Configurer la fédération entre Google Workspace et Microsoft Entra ID
Cet article décrit les étapes requises pour configurer Google Workspace en tant que fournisseur d’identité (IdP) pour Microsoft Entra ID.
Une fois configurés, les utilisateurs peuvent se connecter à Microsoft Entra ID avec leurs informations d’identification Google Workspace.
Conditions préalables
Pour configurer Google Workspace en tant que fournisseur d’identité pour Microsoft Entra ID, les conditions préalables suivantes doivent être remplies :
- Un locataire Microsoft Entra, avec un ou plusieurs domaines DNS personnalisés (autrement dit, des domaines qui ne sont pas au format *.onmicrosoft.com)
- Si le domaine fédéré n’a pas encore été ajouté à Microsoft Entra ID, vous devez avoir accès au domaine DNS pour créer un enregistrement DNS. Cela est nécessaire pour vérifier la propriété de l’espace de noms DNS
- Découvrez comment ajouter votre nom de domaine personnalisé à l’aide du centre d’administration Microsoft Entra
- Accès au centre d’administration Microsoft Entra en tant qu’administrateur de fournisseur d’identité externe au moins
- Accès à Google Workspace avec un compte avec des privilèges de super administrateur
Pour tester la fédération, les conditions préalables suivantes doivent être remplies :
- Un environnement Google Workspace, avec des utilisateurs déjà créés
Important
Les utilisateurs ont besoin d’une adresse e-mail définie dans Google Workspace, qui est utilisée pour faire correspondre les utilisateurs dans Microsoft Entra ID. Pour plus d’informations sur la correspondance d’identité, consultez Correspondance d’identité dans Microsoft Entra ID.
- Comptes Microsoft Entra individuels déjà créés : chaque utilisateur Google Workspace a besoin d’un compte correspondant défini dans Microsoft Entra ID. Ces comptes sont généralement créés par le biais de solutions automatisées, par exemple :
- School Data Sync (SDS)
- Microsoft Entra Connect Sync pour l’environnement avec AD DS local
- Scripts PowerShell qui appellent microsoft API Graph
- Outils d’approvisionnement proposés par le fournisseur d’identité - Google Workspace propose l’approvisionnement automatique
Configurer Google Workspace en tant que fournisseur d’identité pour Microsoft Entra ID
Connectez-vous à la console Google Workspace Administration avec un compte avec des privilèges de super administrateur
Sélectionnez Applications > web et applications mobiles
Sélectionnez Ajouter une application > Recherche d’applications et recherchez microsoft
Dans la page des résultats de la recherche, pointez sur l’application Microsoft Office 365 - Web (SAML), puis sélectionnez Sélectionner la
Dans la page Détails du fournisseur d’identité Google, sélectionnez Télécharger les métadonnées et notez l’emplacement où les métadonnées - du fournisseur d’identitéGoogleIDPMetadata.xml - fichier est enregistré, car il est utilisé pour configurer Microsoft Entra ID ultérieurement
Dans la page Détails du fournisseur de services :
- Sélectionnez l’option Réponse signée
- Vérifiez que le format d’ID de nom est défini sur PERSISTENT
- Selon la façon dont les utilisateurs Microsoft Entra ont été approvisionnés dans Microsoft Entra ID, vous devrez peut-être ajuster le mappage d’ID de nom.
Si vous utilisez l’approvisionnement automatique Google, sélectionnez Informations > de base E-mail principal - Sélectionnez Continuer
Dans la page Mappage d’attributs, mapper les attributs Google aux attributs Microsoft Entra
Attributs google directory attributs Microsoft Entra Informations de base : Email principale Attributs de l’application : IDPEmail Important
Vous devez vous assurer que l’e-mail de votre compte d’utilisateur Microsoft Entra correspond à celui de votre espace de travail Google.
Sélectionnez Terminer.
Maintenant que l’application est configurée, vous devez l’activer pour les utilisateurs dans Google Workspace :
- Connectez-vous à la console Google Workspace Administration avec un compte avec des privilèges de super administrateur
- Sélectionnez Applications > web et applications mobiles
- Sélectionner Microsoft Office 365
- Sélectionnez Accès utilisateur
- Sélectionnez ACTIVÉ pour tout le monde > Enregistrer
Configurer Microsoft Entra ID en tant que fournisseur de services (SP) pour Google Workspace
La configuration de Microsoft Entra ID consiste à modifier la méthode d’authentification pour les domaines DNS personnalisés. Cette configuration peut être effectuée à l’aide de PowerShell.
À l’aide du fichier XML de métadonnées idP téléchargé à partir de Google Workspace, modifiez la variable $DomainName du script suivant pour qu’elle corresponde à votre environnement, puis exécutez-la dans une session PowerShell. Lorsque vous êtes invité à vous authentifier auprès de Microsoft Entra ID, connectez-vous en tant qu’administrateur de fournisseur d’identité externe au moins
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser -Force
Install-Module Microsoft.Graph -Scope CurrentUser
Import-Module Microsoft.Graph
$domainId = "<your domain name>"
$xml = [Xml](Get-Content GoogleIDPMetadata.xml)
$cert = -join $xml.EntityDescriptor.IDPSSODescriptor.KeyDescriptor.KeyInfo.X509Data.X509Certificate.Split()
$issuerUri = $xml.EntityDescriptor.entityID
$signinUri = $xml.EntityDescriptor.IDPSSODescriptor.SingleSignOnService | ? { $_.Binding.Contains('Redirect') } | % { $_.Location }
$signoutUri = "https://accounts.google.com/logout"
$displayName = "Google Workspace Identity"
Connect-MGGraph -Scopes "Domain.ReadWrite.All", "Directory.AccessAsUser.All"
$domainAuthParams = @{
DomainId = $domainId
IssuerUri = $issuerUri
DisplayName = $displayName
ActiveSignInUri = $signinUri
PassiveSignInUri = $signinUri
SignOutUri = $signoutUri
SigningCertificate = $cert
PreferredAuthenticationProtocol = "saml"
federatedIdpMfaBehavior = "acceptIfMfaDoneByFederatedIdp"
}
New-MgDomainFederationConfiguration @domainAuthParams
Pour vérifier que la configuration est correcte, vous pouvez utiliser la commande PowerShell suivante :
Get-MgDomainFederationConfiguration -DomainId $domainId |fl
ActiveSignInUri : https://accounts.google.com/o/saml2/idp?idpid=<GUID>
DisplayName : Google Workspace Identity
FederatedIdpMfaBehavior : acceptIfMfaDoneByFederatedIdp
Id : 3f600dce-ab37-4798-9341-ffd34b147f70
IsSignedAuthenticationRequestRequired :
IssuerUri : https://accounts.google.com/o/saml2?idpid=<GUID>
MetadataExchangeUri :
NextSigningCertificate :
PassiveSignInUri : https://accounts.google.com/o/saml2/idp?idpid=<GUID>
PreferredAuthenticationProtocol : saml
PromptLoginBehavior :
SignOutUri : https://accounts.google.com/logout
SigningCertificate : <BASE64 encoded certificate>
AdditionalProperties : {}
Vérifier l’authentification fédérée entre Google Workspace et Microsoft Entra ID
À partir d’une session de navigateur privé, accédez à https://portal.azure.com et connectez-vous avec un compte Google Workspace :
En tant que nom d’utilisateur, utilisez l’e-mail tel que défini dans Google Workspace
L’utilisateur est redirigé vers Google Workspace pour se connecter
Après l’authentification Google Workspace, l’utilisateur est redirigé vers Microsoft Entra ID et connecté
