Google Workspace est un fournisseur d’identité (IdP) qui permet aux utilisateurs de se connecter à plusieurs applications en utilisant leurs identifiants Google. Avec le SSO SAML configuré entre Google Workspace et Document360, vos membres d’équipe et lecteurs peuvent accéder à Document360 sans avoir besoin d’un mot de passe séparé.
Seuls les utilisateurs ayant les rôles de projet Propriétaire ou Administrateur peuvent configurer SSO dans Document360.
Que faire avec Google Workspace comme IDP
| Capacités | Soutenu |
|---|---|
| Authentification utilisateur (portail) | Oui |
| Authentification par lecteur (site de base de connaissances) | Oui |
| Connexion initiée par l’IdP | Oui |
| Provisionnement SCIM | Non |
| Héritage de configuration SSO (projets parent-enfant) | Oui (paramètres SSO uniquement, pas SCIM) |
Le provisionnement SCIM n’est pas pris en charge lorsque Google Workspace est configuré comme votre fournisseur d’identité. La gestion des utilisateurs et des lecteurs doit être gérée manuellement dans Document360.
Avant que tu commences
- Vous avez un compte Google Workspace actif avec accès administrateur. Si vous devez en créer un, inscrivez-vous sur workspace.google.com.
- Vous avez l’accès Propriétaire ou Administrateur dans votre projet Document360.
- Ouvrez Document360 et Google Workspace dans deux onglets de navigateur distincts. Vous devrez passer plusieurs fois de l’un à l’autre pendant la configuration.
Étape 1 : Créer une application SAML personnalisée dans Google Workspace
Ajouter une application SAML personnalisée
- Sur la page d’accueil de la console d’administration de Google Workspace, cliquez sur Applications et sélectionnez Applications SAML.
- Cliquez sur Ajouter l’application et dans le menu déroulant, sélectionnez Ajouter une application SAML personnalisée.
- Dans les détails de l’application, saisissez un nom pour votre application et cliquez sur Continuer.
Notez les détails de l’IDP et téléchargez le certificat
- Sur la page suivante, vous trouverez l’URL SSO, l’ID de l’entité et le certificat. Notez ces détails — vous en aurez besoin lors de la configuration du fournisseur d’identité dans Document360.
- Dans la section Certificat , cliquez sur l’icône de téléchargement pour enregistrer le certificat au
.pemformat dans votre stockage local. Vous téléverserez ce certificat plus tard dans Document360.
Activez l’application pour les utilisateurs
- Dans l’accès utilisateur, le statut du service est par défaut défini sur DÉSACTIVÉ pour tout le monde .
- Changez-la sur ON pour que tout le monde puisse permettre aux utilisateurs de s’authentifier via cette application.
Après avoir terminé la configuration côté Google, votre application SAML se présentera comme suit.
Étape 2 : Configurez le SAML dans Google Workspace en utilisant les paramètres Document360
Obtenez les paramètres du fournisseur de services via Document360
- Dans Document360, naviguez dans Paramètres () > Utilisateurs et permissions > Configuration SSO.
- Cliquez sur Créer SSO.
- Dans la page Choisissez votre fournisseur d’identité (IdP ), sélectionnez Google comme fournisseur d’identité.
- Depuis la page Configurer le fournisseur de service (SP ), copiez les paramètres suivants.
Entrez les paramètres Document360 dans Google Workspace
- Passez à l’onglet Google Workspace et collez les paramètres Document360 dans l’application SAML personnalisée de Google en utilisant la correspondance ci-dessous.
| Application SAML personnalisée Google | Document360 |
|---|---|
| ACS URL | Chemin de rappel |
| Identifiant d’entité | ID d’entité fournisseur de services |
- Dans le format Name ID, sélectionnez EMAIL dans le menu déroulant.
- Dans l’ID du nom, sélectionnez Informations de base > Adresse principale à l’adresse E-mail.
- Cliquez sur Continuer.
