Configurer la fédération entre Google Workspace et Microsoft Entra ID

Cet article décrit les étapes requises pour configurer Google Workspace en tant que fournisseur d’identité (IdP) pour Microsoft Entra ID.
Une fois configurés, les utilisateurs peuvent se connecter à Microsoft Entra ID avec leurs informations d’identification Google Workspace.

Conditions préalables

Pour configurer Google Workspace en tant que fournisseur d’identité pour Microsoft Entra ID, les conditions préalables suivantes doivent être remplies :

1. Un locataire Microsoft Entra, avec un ou plusieurs domaines DNS personnalisés (autrement dit, des domaines qui ne sont pas au format *.onmicrosoft.com)
   • Si le domaine fédéré n’a pas encore été ajouté à Microsoft Entra ID, vous devez avoir accès au domaine DNS pour créer un enregistrement DNS. Cela est nécessaire pour vérifier la propriété de l’espace de noms DNS
   • Découvrez comment ajouter votre nom de domaine personnalisé à l’aide du centre d'administration Microsoft Entra
2. Accès à Microsoft Entra ID avec un compte avec le rôle Administrateur général
3. Accès à Google Workspace avec un compte avec des privilèges de super administrateur

Pour tester la fédération, les conditions préalables suivantes doivent être remplies :

1. Un environnement Google Workspace, avec des utilisateurs déjà créés

   Important

   Les utilisateurs ont besoin d’une adresse e-mail définie dans Google Workspace, qui est utilisée pour faire correspondre les utilisateurs dans Microsoft Entra ID. Pour plus d’informations sur la correspondance d’identité, consultez Correspondance d’identité dans Microsoft Entra ID.

2. Comptes Microsoft Entra individuels déjà créés : chaque utilisateur Google Workspace a besoin d’un compte correspondant défini dans Microsoft Entra ID. Ces comptes sont généralement créés par le biais de solutions automatisées, par exemple :
   • School Data Sync (SDS)
   • Microsoft Entra Connect Sync pour l’environnement avec AD DS local
   • Scripts PowerShell qui appellent microsoft API Graph
   • Outils d’approvisionnement proposés par le fournisseur d’identité - Google Workspace propose l’approvisionnement automatique

Configurer Google Workspace en tant que fournisseur d’identité pour Microsoft Entra ID

1. Connectez-vous à la console Google Workspace Administration avec un compte avec des privilèges de super administrateur

2. Sélectionnez Applications > web et applications mobiles

3. Sélectionnez Ajouter un Recherche d’application > pour les applications, puis recherchez microsoft.

4. Dans la page des résultats de la recherche, pointez sur l’application Microsoft Office 365 - Web (SAML), puis sélectionnez Sélectionner la

5. Dans la page Détails du fournisseur d’identité Google, sélectionnez Télécharger les métadonnées et notez l’emplacement où les métadonnées - du fournisseur d’identitéGoogleIDPMetadata.xml - fichier est enregistré, car il est utilisé pour configurer Microsoft Entra ID ultérieurement

6. Sur la page Détails du fournisseur de services

   • Sélectionnez l’option Réponse signée
   • Vérifiez que le format d’ID de nom est défini sur PERSISTENT
   • Selon la façon dont les utilisateurs Microsoft Entra ont été approvisionnés dans Microsoft Entra ID, vous devrez peut-être ajuster le mappage d’ID de nom.
     Si vous utilisez l’approvisionnement automatique Google, sélectionnez Informations > de base E-mail principal
   • Sélectionnez Continuer

7. Dans la page Mappage d’attributs, mapper les attributs Google aux attributs Microsoft Entra

   Attributs google directory	attributs Microsoft Entra
   Informations de base : Email principale	Attributs de l’application : IDPEmail

   Important

   Vous devez vous assurer que vous êtes le Microsoft Entra e-mail des comptes d’utilisateur correspondent à ceux de votre espace de travail Google.

