Configuration de l'application des accès pour Google Workspace

Provisionner les utilisateurs depuis Verify vers une application Workspace d' Google.

Avant de commencer

Pour configurer l'application Google Workspace pour l'application des accès, vous devez remplir les prérequis suivants.
  • Un compte Google Workspace disposant d'un accès administrateur.
  • L'API Admin SDK de Google Workspace doit être activée.
  • Vous devez définir les paramètres suivants pour configurer l'application des accès utilisateur dans Verify.
    • Domaine
    • ID client
    • Adresse électronique du compte de service
    • Adresse électronique du compte
    • Clé privée

A propos de cette tâche

L'application des accès fournit les fonctions ci-après.
Création d'utilisateurs
Les nouveaux utilisateurs créés via Verify sont également créés dans l'application Workspace d' Google.
Supprimer les utilisateurs
La désactivation de l'utilisateur ou la suppression de son accès à l'application entraîne Verify la suppression de l'utilisateur dans l'application Workspace d' Google.
Modification du profil utilisateur
Les modifications apportées au profil de l'utilisateur via Verify sont transmises à l'application tierce.
Suspension et restauration d'un utilisateur
La suspension d'un utilisateur via Verify désactive ce dernier, tandis que sa réactivation via Verify le réactive dans l'application Workspace d' Google.
Synchronisation et résolution des utilisateurs
L'application Google Workspace prend en charge les fonctions de synchronisation des utilisateurs, de résolution et de synchronisation des groupes.

La synchronisation des utilisateurs extrait tous les utilisateurs de l'application cible dans Verify et met en correspondance les utilisateurs extraits avec les utilisateurs de Verify. La règle d'adoption définie sur l'application spécifie les attributs de correspondance pour l'adoption des utilisateurs synchronisés.

La politique de correction peut être configurée pour corriger les comptes d'utilisateurs dont les valeurs d'attributs diffèrent entre Verify [cette application] et l'application cible. Verify prend en charge les trois politiques de correction suivantes.
  • NONE - Ne pas corriger les comptes non conformes automatiquement.
  • ON _SV - Mettre Verify à jour les valeurs des attributs du compte avec celles de l'application cible.
  • ON_TARGET - Mettre à jour les valeurs des attributs du compte de l'application cible avec Verify les valeurs indiquées.

La synchronisation de groupe extrait tous les groupes d'applications d'applications cible dans Verify.

Habilitation à granularité fine
L'habilitation à granularité fine est prise en charge pour l'application Google Workspace. La synchronisation extrait tous les groupes d'applications et rôles d'administration Google Workspace. Des utilisateurs peuvent être ajoutés ou retirés de groupes et des rôles d'administration.

Procédure

  1. Pour les applications Workspace d' Google déjà installées sur Verify, procédez comme suit.
    1. Accédez à la console d'administration de Google Workspace à l'aide de l'URL suivante :
    2. Cliquez sur le menu de navigation.
    3. Accédez à Sécurité > Contrôle des accès et des données > Contrôles API.
    4. Dans la section « Délégation à l'échelle du domaine », cliquez sur GÉRER LA DÉLÉGATION À L'ÉCHELLE DU DOMAINE.
    5. Editez votre compte de service et ajoutez les détails suivants sous Portées OAuth.
    6. Cliquez sur « Autoriser ».
    7. Accédez à la section « Comptes » et copiez le fichier Customer ID.
      Il Customer ID est nécessaire de configurer la synchronisation des comptes dans Verify.
    8. Dans l'application Verify , saisissez le Customer ID, puis cliquez sur « Tester la connexion ».
    9. Enregistrez vos modifications.
  2. Configurez Google Workspace pour l'application des accès utilisateur.
    1. Connectez-vous en tant qu'administrateur à la console Google Cloud Platform (GCP) avec l'URL suivante :
    2. Exécutez l'une des étapes suivantes :
      • Si vous n'avez jamais utilisé la console GCP, acceptez les conditions d'utilisation et cliquez sur Créer un projet.
      • Si vous avez déjà utilisé la console GCP, en haut de l'écran, à côté de votre nom de projet le plus récent, cliquez sur la flèche vers le bas pour ouvrir votre liste de projets. Cliquez ensuite sur « Nouveau projet ».
    3. Dans le champ « Nom du projet », saisissez un nom pertinent, puis cliquez sur « Créer ».
    4. Sélectionnez votre nouveau projet et cliquez sur le menu de navigation.
    5. Accédez à API et services > Bibliothèque.
    6. Recherchez « Admin SDK » et sélectionnez l'option « Admin SDK » dans les résultats de recherche.
    7. Cliquez sur « Activer ».
    8. Accédez à IAM et administration > Comptes de service.
    9. Cliquez sur « CRÉER UN COMPTE DE SERVICE » et définissez les paramètres suivants.
      • Nom du compte de service
      • ID du compte de service
    10. Cliquez sur « CRÉER » pour créer votre compte de service.
    11. Cliquez sur CONTINUER, puis sur TERMINÉ.
    12. Cliquez sur le menu de navigation.
    13. Accédez à API et services > Identifiants.
    14. Cliquez sur « Compte de service » et sélectionnez votre compte de service.
    15. Sous « Clés », dans le menu « Ajouter une clé », sélectionnez « Créer une nouvelle clé ».
    16. Sélectionnez le bouton d'option « JSON », puis cliquez sur « Créer ».
    17. Veuillez noter les paramètres suivants, qui sont nécessaires pour configurer l'approvisionnement dans Verify.
      Adresse électronique du compte de service
      Utilisez la valeur client_email à partir du fichier private key de votre compte de service.
      Adresse électronique du compte
      Nom d'utilisateur du compte Google Workspace qui possède au minimum les rôles 'Administrateur des comptes utilisateur' et 'Administrateur des groupes'. Assurez-vous que les périmètres des rôles sontAll organization unit.

      Dans Google Workspace, lorsque vous affectez un système ou un rôle personnalisé à un utilisateur, cet utilisateur devient 'Administrateur délégué'. Pour gérer les administrateurs délégués, le nom d'utilisateur du compte doté du rôle de super-administrateur doit être spécifié.

      Clé privée
      Utilisez la valeur private_key à partir du fichier private key de votre compte de service.
    18. Accédez à la console d'administration de Google Workspace à l'aide de l'URL suivante :
    19. Cliquez sur le menu de navigation.
    20. Accédez à Sécurité > Contrôle des accès et des données > Contrôles API.
    21. Dans la section « Délégation à l'échelle du domaine », cliquez sur GÉRER LA DÉLÉGATION À L'ÉCHELLE DU DOMAINE.
    22. Cliquez sur « Ajouter un nouvel élément » et saisissez les informations suivantes.
      ID de client
      Indiquez l'ID client d'un compte de service. Utilisez la valeur client_id du fichier private key du compte de service.
      Portée OAuth de l'utilisateur
      https://www.googleapis.com/auth/admin.directory.user
      Portée OAuth du groupe
      https://www.googleapis.com/auth/admin.directory.group
      Portée OAuth du rôle
      https://www.googleapis.com/auth/admin.directory.rolemanagement
      Portée OAuth de l'unité organisationnelle
      https://www.googleapis.com/auth/admin.directory.orgunit
    23. Cliquez sur « Autoriser ».
    24. Copiez le fichier Customer ID.
      Il Customer ID est nécessaire de configurer la synchronisation des comptes dans Verify. Il s'agit de l'ID client du compte Google Workspace.
    25. Dans l'application Verify , saisissez le Customer ID, puis cliquez sur « Tester la connexion ».
    26. Enregistrez vos modifications.