Configuration de l'application des accès pour Google Workspace

Modifier en ligne

Fournir des utilisateurs de Verify à une application de l'espace de travail Google.

Avant de commencer

Pour configurer l'application Google Workspace pour l'application des accès, vous devez remplir les prérequis suivants.
  • Un compte Google Workspace disposant d'un accès administrateur.
  • L'API Admin SDK de Google Workspace doit être activée.
  • Vous devez définir les paramètres suivants pour configurer l'application des accès utilisateur dans Verify.
    • Domaine
    • ID client
    • Adresse électronique du compte de service
    • Adresse électronique du compte
    • Clé privée

A propos de cette tâche

L'application des accès fournit les fonctions ci-après.
Création d'utilisateurs
Les nouveaux utilisateurs créés via Verify sont également créés dans l'application Google Workspace.
Supprimer les utilisateurs
La désactivation de l'utilisateur ou de l'accès de l'utilisateur à l'application via Verify supprime l'utilisateur dans l'application Google Workspace.
Modification du profil utilisateur
Les mises à jour apportées au profil de l'utilisateur via Verify sont envoyées à l'application tierce.
Suspension et restauration d'un utilisateur
La suspension d'un utilisateur via Verify désactive l'utilisateur et la restauration de l'utilisateur via Verify active l'utilisateur dans l'application Google Workspace.
Synchronisation et résolution des utilisateurs
L'application Google Workspace prend en charge les fonctions de synchronisation des utilisateurs, de résolution et de synchronisation des groupes.

La synchronisation des utilisateurs extrait tous les utilisateurs de l'application cible dans Verify et met en correspondance les utilisateurs extraits avec les utilisateurs de Verify. La règle d'adoption définie sur l'application spécifie les attributs de correspondance pour l'adoption des utilisateurs synchronisés.

La stratégie de résolution peut être configurée pour corriger les comptes utilisateur avec des valeurs d'attribut qui diffèrent entre Verify et l'application cible. Verify prend en charge les trois stratégies de résolution suivantes.
  • NONE - Ne pas corriger les comptes non conformes automatiquement.
  • ON_SV -Met à jour les valeurs d'attribut de compte Verify avec les valeurs d'application cible.
  • ON_TARGET-Mise à jour des valeurs d'attribut de compte d'application cible avec des valeurs Verify .

La synchronisation de groupe extrait tous les groupes d'applications d'applications cible dans Verify.

Habilitation à granularité fine
L'habilitation à granularité fine est prise en charge pour l'application Google Workspace. La synchronisation extrait tous les groupes d'applications et rôles d'administration Google Workspace. Des utilisateurs peuvent être ajoutés ou retirés de groupes et des rôles d'administration.

