspace que vous souhaitez importer dans Okta
  3. Cliquez sur S'authentifier avec Google Workspace.

  4. Connectez-vous à l'aide de l'utilisateur okta-provisioning@DOMAIN que vous avez créé précédemment, où DOMAIN est le domaine principal de votre compte Cloud Identity ou Google Workspace.

  5. Consultez les conditions d'utilisation et les règles de confidentialité de Google. Si vous acceptez les conditions, cliquez sur Je comprends.

  6. Confirmez l'accès à l'API Cloud Identity en cliquant sur Autoriser.

  7. Cliquez sur Enregistrer.

Okta est connecté à votre compte Cloud Identity ou Google Workspace, mais le provisionnement est toujours désactivé. Pour activer le provisionnement, procédez comme suit:

  1. Sur la page des paramètres de l'application Google Cloud, ouvrez l'onglet Provisionnement.
  2. Cliquez sur Modifier et configurez les éléments suivants:

    • Créer des utilisateurs: définissez l'option sur activé.
    • Update user attributes (Mettre à jour les attributs utilisateur) : défini sur enabled (activé)
    • Désactiver les utilisateurs: définissez l'option sur activé.
    • Sync password : défini sur disabled (désactivé)
    .
  3. Si vous le souhaitez, cliquez sur Accéder à l'éditeur de profil pour personnaliser les mappages d'attributs.

    Si vous utilisez des mappages personnalisés, vous devez mapper userName, nameGivenName et nameFamilyName. Tous les autres mappages d'attributs sont facultatifs.

  4. Cliquez sur Enregistrer.

Configurer l'affectation des utilisateurs

Dans cette section, vous allez configurer les utilisateurs Okta à provisionner dans Cloud Identity ou Google Workspace:

  1. Sur la page des paramètres de l'application Google Cloud, ouvrez l'onglet Assignments (Attribution).
  2. Cliquez sur Attribuer > Attribuer à des personnes ou sur Attribuer > Attribuer à des groupes.
  3. Sélectionnez un utilisateur ou un groupe, puis cliquez sur Attribuer.
  4. Dans la boîte de dialogue d'attribution qui s'affiche, conservez les paramètres par défaut et cliquez sur Enregistrer et revenir en arrière.
  5. Cliquez sur OK.

Répétez cette procédure pour chaque utilisateur ou groupe que vous souhaitez provisionner. Pour provisionner tous les utilisateurs sur Cloud Identity ou Google Workspace, attribuez le groupe Tous.

Configurer l'attribution de groupes

Vous pouvez éventuellement autoriser Okta à provisionner des groupes vers Cloud Identity ou Google Workspace. Au lieu de sélectionner des groupes individuellement, il est préférable de configurer Okta pour provisionner les groupes en fonction d'une convention d'attribution de noms.

Par exemple, pour permettre à Okta de provisionner tous les groupes commençant par google-cloud, procédez comme suit:

  1. Sur la page des paramètres de l'application Google Cloud, ouvrez l'onglet Regrouper des groupes.
  2. Cliquez sur Regrouper des groupes > Rechercher des groupes par rôle.
  3. Sur la page Regrouper des groupes par règle, configurez la règle suivante:

    • Nom de la règle: nom du rôle, par exemple Google Cloud.
    • Le nom du groupe : commence par google-cloud
  4. Cliquez sur Créer une règle.

Dépannage

Pour résoudre les problèmes de provisionnement des utilisateurs ou des groupes, cliquez sur Afficher les journaux sur la page des paramètres de l'application Google Cloud.

Pour permettre à Okta de réessayer une tentative infructueuse de provisionnement des utilisateurs, procédez comme suit:

  1. Accédez à Tableau de bord > Tâches.
  2. Recherchez la tâche ayant échouée et ouvrez ses informations.
  3. Sur la page des détails, cliquez sur Réessayer la tâche sélectionnée.

Configurer Okta pour l'authentification unique

Si vous avez suivi la procédure de configuration du provisionnement Okta, tous les utilisateurs Okta concernés sont désormais automatiquement provisionnés dans Cloud Identity ou Google Workspace. Pour permettre à ces utilisateurs de se connecter, configurez l'authentification unique:

  1. Sur la page des paramètres de l'application Google Cloud, ouvrez l'onglet Connexion.
  2. Cliquez sur SAML 2.0 > Plus de détails.
  3. Cliquez sur Télécharger pour télécharger le certificat de signature.
  4. Notez les valeurs des champs Sign-on URL (URL de connexion) et Sign-out URL (URL de déconnexion), dont vous avez besoin pour l'une des étapes suivantes.

Une fois que vous avez préparé Okta pour l'authentification unique, vous pouvez activer l'authentification unique dans votre compte Cloud Identity ou Google Workspace:

  1. Ouvrez la Console d'administration et connectez-vous à l'aide d'un super-administrateur.
  2. Dans le menu, cliquez sur Afficher plus et accédez à Sécurité > Authentification > SSO avec un fournisseur d'identité tiers.
  3. Cliquez sur Ajouter un profil SSO.

  4. Définissez Configurer l'authentification unique avec un fournisseur d'identité tiers sur activé.

  5. Saisissez les paramètres suivants :

    1. URL de connexion: saisissez l'URL de connexion que vous avez copiée à partir de la page des paramètres Okta.
    2. URL de la page de déconnexion: saisissez l'URL de déconnexion que vous avez copiée depuis la page des paramètres Okta.
    3. URL de la page de modification du mot de passe : https://ORGANIZATION.okta.com/enduser/settings, où ORGANIZATION est le nom de votre organisation Okta.
  6. Sous Certificat de validation, cliquez sur Importer un certificat, puis sélectionnez le certificat de signature de jetons que vous avez téléchargé précédemment.

