Tutoriel : Intégration de Microsoft Entra SSO avec Google Cloud / G Suite Connector par Microsoft

Dans ce tutoriel, vous allez apprendre à intégrer Google Cloud / G Suite Connector de Microsoft à l’ID Microsoft Entra. Lorsque vous intégrez Google Cloud / G Suite Connector de Microsoft avec Microsoft Entra ID, vous pouvez :

• Contrôlez dans Microsoft Entra ID qui a accès à Google Cloud / G Suite Connector de Microsoft.
• Permettez à vos utilisateurs d’être automatiquement connectés à Google Cloud / G Suite Connector par Microsoft avec leurs comptes Microsoft Entra.
• Gérer vos comptes à partir d’un emplacement central.

Prérequis

Pour commencer, vous devez disposer de ce qui suit :

• Un abonnement Microsoft Entra.
• Un abonnement à Google Cloud / G Suite Connector par Microsoft pour lequel l’authentification unique est activée.
• Un abonnement Google Apps ou Google Cloud Platform.

Note

Pour tester les étapes de ce didacticiel, nous déconseillons l’utilisation d’un environnement de production. Ce document a été créé à l’aide de la nouvelle expérience utilisateur Authentification unique. Si vous utilisez toujours l’ancienne version, l’installation n’aura pas la même apparence. Vous pouvez activer la nouvelle expérience dans les paramètres d’authentification unique de l’application G Suite. Accédez aux applications Microsoft Entra ID>Enterprise, sélectionnez Google Cloud / G Suite Connector par Microsoft, sélectionnez Single Sign-On puis cliquez sur Essayez notre nouvelle expérience.

Vous devez en outre suivre les recommandations ci-dessous :

• N’utilisez pas votre environnement de production, sauf si cela est nécessaire.
• Si vous ne disposez d’aucun abonnement, vous pouvez obtenir un compte gratuit.

Modifications récentes

Les mises à jour récentes de Google permettent désormais l’ajout de groupes d’utilisateurs aux profils d’authentification unique tiers. Cela permet un contrôle plus précis sur l’attribution des paramètres d’authentification unique. Vous pouvez maintenant créer des attributions de profil d’authentification unique, ce qui vous permet de migrer des utilisateurs en phases plutôt que de déplacer l’ensemble de l’entreprise à la fois. Dans cette zone, vous disposez des détails du fournisseur de services avec un ID d’entité et une URL ACS, que vous devez maintenant ajouter à Azure Apps pour répondre et entité.

Forums Aux Questions (FAQ)

1. Q : Cette intégration prend-elle en charge l’intégration SSO de Google Cloud Platform avec Microsoft Entra ID ?

   A : Oui. Google Cloud Platform et Google Apps partagent la même plateforme d’authentification. Pour l’intégration Google Cloud Platform, vous avez donc besoin de configurer la SSO avec Google Apps.

2. Q : Les Chromebooks et autres appareils Chrome sont-ils compatibles avec l’authentification unique Microsoft Entra ?

   R : Oui, les utilisateurs peuvent se connecter à leurs appareils Chromebook à l’aide de leurs informations d’identification Microsoft Entra. Consultez cet article du support technique Google Cloud / G Suite Connector par Microsoft pour en savoir plus sur les raisons de la double demande de saisie des informations d’identification.

3. Q : Si j’active l’authentification unique, les utilisateurs pourront-ils utiliser leurs informations d’identification Microsoft Entra pour se connecter à n’importe quel produit Google, tel que Google Classroom, GMail, Google Drive, YouTube, etc. ?

   R : oui, en fonction du produit Google Cloud / G Suite Connector par Microsoft que vous choisissez d’activer ou de désactiver pour votre organisation.

4. Q : puis-je activer l’authentification unique pour seulement un sous-ensemble des utilisateurs de Google Cloud / G Suite Connector par Microsoft ?

   R : Oui, les profils d’authentification unique peuvent être sélectionnés par utilisateur, unité organisationnelle ou groupe dans l’espace de travail Google.

   

   Sélectionnez le profil SSO comme « aucun » pour le groupe Google Workspace. Cela empêche les membres de ce (groupe Google Workspace) d’être redirigés vers l’ID Microsoft Entra pour la connexion.

5. Q : si un utilisateur est connecté par le biais de Windows, est-il automatiquement authentifié sur Google Cloud / G Suite Connector par Microsoft sans qu’il ne lui soit demandé d’entrer un mot de passe ?

   A : Deux options permettent de prendre en charge ce scénario. Premièrement, les utilisateurs pouvaient se connecter aux appareils Windows 10 via jointure Microsoft Entra. Alternativement, les utilisateurs peuvent se connecter à des appareils Windows associés à un domaine à un Active Directory sur site qui a été activé pour l’authentification unique à Microsoft Entra ID via un déploiement Active Directory Federation Services (AD FS). Les deux options nécessitent que vous effectuiez les étapes du didacticiel suivant pour activer l’authentification unique entre Microsoft Entra ID et Google Cloud / G Suite Connector de Microsoft.

