Aller au contenu principal

Configurer l’authentification unique avec Google Workspace

Avec un minimum d'efforts de configuration, ce connecteur permet l'intégration avec Microsoft Entra ID pour le SSO d’entreprise.

astuce:

Pour plus d'informations sur l'authentification unique (SSO) et comment configurer l'authentification unique (SSO) dans Logto, veuillez consulter la documentation SSO d’entreprise (SAML & OIDC) pour commencer.

Étape 1 : Créer un nouveau projet sur Google Cloud Platform

Avant de pouvoir utiliser Google Workspace comme fournisseur d'authentification, vous devez configurer un projet dans la Google API Console pour obtenir des identifiants OAuth 2.0. Si vous avez déjà un projet, vous pouvez passer cette étape. Sinon, créez un nouveau projet sous votre organisation Google.

Pour créer de nouvelles informations d'identification OIDC, vous devez configurer l'écran de consentement pour votre application.

  1. Accédez à la page de l'écran de consentement OAuth et sélectionnez le type d'utilisateur Interne. Cela rendra l'application OAuth disponible uniquement pour les utilisateurs au sein de votre organisation.
Type d'utilisateur de l'écran de consentement Google Workspace
  1. Remplissez les paramètres de l'Écran de consentement en suivant les instructions sur la page. Vous devez fournir les informations minimales suivantes :
  • Nom de l'application : Le nom de votre application. Il sera affiché sur l'écran de consentement.
  • Email de support : L'email de support de votre application. Il sera affiché sur l'écran de consentement.
Paramètres de l'écran de consentement Google Workspace
  1. Définissez les Portées pour votre application. Afin de récupérer correctement les informations d'identité et l'adresse e-mail de l'utilisateur depuis le fournisseur d’identité (IdP), les connecteurs SSO de Logto doivent accorder les portées suivantes depuis le IdP :
Portées de l'écran de consentement Google Workspace
  • openid : Cette portée est requise pour l'authentification OIDC. Elle est utilisée pour récupérer le jeton d’identifiant et accéder au point de terminaison userInfo du IdP.
  • profile : Cette portée est requise pour accéder aux informations de profil de base de l'utilisateur.
  • email : Cette portée est requise pour accéder à l'adresse e-mail de l'utilisateur.

Cliquez sur le bouton Enregistrer pour sauvegarder les paramètres de l'écran de consentement.

Étape 3 : Créer une nouvelle accréditation OAuth

Accédez à la page Credentials et cliquez sur le bouton Create Credentials. Sélectionnez l'option OAuth client ID dans le menu déroulant pour créer une nouvelle référence OAuth pour votre application.

Google Workspace create credentials

Continuez à configurer la référence OAuth en remplissant les informations suivantes :

Google Workspace credentials config
  1. Sélectionnez Web application comme type d'application.
  2. Remplissez le Name de votre application cliente, par exemple Logto SSO Connector. Cela vous aidera à identifier les références à l'avenir.
  3. Remplissez les Authorized redirect URIs avec l'URI de rappel Logto. C'est l'URI vers lequel Google redirigera le navigateur de l'utilisateur après une authentification réussie. Après qu'un utilisateur s'est authentifié avec succès auprès du fournisseur d’identité (IdP), l'IdP redirige le navigateur de l'utilisateur vers cet URI désigné avec un code d'autorisation. Logto complétera le processus d'authentification basé sur le code d'autorisation reçu de cet URI.
  4. Remplissez les Authorized JavaScript origins avec l'origine de l'URI de rappel Logto. Cela garantit que seule votre application Logto peut envoyer des requêtes au serveur OAuth de Google.
  5. Cliquez sur le bouton Create pour créer la référence OAuth.

Étape 4 : Configurer le connecteur Logto avec les identifiants client

Après avoir créé avec succès l'identifiant OAuth, vous recevrez une fenêtre modale avec l'ID client et le secret client.

Google Workspace create credentials

Copiez l'ID client et le secret client et remplissez les champs correspondants dans l'onglet Connection du connecteur SSO de Logto.

Vous avez maintenant configuré avec succès un connecteur SSO Google Workspace sur Logto.

Étape 5 : Portées supplémentaires (Optionnel)

Utilisez le champ Scope pour ajouter des portées supplémentaires à votre requête OAuth. Cela vous permettra de demander plus d'informations au serveur OAuth de Google. Veuillez vous référer à la documentation des Portées OAuth de Google pour plus d'informations.

Indépendamment des paramètres de portée personnalisés, Logto enverra toujours les portées openid, profile et email au fournisseur d’identité (IdP). Cela garantit que Logto peut récupérer correctement les informations d'identité de l'utilisateur et l'adresse e-mail.

Étape 6 : Définir les domaines de messagerie et activer le connecteur SSO

Fournissez les domaines de messagerie de votre organisation dans l'onglet Expérience SSO du connecteur Logto. Cela activera le connecteur SSO comme méthode d'authentification pour ces utilisateurs.

Les utilisateurs ayant des adresses e-mail dans les domaines spécifiés seront redirigés pour utiliser votre connecteur SSO comme seule méthode d'authentification.

Pour plus d'informations sur le connecteur SSO Google Workspace, veuillez consulter Google OpenID Connector.