Google Workspace avec OIDC

Les instructions ci-dessous permettent de configurer l'authentification unique (SSO) pour Claris Studio avec Google Workspace à l'aide d'OpenID Connect (OIDC). Étapes clés à l'établissement de la confiance entre votre fournisseur d'identité et une équipe Claris Studio :

• Créer un client d'application OIDC Google Cloud avec des paramètres spécifiques pour Claris Studio.

• Entrer les détails de l'application créée dans Claris Studio.

Préparation pour Google OIDC

Pour suivre ces instructions, vous aurez besoin des éléments suivants :

• Un compte Google Workspace pour votre entreprise avec des licences pour plusieurs utilisateurs.

• Un domaine vérifié pour ce compte.

  Vous pouvez confirmer que votre domaine est vérifié en vous connectant à la console Google Workspace et en confirmant qu'il n'y a pas d'avertissement Verify Domain (Vérifier le domaine) (comme illustré ici).

• Un compte super admin pour votre console administrateur Google Workspace. Le premier compte utilisateur ayant configuré Google Workspace pour votre entreprise est probablement un compte super admin.

Ouvrir la page de configuration de Claris Studio

1. Connectez-vous à votre équipe Claris Studio.

2. Cliquez sur l'onglet Utilisateurs à gauche, puis sur Configurer l'IdP externe.

   

3. Dans la boîte de dialogue Configurer le fournisseur d'identité externe, pour Protocole, choisissez OIDC. Laissez cette page ouverte afin de pouvoir y revenir plus tard.

Créer une application OIDC

1. Dans la plateforme Google Cloud, connectez-vous et créez un nouveau projet. Saisissez un nom descriptif, puis ajoutez votre organisation et son emplacement. Cliquez sur Create (Créer).

   

2. Votre nouveau projet est maintenant sélectionné. Si le menu de navigation dans la barre latérale gauche n'est pas déjà ouvert, cliquez sur l'icône du menu en haut pour l'ouvrir.

   Choisissez APIs and Services > Credentials (API et services > Informations d'authentification). Sinon, accédez à la page Credentials (Informations d'authentification).

   

3. La page Credentials (Informations d'authentification) comprend un avertissement et une option pour configurer votre écran de consentement OAuth. Cliquez sur Configure Consent Screen (Configurer l'écran de consentement) ou accédez à la page OAuth consent screen (Écran de consentement OAuth).

   

4. Sur l'écran de consentement OAuth, choisissez Internal (Interne), puis cliquez sur Create (Créer).

   

5. Sur l'écran suivant, saisissez les détails ci-dessous. Toutes les autres rubriques sont facultatives. Cliquez sur Save and Continue (Enregistrer et continuer) lorsque vous avez terminé.

   • App Name (Nom de l'application) : saisissez un nom qui inclut le nom de votre équipe Claris Studio afin que les utilisateurs de votre entreprise puissent le reconnaître lors de la connexion (par exemple, « Claris Studio - Équipe de vente Acme Corp. »).

   • User support email (E-mail d'assistance utilisateur) : saisissez l'adresse e-mail d'une personne de votre organisation à laquelle les utilisateurs peuvent s'adresser s'ils ont des questions ou des inquiétudes.

   • Developer contact information (Coordonnées du développeur) : saisissez votre propre adresse e-mail.

   

6. Sur l'écran de configuration des options, cliquez sur Add or Remove scopes (Ajouter ou supprimer des options), puis activez les options suivantes :

   • .../auth/userinfo.email avec la description destinée à l'utilisateur See your primary Google Account email address (Voir l'adresse e-mail principale de votre compte Google).

   • .../auth/userinfo.profile avec la description destinée à l'utilisateur See your personal info... (Voir vos informations personnelles...).

   Cliquez sur Update (Mettre à jour) lorsque vous avez terminé.

   

7. Cliquez sur Save and Continue (Enregistrer et continuer).

   

8. Retournez à la page Credentials (Informations d'authentification). Cliquez sur Credentials (Informations d'authentification) dans la barre latérale gauche ou accédez à la page Credentials (Informations d'authentification). Cliquez sur Create Credentials > OAuth client ID (Créer des informations d'authentification > Identifiant du client OAuth).

   

9. Dans Application type (Type d'application), choisissez Web application (Application Web), puis remplissez les rubriques suivantes.

   • Name (Nom) : saisissez un nom descriptif.

   • Authorized redirect URIs (URI de redirection autorisés) : dans Claris Studio, copiez la valeur de l'URL de redirection de l'application (consultez la section « Ouvrir la page de configuration de Claris Studio » plus haut) et collez-la ici.

   Cliquez sur Create (Créer) lorsque vous avez terminé.

   

   

10. Vous pouvez maintenant voir votre Client ID (Identifiant client) et Client secret (Clé secrète du client).

    Pour copier chaque valeur, cliquez sur l'icône de presse-papiers et enregistrez la valeur dans un endroit sûr. Vous aurez besoin de ces deux valeurs ultérieurement.

    

Entrer des valeurs dans Claris Studio

1. Revenez à la page Claris Studio que vous avez ouverte précédemment (consultez la section « Ouvrir la page de configuration de Claris Studio »).

2. Dans la boîte de dialogue Configurer le fournisseur d'identité externe, pour Protocole, choisissez OIDC, puis fournissez les informations suivantes :

   • Clé secrète du client : le jeton Client secret que vous avez copié précédemment.

   • ID du client : le jeton Client ID que vous avez copié précédemment.

   • URL des métadonnées : https://accounts.google.com/.well-known/openid-configuration

3. Sélectionnez un ou plusieurs Groupes par défaut que vous souhaitez connecter à l'aide de cet IdP externe, puis cliquez sur Appliquer.

   Si vous n'avez aucun groupe, vous pouvez en créer un ici et y ajouter des utilisateurs plus tard. Consultez la section Utiliser des groupes pour obtenir des informations supplémentaires.

   

4. Sur la page Utilisateurs, copiez le lien intitulé URL de connexion à l'application et fournissez-le aux utilisateurs. L'utilisation de cette URL leur permet de se connecter à Claris Studio avec leurs identifiants SSO.