6. Q : Que dois-je faire si j’obtiens un message d’erreur « adresse e-mail non valide » ?

   A : Pour cette configuration, l’attribut d’adresse e-mail est obligatoire pour permettre aux utilisateurs de se connecter. Cet attribut ne peut pas être défini manuellement.

   L’attribut d’adresse e-mail est rempli automatiquement pour tout utilisateur disposant d’une licence Exchange valide. Si l’utilisateur n’est pas activé par e-mail, cette erreur est reçue, car l’application doit obtenir cet attribut pour accorder l’accès.

   Accédez à portal.office.com avec un compte d’administrateur, puis cliquez sur Centre d’administration, Facturation, Abonnements. Sélectionnez ensuite votre abonnement Microsoft 365, cliquez sur Attribuer à des utilisateurs, sélectionnez les utilisateurs dont vous souhaitez vérifier l’abonnement, puis cliquez sur Modifier les licences dans le volet droit.

   Une fois la licence Microsoft 365 attribuée, vous devrez peut-être patienter quelques minutes avant qu’elle ne soit appliquée. Après cela, l’attribut user.mail est rempli automatiquement et le problème doit être résolu.

Description du scénario

Dans ce tutoriel, vous configurez et testez Microsoft Entra SSO dans un environnement de test.

• Google Cloud / G Suite Connector par Microsoft prend en charge l’authentification unique lancée par le fournisseur de services.

• Google Cloud / G Suite Connector par Microsoft prend en charge le provisionnement automatique des utilisateurs.

Ajout de Google Cloud / G Suite Connector par Microsoft à partir de la galerie

Pour configurer l’intégration de Google Cloud / G Suite Connector de Microsoft dans Microsoft Entra ID, vous devez ajouter Google Cloud / G Suite Connector de Microsoft depuis la galerie à votre liste d’applications SaaS gérées.

1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
2. Accédez à Identité>Applications>Applications d’entreprise>Nouvelle application.
3. Dans la section Ajouter à partir de la galerie, tapez Google Cloud / G Suite Connector par Microsoft dans la zone de recherche.
4. Sélectionnez Google Cloud / G Suite Connector par Microsoft dans le panneau de résultats, puis ajoutez l’application. Patientez quelques secondes pendant que l’application est ajoutée à votre locataire.

Vous pouvez également utiliser l’assistant Entreprise App Configuration. Dans cet assistant, vous pouvez ajouter une application à votre locataire, ajouter des utilisateurs/groupes à l’application, attribuer des rôles, mais également parcourir la configuration de l’authentification unique. En savoir plus sur les assistants Microsoft 365.

Configurer et tester l’authentification unique Microsoft Entra pour Google Cloud / G Suite Connector par Microsoft

Configurez et testez Microsoft Entra SSO avec Google Cloud / G Suite Connector de Microsoft à l’aide d’un utilisateur test appelé B.Simon. Pour que SSO fonctionne, vous devez établir une relation de lien entre un utilisateur Microsoft Entra et l’utilisateur associé dans Google Cloud / G Suite Connector de Microsoft.

Pour configurer et tester Microsoft Entra SSO avec Google Cloud / G Suite Connector de Microsoft, effectuez les étapes suivantes :

1. Configurer Microsoft Entra SSO – pour permettre à vos utilisateurs d’utiliser cette fonctionnalité.
   1. Créez un utilisateur de test Microsoft Entra pour tester l’authentification unique Microsoft Entra avec B.Simon.
   2. Attribuer l’utilisateur test Microsoft Entra – pour permettre à B.Simon d’utiliser l’authentification unique Microsoft Entra.
2. Configurer l’authentification unique Google Cloud / G Suite Connector par Microsoft pour configurer les paramètres de l’authentification unique côté application.
   1. Créer un connecteur Google Cloud/G Suite par un utilisateur test Microsoft – pour avoir un homologue de B.Simon dans Google Cloud / G Suite Connector de Microsoft qui est lié à la représentation Microsoft Entra de l’utilisateur.
3. Tester l’authentification unique pour vérifier si la configuration fonctionne.

Configurer Microsoft Entra SSO

Effectuez ces étapes pour activer l’authentification unique Microsoft Entra.

1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.

2. Accédez à Identity>Applications>Applications d’entreprise>Google Cloud / G Suite Connector by Microsoft>Authentification unique.

3. Dans la page Sélectionner une méthode d’authentification unique, sélectionnez SAML.

4. Dans la page Configurer l’authentification unique avec SAML, cliquez sur l’icône de crayon de Configuration SAML de base afin de modifier les paramètres.

