Présentation de la gestion de l'authentification Google

Last reviewed 2023-02-27 UTC

Tous les services Google, y compris Google Cloud, Google Marketing Platform et Google Ads, exploitent Google Sign-In pour authentifier les utilisateurs. Ce document explique le modèle de domaine sur lequel Google Sign-In s'appuie pour l'authentification et la gestion des identités. Le modèle de domaine vous aide à comprendre le fonctionnement de Google Sign-In dans un contexte d'entreprise, la façon dont les identités sont gérées et comment faciliter l'intégration avec un fournisseur d'identité externe (IdP). Le schéma suivant montre comment ces entités interagissent.

Présentation du modèle de domaine

Comme le montre ce schéma, l'identité Google, utilisée par Google Sign-In, est au centre du modèle. L'identité Google est liée à un certain nombre d'autres entités qui sont toutes pertinentes dans le contexte de la gestion des identités :

  • Google pour le grand public contient les entités pertinentes pour une utilisation orientée client des services Google tels que Gmail.
  • Google pour les entreprises contient des entités gérées par Cloud Identity ou Google Workspace. Ces entités sont les plus pertinentes pour gérer des identités d'entreprise.
  • Google Cloud contient les entités spécifiques à Google Cloud.
  • Externe contient des entités pertinentes si vous intégrez Google à un fournisseur d'identité externe.

Dans le schéma, les flèches pleines indiquent que les entités se font référence les unes aux autres ou se contiennent les unes les autres. En revanche, les flèches en pointillés indiquent une relation de fédération.

Identités Google

Les identités, les utilisateurs et les comptes utilisateur jouent un rôle essentiel dans la gestion des identités. Les trois termes sont étroitement liés et sont parfois utilisés de manière interchangeable. Toutefois, dans le contexte de la gestion des identités, il est intéressant de différencier les concepts suivants :

  • Une identité est un nom qui identifie de manière unique la personne qui interagit avec un service Google. Google utilise des adresses e-mail à cette fin. L'adresse e-mail d'une personne est considérée comme l'identité Google de cette personne.

    Le processus de vérification de l'association entre une personne et une identité est appelé authentification ou connexion. Il permet à la personne de prouver qu'il s'agit bien de son identité.

    Une personne peut avoir plusieurs adresses e-mail. Étant donné que les services Google utilisent une adresse e-mail comme identité, une telle personne serait considérée comme ayant plusieurs identités.

  • Un compte utilisateur est une structure de données qui effectue le suivi des attributs, des activités et des configurations qui doivent être appliqués chaque fois qu'une identité interagit avec un service Google. Les comptes utilisateur ne sont pas créés directement. Ils doivent être provisionnés avant la première connexion.

    Les comptes utilisateur sont identifiés par un ID qui n'est pas exposé en externe. Les interfaces utilisateur ou les API nécessitent donc que vous référenciez indirectement le compte utilisateur par son identité associée, telle que alice@gmail.com. Malgré cette indirection, toutes les données et tous les détails de configuration sont associés au compte utilisateur, et non à l'identité.

Dans la plupart des cas, il existe une relation un à un entre les comptes utilisateur et les identités, ce qui les rend faciles à fusionner. Cependant, ce n'est pas toujours le cas, comme l'illustrent les cas suivants :

  • La relation entre les comptes utilisateur et les identités n'est pas fixe. Vous pouvez modifier l'adresse e-mail principale d'un compte utilisateur, ce qui associe une identité différente à l'utilisateur.

    En tant qu'administrateur Cloud Identity ou Google Workspace, vous pouvez même échanger les adresses e-mail principales de deux utilisateurs. Par exemple, si vous avez échangé les adresses e-mail principales d'Alice (alice@example.com) et de Bob (bob@example.com), Alice utilisera le compte utilisateur précédent de Bob et Bob le compte utilisateur précédent d'Alice. Étant donné que les données et la configuration sont associées au compte utilisateur, et non à l'identité, Alice utilise également la configuration et les données existantes de Bob (et Bob utilise désormais la configuration et les données d'Alice). La figure suivante illustre cette relation.

