Configurer l’authentification unique avec Google Workspace
Avec un minimum d'efforts de configuration, ce connecteur permet l'intégration avec Microsoft Entra ID pour le SSO d’entreprise.
Pour plus d'informations sur l'authentification unique (SSO) et comment configurer l'authentification unique (SSO) dans Logto, veuillez consulter la documentation SSO d’entreprise (SAML & OIDC) pour commencer.
Étape 1 : Créer un nouveau projet sur Google Cloud Platform
Avant de pouvoir utiliser Google Workspace comme fournisseur d'authentification, vous devez configurer un projet dans la Google API Console pour obtenir des identifiants OAuth 2.0. Si vous avez déjà un projet, vous pouvez passer cette étape. Sinon, créez un nouveau projet sous votre organisation Google.
Étape 2 : Configurer l’écran de consentement pour votre application
Pour créer de nouvelles informations d'identification OIDC, vous devez configurer l'écran de consentement pour votre application.
- Accédez à la page Écran de consentement OAuth et sélectionnez le type d'utilisateur
Interne
. Cela rendra l'application OAuth uniquement disponible pour les utilisateurs au sein de votre organisation.
- Remplissez les paramètres de l'
Écran de consentement
en suivant les instructions de la page. Vous devez fournir les informations minimales suivantes :
- Nom de l'application : Le nom de votre application. Il sera affiché sur l'écran de consentement.
- Email de support : L'email de support de votre application. Il sera affiché sur l'écran de consentement.
- Définissez les
Portées
pour votre application. Afin de récupérer correctement les informations d'identité et l'adresse e-mail de l'utilisateur depuis le fournisseur d'identité (IdP), les connecteurs SSO de Logto doivent accorder les portées suivantes depuis l'IdP :
- openid : Cette portée est requise pour l'authentification OIDC. Elle est utilisée pour récupérer le jeton d'identifiant et accéder au point de terminaison userInfo de l'IdP.
- profile : Cette portée est requise pour accéder aux informations de profil de base de l'utilisateur.
- email : Cette portée est requise pour accéder à l'adresse e-mail de l'utilisateur.
Cliquez sur le bouton Enregistrer
pour sauvegarder les paramètres de l'écran de consentement.
Étape 3 : Créer une nouvelle accréditation OAuth
Accédez à la page Credentials et cliquez sur le bouton Create Credentials
. Sélectionnez l'option OAuth client ID
dans le menu déroulant pour créer une nouvelle référence OAuth pour votre application.
Continuez à configurer la référence OAuth en remplissant les informations suivantes :
- Sélectionnez
Web application
comme type d'application. - Remplissez le
Name
de votre application cliente, par exempleLogto SSO Connector
. Cela vous aidera à identifier les références à l'avenir. - Remplissez les
Authorized redirect URIs
avec l'URI de rappel Logto. C'est l'URI vers lequel Google redirigera le navigateur de l'utilisateur après une authentification réussie. Après qu'un utilisateur s'est authentifié avec succès auprès du fournisseur d’identité (IdP), l'IdP redirige le navigateur de l'utilisateur vers cet URI désigné avec un code d'autorisation. Logto complétera le processus d'authentification basé sur le code d'autorisation reçu de cet URI. - Remplissez les
Authorized JavaScript origins
avec l'origine de l'URI de rappel Logto. Cela garantit que seule votre application Logto peut envoyer des requêtes au serveur OAuth de Google. - Cliquez sur le bouton
Create
pour créer la référence OAuth.
Étape 4 : Configurer le connecteur Logto avec les identifiants client
Après avoir créé avec succès les informations d'identification OAuth, vous recevrez une fenêtre modale avec l'ID client et le secret client.
Copiez l'ID client
et le secret client
et remplissez les champs correspondants dans l'onglet Connection
du connecteur SSO de Logto.
Vous avez maintenant configuré avec succès un connecteur SSO Google Workspace sur Logto.
Étape 5 : Portées supplémentaires (Optionnel)
Utilisez le champ Scope
pour ajouter des portées supplémentaires à votre requête OAuth. Cela vous permettra de demander plus d'informations au serveur OAuth de Google. Veuillez vous référer à la documentation des Portées OAuth de Google pour plus d'informations.
Indépendamment des paramètres de portée personnalisés, Logto enverra toujours les portées openid
, profile
et email
au fournisseur d’identité (IdP). Cela garantit que Logto peut récupérer correctement les informations d'identité de l'utilisateur et l'adresse e-mail.
Étape 6 : Définir les domaines de messagerie et activer le connecteur SSO
Fournissez les domaines de messagerie
de votre organisation dans l'onglet Expérience SSO
du connecteur Logto. Cela activera le connecteur SSO comme méthode d'authentification pour ces utilisateurs.
Les utilisateurs ayant des adresses e-mail dans les domaines spécifiés seront redirigés pour utiliser votre connecteur SSO comme seule méthode d'authentification.
Pour plus d'informations sur le connecteur SSO Google Workspace, veuillez consulter Google OpenID Connector.