Procédure

  1. Pour les applications Google Workspace existantes sur Verify, procédez comme suit.
    1. Accédez à la console d'administration de Google Workspace à l'aide de l'URL suivante :
      https://admin.google.com.
    2. Cliquez sur le menu de navigation.
    3. Accédez à Sécurité > Accès et contrôle des données > Contrôles d'API.
    4. Sous Délégation à l'échelle du domaine, cliquez sur MANAGE DOMAIN WIDE DELEGATION.
    5. Editez votre compte de service et ajoutez les détails suivants sous Portées OAuth.
      Portée OAuth du groupe
      https://www.googleapis.com/auth/admin.directory.group
      Portée OAuth du rôle
      https://www.googleapis.com/auth/admin.directory.rolemanagement
      Portée OAuth de l'unité organisationnelle
      https://www.googleapis.com/auth/admin.directory.orgunit
    6. Cliquez sur Autoriser.
    7. Accédez à Comptes et copiez le fichier Customer ID.
      Customer ID est requis pour configurer la synchronisation des comptes dans Verify.
    8. Dans l'application Verify , entrez le Customer IDet cliquez sur Tester la connexion.
    9. Enregistrez vos modifications.
  2. Configurez Google Workspace pour l'application des accès utilisateur.
    1. Connectez-vous en tant qu'administrateur à la console Google Cloud Platform (GCP) avec l'URL suivante :
      https://console.cloud.google.com.
    2. Exécutez l'une des étapes suivantes :
      • Si vous n'avez jamais utilisé la console GCP, acceptez les conditions d'utilisation et cliquez sur Créer un projet.
      • Si vous avez déjà utilisé la console GCP, en haut de l'écran, à côté de votre nom de projet le plus récent, cliquez sur la flèche vers le bas pour ouvrir votre liste de projets. Cliquez ensuite sur Nouveau projet.
    3. Dans Nom du projet, entrez un nom significatif et cliquez sur Créer.
    4. Sélectionnez votre nouveau projet et cliquez sur le menu de navigation.
    5. Accédez à API et services > Bibliothèque.
    6. Recherchez Admin SDK et sélectionnez l'option Admin SDK dans les résultats de la recherche.
    7. Cliquez sur ENABLE.
    8. Accédez à IAM et admin > comptes de service.
    9. Cliquez sur Créer un compte de service et spécifiez les paramètres suivants.
      • Nom du compte de service
      • ID du compte de service
    10. Cliquez sur Créer pour créer votre compte de service.
    11. Cliquez sur CONTINUER , puis sur Terminer.
    12. Cliquez sur le menu de navigation.
    13. Accédez à API et services > Identifiants.
    14. Cliquez sur Compte de service et sélectionnez votre compte de service.
    15. Sous Touches, dans le menu Ajouter une clé , sélectionnez Créer une nouvelle clé.
    16. Sélectionnez le bouton d'option JSON et cliquez sur Créer.
    17. Notez les paramètres suivants qui sont requis pour configurer la mise à disposition dans Verify.
      Adresse électronique du compte de service
      Utilisez la valeur client_email à partir du fichier private key de votre compte de service.
      Adresse électronique du compte
      Nom d'utilisateur du compte Google Workspace qui possède au minimum les rôles 'Administrateur des comptes utilisateur' et 'Administrateur des groupes'. Assurez-vous que les portées des rôles sontAll organization unit.

      Dans Google Workspace, lorsque vous affectez un système ou un rôle personnalisé à un utilisateur, cet utilisateur devient 'Administrateur délégué'. Pour gérer les administrateurs délégués, le nom d'utilisateur du compte doté du rôle de super-administrateur doit être spécifié.

      Clé privée
      Utilisez la valeur private_key à partir du fichier private key de votre compte de service.
    18. Accédez à la console d'administration de Google Workspace à l'aide de l'URL suivante :
      https://admin.google.com.
    19. Cliquez sur le menu de navigation.
    20. Accédez à Sécurité > Contrôle des accès et des données > Contrôles API.
    21. Sous Délégation à l'échelle du domaine, cliquez sur MANAGE DOMAIN WIDE DELEGATION.
    22. Cliquez sur Ajouter un nouveau et ajoutez les détails suivants.
      ID de client
      Indiquez l'ID client d'un compte de service. Utilisez la valeur client_id du fichier private key du compte de service.
      Portée OAuth de l'utilisateur
      https://www.googleapis.com/auth/admin.directory.user
      Portée OAuth du groupe
      https://www.googleapis.com/auth/admin.directory.group
      Portée OAuth du rôle
      https://www.googleapis.com/auth/admin.directory.rolemanagement
      Portée OAuth de l'unité organisationnelle
      https://www.googleapis.com/auth/admin.directory.orgunit
    23. Cliquez sur Autoriser.
    24. Copiez le fichier Customer ID.
      Customer ID est requis pour configurer la synchronisation des comptes dans Verify. Il s'agit de l'ID client du compte Google Workspace.
    25. Dans l'application Verify , entrez le Customer IDet cliquez sur Tester la connexion.
    26. Enregistrez vos modifications.