    Relation des identités pour Bob et Alice.

    Dans une configuration non fédérée, vous devez également réinitialiser les mots de passe pour qu'Alice et Bob échangent leurs comptes utilisateur. Dans une configuration fédérée, dans laquelle Alice et Bob utilisent un fournisseur d'identité externe pour s'authentifier, il n'est pas nécessaire de réinitialiser les mots de passe.

  • La relation entre l'identité et les utilisateurs peut ne pas être 1:1. Un compte personnel peut être intentionnellement associé à plusieurs identités, comme dans le schéma suivant.

    Il est également possible qu'une identité fasse référence à deux comptes utilisateur différents. Nous vous recommandons d'éviter cette situation, mais elle peut survenir en cas de conflit de compte utilisateur. Dans ce cas, un écran de sélection s'affiche lors de l'authentification, dans lequel l'utilisateur choisit le compte à utiliser.

    Alice : l'utilisateur et l'identité ne sont pas toujours 1:1.

Google distingue deux types de comptes utilisateur : les comptes utilisateur personnels et les comptes utilisateur gérés. Les sections suivantes décrivent de manière plus détaillée les deux types de comptes utilisateur et leurs entités associées.

Google pour le grand public

Si vous possédez une adresse Gmail telle que alice@gmail.com, votre compte Gmail est un compte personnel. De même, si vous utilisez le lien Créer un compte sur la page de connexion Google et que vous fournissez une adresse e-mail personnalisée (alice@example.com, par exemple), le compte créé est un compte personnel.

Compte personnel

Les comptes personnels sont créés en libre-service et sont principalement destinés à être utilisés à des fins privées. La personne qui a créé le compte personnel a le contrôle total du compte et de toutes les données créées lorsqu'elle l'utilise. L'adresse e-mail utilisée par cette personne lors de l'inscription devient l'adresse e-mail principale du compte personnel et lui sert d'identité. Cette personne peut ajouter des adresses e-mail au compte personnel. Ces adresses e-mail servent d'identités supplémentaires et peuvent également être utilisées pour la connexion.

Lorsqu'un compte personnel utilise une adresse e-mail principale correspondant au domaine principal ou secondaire d'un compte Cloud Identity ou Google Workspace, le compte personnel est également appelé compte utilisateur non géré.

Un compte personnel peut être membre de plusieurs groupes.

Google pour les entreprises

Si votre entreprise utilise des services Google, il est préférable d'utiliser des comptes utilisateur gérés. Ces comptes sont appelés gérés car leur cycle de vie et leur configuration peuvent être entièrement contrôlés par l'entreprise.

Les comptes utilisateur gérés sont une fonctionnalité de Cloud Identity et de Google Workspace.

Compte Cloud Identity ou Google Workspace

Un compte Cloud Identity ou Google Workspace est le conteneur de premier niveau pour les utilisateurs, les groupes, la configuration et les données. Un compte Cloud Identity ou Google Workspace est créé lorsqu'une entreprise s'inscrit à Cloud Identity ou Google Workspace et correspond à la notion de locataire.

Cloud Identity et Google Workspace partagent une plate-forme technique commune. Les deux produits utilisent le même ensemble d'API et d'outils d'administration et partagent la notion de compte en tant que conteneur pour les utilisateurs et les groupes. Ce conteneur est identifié par un nom de domaine. En ce qui concerne la gestion des utilisateurs, des groupes et de l'authentification, les deux produits peuvent être considérés comme équivalents.

Un compte contient des groupes et une ou plusieurs unités organisationnelles.

Unité organisationnelle

Une unité organisationnelle (UO) est un sous-conteneur de comptes utilisateur qui vous permet de segmenter les comptes utilisateur définis dans le compte Cloud Identity ou Google Workspace en ensembles dissociés pour faciliter leur gestion.

Les unités organisationnelles sont organisées de manière hiérarchique. Chaque compte Cloud Identity ou Google Workspace possède une unité organisationnelle racine, sous laquelle vous pouvez créer d'autres UO selon vos besoins. Vous pouvez également imbriquer vos unités organisationnelles.