Ajouter des correspondances d’attributs dans Google Workspace
- Ajoutez et sélectionnez des champs utilisateur dans Google Directory, puis associez-les aux attributs du fournisseur de services à l’aide du tableau ci-dessous.
| Attributs du Google Directory | Attributs de l’application |
|---|---|
| Adresse principale | Nom |
| Adresse principale | |
| Adresse principale | urn :oasis :names :tc :SAML :2.0 :nameid |
- Cliquez sur Ajouter une correspondance à chaque fois que vous ajoutez un attribut.
- Une fois terminé, cliquez sur Terminer.
Étape 3 : Terminer la configuration SSO dans Document360
Configurez le fournisseur d’identité dans Document360
- Revenez à Document360 sur la page Configurer le fournisseur de service (SP) et cliquez sur Suivant pour accéder à la page Configurer le fournisseur d’identité (IdP ).
- Le champ Configurer une connexion existante vous permet d’hériter d’une configuration SSO déjà créée. En sélectionnant cette option, la configuration SSO actuelle sera définie comme enfant et aucune modification ne pourra être apportée. Pour en savoir plus sur l’héritage.
Une fois la configuration SSO créée avec une connexion héritée, les paramètres sont hérités de l’application mère et ne peuvent pas être modifiés dans l’application enfant. Les paramètres SCIM ne peuvent pas être hérités lorsque Google est l’IDP, même si la configuration parentale a SCIM activé.
- Sur la page Configurer le fournisseur d’identité (IdP ), ajoutez les informations que vous avez indiquées depuis la page de l’application SAML personnalisée de Google en utilisant le mappage ci-dessous.
| Document360 | Application SAML personnalisée Google |
|---|---|
| URL de connexion | SSO URL |
| Identifiant d’entité | Identifiant d’entité |
| Certificat SAML | Certificat (téléchargez le fichier .pem téléchargé depuis Google) |
- Activez ou désactivez l’option Permettre la connexion initiée IdP en fonction des exigences de votre projet.
- Cliquez sur Suivant pour accéder à la page de provisionnement SCIM .
Page de provisionnement SCIM
Le provisionnement SCIM n’est pas pris en charge lorsque Google est configuré comme votre fournisseur d’identité (IdP) dans Document360.
Cette limitation s’applique dans deux scénarios :
- Lors de la configuration d’une nouvelle configuration Google IdP.
- Lorsque vous avez hérité d’une configuration SSO existante qui utilise Google comme IDP.
Cliquez sur Suivant pour accéder à Plus de paramètres.
Étape 4 : Plus de réglages
Configurez le nom SSO et les options de connexion
- Dans le champ nom SSO , saisissez un nom pour la configuration SSO.
- Dans le bouton Personnaliser la connexion, saisissez le texte que vous souhaitez afficher sur le bouton de connexion affiché aux utilisateurs.
- Attribution automatique du groupe de lecteurs — cette option n’est disponible que pour les configurations SSO existantes. Pour les nouvelles configurations SSO, ce basculement ne sera pas affiché car SCIM fournit automatiquement les utilisateurs et les groupes. En savoir plus sur le groupe de lecteurs Auto Assign.
- Choisissez d’inviter tous les utilisateurs ou des utilisateurs sélectionnés en utilisant les boutons radio SSO Convertir les comptes utilisateurs et lecteurs existants .
- Cliquez sur Créer pour compléter la configuration SSO.
La configuration SSO basée sur le protocole SAML a été configurée avec succès via Google Workspace.
Héritage d’une autre application
Lors de la création d’une nouvelle configuration SSO dans Document360, vous pouvez hériter des paramètres d’une connexion SSO existante. Cela simplifie le processus de configuration, évite la répétition des étapes de configuration et aide les administrateurs à gagner du temps tout en assurant la cohérence entre les intégrations.
Sur la page Configurer le fournisseur d’identité (IdP ), sélectionnez le champ Configurer une connexion existante et sélectionnez l’application parent compatible SCIM SSO dont vous souhaitez hériter. Sélectionner cette option désigne le projet en cours comme projet enfant, héritant de toutes les propriétés pertinentes du parent concerné.
Une fois la configuration SSO créée, les paramètres seront hérités de l’application mère et ne pourront pas être modifiés dans l’application enfant.