   

5. Dans la section Configuration SAML de base, si vous souhaitez procéder à la configuration de Gmail, effectuez les étapes suivantes :

   a. Dans la zone de texte Identificateur, tapez une URL en utilisant l’un des formats suivants :

   Identificateur
   google.com/a/<yourdomain.com>
   google.com
   https://google.com
   https://google.com/a/<yourdomain.com>

   b. Dans la zone de texte URL de réponse , tapez une URL en respectant l’un des formats suivants :

   URL de réponse
   https://www.google.com
   https://www.google.com/a/<yourdomain.com>

   c. Dans la zone de texte URL de connexion, tapez une URL au format suivant : https://www.google.com/a/<yourdomain.com>/ServiceLogin?continue=https://mail.google.com

6. Dans la section Configuration SAML de base, si vous souhaitez procéder à la configuration de Google Cloud Platform, effectuez les étapes suivantes :

   a. Dans la zone de texte Identificateur, tapez une URL en utilisant l’un des formats suivants :

   Identificateur
   google.com/a/<yourdomain.com>
   google.com
   https://google.com
   https://google.com/a/<yourdomain.com>

   b. Dans la zone de texte URL de réponse , tapez une URL en respectant l’un des formats suivants :

   URL de réponse
   https://www.google.com/acs
   https://www.google.com/a/<yourdomain.com>/acs

   c. Dans la zone de texte URL de connexion, tapez une URL au format suivant : https://www.google.com/a/<yourdomain.com>/ServiceLogin?continue=https://console.cloud.google.com

   Note

   Il ne s’agit pas de valeurs réelles. Mettez à jour ces valeurs avec l’identificateur, l’URL de réponse et l’URL de connexion réels. Google Cloud / G Suite Connector par Microsoft ne fournit pas de valeur ID d’entité/Identificateur dans la configuration de l’authentification unique. Ainsi, quand vous décochez la case Utiliser un émetteur spécifique de domaine, la valeur Identificateur est google.com. Si vous cochez la case Utiliser un émetteur spécifique de domaine, la valeur est google.com/a/<yourdomainname.com>. Pour cocher/décocher l’option émetteur spécifique de domaine, vous devez accéder à la section Configurer l’authentification unique Google Cloud / G Suite Connector par Microsoft, expliquée plus loin dans le tutoriel. Pour plus d’informations, contactez l’équipe du support technique Google Cloud / G Suite Connector par Microsoft.

7. Votre application Google Cloud / G Suite Connector par Microsoft attend les assertions SAML dans un format spécifique, ce qui vous oblige à ajouter des mappages d’attributs personnalisés à votre configuration d’attributs de jeton SAML. La capture d’écran suivante montre un exemple : La valeur par défaut pour Identificateur d’utilisateur unique est user.userprincipalname, mais Google Cloud / G Suite Connector par Microsoft s’attend à ce qu’elle soit mappée sur l’adresse e-mail de l’utilisateur. Pour cela, vous pouvez utiliser l’attribut user.mail dans la liste ou utiliser la valeur d’attribut appropriée en fonction de la configuration de votre organisation.

   

   Remarque

   Assurez-vous que la réponse SAML n’inclut pas de caractères ASCII non standard dans l’attribut Surname.

8. Dans la page Configurer l’authentification unique avec SAML, dans la section Certificat de signature SAML, recherchez Certificat (Base64) , puis sélectionnez Télécharger pour télécharger le certificat et l’enregistrer sur votre ordinateur.

   

9. Dans la section Configurer Google Cloud / G Suite Connector par Microsoft, copiez la ou les URL appropriées en fonction de vos besoins.

   

   Remarque

   L’URL de déconnexion par défaut répertoriée dans l’application est incorrecte. L’URL correcte est la suivante : https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0

Créer un utilisateur de test Microsoft Entra

Dans cette section, vous allez créer un utilisateur de test appelé B.Simon.

1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’Administrateur de l’utilisateur.
2. Accédez à Identité>Utilisateurs>Tous les utilisateurs.
3. Sélectionnez Nouvel utilisateur>Créer un utilisateur dans la partie supérieure de l’écran.
4. Dans les propriétés Utilisateur, effectuez les étapes suivantes :
   1. Dans le champ Nom d’affichage, entrez B.Simon.
   2. Dans le champ Nom d’utilisateur principal, entrez username@companydomain.extension. Par exemple : B.Simon@contoso.com.
   3. Cochez la case Afficher le mot de passe, puis notez la valeur affichée dans le champ Mot de passe.
   4. Sélectionnez Revoir + créer.
5. Sélectionnez Create (Créer).

Attribuer l’utilisateur test Microsoft Entra

Dans cette section, vous allez autoriser B. Simon à utiliser l’authentification unique en lui accordant l’accès à Google Cloud / G Suite Connector by Microsoft.