Cloud Identity et Google Workspace vous permettent d'appliquer certaines configurations par unité organisationnelle, telles que l'attribution de licence ou la validation en deux étapes. Ces paramètres s'appliquent automatiquement à tous les utilisateurs de l'unité organisationnelle et sont également hérités par les unités organisationnelles enfants. Les unités organisationnelles jouent donc un rôle clé dans la gestion de la configuration de Cloud Identity et de Google Workspace.

Un compte utilisateur ne peut pas appartenir à plusieurs unités organisationnelles, ce qui différencie les UO des groupes. Bien que les unités organisationnelles soient utiles pour appliquer la configuration aux comptes utilisateur, elles ne sont pas destinées à être utilisées pour la gestion des accès. Pour gérer les accès, nous vous recommandons d'utiliser des groupes.

Bien que les unités organisationnelles ressemblent à des dossiers Google Cloud, les deux entités ont des objectifs différents et ne sont pas liées.

Compte utilisateur géré

Les comptes utilisateur gérés fonctionnent de la même manière que les comptes utilisateur personnels, mais ils peuvent être entièrement contrôlés par les administrateurs du compte Cloud Identity ou Google Workspace.

L'identité d'un compte utilisateur géré est définie par son adresse e-mail principale. L'adresse e-mail principale doit utiliser un domaine correspondant à l'un des domaines (principal, secondaire ou d'alias) ajoutés au compte Cloud Identity ou Google Workspace. Les comptes utilisateur gérés peuvent avoir des adresses e-mail d'alias et une adresse e-mail de récupération supplémentaires, mais ces adresses ne sont pas considérées comme des identités et ne peuvent pas être utilisées pour la connexion. Par exemple, si Alice utilise alice@example.com comme adresse e-mail principale et a configuré ally@example.com comme adresse e-mail d'alias et alice@gmail.com comme adresse e-mail de récupération, elle ne peut utiliser que l'adresse e-mail alice@example.com pour se connecter.

Les comptes utilisateur gérés sont contenus dans une unité organisationnelle et peuvent être membres de plusieurs groupes.

Les comptes utilisateur gérés sont destinés à des utilisateurs humains plutôt qu'à des utilisateurs machine. Un compte utilisateur machine est un type particulier de compte utilisé par une application ou une instance de machine virtuelle (VM), et non par une personne. Pour les utilisateurs machine, Google Cloud fournit des comptes de service. (Les comptes de service sont décrits plus en détail plus loin dans ce document.)

Groupe

Les groupes vous permettent de regrouper plusieurs utilisateurs. Vous pouvez utiliser des groupes pour gérer une liste de diffusion ou appliquer un même contrôle d'accès ou une configuration commune à plusieurs utilisateurs.

Cloud Identity et Google Workspace identifient les groupes par adresse e-mail, par exemple billing-admins@example.com. À l'instar de l'adresse e-mail principale d'un utilisateur, l'adresse e-mail d'un groupe doit utiliser l'un des domaines (principal, secondaire ou d'alias) du compte Cloud Identity ou Google Workspace. L'adresse e-mail ne doit pas nécessairement correspondre à une boîte aux lettres, sauf si le groupe est utilisé comme liste de diffusion. L'authentification s'effectue toujours avec l'adresse e-mail de l'utilisateur plutôt que celle du groupe. Par conséquent, l'utilisateur ne peut pas se connecter avec une adresse e-mail de groupe.

Un groupe peut avoir les entités suivantes en tant que membres :

  • Utilisateurs (utilisateurs gérés ou comptes personnels)
  • Autres groupes
  • Comptes de service

Contrairement à une unité organisationnelle, un groupe n'agit pas comme un conteneur :

  • Un utilisateur ou un groupe peut être membre de plusieurs groupes.
  • La suppression d'un groupe ne supprime aucun des utilisateurs membres ou des groupes.

Les groupes peuvent contenir des membres de n'importe quel compte Cloud Identity ou Google Workspace, ainsi que des comptes personnels. Vous pouvez utiliser le paramètre interdire les membres externes à votre entreprise pour limiter les membres aux comptes utilisateur du même compte Cloud Identity ou Google Workspace.