Puisque le provisionnement SCIM ne prend pas en charge les configurations Google IdP, les paramètres SCIM du projet parent ne peuvent pas être hérités.
Alors que d’autres paramètres de configuration SSO sont hérités du projet parent, les paramètres SCIM seuls ne peuvent pas être hérités.
Gestion des utilisateurs dans Google IdP
Comme SCIM n’est pas pris en charge pour Google IdP, les utilisateurs et lecteurs doivent être gérés manuellement dans Document360.
Pour voir les lecteurs ajoutés via votre application Google SAML :
- Dans Document360, naviguez dans Paramètres > Utilisateurs et permissions > Lecteurs & groupes.
- Sélectionnez un lecteur pour accéder à son profil de lecteur.
Les lecteurs provisionnés via SCIM afficheront un badge SSO-SCIM à côté de leur nom.
Lorsque SCIM est activé, modifier le nom d’un utilisateur ou supprimer un utilisateur directement dans Document360 est désactivé, car ces actions doivent être gérées via votre IDP pour maintenir les deux plateformes synchronisées. Vous ne pouvez gérer l’accès au contenu que depuis Document360.
Gérer l’accès au contenu des lecteurs, utilisateurs et groupes
Le rôle de contenu par défaut attribué à tout nouvel utilisateur, lecteur ou groupe est basé sur ce qui a été configuré lors de la configuration du provisionnement SCIM. Les permissions seront définies à Aucun par défaut mais pourront être mises à jour à tout moment.
- Sélectionnez le lecteur désiré et cliquez sur Gérer l’accès au contenu.
- Choisissez le niveau d’accès souhaité dans le menu déroulant et cliquez sur Mettre à jour.
Vous pouvez également gérer des groupes pour un lecteur en cliquant sur Gérer les groupes dans la section Groupe de lecteurs.
Meilleures pratiques
- Activez l’application pour tous les utilisateurs avant de tester le SSO. Le statut du service d’application Google SAML est DÉSACTIVÉ pour tout le monde par défaut. Changez-le sur ON pour tout le monde avant d’inviter les utilisateurs à se connecter avec SSO.
- Sauvegardez le certificat .pem en toute sécurité. Téléchargez et stockez le certificat Google avant de terminer la configuration dans Document360. On ne vous demandera pas de le télécharger à nouveau.
- Utilisez la gestion manuelle des utilisateurs pour Google IDP. Puisque SCIM n’est pas pris en charge, planifiez comment ajouterez, mettrez à jour et retirerez des utilisateurs dans Document360 lorsque vous utilisez Google comme IDP.
- Envisagez Okta ou Entra si vous avez besoin de provisionnement SCIM. Si une gestion automatisée du cycle de vie utilisateur est nécessaire, configurez plutôt SSO en utilisant Okta ou Microsoft Entra comme fournisseur d’identité.
FAQ
Pourquoi le provisionnement SCIM n’est-il pas pris en charge pour Google IdP ?
Le provisionnement SCIM de Document360 nécessite des capacités spécifiques que Google Workspace ne prend pas en charge de la même manière qu’Okta ou Microsoft Entra. Si vous avez besoin d’un provisionnement automatisé des utilisateurs, envisagez de configurer SSO en utilisant Okta ou Microsoft Entra comme fournisseur d’identité.
Puis-je hériter des paramètres SCIM d’un projet parent lorsque j’utilise Google comme IDP ?
Non. Alors que d’autres paramètres de configuration SSO peuvent être hérités d’un projet parent, les paramètres SCIM ne peuvent pas être hérités lorsque Google est configuré comme fournisseur d’identité. Cela s’applique aussi bien aux nouvelles configurations qu’aux configurations héritées où le parent utilise Google comme IDP.
Que se passe-t-il pour les utilisateurs existants de Document360 lorsque je configure le SSO Google ?
Les utilisateurs existants ne sont pas automatiquement convertis. Pendant l’étape Plus de paramètres, vous pouvez choisir d’inviter tous les utilisateurs existants ou sélectionnés à passer à la connexion SSO. Les utilisateurs convertis conservent tous leurs rôles et permissions existants.