1. Connectez-vous au Centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’application cloud.
2. Accédez à Identity>Applications>Applications d’entreprise>Google Cloud / G Suite Connector by Microsoft.
3. Dans la page de présentation de l’application, sélectionnez Utilisateurs et groupes.
4. Sélectionnez Ajouter un utilisateur/groupe, puis Utilisateurs et groupes dans la boîte de dialogue Ajouter une attribution.
   1. Dans la boîte de dialogue Utilisateurs et groupes, sélectionnez B. Simon dans la liste Utilisateurs, puis cliquez sur le bouton Sélectionner au bas de l’écran.
   2. Si vous vous attendez à ce qu’un rôle soit attribué aux utilisateurs, vous pouvez le sélectionner dans la liste déroulante Sélectionner un rôle. Si aucun rôle n’a été configuré pour cette application, vous voyez le rôle « Accès par défaut » sélectionné.
   3. Dans la boîte de dialogue Ajouter une attribution, cliquez sur le bouton Attribuer.

Configurer l’authentification unique Google Cloud / G Suite Connector par Microsoft

1. Ouvrez un nouvel onglet dans votre navigateur et utilisez votre compte d’administrateur pour vous connecter à la console d’administration de Google Cloud / G Suite Connector par Microsoft.

2. Accédez à Menu -> Sécurité -> Authentification -> Authentification unique avec fournisseur d’identité tiers.

   

3. Effectuez les modifications de configuration suivantes dans l’onglet Profil SSO tiers pour votre organisation :

   

   a. Activez le Profil SSO pour votre organisation.

   b. Dans le champ URL de la page de connexion de Google Cloud / G Suite Connector by Microsoft, collez la valeur URL de connexion.

   c. Dans le champ URL de la page de déconnexion de Google Cloud / G Suite Connector by Microsoft, collez la valeur URL de déconnexion.

   d. Dans Google Cloud / G Suite Connector by Microsoft, chargez le certificat que vous avez téléchargé précédemment pour l’utiliser comme certificat de vérification.

   e. Cochez/décochez l’option Utiliser un émetteur spécifique à un domaine conformément à la note mentionnée dans la section Configuration SAML De base ci-dessus dans l’ID Microsoft Entra.

   f. Dans le champ Modifier l’URL du mot de passe dans Google Cloud / G Suite Connector par Microsoft, entrez la valeur en tant que https://mysignins.microsoft.com/security-info/password/change

   g. Cliquez sur Enregistrer.

Créer l’utilisateur de tests Google Cloud / G Suite Connector par Microsoft

L’objectif de cette section est de créer un utilisateur dans Google Cloud / G Suite Connector par Microsoft, appelé B.Simon. Une fois l’utilisateur créé manuellement dans Google Cloud / G Suite Connector par Microsoft, il peut se connecter à l’aide de ses informations d’identification Microsoft 365.

Google Cloud / G Suite Connector par Microsoft prend aussi en charge le provisionnement automatique des utilisateurs. Pour configurer le provisionnement automatique des utilisateurs, vous devez d’abord configurer Google Cloud / G Suite Connector par Microsoft pour le provisionnement automatique des utilisateurs.

Note

Assurez-vous que votre utilisateur existe déjà dans Google Cloud / G Suite Connector by Microsoft si le provisionnement dans Microsoft Entra ID n’a pas été activé avant de tester l’authentification unique.

Note

Si vous devez créer un utilisateur manuellement, contactez l’équipe de support Google.

Tester l’authentification unique (SSO)

Dans cette section, vous testez votre configuration d’authentification unique Microsoft Entra avec les options suivantes.

• Cliquez sur Tester cette application. Vous êtes alors redirigé vers l’URL de connexion Google Cloud / G Suite Connector by Microsoft, d’où vous pouvez lancer le flux de connexion.

• Accédez directement à l’URL de connexion Google Cloud / G Suite Connector par Microsoft pour lancer le flux de connexion à partir de là.

• Vous pouvez utiliser Mes applications de Microsoft. Le fait de cliquer sur la mosaïque Google Cloud / G Suite Connector par Microsoft dans Mes applications, vous redirige vers l’URL de connexion Google Cloud / G Suite Connector par Microsoft. Pour plus d’informations sur Mes applications, consultez Présentation de Mes applications.

Étapes suivantes

Après avoir configuré Google Cloud / G Suite Connector par Microsoft, vous pouvez appliquer le contrôle de session, qui protège contre l’exfiltration et l’infiltration des données sensibles de votre organisation en temps réel. Le contrôle de session est étendu à partir de l’accès conditionnel. Découvrez comment appliquer un contrôle de session avec Microsoft Defender for Cloud Apps.