8. Sélectionnez Terminer.

Maintenant que l’application est configurée, vous devez l’activer pour les utilisateurs dans Google Workspace :

1. Connectez-vous à la console Google Workspace Administration avec un compte avec des privilèges de super administrateur
2. Sélectionnez Applications > web et applications mobiles
3. Sélectionner Microsoft Office 365
4. Sélectionnez Accès utilisateur
5. Sélectionnez ACTIVÉ pour tout le monde > Enregistrer

Configurer Microsoft Entra ID en tant que fournisseur de services (SP) pour Google Workspace

La configuration de Microsoft Entra ID consiste à modifier la méthode d’authentification pour les domaines DNS personnalisés. Cette configuration peut être effectuée à l’aide de PowerShell.
À l’aide du fichier XML de métadonnées idP téléchargé à partir de Google Workspace, modifiez la variable $DomainName du script suivant pour qu’elle corresponde à votre environnement, puis exécutez-la dans une session PowerShell. Lorsque vous êtes invité à vous authentifier auprès de Microsoft Entra ID, utilisez les informations d’identification d’un compte avec le rôle Administrateur général.

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser -Force
Install-Module Microsoft.Graph -Scope CurrentUser
Import-Module Microsoft.Graph

$domainId = "<your domain name>"

$xml = [Xml](Get-Content GoogleIDPMetadata.xml)

$cert = -join $xml.EntityDescriptor.IDPSSODescriptor.KeyDescriptor.KeyInfo.X509Data.X509Certificate.Split()
$issuerUri = $xml.EntityDescriptor.entityID
$signinUri = $xml.EntityDescriptor.IDPSSODescriptor.SingleSignOnService | ? { $_.Binding.Contains('Redirect') } | % { $_.Location }
$signoutUri = "https://accounts.google.com/logout"
$displayName = "Google Workspace Identity"
Connect-MGGraph -Scopes "Domain.ReadWrite.All", "Directory.AccessAsUser.All"

$domainAuthParams = @{
  DomainId = $domainId
  IssuerUri = $issuerUri
  DisplayName = $displayName
  ActiveSignInUri = $signinUri
  PassiveSignInUri = $signinUri
  SignOutUri = $signoutUri
  SigningCertificate = $cert
  PreferredAuthenticationProtocol = "saml"
  federatedIdpMfaBehavior = "acceptIfMfaDoneByFederatedIdp"
}

New-MgDomainFederationConfiguration @domainAuthParams

Pour vérifier que la configuration est correcte, vous pouvez utiliser la commande PowerShell suivante :

Get-MgDomainFederationConfiguration -DomainId $domainId |fl

ActiveSignInUri                       : https://accounts.google.com/o/saml2/idp?idpid=<GUID>
DisplayName                           : Google Workspace Identity
FederatedIdpMfaBehavior               : acceptIfMfaDoneByFederatedIdp
Id                                    : 3f600dce-ab37-4798-9341-ffd34b147f70
IsSignedAuthenticationRequestRequired :
IssuerUri                             : https://accounts.google.com/o/saml2?idpid=<GUID>
MetadataExchangeUri                   :
NextSigningCertificate                :
PassiveSignInUri                      : https://accounts.google.com/o/saml2/idp?idpid=<GUID>
PreferredAuthenticationProtocol       : saml
PromptLoginBehavior                   :
SignOutUri                            : https://accounts.google.com/logout
SigningCertificate                    : <BASE64 encoded certificate>
AdditionalProperties                  : {}

Vérifier l’authentification fédérée entre Google Workspace et Microsoft Entra ID

À partir d’une session de navigateur privé, accédez à https://portal.azure.com et connectez-vous avec un compte Google Workspace :

1. En tant que nom d’utilisateur, utilisez l’e-mail tel que défini dans Google Workspace
2. L’utilisateur est redirigé vers Google Workspace pour se connecter
3. Après l’authentification Google Workspace, l’utilisateur est redirigé vers Microsoft Entra ID et connecté