Passer au contenu principal
Connecter votre application Auth0 à Google Workspace permet à vos utilisateurs de se connecter à l’aide de leurs identifiants Google. Pour activer cette intégration, vous devez d’abord enregistrer votre application auprès de Google, puis configurer une connexion d’entreprise Google Workspace dans Auth0.

Prérequis

Avant de commencer, vous devez avoir :
  • enregistré votre application dans Auth0.
    • Sélectionnez le type d’application approprié.
    • Ajoutez l’URL de rappel autorisée {https://yourApp/callback}.
    • Assurez-vous que les types d’octroi de votre application incluent les flux appropriés.
  • un compte Google Workspace valide et votre propre organisation Google Workspace.
  • les privilèges d’administrateur sur l’organisation Google Workspace.

Enregistrer votre application auprès de Google

Pour permettre aux utilisateurs de se connecter avec Google Workspace, vous devez enregistrer votre application dans la console Google Cloud.
Si votre application demande des scopes OAuth sensibles, elle peut faire l’objet d’une vérification par Google.
Suivez la documentation de Google Configurer OAuth 2.0 et utilisez les paramètres suivants :
  • Dans l’écran de consentement , sous Domaines autorisés, ajoutez auth0.com.
  • Lorsque vous êtes invité à sélectionner un type d’application, choisissez Application Web et définissez les paramètres suivants :
    ChampDescription
    NomLe nom de votre application.
    Origines JavaScript autoriséeshttps://{yourDomain}
    URI de redirection autoriséshttps://{yourDomain}/login/callback
    À moins d’utiliser un domaine personnalisé, le nom de domaine de votre locataire est <TENANT NAME>.<REGIONAL SUBDOMAIN>.auth0.com. Par exemple, le nom de domaine d’un locataire dans la région des États-Unis nommé example-name est example-name.us.auth0.com. Les locataires créés avant juin 2020 n’incluent pas le sous-domaine régional.
  • Si vous prévoyez vous connecter à des domaines d’entreprise Google Workspace, vous devez activer l’API Admin SDK.
Enregistrez l’ et le que Google génère pour votre application. Vous aurez besoin de ces valeurs pour créer une connexion d’entreprise Auth0 à l’étape suivante.

Configurer une connexion d’entreprise Google Workspace dans Auth0

1

Créer une connexion d’entreprise à Google Workspace

Dans Auth0 Dashboard > Authentication > Enterprise, trouvez Google Workspace, puis sélectionnez Create.
Auth0 Dashboard - Connexions - Enterprise
2

Choisissez les paramètres de votre connexion

Sur la page de création d’une nouvelle connexion d’entreprise Google Workspace, configurez les paramètres suivants :
FieldDescription
PurposeL’usage de la connexion : connexion, comptes liés ou les deux. Pour en savoir plus, consultez Authentification de l’utilisateur ou comptes liés.
Connection nameUn identifiant logique pour votre connexion. Il doit être unique dans votre locataire et ne peut pas être modifié.
Google Workspace DomainLe nom de domaine Google Workspace de votre organisation.
Client IDUn identifiant unique pour votre application Google enregistrée. Saisissez l’ID client de l’application que vous avez enregistrée dans la console Google Cloud.
Client SecretUne chaîne utilisée pour accéder à votre application Google enregistrée. Saisissez le secret client de l’application que vous avez enregistrée dans la console Google Cloud.
AttributesLes attributs de l’utilisateur connecté auxquels votre application peut accéder et qu’Auth0 stocke dans le profil de l’utilisateur :
  • Basic Profile: email, indicateur email verified
  • Extended Profile: nom, URL du profil public, photo, genre, date de naissance, pays, langue et fuseau horaire
Extended Attributes (optional)Des attributs supplémentaires de l’utilisateur connecté auxquels votre application peut accéder et qu’Auth0 stocke dans le profil de l’utilisateur :
  • Groups: les listes de diffusion de l’utilisateur, en format simplifié (noms des groupes) ou en format étendu (objets de groupe avec name, id et email)
  • Is Domain Administrator: si l’utilisateur est administrateur du domaine
  • Is Account Suspended: si le compte de l’utilisateur est suspendu
  • Agreed to Terms: si l’utilisateur a accepté les conditions d’utilisation
Use Admin Directory API (optional)L’activation de ce paramètre permet à la connexion d’effectuer des appels à l’API Google Directory. Choisissez les scopes Users ou Users and Groups, selon les besoins.
Auth0 User ID (optional)Par défaut, le user_id d’Auth0 correspond à email. Si vous activez Use ID instead of Email for Auth0 User ID, le user_id correspond plutôt à id. Vous ne pouvez définir ce paramètre que pour les nouvelles connexions et il ne peut plus être modifié une fois configuré.
Lorsque vous avez terminé de sélectionner vos paramètres, cliquez sur Create.
3

Configurer le mode de connexion des utilisateurs

Dans l’onglet Expérience de connexion, configurez la façon dont les utilisateurs se connectent avec cette connexion :
FieldDescription
Découverte du domaine d’origineCompare le domaine de l’adresse courriel d’un utilisateur aux domaines du fournisseur d’identité fournis. Pour en savoir plus, consultez Configurer l’authentification Identifier First
Bouton de connexionCochez Afficher la connexion comme bouton pour afficher un bouton pour cette connexion sur la page de connexion de l’application. Dans ce cas, vous pouvez personnaliser deux options :
  • Nom affiché du bouton (facultatif) : le texte affiché sur le bouton après « Continuer avec ».
  • URL du logo du bouton (facultatif) : l’URL d’une image à afficher au format carré de 20 px sur 20 px à gauche du texte du bouton.
Après avoir saisi les paramètres, cliquez sur Enregistrer.
4

