Utiliser les connexions Google sociales et Workspace (d’entreprise)
Si vous avez déjà une connexion sociale Google pour votre application et que vous créez une nouvelle connexion Google Workspace pour le même domaine, les utilisateurs affiliés à la connexion sociale seront désormais connectés avec la nouvelle connexion Workspace (d’entreprise). Cela se produira indépendamment de l’activation de la connexion à Google Workspace.
Prérequis
Avant de commencer :-
Enregistrez votre application avec Auth0.
- Sélectionnez un Type d’application approprié.
- Ajoutez une URL de rappel autorisée de
{https://yourApp/callback}. - Assurez-vous que les Types d’autorisation de votre application comprennent les flux appropriés.
Étapes
Pour connecter votre application à Google Workspace, vous devez :- Mettre en place votre application dans Google
- Créer une connexion d’entreprise dans Auth0
- Activer la connexion entreprise de l’Application Auth0
- Tester la connexion
Compte Google Workspace
Avant de continuer, vous aurez besoin d’un compte Google Workspace valide et vous devez avoir votre propre organisation Google Workspace dont vous êtes administrateur.
Mettre en place votre application dans Google
Pour permettre aux utilisateurs de se connecteren utilisant Google Workspace, vous devez enregistrer votre application dans la console de développement Google.Enregistrez votre nouvelle application
Pour apprendre comment enregistrer une nouvelle application avec Google, suivez le guide Setting up OAuth 2.0 (Configurer Oauth 2.0) de Google. Durant ce processus, Google génèrera un ID client et un secret client pour votre application; prenez-les en note. Lors de la configuration de votre application, veillez à utiliser ces paramètres :- Sur l’écran de consentement d’, sous Domaines autorisés, ajoutez
auth0.com. - Lorsqu’on vous demande de sélectionner un type d’application, choisissez Application Web et définissez les paramètres suivants :
Trouver votre nom de domaine Auth0 pour les redirections
Si votre nom de domaine Auth0 n’est pas affiché ci-dessus et que vous n’utilisez pas notre fonctionnalité de domaines personnalisés, votre nom de domaine est une concaténation de votre nom de locataire, de votre sous-domaine régional et de
auth0.com, séparés par le symbole point (.).Par exemple, si votre nom de locataire est exampleco-enterprises et que votre locataire est dans la région des États-Unis, votre nom de domaine Auth0 serait exampleco-enterprises.us.auth0.com et votre URI de redirection serait https://exampleco-enterprises.us.auth0.com/login/callback.Cependant, si votre locataire est dans la région des États-Unis et a été créé avant juin 2020, votre nom de domaine Auth0 serait exampleco-enterprises.auth0.com et votre URI de redirection seraithttps://exampleco-enterprises.auth0.com/login/callback.Si vous utilisez des domaines personnalisés, votre URI de redirection serait https://<YOUR CUSTOM DOMAIN>/login/callback.Activer le service de la trousse SDK Admin
Si vous planifiez vous connecter aux domaines d’entreprise de Google Workspace, vous devez activer Service de trousse SDK Admin. Pour apprendre comment, suivez le document Activer et désactiver les API de Google.Créer une connexion d’entreprise dans Auth0
Ensuite, vous devrez créer et configurer la Connexion entreprise Google Workspace dans Auth0. Assurez-vous d’avoir l’ID client et le secret client générés lorsque vous avez configuré votre application dans la console de développement Google.-
Naviguez vers Auth0 Dashboard > Authentification > Entreprise, trouvez Google Workspace, et cliquez sur
+.
- Saisissez les détails de votre connexion et sélectionnez Créer :

- Si vous disposez des autorisations administratives appropriées pour configurer vos paramètres Google Workspace afin de pouvoir utiliser les API d’administration de Google, cliquez sur Continue (Continuer). Autrement, fournissez l’URL donnée à votre administrateur pour lui permettre d’ajuster les paramètres requis.
- Sous l’onglet Expérience de connexion, vous pouvez configurer la façon dont les utilisateurs peuvent se connecter à cette connexion.
Les champs optionnels ne sont disponibles qu’avec connexion universelle. Les clients utilisant la connexion classique ne verront pas le bouton Ajouter, le nom d’affichage du bouton ou l’URL du logo du bouton.
Travailler avec la connexion
Permettre une connexion entreprise pour votre application Auth0
Pour utiliser votre nouvelle connexion AD, vous devez premièrement activer la connexion pour vos applications Auth0.Tester la connexion
Vous êtes maintenant prêt à tester votre connexion.Demander des jetons d’actualisation à Google
Google renvoie toujours un jeton d’accès, qui est stocké dans le profil utilisateur. Si vous ajoutezaccess_type=offline&approval_prompt=force à la demande d’autorisation, Auth0 transmettra ces paramètres à Google. Google renverra alors un jeton d’actualisation, qui sera aussi stocké dans le profil utilisateur.
Utiliser les jetons de fournisseur d’identités de Google
Pour récupérer des détails supplémentaires sur les utilisateurs et les groupes au-delà de ce qu’Auth0 récupère par défaut, vous pouvez utiliser les jetons d’accès renvoyés par Google pour appeler les API de Google. Pour accéder en toute sécurité à ces jetons, suivez les lignes directrices fournies dans Jetons d’accès du fournisseur d’identités. Pour Google Workspace, Auth0 stocke les jetons d’accès et les jetons d’actualisation sur l’objetuser (utilisateur) pour les utilisateurs individuels et sur l’objet connection (connexion) pour les administrateurs de l’espace de travail.
Par exemple, pour récupérer toutes les propriétés de groupe étendues d’un utilisateur avec l’API Directory Admin de Google, accédez à la connexion Google Workspace dans votre Auth0 Dashboard et activez l’attribut étendu Groupes. Ensuite, complétez le consentement d’administrateur à l’aide de l’onglet Configuration.
Une fois ces étapes complétées, utilisez le point de terminaison Obtenir une connexion d’Auth0 pour récupérer le jeton d’accès d’administrateur stocké sur l’objet connection. Vous pouvez ensuite utiliser ce jeton pour appeler le point de terminaison Gérer les groupes de Google.
Exemple d’appel :
Valider l’authentification avec des Actions
Vous pouvez utiliser lesActionspost-connexion pour vérifier si les événements d’authentification proviennent d‘utilisateurs légitimes membres d’une organisation Google. Cela peut contribuer à atténuer les vulnérabilités potentielles en empêchant tout accès non autorisé à vos applications une fois que les utilisateurs ne font plus partie de votre organisation.
Pour vérifier la légitimité des authentifications Google, utilisez les Actions post-login pour valider la demande idp_tenant_domain associée à l’utilisateur et assurez-vous que la valeur corresponde à l’organisation attendue pour cet utilisateur.
Vous pouvez seulement vérifier le idp_tenant_domain des utilisateurs qui se sont authentifiés avec les types de connexion suivants :
- Google Social
- Google Workspace
- Google OIDC
Exemple
L’exemple suivant démontre comment vous pouvez vérifier leidp_tenant_domain en utilisant les Actions de post-connexion.