Comment synchroniser les utilisateurs et les groupes de Google Workspace avec Auth0 à l’aide de Directory Sync

L’activation de Directory Sync pour votre connexion d’entreprise Google Workspace vous permet de synchroniser vers Auth0 les profils d’utilisateur, les structures de groupe et les appartenances à des groupes de Google Workspace. Vous pouvez effectuer la synchronisation automatiquement ou manuellement :

La synchronisation automatique s’exécute toutes les 30 minutes après la fin de la synchronisation précédente.
La synchronisation manuelle s’exécute lorsque vous la déclenchez.

Activer Directory Sync

Vous pouvez activer Directory Sync à l’aide de l’Auth0 Dashboard ou de la Management API.

Auth0 Dashboard
Management API

Prérequis

Avant de commencer, vous devez disposer de ce qui suit :

Une connexion d’entreprise Google Workspace dans Auth0
Des privilèges d’administrateur sur l’organisation Google Workspace.

Activer l’API Admin Directory pour votre connexion d’entreprise

Pour activer la synchronisation de l’annuaire, le jeton d’accès Google de votre connexion d’entreprise Google Workspace doit disposer des scopes appropriés pour accéder aux API de Google.Dans l’onglet Settings d’une connexion d’entreprise Google Workspace existante (ou lors de la création d’une nouvelle connexion), dans la section Identity Provider API, sélectionnez Use Admin Directory API, puis choisissez :

Users scopes pour ajouter des scopes permettant d’accéder uniquement aux utilisateurs.
Users and Groups scopes pour ajouter des scopes permettant d’accéder à la fois aux utilisateurs et aux groupes.

Lorsque vous utilisez Directory Sync, nous vous recommandons aussi de désactiver Sync User Profile Attributes at Login dans cette section afin d’éviter des mises à jour conflictuelles provenant de plusieurs méthodes de synchronisation.

Cliquez sur Save Changes.

Vérifier le consentement de l’administrateur Google

Dans Auth0 Dashboard > Authentication > Enterprise, ouvrez votre connexion Google Workspace. Dans l’onglet Setup, faites l’une des actions suivantes :

Suivez le lien Continue si vous disposez des autorisations d’administrateur pour configurer vos paramètres Google Workspace afin d’utiliser les API d’administration de Google, ou
Transmettez l’URL fournie à votre administrateur afin qu’il puisse ajuster les paramètres requis

Activer Directory Sync

Dans l’onglet Provisioning de votre connexion, activez Provision Users Using Directory Sync, puis choisissez vos options de configuration :

Dans Resources, sous Sync, choisissez de synchroniser Users ou Users and Groups. Si vous synchronisez à la fois les utilisateurs et les groupes, la section se développe pour afficher les groupes en cours de synchronisation (Syncing all groups par défaut). Pour personnaliser les groupes synchronisés, consultez l’étape suivante.
Dans Schedule, cochez au besoin Enable Automatic Synchronization pour synchroniser automatiquement toutes les 30 minutes. Vous pouvez déclencher une synchronisation manuelle en sélectionnant Synchronize now.
Dans Attribute Mapping, vous pouvez personnaliser le mappage des attributs Google vers les attributs du profil utilisateur Auth0.

Personnaliser les groupes synchronisés (facultatif)

Lorsque vous activez Directory Sync pour synchroniser à la fois les utilisateurs et les groupes depuis Google Workspace, tous les groupes sont synchronisés par défaut. Vous pouvez personnaliser les groupes à synchroniser en téléversant un fichier JSON contenant les ID des groupes que vous souhaitez synchroniser.Commencez par créer le fichier JSON. Vous pouvez obtenir la liste de tous les ID de groupe à l’aide de l’API Directory de Google Workspace. Créez le fichier au format suivant, en remplaçant les valeurs d’exemple par les ID de groupe réels :

{
    "groups": [
        {
            "id": "example-id-1"
        },
        {
            "id": "example-id-2"
        },
        {
            "id": "example-id-3"
        }
    ]
}

Ensuite, téléversez le fichier dans Auth0 :

Dans l’onglet Provisioning de votre connexion, sous l’option activée Provision Users Using Directory Sync, repérez la section Resources et sélectionnez le bouton Select Groups….
Dans la fenêtre Select Groups qui s’ouvre, sélectionnez Pick specific groups pour afficher la section Groups JSON file.
Sélectionnez + Choose file et téléversez le fichier JSON.
Une fois le fichier téléversé, sélectionnez Select Groups au bas de la fenêtre.