  7. Cliquez sur Enregistrer.

Mettez à jour les paramètres SSO de l'UO Automation pour désactiver l'authentification unique :

  1. Sous Gérer l'attribution des profils SSO, cliquez sur Commencer.
  2. Développez Unités organisationnelles et sélectionnez l'UO Automation.
  3. Modifiez l'attribution du profil SSO de Profil SSO tiers de l'organisation à Aucun.
  4. Cliquez sur Remplacer.

Ajouter la console Google Cloud et d'autres services Google au tableau de bord des applications

Pour ajouter la console Google Cloud et, éventuellement, d'autres services Google au tableau de bord des applications Okta de vos utilisateurs, procédez comme suit:

  1. Dans le tableau de bord d'administration Okta, sélectionnez Applications > Applications.
  2. Cliquez sur Parcourir le catalogue d'applications.
  3. Recherchez Bookmark app et sélectionnez l'application Favoris.
  4. Cliquez sur Ajouter une intégration.
  5. Sur la page General settings (Paramètres généraux), configurez les éléments suivants:

    • Libellé de l'application : Google Cloud console
    • URL: https://www.google.com/a/PRIMARY_DOMAIN/ServiceLogin?continue=https://console.cloud.google.com/, en remplaçant PRIMARY_DOMAIN par le nom de domaine principal utilisé par votre compte Cloud Identity ou Google Workspace.
  6. Cliquez sur OK.

  7. Remplacez le logo de l'application par le logo Google Cloud.

  8. Ouvrez l'onglet Connexion.

  9. Cliquez sur Authentification des utilisateurs > Modifier et configurez les éléments suivants:

    • Règle d'authentification: définie sur Tableau de bord Okta
  10. Cliquez sur Enregistrer.

  11. Ouvrez l'onglet Attribution et attribuez un ou plusieurs utilisateurs. Les utilisateurs attribués voient le lien de la console Google Cloud dans leur tableau de bord des utilisateurs.

Si vous le souhaitez, répétez les étapes ci-dessus pour tous les services Google supplémentaires que vous souhaitez inclure dans les tableaux de bord des utilisateurs. Le tableau ci-dessous contient les URL et les logos des services Google couramment utilisés:

Service Google URL Logo
Console Google Cloud https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://console.cloud.google.com Logo Google Cloud
Google Docs https://docs.google.com/a/DOMAIN Logo Google Docs
Google Sheets https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://sheets.google.com Logo Google Sheets
Google Sites https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://slides.google.com Logo Google Sites
Google Drive https://drive.google.com/a/DOMAIN Logo Google Drive
Gmail https://mail.google.com/a/DOMAIN Logo Gmail
Google Groupes https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://groups.google.com Logo Google Groupes
Google Keep https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://keep.google.com Logo Google Keep
Looker Studio https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://lookerstudio.google.com Logo Looker Studio
YouTube https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://www.youtube.com/ Logo YouTube

Tester l'authentification unique

Une fois que vous avez terminé la configuration de l'authentification unique dans Okta et Cloud Identity ou Google Workspace, vous pouvez accéder à Google Cloud de deux manières:

Pour vérifier que la deuxième option fonctionne comme prévu, exécutez le test suivant :

  1. Choisissez un utilisateur Okta provisionné pour Cloud Identity ou Google Workspace et qui ne dispose pas de droits de super-administrateur. Les utilisateurs dotés des droits de super-administrateur doivent toujours se connecter à l'aide des identifiants Google et ne conviennent donc pas pour tester l'authentification unique.
  2. Ouvrez une nouvelle fenêtre de navigateur et accédez à l'URL https://console.cloud.google.com/.
  3. Sur la page Google Sign-In qui s'affiche, saisissez l'adresse e-mail de l'utilisateur, puis cliquez sur Suivant.
  4. Vous êtes redirigé vers Okta et une autre invite de connexion apparaît. Saisissez l'adresse e-mail de l'utilisateur et suivez la procédure d'authentification.

    Une fois l'authentification réussie, Okta doit vous rediriger vers Google Sign-In. Étant donné que vous vous connectez pour la première fois avec cet utilisateur, vous êtes invité à accepter les conditions d'utilisation et les règles de confidentialité de Google.

  5. Si vous acceptez les conditions, cliquez sur Je comprends.

    Vous êtes redirigé vers la console Google Cloud, qui vous demande de confirmer vos préférences et d'accepter les conditions d'utilisation de Google Cloud.

  6. Si vous acceptez ces conditions, cliquez sur Oui, puis sur Accepter et continuer.

  7. Cliquez sur l'icône de l'avatar en haut à gauche de la page, puis sur Déconnexion.

    Vous êtes redirigé vers une page Okta confirmant que vous êtes déconnecté.

N'oubliez pas que les utilisateurs dotés de droits de super-administrateur sont exemptés de l'authentification unique, ce qui vous permet de continuer à utiliser la console d'administration pour vérifier ou modifier des paramètres.

Nettoyer

Pour éviter que les ressources utilisées lors de ce tutoriel soient facturées sur votre compte Google Cloud, supprimez le projet contenant les ressources, ou conservez le projet et supprimez les ressources individuelles.

Étapes suivantes