Vérifier le consentement de l’administrateur Google

Dans l’onglet Setup, effectuez l’une des actions suivantes :
  • Suivez le lien Continuer si vous disposez des autorisations d’administrateur nécessaires pour configurer vos paramètres Google Workspace de façon à utiliser les API d’administration de Google, ou
  • Remettez l’URL fournie à votre administrateur afin qu’il puisse ajuster les paramètres requis
Si un administrateur Google Workspace est supprimé, toutes les connexions d’entreprise Google Workspace qu’il a autorisées doivent être réautorisées par un autre administrateur Google Workspace afin d’éviter les échecs de connexion. Pour les réautoriser, demandez à un administrateur actuel d’utiliser le lien dans l’onglet Setup de la connexion d’entreprise Google Workspace.
5

Activer et tester la connexion

Activez la connexion pour vos applications Auth0, puis testez-la pour vérifier qu’elle fonctionne.

Prochaines étapes

Personnaliser ou automatiser la synchronisation du profil utilisateur

Dans l’onglet Provisioning de la connexion, vous pouvez configurer la façon dont les profils des utilisateurs sont mis à jour :
  • Activez Sync User Profile Attributes at Login pour permettre à Google de synchroniser les profils des utilisateurs lorsque l’utilisateur se connecte. Une fois cette option activée, vous pouvez choisir la Sync Frequency. Par défaut, Auth0 actualise les profils des utilisateurs à chaque connexion. Vous pouvez aussi choisir de les synchroniser uniquement lors de la première connexion.
  • Activez Provision Users and Groups Using Directory Sync pour synchroniser automatiquement les utilisateurs et les groupes de Google Workspace avec Auth0. Pour en savoir plus, consultez Sync Google Workspace Users to Auth0 with Google Directory Sync.

Obtenir des jetons d’accès et d’actualisation

Après l’authentification d’un utilisateur, Google émet un jeton d’accès. Vous pouvez utiliser ce jeton d’accès pour appeler les API de Google. Pour demander également un auprès de Google, ajoutez access_type=offline&approval_prompt=force à la demande d’autorisation. Pour Google Workspace, Auth0 stocke les jetons d’accès et d’actualisation dans l’objet user pour chaque utilisateur, et dans l’objet connection pour les administrateurs Workspace. Vous pouvez y accéder à l’aide du point de terminaison Get a connection de la Management API.

Récupérer des renseignements supplémentaires sur l’utilisateur et les groupes

Pour récupérer des renseignements supplémentaires sur l’utilisateur et les groupes au-delà de ce qu’Auth0 récupère par défaut, vous pouvez utiliser la Directory Admin API de Google pour obtenir les propriétés de groupe étendues d’un utilisateur.
  1. Dans l’onglet Settings de votre connexion d’entreprise, dans la section General, sous Extended Attributes, activez Groups.
  2. Dans l’onglet Setup, accordez le consentement de l’administrateur à l’aide du lien fourni.
  3. Récupérez le jeton d’accès administrateur stocké dans l’objet connection à l’aide du point de terminaison Get a connection endpoint du Management API.
  4. Utilisez le jeton d’accès pour appeler le point de terminaison Manage Groups de Google. Par exemple : 
    curl -H "Authorization: OAuth {admin_access_token}" \
    https://admin.googleapis.com/admin/directory/v1/groups\?userKey={user_key}

Valider l’authentification avec Actions

Le fait de valider que les événements d’authentification proviennent d’utilisateurs légitimes membres de votre organisation Google peut aider à prévenir les accès non autorisés à vos applications par des utilisateurs qui ne font plus partie de votre organisation. Pour vérifier les authentifications via Google, vous pouvez utiliser une Action post-login pour valider que la revendication idp_tenant_domain associée à l’utilisateur correspond à l’organisation attendue. Par exemple :
Example post-login Action code to validate Google authentications
exports.onExecutePostLogin = async (event, api) => {
    if (event.connection.strategy === 'google-oauth2') {
        // Bloquer les comptes sociaux (hors organisation)
        if (!event.user.idp_tenant_domain) {
            api.access.deny('Social accounts are not allowed to log in');
        }

        // Autoriser uniquement les comptes d'organisation figurant sur la liste d'autorisation
        if (event.user.idp_tenant_domain != 'example.com') {
            api.access.deny('Your Google Organization is not allowed to log in');
        }
    }
};
Vous pouvez vérifier idp_tenant_domain uniquement pour les utilisateurs qui s’authentifient à l’aide des types de connexion suivants :
  • Google Social
  • Google Workspace
  • Google OIDC

Pour en savoir plus

Limites

  • Si vous avez une connexion sociale Google existante pour votre application et que vous créez une nouvelle connexion d’entreprise Google Workspace pour le même domaine, les utilisateurs associés à la connexion sociale se connecteront avec la connexion d’entreprise (même si vous ne l’activez pas).
  • La connexion d’entreprise Google Workspace permet aux profils d’utilisateur Auth0 d’avoir jusqu’à 200 groupes. Si un profil d’utilisateur compte plus de 200 groupes, il se peut que ces groupes ne soient pas affichés. Si vous utilisez des groupes Google pour l’autorisation, vous devez sécuriser Google Workspace afin d’empêcher des utilisateurs non autorisés de modifier les groupes.
  • Le bouton de connexion n’est pas disponible avec Classic Login. Pour activer et personnaliser le bouton de connexion, utilisez Universal Login.