La section Resources affiche Syncing specific groups. Pour mettre à jour les groupes que vous synchronisez, retournez dans la même fenêtre Select Groups et téléversez un nouveau fichier JSON ou choisissez Sync all.

Prérequis

Avant de commencer, vous devez disposer des éléments suivants :

Une connexion d’entreprise Google Workspace dans Auth0
Des privilèges d’administrateur sur l’organisation Google Workspace.
Un jeton d’accès à la Management API avec les scopes suivants :
- create:directory_provisionings
- read:directory_provisionings
- update:directory_provisionings
- delete:directory_provisionings
L’identifiant de votre connexion Google Workspace (CONNECTION_ID).

Activer l’API d’annuaire administrateur pour votre connexion d’entreprise

Lorsque vous créez une nouvelle connexion d’entreprise Google Workspace à l’aide du point de terminaison Créer une connexion (POST /v2/connections), ou lorsque vous modifiez une connexion d’entreprise existante à l’aide du point de terminaison Mettre à jour une connexion (PATCH /v2/connections/{id}), définissez les paramètres de corps suivants :

option.api_enable_users à true pour ajouter des scopes donnant accès aux utilisateurs.
option.api_enable_groups à true pour ajouter aussi des scopes donnant accès aux groupes. L’accès aux groupes nécessite l’accès aux utilisateurs.

Lorsque vous utilisez Directory Sync, nous vous recommandons de désactiver la synchronisation des profils utilisateur à la connexion (en définissant options.set_user_root_attributes à never_on_login) afin d’éviter des mises à jour conflictuelles provenant de plusieurs méthodes de synchronisation.

Vérifier l’autorisation de l’administrateur Google

Dans Auth0 Dashboard > Authentication > Enterprise, ouvrez votre connexion Google Workspace. Dans l’onglet Setup, faites l’une des actions suivantes :

Suivez le lien Continue si vous disposez des autorisations d’administration nécessaires pour configurer vos paramètres Google Workspace afin d’utiliser les API d’administration de Google, ou
Remettez l’URL fournie à votre administrateur afin qu’il puisse ajuster les paramètres requis

Activer Directory Sync

Activez Directory Sync à l’aide du point de terminaison Créer une configuration de provisionnement d’annuaire (POST /v2/connections/{id}/directory-provisioning), ou mettez à jour une configuration Directory Sync existante à l’aide du point de terminaison Modifier une configuration de provisionnement d’annuaire (PATCH /v2/connections/{id}/directory-provisioning), puis utilisez les paramètres de corps de requête suivants :

mapping pour définir le mappage des attributs Google vers les attributs du profil utilisateur Auth0.
synchronize_automatically défini à true pour synchroniser automatiquement toutes les 30 minutes, ou à false pour désactiver la synchronisation automatique.
synchronize_groups défini à l’une des valeurs suivantes :
- all pour synchroniser tous les groupes en plus des utilisateurs
- selected pour synchroniser uniquement les groupes que vous spécifiez
- off pour synchroniser uniquement les utilisateurs

Si vous choisissez de synchroniser uniquement certains groupes, vous devez également préciser les groupes à synchroniser.Commencez par obtenir une liste des ID de groupes à l’aide de l’API Directory de Google Workspace. Ensuite, utilisez le point de terminaison Configurer les groupes à synchroniser de la Management API (PUT /v2/connections/{id}/directory-provisioning/synchronized-groups) avec le paramètre de corps de requête contenant les ID des groupes que vous souhaitez synchroniser, au format suivant :

"groups" [
    {
        "id": "example-id-string",
    },
    {
        "id": "example-id-string-2",
    },
    {
        "id": "example-id-string-3",
    }
]

Pour déclencher une synchronisation manuelle, utilisez le point de terminaison Créer une configuration de provisionnement d’annuaire.

Surveiller l’activité de Directory Sync

Vous pouvez surveiller l’activité de synchronisation dans les journaux du locataire Auth0, sous les types de journal Directory Sync Started et Directory Sync Completed (codes d’événement directory_sync_started et directory_sync_completed).

Limites

Une synchronisation manuelle lancée dans les 30 minutes suivant la dernière synchronisation terminée renvoie une erreur 400. Attendez au moins 30 minutes avant de relancer la synchronisation.

​Activer Directory Sync

​Surveiller l’activité de Directory Sync

​Limites

Activer Directory Sync

Surveiller l’activité de Directory Sync

Limites